tegning

Spørgsmålet er, om det er muligt at overføre persondata til USA uden at komme i strid med GDPR. Illustration: Mikkel Henssel

GDPR

Skyen i stormvejr

Salget af amerikanske cloud-løsninger som AWS og Azure vokser eksplosivt i Norden, og flere og flere virksomheder lægger forretningen op i skyen. Men det bliver mere og mere usikkert, hvor vidt det overhovedet er lovligt for europæiske virksomheder at placere persondata hos amerikanske selskaber på grund af EU’s regler om datasikkerhed.

Vejrudsigten for cloud computing byder på både strålende solskin og rasende orkan for tiden. Solskin, fordi salget af public cloud-løsninger ifølge analysefirmaet IDC er tredoblet i Norden på bare fire år. De nordiske virksomheder strømmer især til spillere som Amazon Web Services (AWS), Microsoft Azure og Google Cloud, fortæller Anders Elbak, der er analysechef i IDC Nordic.

Tema

Denne artikel er en del af et tema om brugen af cloud computering og beskyttelse af persondata:
Skyen i stormvejr
Cloud er ofte det bedste værn mod hacking
Kraftig efterspørgsel på cloud
Fem cloud-tip til dig med livrem og seler

Og orkan, fordi det bliver mere og mere usikkert, om virksomheder i EU overhovedet kan holde sig inden for lovens rammer, når de placerer persondata hos dem.

På den ene side i dramaet står EU med et charter og en GDPR-forordning, der skal beskytte borgernes privatliv. På den anden side står de amerikanske efterretningstjenester, der – med amerikansk lov i hånden – kan tvinge sig adgang til amerikanske cloud-udbydere. Også hvis data ligger på servere i EU, takket være den amerikanske Cloud Act.

De kan ligefrem kræve, at kunderne og offentligheden ikke får det at vide, ved hjælp af såkaldte National Security Letters.

Med linjerne trukket så hårdt op, er spørgsmålet, om det er muligt at overføre persondata til USA uden at komme i strid med GDPR?
– Jeg har meget vanskeligt ved at se, at man både kan tillade amerikanerne at spionere og samtidig beskytte borgernes privatliv. Jeg tror ikke, det kan lade sig gøre på nogen måde, siger Ole Tange, der er it-politisk rådgiver i PROSA.

Spørgsmålet er, om vi ikke er for paranoide
- Henning Mortensen, Rådet for Digital Sikkerhed

Han er langtfra den eneste ekspert, der er skeptisk.
– Jeg har svært ved at forestille mig, at man kan skrive en kontrakt, som gør, at man modvirker det her, lyder det fra Allan Frank, it-sikkerhedsspecialist hos Datatilsynet.

Et højaktuelt emne

EU-domstolen har to gange erklæret EU’s egne juridiske ’frameworks’ for overførsel af persondata til tredjelande ugyldige. Det var ordninger, som mange danske virksomheder brugte som hjemmel til at overføre persondata til USA.

Først røg den såkaldte Safe Harbor-ordning, og i juli 2020 røg Privacy Shield-ordningen. Det skete med den meget omtalte Schrems II-dom, som er opkaldt efter den østrigske aktivist Max Schrems.
– Det, EU-domstolen siger mellem linjerne, er, at USA ikke har regler, der beskytter europæiske borgere godt nok. Og at de ikke lever op til princippet om en demokratisk retsstat på det her punkt, siger Allan Frank fra Datatilsynet.

I november sendte EU nye skrappe bestemmelser for overførsel af persondata til tredjelande i høring – såkaldte standardkontraktbestemmelser. En færdig udgave forventes i starten af 2021, men allerede nu står det klart, at det fremover bliver vanskeligt at overføre persondata på lovlig vis fra EU til USA.

Hvis det skal gøres lovligt, vil det kræve såkaldte supplerende foranstaltninger. Og om dem siger Henning Mortensen, formand for Rådet for Digital Sikkerhed:
– De muligheder, der skitseres som supplerende foranstaltninger, er få. De er tekniske – som i meget tekniske. Og de udbydes ikke 100 procent af markedet på nuværende tidspunkt.

Hvad hvis serveren står i EU?

I de senere år har både Google, Apple og Facebook placeret datacentre i Danmark, og senest har Microsoft besluttet at lægge tre datacentre på Sjælland. Men kan problemet løses, hvis udbyderen lægger persondataene på servere i EU?
– Tusind kroner-spørgsmålet er: Hvis man nu ved, at der findes sådan en regel som for eksempel Cloud Act, kan man så overføre til amerikanske udbydere, der har deres servere i EU, fastslår Allan Frank fra Datatilsynet.

Safe Harbor

Safe Harbor var en aftale mellem EU og USA om overførsel af personoplysninger. Den østrigske aktivist Max Schrems klagede i 2013 over overførsel af persondata til Facebook Inc. i USA, fordi amerikanske virksomheder ikke kunne sikre et tilstrækkeligt beskyttelsesniveau. EU-Domstolen erklærede i 2015 Safe Harbor ugyldig.

