Advokat: Der er tendens til rigid fortolkning af reglerne på cloud-området
Vi har brug for sund fornuft og proportionalitet i fortolkningen af cloudreglerne. Det skal sikre, at vi kan fortsætte og udbrede brugen af teknologien, som er bedre, sikrere og mere bæredygtig end traditionel it, skriver Jesper Langemark.
Jesper Langemark
Advokat, partner, Bird & BirdCloud-bølgen skyller i disse år ind over os og den lader sig ikke stoppe af hverken Max Schrems eller EU-domstolen.
Det er med Gartners ord "the new norm." På verdensplan spås cloud-investeringer alene i 2023 at nå op på 500 milliarder dollar.
Også offentlige myndigheder hopper i disse år på cloud-bølgen, og det forventes at op mod 68 procent af offentlige myndigheders infrastruktur vil være overgået til cloud inden for få år.
Cloud-teknologien har dog i de senere år mødt massive juridiske udfordringer i form af EU-domstolens afgørelser i det såkaldte Max Schrems I og II afgørelser – og den måde, disse afgørelser er blevet fortolket af myndigheder og eksperter.
EU-domstolens afgørelser skal naturligvis respekteres, men det er min opfattelse, at vi med myndighedernes fortolkning risikerer at skabe uhensigtsmæssige og unødvendige begrænsninger i brugen af en teknologi, som i en række henseender er bedre, sikrere og mere bæredygtig end "gammeldags" it.
Ny temadebat: Bør det offentlige omfavne eller undgå cloud?
Cloudmarkedet giver danskerne panderynker. Hvordan bør det offentlige forholde sig til teknologien? Det spørgsmål stiller Altinget Digital.
Om temadebatter:
Alle indlæg er alene udtryk for skribenternes holdning.
Vi bringer kun indlæg, som udelukkende er sendt til Altinget.
Vil du deltage i debatten om cloud? Indlæg kan sendes til [email protected].
Schrems-sagerne
Men lad os lige starte med at se på, hvad Schrems-sagerne egentlig gik ud på:
Dommene udspringer af en klage fra østrigeren, Max Schrems, til det irske datatilsyn over overførslen af hans personoplysninger fra Facebook Ireland til moderselskabet, Facebook i USA.
Facebook Ireland anvendte oprindeligt den såkaldte Safe Harbour-ordning som overførselsgrundlag, men denne ordning blev erklæret ugyldig af EU-Domstolen i 2015 i Schrems I-sagen.
Derfor overgik Facebook Ireland til at anvende afløseren for Safe Harbour, Privacy Shield, og EU-Kommissions standardkontrakt som overførselsgrundlag.
Heller ikke det mente Max Schrems var godt nok. Han lagde derfor på ny sag an med den begrundelse, at de amerikanske myndigheder kan foretage overvågning af personoplysninger fra EU, når oplysningerne opbevares i USA.
I juli 2020 traf EU-Domstolen afgørelse i sagen. Den fastslog for det første, at Privacy Shield-ordningen var ugyldig, fordi ordningen ikke sikrede et tilstrækkelig højt beskyttelsesniveau.
Ordningen fungerede ved at amerikanske virksomheder kunne selv-certificere, at de overholdt nogle grundlæggende principper for databeskyttelse, der minder om de principper, vi nu kender fra GDPR-reglerne.
EU-Domstolen mente ikke, at denne ordning gav den fornødne beskyttelse, da amerikanske myndigheder havde mulighed for at få udleveret personoplysninger om EU-borgere fra de amerikanske virksomheder gennem amerikansk lovgivning.
Standardkontraktbestemmelser kan ikke stå alene
For det andet fastslog EU-domstolen, at EU-Kommissionens standardkontraktbestemmelser (SCC’ere) er gyldige som overførselsgrundlag, men at det kan være nødvendigt at etablere supplerende foranstaltninger for at lovliggøre overførslen til tredjelandet. Behovet herfor skal vurderes konkret for hver enkelt overførsel.
Med andre ord kan brugen af SCC’erne i sådanne tilfælde ikke stå alene, men skal suppleres af "noget mere".
SCC’erne overlevede altså, men er "in coma on life support", som nogle iagttagere efterfølgende konstaterede.
Dommen angik overførsler af store mængder personoplysninger om borgere i EU til USA. Dermed er vi langt fra det, som i dag kendetegner brugen af cloud-løsninger, som efterhånden alle kan via driftscentre, der befinder sig inden for EU.
I visse tilfælde udføres support og vedligeholdelse dog af teknikere i USA eller et andet tredjeland via en fjernopkobling.
Hvis der i forbindelse hermed er adgang til en server eller database, hvorpå der befinder sig personoplysninger, anses det persondataretligt også for en overførsel.
