Det beror på en vurdering fra sag til sag, om det er lovligt at anvende en konkret tjeneste, siger Allan Frank er it-sikkerhedsspecialist i Datatilsynet. Foto: Datatilsynet
Skalérbarhed, managed services, backup, oppetid. Som mange it-professionelle ved, er cloud på mange måder fedt at arbejde med.
Men siden EU-Domstolens Schrems II-afgørelse i 2020 har det dog været mindre ligetil at udnytte lækkerierne i den del af skyen, der kommer fra amerikanske leverandører som Google, Amazon og Microsoft.
Dommen betød nemlig, at det ikke længere er muligt for europæiske virksomheder at anvende den såkaldte Privacy Shield-aftale som overførselsgrundlag for persondata.
Alternativt kan man bruge EU-Kommissionens såkaldte standardkontrakter. Men med dommen blev det dog også slået fast, at persondataoverførsler på baggrund af eksempelvis standardkontrakterne skal sikre den registrerede en beskyttelse, som i det væsentlige svarer til beskyttelsesniveauet i EU.
Og det giver umiddelbart problemer i forhold til USA, hvor lovgivning giver efterretningstjenester særlige beføjelser, når det kommer til at tilgå data om ikke-amerikanere.
Tilbage står det helt overordnede og principielle spørgsmål: Må danske virksomheder og organisationer stadig bruge amerikanske cloud-leverandører i forbindelse med persondatabehandling?
Denne artikel er et tema om cloud-tjenester:
Kampen for privatliv kostede hans eget
Amerikanske cloud-løsninger giver hovedbrud
På sikker grund
Det spørgsmål blev aktuelt tidligere på året, da det østrigske datatilsyn med henvisning til Schrems II-dommen dømte det udbredte webanalyseværktøj Google Analytics ude i en konkret sag rejst af privacy-aktivisten Max Schrems' organisation Noyb (None Of Your Business). Grundlaget for det østrigske datatilsyns afgørelse kan principielt betyde, at det heller ikke er lovligt at anvende en stribe andre tjenester i virksomheder, som er underlagt GDPR – eksempelvis Microsoft365, Gmail og Mailchimp, mener Allan Frank, der er it-sikkerhedsspecialist ved Datatilsynet.
– Google Analytics er bare ét eksempel på det her. Der er rigtig mange andre eksempler, der også kunne være omfattet i denne sammenhæng, siger han.
Dog oplyser Allan Frank, at Google Analytics-afgørelsen i Østrig 'formelt' ikke gælder i Danmark.
– Datatilsynet ser naturligvis altid på afgørelser fra vores kollega-tilsyn, men de er altså ikke bindende for os i Danmark, siger han.
Hvorvidt det faktisk er lovligt at anvende en konkret tjeneste, beror på en vurdering fra sag til sag, slår it-sikkerhedsspecialisten fast.
– Reglerne i GDPR er jo ikke sort/hvide, når det gælder leverandørvalg. Man kan ikke bare skrive, at noget er forbudt, siger Allan Frank og henviser til, at der godt kan være et spektrum, hvori noget kan være lovligt.
Reglerne i GDPR er jo ikke sort/hvide, når det gælder leverandørvalg
Der står da heller ikke i Datatilsynets marts-vejledning, at det er forbudt at anvende amerikanske cloud-leverandører i det juridiske landskab, der har tegnet sig efter Schrems II-dommen. I stedet for at bruge det hedengangne Privacy Shield som overførselsgrundlag er det principielt stadig muligt at anvende amerikanske cloud-leverandører via EU-Kommissionens standardkontrakter. Men når det gælder persondataoverførsler til amerikanske cloud-leverandører, så kan sådan en aftale som følge af amerikansk lovgivning altså i udgangspunktet ikke stå alene.
En mulighed kan i den forbindelse være at træffe det, der kaldes supplerende tekniske foranstaltninger, så persondata ikke kan tilgås alene via de oplysninger, som er tilgængelige for cloud-leverandøren og dermed i princippet for amerikanske efterretningstjenester.
En oplagt supplerende teknisk foranstaltning kunne være at kryptere data på en måde, så nøglen til dekryptering ikke er tilgængelig for den amerikanske cloud-udbyder.
Men som nogle af Prosabladets mere teknisk anlagte læsere nok allerede ved, giver det et problem, når man skal anvende cloud-tjenester. I hvert fald i gængs forstand. Er der eksempelvis tale om en managed database hos Amazon, skal indholdet af databasen på en eller anden måde være tilgængeligt i klartekst, hvis der ellers skal kunne køres nogle meningsfulde SQL-forespørgsler.
Computere er rædselsfuldt dårlige til at lave manipulationer på krypterede data
Meget af det, der gør cloud attraktivt, er netop muligheden for at behandle og regne på data.
