KeepFocus, der arbejder med energidata, havde indtil for få år siden et on-premise datacenter til behandling af kundedata. I dag ligger driften i skyen. En europæisk sky, vel at mærke.
Hos Silkeborg-virksomheden kan man nemlig ikke leve med den juridiske usikkerhed, der hersker, når man bruger amerikanske cloud-tjenester. En usikkerhed, som har eksisteret de senere år som følge af først Schrems I-dommen og siden hen Schrems II-dommen.
Sidstnævnte afgørelse blev truffet af EU-Domstolen i 2020 og bevirker, at der den dag i dag er usikkerhed om lovligheden ved at anvende amerikanske cloud-tjenester til behandling af europæiske persondata, der er beskyttet af GDPR-lovgivningen.
KeepFocus lever af at indsamle og behandle målerdata fra el-, vand- og varmemålere på vegne af blandt andet kommuner og boligforeninger. Og nogle af disse data kan i princippet indikere, hvorvidt en person er hjemme i sin lejlighed, og hvornår vedkommende ser tv eller går i bad, fordi den slags aktiviteter kan give udslag i strøm- og vandforbrug.
Vejen til, hvad der endte med en fransk sky-løsning, er en rejse, som mange andre virksomheder nok kan nikke genkendende til. Nemlig den rejse, som KeepFocus tog på, da de for to år siden besluttede at skifte fra egne servere til en cloud-leverandør.
– Vi var blevet enige om, at vi nok hellere måtte cloudificere vores data. Arbejdet med at drive servere selv i en lille virksomhed, hvor man ikke kan sætte en mand eller to af til det, er for bøvlet, siger Henrik Tudborg, der er udviklingschef ved KeepFocus.
Denne artikel er et tema om cloud-tjenester:
Kampen for privatliv kostede hans eget
Amerikanske cloud-løsninger giver hovedbrud
På sikker grund
Ud over ansvaret for udviklingsdelen er han sammen med virksomhedens CFO også go-to-person, når det gælder GDPR-spørgsmål. Han gik derfor i gang med at se på, hvilke cloud-muligheder der kunne give mening for netop dem. Processen var påbegyndt, inden Schrems II-dommen faldt. Så på daværende tidspunkt udgjorde Privacy Shield stadig et gyldigt overførselsgrundlag af data, når det gjaldt brugen af amerikanske cloud-tjenester.
– Vi var gået i gang med at evaluere mulige udbydere, og vi var også begyndt at se på, hvad vi skal gøre, når vi gemmer data på andre folks diske og sådan noget. Så vi havde lavet en liste af mulige udbydere. På den stod også Google og Amazon, men da afgørelsen kom, fik vi filtreret den liste ret meget ned, siger Henrik Tudborg.
Han var faktisk skeptisk over for Privacy Shield-aftalen, allerede inden Schrems II-dommen blev en realitet. Men han stillede sig dog tilfreds med, at det jo var en aftale, som alle andre i øvrigt også benyttede sig af, når det gjaldt brugen af de amerikanske cloud-leverandører.
– Afgørelsen i Schrems II øgede den usikkerhed, vi allerede havde over for, om det her overhovedet duede i forhold til GDPR, siger Henrik Tudborg.
Han var usikker på, om Privacy Shield reelt gav beskyttelse i forhold til amerikansk lovgivning. Udviklingschefen var ikke i tvivl om, at det i hvert fald teknisk ville være muligt at trække europæiske persondata ud af datacentre tilhørende amerikanske cloud-leverandører, uanset om datacentrene befandt sig i USA eller EU.
– Det er teknisk muligt, og umiddelbart siger den amerikanske lovgivning, at de skal udlevere data, hvis de bliver pålagt det. Så jeg kan ikke se, hvordan vi kan skrive os ud af det i Europa, lyder hans vurdering.
KeepFocus endte med at finde frem til den franske cloud-leverandør Scaleway, som virksomheden stadig anvender. Når valget lige faldt på den franske løsning, var det ikke kun på grund af Schrems II-dommen. Det var også, fordi leverandøren faktisk havde de bedste priser på nogle store servere, som gjorde det lettere for KeepFocus at migrere væk fra det daværende on-premise-datacenter. Det var dog sin sag at finde en rendyrket europæisk cloud-leverandør.