Det er denne fjernadgang - og herudover risikoen for at oplysninger, som befinder sig i EU, men som kræves udleveret af det amerikanske moderselskab i medfør af den såkaldte Cloud Act - der i dag er problemet, som truer med at trække tæppet væk under brugen af amerikanske cloud-løsninger.
Jesper Langemark
Advokat og partner, Bird & Bird
Det er denne fjernadgang - og herudover risikoen for at oplysninger, som befinder sig i EU, men som kræves udleveret af det amerikanske moderselskab i medfør af den såkaldte Cloud Act - der i dag er problemet, som truer med at trække tæppet væk under brugen af amerikanske cloud-løsninger.
Og det er navnlig i relation til denne problemstilling at man kunne ønske sig en mere pragmatisk tolkning af EU-domstolens afgørelser.
Tendens til rigid fortolkning
Desværre synes tendensen at gå i retning mod en mere rigid fortolkning. Et eksempel herpå er Datatilsynets cloudvejledning, hvor Datatilsynet reelt fjerner muligheden for at overføre oplysninger til usikre tredjelande uden supplerende beskyttelsesforanstaltninger ud fra en konkret vurdering af, at de pågældende oplysninger er uden efterretningsmæssig interesse. Det kaldes også "no reason to believe"- undtagelsen.
Et andet eksempel er Datatilsynet udtalelse om Aula. Tilsynet udtaler, at et forbehold i AWS’ databehandleraftale - som også findes i Microsofts databehandleraftale - om, at der kan ske udlevering af personoplysninger fra AWS i EU til myndigheder i USA, hvis dette er nødvendigt for at overholde gældende lovgivning eller en bindende myndighedsafgørelse, vil indebære, at der er tale om en tilsigtet – og altså dermed som udgangspunkt - en ulovlig overførsel, hvis en sådan overførsel rent faktisk finder sted.
Lys i mørket
Men er der ikke noget lys i mørket? Jo, lyspunkter er der da.
For det første ser vi en tendens til, at de store cloud-udbydere begynder at etablere "EU-only" løsninger. Det vil sige, at udover at data alene befinder sig inden for EU sker al adgang til disse data inden for EU.
Også fra politisk hold er man ved at vågne op. I sidste måned blev det således offentliggjort, at USA og EU efter lang tids forhandlinger er nået til enighed om en afløser for Privacy Shield.
Den endelige juridiske tekst forventes dog først at foreligge senere på året, og det er vigtigt at understrege, at den foreliggende politiske aftale ikke kan benyttes som grundlag for overførsler til USA.
Tiden må vise, om også den aftale – når den foreligger – vil blive skudt ned af EU-Domstolen i en Schrems-III sag. Der er dog umiddelbart grund til at tro, at den nye aftale vil finde nåde for EU-Domstolens blik.
Optimismen skyldes, at den nye aftale – modsat de tidligere aftaler – ser ud til at blive bygget op om og tage højde for EU Charterets essentielle garantier.
Cloud er kommet for at blive. De juridiske sten på vejen, der hindrer eller besværliggør brugen af cloud, er ved at blive fjernet.
Jesper Langemark
Advokat og partner, Bird & Bird
Jeg vil derfor slutte på samme optimistiske note, som jeg startede på. Cloud er kommet for at blive. De juridiske sten på vejen, der hindrer eller besværliggør brugen af cloud, er ved at blive fjernet.
Om nødvendigt må vi få nogle "ansvarlige voksne" i - form af domstolene - til at skabe noget fornuft og proportionalitet i fortolkningen af reglerne, som kan sikre, at vi kan fortsætte og udbrede brugen cloud-teknologien, som alt andet lige er bedre, sikrere og mere bæredygtige end traditionel it.
'%3e%3cpath%20d='M174.5%205.49985C138.877%20-19.5379%20106.875%2013.5814%2091.8511%2029.6115C65.0748%2058.1778%2099.1498%2080.3465%20117.152%2037.3094C135.153%20-5.72759%2022.8866%200.0578454%2015.1662%2097.217'%20stroke='%23EA1718'%20stroke-width='3'%20stroke-linecap='round'%20stroke-linejoin='round'/%3e%3cpath%20d='M3.65346%2080.8587L15.109%2097.3301L29.6131%2086.6665'%20stroke='%23EA1718'%20stroke-width='3'%20stroke-linecap='round'%20stroke-linejoin='round'/%3e%3c/g%3e%3cdefs%3e%3cclipPath%20id='clip0_627_569'%3e%3crect%20width='163.796'%20height='107.816'%20fill='white'%20transform='matrix(-0.999973%20-0.00733143%20-0.00733143%200.999973%20164.582%201.24609)'/%3e%3c/clipPath%3e%3c/defs%3e%3c/svg%3e)
