Henrik Tudborg tror, at proceduren for KeepFocus fremadrettet som udgangspunkt vil være, at skal der købes nye tjenester, hvor der på nogen måde er persondata involveret, så skal de ligge i Europa. Foto: Tobias Nicolai

Europæisk sky

På sikker grund

Da driften skulle flyttes til skyen, var det svært for energidata-virksomheden KeepFocus at finde en rendyrket europæisk cloud-løsning. Schrems II-dommen fik indflydelse på valget, der betød et kompromis med teknikken for at kunne leve op til juraen.

KeepFocus, der arbejder med energidata, havde indtil for få år siden et on-premise datacenter til behandling af kundedata. I dag ligger driften i skyen. En europæisk sky, vel at mærke.

Hos Silkeborg-virksomheden kan man nemlig ikke leve med den juridiske usikkerhed, der hersker, når man bruger amerikanske cloud-tjenester. En usikkerhed, som har eksisteret de senere år som følge af først Schrems I-dommen og siden hen Schrems II-dommen.

Sidstnævnte afgørelse blev truffet af EU-Domstolen i 2020 og bevirker, at der den dag i dag er usikkerhed om lovligheden ved at anvende amerikanske cloud-tjenester til behandling af europæiske persondata, der er beskyttet af GDPR-lovgivningen.

KeepFocus lever af at indsamle og behandle målerdata fra el-, vand- og varmemålere på vegne af blandt andet kommuner og boligforeninger. Og nogle af disse data kan i princippet indikere, hvorvidt en person er hjemme i sin lejlighed, og hvornår vedkommende ser tv eller går i bad, fordi den slags aktiviteter kan give udslag i strøm- og vandforbrug.

Vejen til, hvad der endte med en fransk sky-løsning, er en rejse, som mange andre virksomheder nok kan nikke genkendende til. Nemlig den rejse, som KeepFocus tog på, da de for to år siden besluttede at skifte fra egne servere til en cloud-leverandør.
– Vi var blevet enige om, at vi nok hellere måtte cloudificere vores data. Arbejdet med at drive servere selv i en lille virksomhed, hvor man ikke kan sætte en mand eller to af til det, er for bøvlet, siger Henrik Tudborg, der er udviklingschef ved KeepFocus.

Tema:

Denne artikel er et tema om cloud-tjenester:
Kampen for privatliv kostede hans eget
Amerikanske cloud-løsninger giver hovedbrud
På sikker grund

Ud over ansvaret for udviklingsdelen er han sammen med virksomhedens CFO også go-to-person, når det gælder GDPR-spørgsmål. Han gik derfor i gang med at se på, hvilke cloud-muligheder der kunne give mening for netop dem. Processen var påbegyndt, inden Schrems II-dommen faldt. Så på daværende tidspunkt udgjorde Privacy Shield stadig et gyldigt overførselsgrundlag af data, når det gjaldt brugen af amerikanske cloud-tjenester.
– Vi var gået i gang med at evaluere mulige udbydere, og vi var også begyndt at se på, hvad vi skal gøre, når vi gemmer data på andre folks diske og sådan noget. Så vi havde lavet en liste af mulige udbydere. På den stod også Google og Amazon, men da afgørelsen kom, fik vi filtreret den liste ret meget ned, siger Henrik Tudborg.

Han var faktisk skeptisk over for Privacy Shield-aftalen, allerede inden Schrems II-dommen blev en realitet. Men han stillede sig dog tilfreds med, at det jo var en aftale, som alle andre i øvrigt også benyttede sig af, når det gjaldt brugen af de amerikanske cloud-leverandører.
– Afgørelsen i Schrems II øgede den usikkerhed, vi allerede havde over for, om det her overhovedet duede i forhold til GDPR, siger Henrik Tudborg.

Han var usikker på, om Privacy Shield reelt gav beskyttelse i forhold til amerikansk lovgivning. Udviklings­chefen var ikke i tvivl om, at det i hvert fald teknisk ville være muligt at trække europæiske persondata ud af datacentre tilhørende amerikanske cloud-leverandører, uanset om datacentrene befandt sig i USA eller EU.
– Det er teknisk muligt, og umiddelbart siger den amerikanske lovgivning, at de skal udlevere data, hvis de bliver pålagt det. Så jeg kan ikke se, hvordan vi kan skrive os ud af det i Europa, lyder hans vurdering.

Fransk leverandør

KeepFocus endte med at finde frem til den franske cloud-leverandør Scaleway, som virksomheden stadig anvender. Når valget lige faldt på den franske løsning, var det ikke kun på grund af Schrems II-dommen. Det var også, fordi leverandøren faktisk havde de bedste priser på nogle store servere, som gjorde det lettere for KeepFocus at migrere væk fra det daværende on-premise-datacenter. Det var dog sin sag at finde en rendyrket europæisk cloud-leverandør.
– Det var en udfordring, vil jeg sige. Der er ikke særlig mange store europæiske udbydere, forstået på den måde at de har as-a-service-tjenester, som man er vant til fra Amazon og Google, siger Henrik Tudborg.