– Det var en udfordring, vil jeg sige. Der er ikke særlig mange store europæiske udbydere, forstået på den måde at de har as-a-service-tjenester, som man er vant til fra Amazon og Google, siger Henrik Tudborg.
Vi er gået på kompromis med nogle produkter rent teknisk for at leve op til nogle juridiske krav
Generelt står det eksempelvis skidt til med managed services hos de europæiske udbydere, såsom databaser, container-administration og lignende, mener han.
– Vi er gået på kompromis med nogle produkter rent teknisk for at leve op til nogle juridiske krav. Men omvendt set er det jo af alle de rigtige grunde, vi har gjort det. GDPR er jo fornuftig. Jeg køber som sådan præmissen for, at den lovgivning er vigtig. Det er bare irriterende, at der er så meget ekstra arbejde involveret i det, fordi der ikke er så mange gode europæiske leverandører, siger han og tilføjer:
– Men det kommer der jo efterhånden.
Den franske leverandør har ifølge Henrik Tudborg blandt andet Kubernets-as-a-service, mulighed for opsætning af private netværk og et S3-lignende storagesystem, som han dog ikke oplever er lige så godt som Amazons. Men når det er sagt, oplever han løbende forbedringer hos den europæiske leverandør.
– Det kommer lige så stille, men vi har også måttet gå på kompromis med rigtig mange ting. Hvorimod mange ting var blevet foræret os, hvis vi bare have valgt Amazon, siger han.
Ud over at finde en europæisk cloud-leverandør med de rigtige varer på de virtuelle hylder har det også været sin sag at finde ud af, hvad der faktisk er lovligt i forhold til at bruge cloud, fortæller Henrik Tudborg.
– Vi har ikke helt kunnet få svar på, om vi må bruge Google eller ej, hvis vi nu kun bruger europæiske datacentre hos Google. De fleste har holdningen, at det kan vi ikke. Så længe moderselskabet er amerikansk, så kan man se det hele som amerikansk. Men vi har ikke rigtig kunnet få et bindende svar på det spørgsmål, siger han og sammenfatter det svar, de i KeepFocus er nået frem til:
– Teknisk set må vi godt, men i praksis kan det ikke lade sig gøre. For de amerikanske datacentre kan ikke love dig, at de ikke udleverer data, fordi de er underlagt amerikansk lov, som kan kræve, at de udleverer data.
Set i lyset af den generelle usikkerhed, der i dag fortsat hersker om brugen af amerikanske cloud-tjenester, er Henrik Tudborg dog glad for, at KeepFocus for to år siden besluttede sig for en europæisk leverandør.
– Det er dejligt ikke at behøve at skulle tage stilling til det. Nu ved vi ligesom, at vores data ligger i Europa, lyder hans konklusion.
For øjeblikket arbejder EU og USA på at søsætte et nyt overførselsgrundlag som erstatning for Privacy Shield. Selv om flere er skeptiske over for, om denne aftale – modsat sine to forgængere – kan holde til en tur forbi EU-Domstolen, kan aftalen i princippet munde ud i, at europæiske virksomheder igen kan bruge løs af de amerikanske cloud-tjenester uden at skulle frygte den store GDPR-hammer.
Men uanset om sådan en aftale måtte lande eller ej, så er Henrik Tudborg godt tilfreds med, at KeepFocus landede på en europæisk cloud-leverandør.
– Vi kan ikke bruge det til noget, at der først er en aftale, så er der ingen aftale, og så kommer der måske en aftale igen. Usikkerheden er problemet. Hvis det tager et halvt år at flytte infrastruktur, så har vi ikke råd til at tage chancen. Jeg tror, proceduren her fremadrettet som udgangspunkt vil være, at når vi køber nye tjenester, hvor der på nogen måde er persondata involveret, så skal de ligge i Europa, siger han.