Spørgsmålet er uafklaret, fordi det ikke har været prøvet endnu, forklarer han. Men udfordringen er til at føle på. For som dataansvarlig skal man kunne dokumentere, at GDPR bliver overholdt.
– Man kan ikke udelukke, at de vil kunne dokumentere det, men forordningen siger, at man skal være i kontrol som dataansvarlig. Man kan ikke lovligt sætte kikkerten for det blinde øje, siger Allan Frank.

Cloud Act er ikke omfattet af de bestemmelser, der er i høring for tiden. De drejer sig kun om overførsel af data ud af EU.

Worst case-scenariet er et EU-forbud. Og Ole Tange fra PROSA mener, at forbuddet – i realiteten – allerede er her:
– Min vurdering er, at forbuddet kom i sommer, i og med at Privacy Shield døde. Jeg tror, vi kommer til at se, at de amerikanske udbydere vil oprette uafhængige europæiske datterselskaber og hævde, at de ikke er underlagt Cloud Act. Men i praksis tror jeg ikke, det kan lade sig gøre. For hvis moderselskabet bliver pålagt en ordre af de amerikanske myndigheder, er det svært at forestille sig, at datterselskabet nægter, siger Ole Tange.

Dansk Erhverv håber på løsning

I Dansk Erhverv håber digitaliseringspolitisk fagchef Janus Sandsgaard på en løsning. Danske virksomheder har stor glæde af de amerikanske cloud-udbydere, understreger han. Men det bliver ikke nemt at finde en løsning.
– Det her er en kæmpe udfordring, som berører alle. Og derfor skal den selvfølgelig løses centralt. Det er ikke noget, den enkelte virksomhed eller myndighed skal prøve at fikse selv. Det er et internationalt problem, som skal løses internationalt, siger Janus Sandsgaard.

Også Christian Damsgaard Jensen, der er lektor i it-sikkerhed hos DTU Compute, ser det som en svær problemstilling.
– Jeg har svært ved at tro, at man helt forbyder brugen af de store cloud-løsninger, og at de helt kan få trukket benene væk under sig. Men der kan godt komme begrænsninger på, siger han.

Man kan ikke lovligt sætte kikkerten for det blinde øje
- Allan Frank, Datatilsynet

Flere kilder beskriver det ellers som en naturlig udvikling, at it-systemer flytter op i skyen. Nogle virksomheder har hele it-systemer i skyen, mens andre har hybrid-løsninger, hvor dele af systemet er lokalt.

Anders Elbak fra IDC udlægger tendensen sådan her:
– Langt op i 1980’erne var telefonsvarere kasser med bånd i. I dag ligger det bare som en service hos telefonleverandørerne. Det er det samme, vi ser på hele strea­mingområdet. Og i princippet er det også det samme, vi ser inden for professionel it, siger han.

Janus Sandsgaard fra Dansk Erhverv sammenligner det med elektricitetens historie: Engang producerede hver virksomhed sin egen elektricitet, men så kom kraftværkerne. Analogien stammer fra bogen ’The Big Switch’, fortæller han.

Men spørgsmålet er, hvor skyen skal ligge.

Amerikanerne er bedst

Lige nu er de store amerikanske udbydere, rent teknisk, de bedste spillere på markedet. Det er Prosabladets kilder enige om. Og hvis der kommer et eksplicit forbud, vil det svække it-anvendelsen herhjemme. Det vurderer Henning Mortensen fra Rådet for Digital Sikkerhed.
– Hvis vi pludselig ikke kan bruge de her tjenester, så vil vi en overgang have dårligere tjenester. De er blevet så store, fordi de er gode. Vi ville miste momentum i digitaliseringen, og vi vil formentlig også få nogle tjenester, der er mindre sikre, siger han.

Henning Mortensen vurderer, at mange virksomheder er bedre garderet mod hacking hos store cloud-udbydere, end hvis de selv skal stå for it-systemerne.
– Spørgsmålet er, om vi ikke er for paranoide. Det, der står i toppen af min risikovurdering, er ikke, om der bliver kigget på vores data i cloud. Det er i højere grad sådan noget som ransomware, CEO fraud og hacking. Det er selvfølgelig godt, at man står vagt om de garantier, der bliver givet i EU’s charter. Men i praksis vil det også – i hvert fald på den korte bane – få nogle negative konsekvenser, siger han.

Privacy Shield

Safe Harbor blev i 2016 erstattet af Privacy Shield, men Max Schrems mente heller ikke, at den nye ordning var i orden, særligt på grund af den lempelige amerikanske lovgivning om myndig­heders adgang til indsamling af persondata. 16. juli 2020 afgjorde EU-domstolen, at Privacy Shield-ordningen er ugyldig. Den ophørte derfor straks som grundlag for overførsler fra EU til USA.

Prosabladet har bedt AWS og Microsoft om interview. Men begge oplyser, at de ikke har tid. Til gengæld sender deres pressefolk nogle links med information.

På sin hjemmeside skriver AWS, at de gør, hvad de kan for at holde efterretningstjenesterne ude af kundernes data.

