Af Redaktionen   Kilde: Prosabladet

Eksperter rejser en virkelig alvorlig tvivl om lovligheden af at lægge persondata hos amerikanske cloud-udbydere som Amazon og Microsoft. Men en lang række danske myndigheder, som bruger cloud-løsningerne, vil ikke svare på spørgsmål fra Prosabladet.

”Ingen kommentarer på nuværende tidspunkt”.

”Vi takker nej til deltagelse”.

”Vi kommer ikke til at stille op til interview på nuværende tidspunkt”.

Centrale aktører i og omkring den offentlige sektor ønsker ikke at tale med Prosabladet om de mange persondata, der hober sig op hos amerikanske cloud-udbydere. Persondata, der muligvis er placeret ulovligt.

Tendensen til at lægge data og it-systemer i amerikansk cloud er udbredt både i erhvervslivet og det offentlige. Men som Prosabladet har beskrevet, kører der aktuelt en tilspidset debat i EU om lovligheden, efter at EU-domstolen to gange har underkendt EU’s databehandleraftale med USA. En debat, der i værste fald kan føre til et forbud eller begrænsninger.

Trods alvoren har det i flere uger ikke været muligt at få interview med:

  • Sundhedsdatastyrelsen
  • Digitaliseringsstyrelsen
  • Kommunernes Landsforening
  • Danske Regioner
  • Udviklings- og Forenklingsstyrelsen, der varetager it-systemer i Skatteforvaltningen.
  • Netcompany, der varetager en stor del af driften i det offentlige, og som benytter sig af Amazon Web Services (AWS) og Microsoft Azure.
  • DXC, et amerikanskbaseret multinationalt selskab, der også varetager en stor del af driften i det offentlige.

Offentlige aktører vilde med cloud

Dermed er det ikke muligt at skabe et overblik over, præcis hvilke oplysninger om danskerne, der ligger i amerikansk cloud. Men det står klart, at offentlige aktører i vid udstrækning bruger de amerikanske udbydere. Det oplyser IT-Branchen, der repræsenterer de danske it-leverandører.

-Jeg tror ikke, der er en eneste offentlig myndighed, der ikke bruger internationale cloud-udbydere til et eller andet”, fortæller Martin Jensen Buch, chefkonsulent i IT-Branchen.

Han henviser til udbydere som Amazon Web Services (AWS), Microsoft Azure og Google Cloud.

-Der er en tendens til, at flere og flere it-systemer bliver lagt ud i skyen. Og at data og selve systemerne ligger i de store internationale cloud-udbyderes netværk. Det gælder i særdeleshed også de offentlige systemer, siger han.

Ifølge Martin Jensen Buch er det også almindeligt, at det offentlige overfører persondata til amerikanske cloud-firmaer. Fra de knap så følsomme data til de helt følsomme data.

-Tracking cookies på en offentlig hjemmeside vil med 99 procent sikkerhed sende data om deres brugere til USA. Og et nyhedsbrev-system vil med 99 procent sikkerhed også sende data til USA, siger han.

-Vi har også fagsystemer i det offentlige, der indsamler personfølsomme data, som ligger hos internationale datacentre, siger Martin Jensen Buch.

Mange eksempler

Eksemplerne er mange. Skolesystemet Aula ligger hos amerikanske Amazon Web Services (AWS). Landspatientregistret – et register over danske patienter – ligger hos DXC. Sundhedsdatastyrelsen benytter også Microsoft-systemer.

Men Prosabladet kan ikke opspore nogen, der har det fulde overblik.

-Jeg tror ikke, der er nogen, der har et samlet billede, siger Henning Mortensen, formand for Rådet for Digital Sikkerhed.

Der er umiddelbart mange fordele ved at lægge it-systemer i skyen, og de amerikanske udbydere betragtes som de bedste på markedet. Men ét problem truer hele tendensen: De amerikanske efterretningstjenester kan kræve adgang til kundernes data, også hvis de ligger på servere i EU. Og det harmonerer ikke med GDPR, når der er tale om persondata.

EU-domstolen har erklæret EU’s egne juridiske rammer ulovlige to gange. Nye retningslinjer fra EU – såkaldte standarkontrakt-bestemmelser – har netop været i høring, og den endelige udgave forventes i starten af dette år. Men flere kilder tvivler på, at de bliver de sidste ord i sagen.

Hos IT-Branchen krydser man fingre for, at der snart kommer en permanent løsning på højeste politiske niveau. For alternativet kan blive dyrt.