Når det er sagt, bruger KeepFocus faktisk i dag en lille smule cloud hos Amazon. Nemlig til backup af data. Men det sker på en måde, som umiddelbart er o.k., trods Schrems II-dommen. KeepFocus har nemlig valgt at kryptere backup-data med en nøgle, som ikke også bliver opbevaret hos Amazon. På den måde kan data i udgangspunktet ikke tilgås af uvedkommende, heller ikke Amazon, skulle virksomheden blive bedt om det af amerikanske myndigheder. Dermed er der reelt set ikke tale om, at der ligger personhenførbare data hos den amerikanske udbyder.
– Det er vores opfattelse, at det må vi godt, siger Henrik Tudborg.
Det er umiddelbart også Datatilsynets opfattelse. I tilsynets ‘Vejledning om cloud’ fra marts nævnes netop kryptering som en teknisk foranstaltning, der trods Schrems II-dommen gør det o.k. at anvende en amerikansk cloud-leverandør til opbevaring af data. Naturligvis forudsat at krypteringen er stærk nok.
Det er dejligt ikke at behøve at skulle tage stilling til det. Nu ved vi ligesom, at vores data ligger i Europa
Arbejdet med data og GDPR er langtfra slut hos KeepFocus. Virksomheden har først og fremmest haft fokus på, hvordan virksomheden opbevarer og håndterer kundedata. Altså de førnævnte personhenførbare målerdata. Men derudover er der spørgsmålet om, hvordan KeepFocus internt håndterer data for medarbejdere, mails og så fremdeles, fortæller Henrik Tudborg. KeepFocus anvender som masser af andre danske virksomheder Microsoft 365.
– Vi bruger Microsoft 365 internt, for det har vi altid gjort. Vi har markeret nogle flueben i Microsofts administrationssystem, som gør, at data bliver holdt i Europa, men problemet er ikke løst. Data kan blive udleveret, hvis der bliver bedt om det. Så det er ikke en problematik, vi har løst endnu, ud over at vi har sat nogle procedurer op for, hvilke data vi holder ude af mailsystemet. Vi vil ikke have beboer-data og sådan noget til at ligge i mailsystemet, siger han.
Henrik Tudborg har i den forbindelse også været på udkig efter en europæisk mail-as-a-service-leverandør, men foreløbig uden det store held.
– Det er endnu sværere at finde en god europæisk mail-leverandør, hvor vi ikke selv skal sætte det hele op. Og så er vi jo tilbage ved, at vi skal drifte det hele selv, siger han og tilføjer:
– Og det var jo det, vi gerne ville være fri for. Vi har også ledt efter et rigtig godt europæisk system til at håndtere vores support, men det har vi endnu ikke kunnet finde.
Oplysningerne er hovedsageligt hentet fra de pågældende selskabers hjemmesider. Tjek selv tjenesternes faktiske GDPR-compliance.
MATOMO
Matomo slår sig op på GDPR-compliance og privacy.
Værktøjet er open source og bliver blandt andet anvendt af FN, EU-Kommissionen og Max Schrems' privacy organisation Noyb. Værktøjet kommer i to udgaver. En selv-hostet, der i en basisudgave er gratis. Derudover er det muligt at tilkøbe forskellige elementer som Users Flow, A/B Testing og White Label. Matomo oplyser, at data i cloud-udgaven ligger i Europa.
https://matomo.org/
FATHOM ANALYTICS
Firmaet bag værktøjet Fathom Analytics oplyser, at værktøjet
er bygget op fra grunden for at være fuldt compliant med europæisk persondatalovgivning. Fathom ligger ikke i EU,
men er 100 procent på canadiske hænder. Selskabet oplyser,
at data for EU-besøgende ligger i EU på EU-servere ejet af et
EU-selskab. De kalder det ‘EU-isolation’ og oplyser, at produktet er et direkte svar på Schrems II-afgørelsen.
https://usefathom.com/
PLAUSIBLE ANALYTICS
Plausible Analytics er endnu et open source webanalyse-værktøj skrevet i det deklarative sprog Elixir. Plausible Analytics slår sig op på at være privacy-venligt med data hostet i Tyskland hos Hetzner. Som med Matoma er det til dels muligt at hoste Plausible selv og så køre det som en managed løsning på serverne i Tyskland.
https://plausible.io/