”Når AWS får en forespørgsel efter data, der er lokaliseret uden for USA, har vi redskaber til at udfordre det, og vi har en lang historik for at gøre det”, skriver for eksempel Michael Punke, vicepræsident for Global Public Policy hos AWS, i et blog-indlæg.

På AWS’ hjemmeside står der også:

”Vi vil ikke videregive kunders indhold, medmindre vi er nødt til at gøre det for at leve op til loven eller en bindende ordre fra et regeringsorgan”.

Også Microsoft kæmper mod de lange fangarme, og i november offentliggjorde techgiganten to løfter.

Dels lover de juridisk at udfordre alle stater, der vil have fat i en kundes data – hvis der er juridisk basis for at gøre det. Og så lover de at give økonomisk kompensation til kunder, hvis de bliver tvunget til at udlevere data, og hvis det strider mod GDPR.

Kryptering som løsning

Microsoft og AWS understreger også, at de bruger kryptering. Men løser det problemet? Flere eksperter tvivler.
– Data ligger typisk på virtuelle maskiner, når det er ude i skyen. Typisk kan man lave et snapshot af en virtuel maskine: CPU, ram, disk, hele maskinen. Du kloner maskinen, og ud af den her klon kan du så gennemgå rammen og finde diverse adgangskoder, forklarer Ole Tange fra PROSA.

Men nye teknologier kan måske ændre billedet. Ole Tange peger på AMD’s Epyc-CPU’er, der gør det umuligt at tage et snapshot af hele maskinen, og på Googles nye Confidential Computing, der krypterer data i brug. Men det er stadig for tidligt at sige, om den slags teknologier kan sætte efterretningstjenesterne på porten, vurderer han.

Og der er også andre måder at få adgang til data på. For eksempel de metoder, som amerikanske National Security Agency (NSA) benytter. Flere kilder peger på Edward Snowden-afsløringerne og DR’s nylige artikler om NSA-overvågning i Danmark via kabeltap.

En mulig løsning er, at den amerikanske stat giver sig – men det er der ikke tegn på. En anden løsning er, at EU går på kompromis med borgernes privatliv. Men som Allan Frank fra Datatilsynet siger det:
– Det er fundamentale menneskerettigheder, dybt forankret i charteret. Det er ikke sådan noget, der lige bliver skrevet om i morgen.

En tredje løsning er nye skudsikre krypteringsteknologier. Og en fjerde løsning er, at amerikanske cloud-udbydere indgår alliancer med europæiske selskaber, så de amerikanske efterretningstjenester mister muligheden for adgang.

Men der er også en femte løsning: Find en europæisk udbyder, foreslår Pernille Tranberg, medstifter af datatænketanken DataEthics.
– Der er rigtig mange, der ikke aner, at der findes relativt store cloud udbydere rundt omkring i Europa. Og hvis man begynder at bruge dem, så bliver de større, billigere og bedre, siger hun.

DataEthics bruger selv den tyske cloud-udbyder Hetzner, der også servicerer større virksomheder.

Pernille Tranberg ser også et lys i Gaia-X, som er en vordende europæisk cloud-infrastruktur, startet af den tyske og franske regering og en lang række techvirksomheder.
– Der er sindssygt meget brug for initiativer som Gaia-X, mener Pernille Tranberg.

 

Gaia-X: Kæmpe europæisk cloud-projekt på vej

Det tyske og franske stat er i gang med at bygge en ny europæisk cloud-intrastruktur Gaia-X i samarbejde med over 300 virksomheder og organisationer. Læs mere på data-infrastructure.eu


Læs også...

Ole Tange, it-politisk rådgiver i PROSA, har i denne uge indsendt en klage over Danmarks Radio til Datatilsynet. Det skyldes DRs krav om obligatorisk…

Er du på jagt efter et nyt job i it-branchen? Og er du i tvivl om, hvad virksomhederne især kigger efter? PROSAbladet har spurgt en række…

Fra Baltikums største sciencepark i udkanten af Tallinn sikrer Tehnopol, at hundredvis af startups kommer flyvefærdigt ud i virkeligheden. De får…

Estiske børn og unge får praktisk talt tech ind med modermælken, da it og tech-gadgets er en helt central del af hverdagen i både børnehaver,…

I Estland har borgerne kunne stemme digitalt siden 2005. Der har været kritik og debat, men i dag er det mere end halvdelen af esterne, der bruger…

Hvis man i Estland gerne vil skifte spor i sin karriere, er der en lang række muligheder for at videreuddanne sig inden for it. Skoler og online…

I denne udgave af PROSAbladet har vi lavet et tema-nummer om Estland. Det er sjældent, at vi giver så meget spalteplads til et tema – men det baltiske…

Pulserende krea-værksted klæder estiske børn på med både tech-skills og startup-mentalitet. Der er ingen læreplaner eller kedelige eksamener, men 3D…

Det minder om en blanding af X Factor og Den store bagedyst, og det lægger på 15. år gaderne øde i Estland. Velkommen til tv-talentshowet Rakett69,…

Estland har rykket sig ufattelig langt de seneste 30 år – men hvad skal der ske nu? En af udfordringerne er, at Estland kommer til at mange hænder og…