Vi er gået på kompromis med nogle produkter rent teknisk for at leve op til nogle juridiske krav
- Henrik Tudborg, udviklingschef, KeepFocus

Generelt står det eksempelvis skidt til med managed services hos de europæiske udbydere, såsom databaser, container-administration og lignende, mener han.
– Vi er gået på kompromis med nogle produkter rent teknisk for at leve op til nogle juridiske krav. Men omvendt set er det jo af alle de rigtige grunde, vi har gjort det. GDPR er jo fornuftig. Jeg køber som sådan præmissen for, at den lovgivning er vigtig. Det er bare irriterende, at der er så meget ekstra arbejde involveret i det, fordi der ikke er så mange gode europæiske leverandører, siger han og tilføjer:
– Men det kommer der jo efterhånden.

Den franske leverandør har ifølge Henrik Tudborg blandt andet Kubernets-as-a-service, mulighed for opsætning af private netværk og et S3-lignende storagesystem, som han dog ikke oplever er lige så godt som Amazons. Men når det er sagt, oplever han løbende forbedringer hos den europæiske leverandør.
– Det kommer lige så stille, men vi har også måttet gå på kompromis med rigtig mange ting. Hvorimod mange ting var blevet foræret os, hvis vi bare have valgt Amazon, siger han.

Ingen klare svar

Ud over at finde en europæisk cloud-leverandør med de rigtige varer på de virtuelle hylder har det også været sin sag at finde ud af, hvad der faktisk er lovligt i forhold til at bruge cloud, fortæller Henrik Tudborg.
– Vi har ikke helt kunnet få svar på, om vi må bruge Google eller ej, hvis vi nu kun bruger europæiske datacentre hos Google. De fleste har holdningen, at det kan vi ikke. Så længe moderselskabet er amerikansk, så kan man se det hele som amerikansk. Men vi har ikke rigtig kunnet få et bindende svar på det spørgsmål, siger han og sammenfatter det svar, de i KeepFocus er nået frem til:
– Teknisk set må vi godt, men i praksis kan det ikke lade sig gøre. For de amerikanske datacentre kan ikke love dig, at de ikke udleverer data, fordi de er underlagt amerikansk lov, som kan kræve, at de udleverer data.

Set i lyset af den generelle usikkerhed, der i dag fortsat hersker om brugen af amerikanske cloud-tjenester, er Henrik Tudborg dog glad for, at KeepFocus for to år siden besluttede sig for en europæisk leverandør.
– Det er dejligt ikke at behøve at skulle tage stilling til det. Nu ved vi ligesom, at vores data ligger i Europa, lyder hans konklusion.

Ikke helt uden Amazon

For øjeblikket arbejder EU og USA på at søsætte et nyt overførselsgrundlag som erstatning for Privacy Shield. Selv om flere er skeptiske over for, om denne aftale – modsat sine to forgængere – kan holde til en tur forbi EU-Domstolen, kan aftalen i princippet munde ud i, at europæiske virksomheder igen kan bruge løs af de amerikanske cloud-tjenester uden at skulle frygte den store GDPR-hammer.

Men uanset om sådan en aftale måtte lande eller ej, så er Henrik Tudborg godt tilfreds med, at KeepFocus landede på en europæisk cloud-leverandør.
– Vi kan ikke bruge det til noget, at der først er en aftale, så er der ingen aftale, og så kommer der måske en aftale igen. Usikkerheden er problemet. Hvis det tager et halvt år at flytte infrastruktur, så har vi ikke råd til at tage chancen. Jeg tror, proceduren her fremadrettet som udgangspunkt vil være, at når vi køber nye tjenester, hvor der på nogen måde er persondata involveret, så skal de ligge i Europa, siger han.


Når det er sagt, bruger KeepFocus faktisk i dag en lille smule cloud hos Amazon. Nemlig til backup af data. Men det sker på en måde, som umiddelbart er o.k., trods Schrems II-dommen. KeepFocus har nemlig valgt at kryptere backup-data med en nøgle, som ikke også bliver opbevaret hos Amazon. På den måde kan data i udgangspunktet ikke tilgås af uvedkommende, heller ikke Amazon, skulle virksomheden blive bedt om det af amerikanske myndigheder. Dermed er der reelt set ikke tale om, at der ligger personhenførbare data hos den amerikanske udbyder.
– Det er vores opfattelse, at det må vi godt, siger Henrik Tudborg.

Det er umiddelbart også Datatilsynets opfattelse. I tilsynets ‘Vejledning om cloud’ fra marts nævnes netop kryptering som en teknisk foranstaltning, der trods Schrems II-dommen gør det o.k. at anvende en amerikansk cloud-leverandør til opbevaring af data. Naturligvis forudsat at krypteringen er stærk nok.

