IDA: Det offentlige anvender cloud hovedløst - nogle data bør aldrig blive gemt i skyen

I snart to år har både virksomheder og offentlige myndigheder været i limbo, når det gælder lovligheden af at benytte amerikanske cloudløsninger og overførsel af persondata til virksomheder uden for EU.

Årsagen er den såkaldte Schrems II-afgørelse fra EU-domstolen, som i 2020 fastslog, at man ikke må have persondata liggende i en amerikansk ejet virksomhed, fordi USA ikke har et tilstrækkeligt beskyttelsesniveau i forhold til de europæiske GDPR-regler. Det skyldes, at efterretningstjenesterne i USA kan tiltvinge sig adgang til data, som cloududbydere håndterer. Blandt andet takket være den amerikanske 'Cloud Act'.

Siden har offentlige myndigheder haft travlt med at gennemgå deres it-løsninger og skrotte de mest problematiske aftaler, mens nogle virksomheder har valgt at skifte til europæiske udbydere af cloudløsninger. Men det er ikke nogen nem øvelse, når de mest populære cloudløsninger er ejet af amerikanske techgiganter: Amazon Web Services (AWS), Microsoft Azure og Google Cloud.

Datatilsynet udgav i sidste måned en nye vejledning om cloudløsninger, men den gør os ikke meget klogere. Den fastslår, at hvis en dansk virksomhed bruger cloudleverandører i USA, vil aftalen være omfattet af "problematisk" lovgivning. Men der findes en række undtagelser, som vil gøre det muligt at fortsætte med at benytte en amerikansk leverandør ved hjælp af supplerende garantier.

Hovedløs brug af skyen

Med Schrems II-dommen, opkaldt efter den østrigske aktivist Max Schrems, aflivede EU-domstolen rammeaftalen mellem USA og EU om dataoverførsler kaldet 'Privacy Shield'.

Nu er der en ny på vej, 'Trans-Atlantic Data Privacy Framework', men det er endnu for tidligt at glæde sig. Først skal EU-Kommissionen foretage en ny vurdering af databeskyttelsen i USA. Det tager tid. Og uden en ændring af amerikansk efterretningslovgivning ser det vanskeligt ud.

Hvad gør man så, hvis man er offentlig myndighed, der ligger inde med bunker af persondata om borgerne? At droppe cloudtjenester eller straks skifte til cloududbydere i EU er tung proces. Det er heller ikke realistisk på den korte bane. Eksempelvis er Office 365 en amerikansk cloudtjeneste, og vi får næppe alle til at droppe Microsoft i morgen.

Har man ikke en klar forretningsmæssig årsag til at gemme specifikke data, skulle de aldrig have været lagt op i skyen

Kåre Løvgren
It-teknisk ekspert for IDA

Løsningen er derfor en bedre eller mere intelligent anvendelse af cloud, som man i dag hovedløst lægger hvad som helst op i. Man kommer langt med dataminimering. For eksempel er det som oftest slet ikke nødvendigt at gemme alle data med CPR-nummer for at løse opgaven, men det gør de fleste myndigheder alligevel.

Lagringsplads er billigt i skyen, og det koster naturligvis lidt ekstra tid og hjernekraft at skulle fjerne de ikke-nødvendige data. GDPR lægger ellers op til, at man kun lagrer de nødvendige data, og kun så længe man har brug for dem. Har man ikke en klar forretningsmæssig årsag til at gemme specifikke data, skulle de aldrig have været lagt op i skyen i første omgang.

Open source er et must

På den baggrund er det værd at forholde sig til disse fire nøglepunkter:

Det første er dataminimering: Lav en best practice med minimumskrav, tips og tricks, og lad Datatilsynet slå ned på lagring af unødvendige data med hjemmel i GDPR. Dette felt er alt for underbelyst, og for få tænker i de baner. Det kræver en indsats, men det kan starte straks.

Det andet er såkaldt 'edge computing': Oftest kan man lave det meste databehandling lokalt og så kun bruge skyen til aggregerede data, statistik med videre. Det er sjældent nødvendigt at lægge alle data op for at få glæde af cloud. AI og Deep Learning kan også trænes lokalt, så man sender træningsparametre til skyen i stedet for de oprindelige data.