-Hvis EU siger, at fra i morgen må der ikke være persondata i USA – medmindre du selv kan stå inde for, at du har taget de nødvendige foranstaltninger for, at data ikke bliver misbrugt – så vil man slukke internettet, siger Martin Jensen Buch fra IT-Branchen.

Tavse myndigheder

Men trods de dystre perspektiver bliver Prosabladet altså mødt med afvisninger hos flere centrale aktører.

Det er ikke muligt at få et interview med Digitaliseringsstyrelsen, trods adskillige henvendelser på telefon, SMS og mail.

Danske Regioner henviser til Sundhedsdatastyrelsen, som afviser interview. I en mail skriver styrelsen:

-Jeg kan oplyse dig om, at Sundhedsdatastyrelsen har en databehandleraftale med DXC, der forpligter DXC til at holde data i Danmark. Vi kender naturligvis problematikken omkring cloud og tager konkret stilling i forhold til de enkelte løsninger. Vi har ikke yderligere at tilføje.

DXC vil heller ikke tale. De er et amerikanskbaseret selskab, der varetager en stor del af it-driften i den offentlige danske sektor. I en mail skriver de:

-Jeg må informere dig om, at vi ikke har nogen kommentarer til dette emne på nuværende tidspunkt. Så vi kommer ikke til at stille op til interview på nuværende tidspunkt.

Afvisningerne fortsætter

Heller ikke Netcompany vil tale. Netcompany er et danskbaseret it-firma, der ligesom DXC varetager en stor del af it-driften i det offentlige. De benytter sig af Microsoft Azure og AWS. Kommunikationsafdelingen skriver i en mail:

-Tak for muligheden. Jeg har nu drøftet internt, og vi takker nej til deltagelse.

I it-firmaet Kombit, der står bag Aula, vil pressechef Henrik Kirkeskov dog gerne sige et par ord. Aula ligger hos AWS.

-Vi er i fuld gang med at kigge på, hvad Schrems 2-afgørelsen kommer til at betyde for Kombits løsninger, og derfor har vi ingen kommentarer på nuværende tidspunkt, siger Henrik Kirkeskov.

Schrems 2-afgørelsen, der faldt ved EU-Domstolen i sommer, sendte chokbølger gennem it-branchen. Dommen erklærede, at det mest udbredte grundlag for overførsel af persondata til USA – Privacy Shield – var ugyldigt.

Trods tre ugers svartid er det heller ikke muligt at få et interview med Udviklings- og Forenklingsstyrelsen, der varetager Skatteforvaltningens it-systemer.

Kommunernes Landsforening (LK) afviser også at stille op til interview på nuværende tidspunkt. I en mail skriver de:

-Brugen af cloud-løsninger er udbredt i kommunerne, men vi har ikke data for, hvor udbredt eller hvor mange der benytter amerikanske udbydere. Ligesom vi ikke har oplysninger om, i hvor høj grad kommunerne lægger persondata hos amerikanske udbydere.

KL henviser til et høringssvar, som organisationen har skrevet i forbindelse med de nye EU-bestemmelser, der er på vej. Her rejser KL en række kritikpunkter.

Hvad siger Datatilsynet?

Hos Datatilsynet bekræfter it-sikkerhedsspecialist Allan Frank, at den offentlige sektor har store mængder af persondata i amerikansk cloud.

-Man har vidst, at de amerikanske efterretningstjenester lyttede med i et eller andet omfang. Det har man helt klart vidst, siger han.

-EU-kommissionen har medvirket til at plumre vandene med blandt andet Privacy Shield. Så det, man har gjort, var som udgangspunkt sanktioneret af kommissionen. Men det betyder ikke, at det var lovligt. Når EU-Domstolen konstaterer, at kommissionen tog fejl, så har man også selv taget fejl, siger Allan Frank.

Men hvorfor er det et problem, hvis efterretningstjenester i udlandet snager i danskernes persondata? Allan Frank udlægger det sådan her:

-Problemet med data, er, at lige så snart de er ude af sækken, så ved man ikke hvor mange repræsentationer af de data, der eksisterer. Lige så snart man slipper kontrollen, så kan det ikke spoles tilbage.

Myndighederne skal dog ikke frygte Datatilsynet, hvis der er sket overførsler på det tidligere grundlag, Privacy Shield, siger Allan Frank.

-Vi kunne aldrig finde på at komme efter nogen, der har baseret sig på en tilstrækkelighedsvurdering fra det kompetente EU-organ, slutter han.