– Og det gør de alt sammen i klartekst. Computere er rædselsfuldt dårlige til at lave manipulationer på krypterede data, siger Allan Frank.
Dermed ikke sagt, at det slet ikke kan give mening at anvende en amerikansk cloud-tjeneste på den måde. Eksempelvis til lagring, så data ligger i krypteret form hos den amerikanske cloud-udbyder og dekrypteres med en nøgle opbevaret i EU, når data tilgås.
Allan Frank nævner, at der er tiltag, hvor europæiske virksomheder netop anvender de amerikanske cloud-leverandører alene som storage for så at dekryptere data i EU, når data skal behandles. Men en brug af cloud på den måde, som mange nok forventer at kunne bruge cloud, er det ikke.
Der findes faktisk en teknologi kaldet homomorphic encryption, som i princippet gør det muligt at regne på data, selv om de er krypterede. Der er dog blevet arbejdet længe på homomorphic encryption, og teknologien er ingenlunde i en tilstand, hvor den kan kurere alskens GDPR-hovedpiner.
En anden mulighed som – trods Schrems II – kan gøre det juridisk trygt at bruge amerikanske cloud-tjenester, kunne være at placere persondata i EU. Mange amerikanske cloud-leverandører har nemlig europæiske datterselskaber og datacentre. Men det løser desværre heller ikke i sig selv udfordringerne. Det amerikanske moderselskab kan – på grund af den amerikanske lovgivning – risikere at blive pålagt at tilgå data opbevaret hos de europæiske datterselskaber.
Et ‘tredjeland’ er et land, som ikke er medlem af EU eller EØS (Island, Liechtenstein og Norge). Der sondres i GDPR mellem,
om en overførsel sker til såkaldte sikre (artikel 45) eller usikre (artiklerne 46, 47 og 49) tredjelande eller internationale organisationer. USA optræder ifølge Datatilsynets hjemmeside ikke på EU-Kommissionens liste over sikre tredjelande.
Kilde: Datatilsynet
Den situation skal man som dataansvarlig sikre sig imod, når man indgår en kontrakt med en amerikansk cloud-leverandør, understreger Allan Frank.
– Man er nødt til at have et klart aftalegrundlag, hvori det fremgår, at man ikke overfører de her oplysninger til USA, siger han.
I den forbindelse er det ikke nok, at der i kontrakten med den amerikanske cloud-leverandør står, at leverandøren vil modsætte sig en eventuel anmodning fra amerikanske myndigheder om at udlevere data.
– De skal love, at de ikke overfører data. Det er ikke nok, at de gør, hvad de kan. De skal gøre det. Det er ikke gradbøjning af lovoverholdelse, siger Allan Frank.
Han er dog ikke bekendt med, at der findes databehandleraftaler med de store amerikanske cloud-leverandører, hvor leverandøren har skrevet under på, at de under ingen omstændigheder vil udlevere persondata fra Europa til USA i strid med EU-ret.
Der er også en tredje mulighed for at bruge amerikanske cloud-tjenester. I hvert fald i princippet. Man kan lave en såkaldt no reason to believe-assessment. Formuleringen er hentet fra en stribe anbefalinger, som Det Europæiske Databeskyttelsesråd kom med efter Schrems II-dommen.
En sådan assessment går ud på, at en dataansvarlig vurderer, at de persondata, man håndterer, ikke vil være genstand for overvågning ud fra amerikansk lovgivning. Men her er det ikke nok at henvise til sin egen eller cloud-leverandørens subjektive vurdering. Allan Frank påpeger, at en no reason to believe-assessment skal kunne godtgøres på en objektiv og verificerbar måde.
– Hvilket ikke nødvendigvis er en let øvelse, siger han.
Det kan reelt være svært at vide, hvad eksempelvis amerikanske efterretningstjenester interesserer sig for af persondata, og hvad de ikke interesserer sig for, påpeger han. Og dermed er det svært at kontrollere, hvad der reelt sker med data.
Det kan i sidste ende gøre det vanskeligt at lave en no reason to believe-assessment på en måde, der objektivt kan verificeres.
Eller som det lyder i marts-vejledningen fra Datatilsynet:
”På den baggrund er det Datatilsynets umiddelbare opfattelse, at det vil være vanskeligt at dokumentere, at de konkrete typer af personoplysninger, som man ønsker at overføre til cloud-leverandører i USA, ikke vil være genstand for de overvågningsprogrammer, der er autoriseret under blandt andet FISA 702.”
FISA 702 er det stykke lovgivning, der giver den amerikanske regering bemyndigelse til at indhente oplysninger om såkaldte non U.S.-persons.
Mens det for nogle nok kan virke op ad bakke at anvende amerikanske cloud-tjenester på en måde, der holder sig inden for reglerne, er der en anderledes positiv stemning af spore hos Microsoft, der blandt andet står bag udbredte cloud-løsninger som Azure og Microsoft365.
