Har vi brug for en norsk statlig skytjeneste?

Norsk statslig cloudtjeneste?

Den 16. juli ophævede EU-Domstolen dataoverførselsaftalen “Privacy Shield” i den såkaldte “Schrems II”-dom. Domstolen slog også fast, at USA ikke er et sikkert tredjeland. For mange virksomheder har dette betydet, at det er blevet sværere at bruge cloudtjenester fra amerikanske leverandører.

Fredric Wallsten har stor erfaring med arbejde med disse spørgsmål i sin rolle som administrerende direktør for den norske cloudtjenesteleverandør Safespring.

Fredric, hvad indebærer det for virksomhederne, at Privacy Shield blev ophævet her i sommer?

Uden en gyldig dataoverførselsaftale bliver det sværere at finde et såkaldt retligt grundlag for at overføre oplysninger. Desuden har EU-Domstolen fastslået, at USA’s nationale lovgivning ikke beskytter europæiske borgere. Det medfører flere konsekvenser, end mange sikkert er klar over. Domstolen fastslår blandt andet, at det er leverandørens hjemsted, og ikke maskinvarens geografiske placering, der er afgørende for beskyttelsesniveauet.

Det gør det langt sværere at bruge cloudtjenester fra leverandører, der er underlagt amerikansk ret, selv om de har datacentre i Norge, Sverige eller Europa. Hvis amerikanske myndigheder kan fremsætte bindende krav over for leverandøren, vil det i praksis være svært for en aktør i EØS at bruge leverandørens tjenester.

Har dommen andre konsekvenser?

Mange virksomheder befinder sig netop nu i strid med GDPR og risikerer bøder. EU-Domstolen fastslog også, at tilsynsmyndighederne har pligt til at gribe ind over for dataoverførsel, når det ikke er muligt at fastslå et tilsvarende beskyttelsesniveau i modtagerlandet. I Irland undersøges det nu, hvad dette indebærer i praksis.

Branchen taler om Standard Contractual Clauses og Binding Corporate Rules – kan de bruges?

Tja, det er vigtigt at være opmærksom på, at Privacy Shield var en aftale mellem jurisdiktioner, mens SCC er en aftale mellem selskaber. SCC er et sæt standardklausuler, der regulerer dataoverførsel til tredjelande mellem parterne. Men hvis modparten er hjemmehørende i USA, er det umuligt for modparten at leve op til EU’s krav uden yderligere foranstaltninger, fordi USA’s nationale efterretningslove medfører, at EU diskvalificerer landet som tredjeland. Blandt disse love er for eksempel FISA 702a, EO12333 og eventuelt CLOUD Act. Lovgivningen gør det altså ikke muligt for en modpart i USA at opfylde de europæiske databeskyttelseskrav.

Hvad mener du, virksomhederne skal gøre nu?

Gennemgå alle databehandleraftaler samt eventuelle databehandleraftaler hos underleverandører, og kortlæg virksomhedens eksponering. Det, der er særligt vigtigt at afdække, er tjenester, der er underlagt amerikansk lovgivning, så virksomhederne i næste fase kan prioritere disse og finde alternativer. Dette er den dataansvarliges ansvar. Det kan også være klogt at identificere personoplysninger, som ikke tilhører ens egen organisation, men for eksempel kunderne.

Hvilket råd vil du give til brugere af cloudtjenester, der er underlagt amerikansk lovgivning?

Handl før tilsynsmyndigheden kommer. Hvis man står i den situation, at man behandler personoplysninger hos en leverandør, der er underlagt amerikansk ret, er man nødt til at iværksætte tiltag. Hvis man aktivt har påbegyndt dette arbejde, bør det udgøre formildende omstændigheder, som bør afspejles i eventuelle sanktioner.

Hvad er de konkrete alternativer – er kryptering en løsning?

Nogle hævder det. Men DPA i Hamburg har truffet en afgørelse om, at kryptering af data i en amerikansk cloudtjeneste kun kan anses som OK, hvis nøglerne forvaltes sikkert. Det udelukker selvsagt, at de forvaltes i den samme cloudtjeneste og betyder dermed, at næsten al praktisk anvendelse er udelukket. Dette er egentlig ikke et teknisk, men et juridisk problem. Det er ikke Microsoft, AWS, Google m.fl., der er skurkene, men USA har givet sin egen administration ubegrænset magt over alle data, de kan få adgang til. Det er uforeneligt med europæisk lovgivning, og der skal ske en ændring i USA’s love, før det bliver muligt at nå til ny enighed.

Hvad kommer der til at ske i fremtiden?

Haha, det ville jeg ønske, jeg kunne svare på. Det eneste, vi kan være sikre på, er, at der vil komme nye love, nye direktiver og nye anbefalinger. Dem, der har valgt en leverandør, som i dag er underlagt amerikansk ret, og som er låst og nu må flytte, har problemer. Det bliver dyre migrationsprojekter. Dem, der har en arkitektur og et design, som tillader, at man kan flytte mellem forskellige leverandører, kan nemt tilpasse sig nye forudsætninger.

En diskussion, der er opstået her i Norge, er, om staten skal bygge sin egen cloudtjeneste – hvad tænker du om det?

I udgangspunktet er det nok en god idé. Der findes givetvis en række applikationer og data, som det måske er bedst, at staten selv behandler. Imidlertid tror jeg, mange gør det let for sig, fordi teknologi er abstrakt, og generaliserer groft, når det gælder it-systemer og applikationer.

Jeg tror hverken staten eller nogen enkeltleverandør kan levere den mangfoldighed af tjenester, der er behov for, både inden for infrastruktur, platforme og applikationer. Derfor ville det være ekstremt uheldigt, hvis der blev valgt proprietære løsninger, som fører til udelukkelse fra resten af markedet. Så risikerer staten efter min mening at miste meget af den innovationskraft, man opnår med moderne cloudtjenester. Det er derfor meget vigtigt at vælge løsninger, der baserer sig på åbne standarder, standardiserede API’er og standardiserede filformater.

Der skal være en forudsigelig og standardiseret måde at interagere med resten af markedet på, så det er muligt at udnytte hele potentialet i den innovation, markedet kan bidrage med. Der findes europæiske initiativer, fx GAIA-X, som bliver interessante at følge. Netop GAIA-X handler om fælles infrastruktur, som, hvis den lykkes, kan blive en sådan platform for standardiseret udveksling af tjenester.