Det er dejligt ikke at behøve at skulle tage stilling til det. Nu ved vi ligesom, at vores data ligger i Europa
- Henrik Tudborg, udviklingschef, KeepFocus

Arbejdet med data og GDPR er langtfra slut hos KeepFocus. Virksomheden har først og fremmest haft fokus på, hvordan virksomheden opbevarer og håndterer kundedata. Altså de førnævnte personhenførbare målerdata. Men derudover er der spørgsmålet om, hvordan KeepFocus internt håndterer data for medarbejdere, mails og så fremdeles, fortæller Henrik Tudborg. KeepFocus anvender som masser af andre danske virksomheder Microsoft 365.

Mailproblematik

– Vi bruger Microsoft 365 internt, for det har vi altid gjort. Vi har markeret nogle flueben i Microsofts administrationssystem, som gør, at data bliver holdt i Europa, men problemet er ikke løst. Data kan blive udleveret, hvis der bliver bedt om det. Så det er ikke en problematik, vi har løst endnu, ud over at vi har sat nogle procedurer op for, hvilke data vi holder ude af mailsystemet. Vi vil ikke have beboer-data og sådan noget til at ligge i mailsystemet, siger han.

Henrik Tudborg har i den forbindelse også været på udkig efter en europæisk mail-as-a-service-leverandør, men foreløbig uden det store held.
– Det er endnu sværere at finde en god europæisk mail-leverandør, hvor vi ikke selv skal sætte det hele op. Og så er vi jo tilbage ved, at vi skal drifte det hele selv, siger han og tilføjer:
– Og det var jo det, vi gerne ville være fri for. Vi har også ledt efter et rigtig godt europæisk system til at håndtere vores support, men det har vi endnu ikke kunnet finde.

Alternativer til Google Analytics

Oplysningerne er hovedsageligt hentet fra de pågældende selskabers hjemmesider. Tjek selv tjenesternes faktiske GDPR-compliance.

MATOMO
Matomo slår sig op på GDPR-compliance og privacy.
Værktøjet er open source og bliver blandt andet anvendt af FN, EU-Kommissionen og Max Schrems' privacy organisation Noyb. Værktøjet kommer i to udgaver. En selv-hostet, der i en basisudgave er gratis. Derudover er det muligt at tilkøbe forskellige elementer som Users Flow, A/B Testing og White Label. Matomo oplyser, at data i cloud-udgaven ligger i Europa.
https://matomo.org/

FATHOM ANALYTICS
Firmaet bag værktøjet Fathom Analytics oplyser, at værktøjet
er bygget op fra grunden for at være fuldt compliant med europæisk persondatalovgivning. Fathom ligger ikke i EU,
men er 100 procent på canadiske hænder. Selskabet oplyser,
at data for EU-besøgende ligger i EU på EU-servere ejet af et
EU-selskab. De kalder det ‘EU-isolation’ og oplyser, at produktet er et direkte svar på Schrems II-afgørelsen.
https://usefathom.com/

PLAUSIBLE ANALYTICS
Plausible Analytics er endnu et open source webanalyse-værktøj skrevet i det deklarative sprog Elixir. Plausible Analytics slår sig op på at være privacy-venligt med data hostet i Tyskland hos Hetzner. Som med Matoma er det til dels muligt at hoste Plausible selv og så køre det som en managed løsning på serverne i Tyskland.
https://plausible.io/


Læs også...

Ole Tange, it-politisk rådgiver i PROSA, har i denne uge indsendt en klage over Danmarks Radio til Datatilsynet. Det skyldes DRs krav om obligatorisk…

Er du på jagt efter et nyt job i it-branchen? Og er du i tvivl om, hvad virksomhederne især kigger efter? PROSAbladet har spurgt en række…

Fra Baltikums største sciencepark i udkanten af Tallinn sikrer Tehnopol, at hundredvis af startups kommer flyvefærdigt ud i virkeligheden. De får…

Estiske børn og unge får praktisk talt tech ind med modermælken, da it og tech-gadgets er en helt central del af hverdagen i både børnehaver,…

I Estland har borgerne kunne stemme digitalt siden 2005. Der har været kritik og debat, men i dag er det mere end halvdelen af esterne, der bruger…

Hvis man i Estland gerne vil skifte spor i sin karriere, er der en lang række muligheder for at videreuddanne sig inden for it. Skoler og online…

I denne udgave af PROSAbladet har vi lavet et tema-nummer om Estland. Det er sjældent, at vi giver så meget spalteplads til et tema – men det baltiske…

Pulserende krea-værksted klæder estiske børn på med både tech-skills og startup-mentalitet. Der er ingen læreplaner eller kedelige eksamener, men 3D…

Det minder om en blanding af X Factor og Den store bagedyst, og det lægger på 15. år gaderne øde i Estland. Velkommen til tv-talentshowet Rakett69,…

Estland har rykket sig ufattelig langt de seneste 30 år – men hvad skal der ske nu? En af udfordringerne er, at Estland kommer til at mange hænder og…