”Det er et positivt skridt, at Datatilsynet med deres vejledning forklarer, hvordan det er muligt for danske virksomheder og myndigheder at bruge cloud-tjenester. Vejledningen gør det klart, at det er i fuld overensstemmelse med lovgivningen at benytte amerikanske leverandører af cloud-tjenester, så længe man som organisation gør sit hjemmearbejde og tilvejebringer den nødvendige dokumentation. Et hjemmearbejde, som mange af vores kunder allerede i dag er i fuld gang med,” lyder det i et skriftligt svar fra Mikael Ekman, der er politisk direktør i Microsoft Danmark.
Han går dog ikke i nærmere detaljer med, hvad 'hjemmearbejde' og 'dokumentation' egentlig dækker over.
Man skal tænke sig om, læse vilkårene og sætte sig godt ind i tingene
Martin Folke Vasehus er direktør og advokat hos ComplyCloud, og han rådgiver virksomheder om GDPR-compliance. Han har følgende opfordring, når det gælder brug af amerikanske cloud-tjenester:
– Man skal tænke sig om, læse vilkårene og sætte sig godt ind i tingene. Hvis man vil overføre til USA, så tror jeg ikke, man skal sige, at det er helt umuligt. Der er eksempelvis medicinalfirmaer, der samarbejder med amerikanske universiteter, og de kan jo af gode grunde ikke bare stoppe med at overføre. Men man skal tænke sig om, kortlægge de risici, der er ved det, og træffe en veldokumenteret beslutning.
Og så kommer Datatilsynet ikke efter én?
– Det kan de godt prøve. Men så har man en bedre mulighed for at dokumentere ansvarlighed – og det er i sidste ende det, det handler om. Mit job er at gøre det svært for Datatilsynet at udtale kritik eller indstille til en bøde. Jeg har gode erfaringer med, at hvis man selv udviser det, man mener er ansvarlighed, i forbindelse med GDPR, så kan det godt være, Datatilsynet kommer og siger, at det skøn, man har lavet, ikke er rigtigt. Men så kan man rette ind, og man får ikke kritik eller bøde, siger Martin Folke Vasehus.
Mens danske og europæiske organisationer forsøger at finde ud af, hvad der er op og ned efter Schrems II-afgørelsen, når det kommer til at bruge amerikanske cloud-udbydere, så kan der være en redningskrans på vej.
En væsentlig knast i den amerikanske lovgivning — dog ikke den eneste — er Foreign Surveillance Intelligence Act (FISA) sektion 702. FISA 702 bemyndiger den amerikanske regering til at indhente oplysninger om non-US persons, der med rimelighed kan forventes at befinde sig uden for USA, med henblik på indsamling af 'foreign intelligence information'. Det sker ved udstedelse af direktiver til 'electronic communications service providers' om at udlevere eller foranstalte udlevering af personoplysninger, som leverandøren behandler. Cloud-leverandører anses typisk som 'electronic communications service providers' og kan derfor være genstand for sådanne direktiver i henhold til FISA 702.
Kilde: Datatilsynet
EU-Kommissionen og USA offentliggjorde i slutningen af marts, at parterne er nået til enighed om et nyt Trans-Atlantic Data Privacy Framework, der skal fungere som erstatning for Privacy Shield.
Der er tale om en principaftale, og blandt andet Det Europæiske Databeskyttelsesråd skal først kommentere en færdig tekst, før aftalen – hvis alt går vel – kan fungere som nyt overførselsgrundlag.
I et indlæg på it-sikkerhedskonferencen V2Security i København i maj gav policy officer i EU-Kommissionen Alisa Vekeman udtryk for, at europæiske virksomheder måske allerede kan sætte deres lid til aftalen som overførselsgrundlag ved udgangen af året.
Det kan dog blive en tidsbegrænset fornøjelse, for Max Schrems og Noyb står nemlig på spring for at få EU-Domstolen til at tage stilling til også den nye aftale, fortæller Max Schrems til Prosabladet. Dog med det forbehold, at Schrems og company lige skal se den endelige aftaletekst først.
Alisa Vekeman blev i forlængelse af sit indlæg spurgt, om hun med sikkerhed kunne sige, at den nye aftale vil kunne modstå en Schrems III-udfordring.
– Selvfølgelig kan vi aldrig være 100 procent sikre. Vi ved, at den vil blive bragt for EU-Domstolen igen. Det tror jeg, vi kan være 99,9 procent sikre på, og dér vil domstolen afgøre, hvorvidt den er tilstrækkelig eller ej. Så kan vi være helt sikre? Nej. Men vi tror, at det, vi har forhandlet os frem til, lever op til Domstolens krav, lød hendes svar.
