Der svævede en sky af cloud-problemer henover det netop overståede #offdig i Odense. Chromebook-sagen, Aulas AWS-issues og en tung hovedpine af GDPR-problemer hos danske virksomheder var allestedsnærværende. Men sådan behøver det måske ikke at være, mener Michael Ørnø, direktør i Statens It.
Løsningen, der kan fremkalde en skyfri himmel, hedder ‘at-customer-cloud’. Det betyder, at serverne er placeret hos den virksomhed eller offentlige myndighed, som skal bruge cloud-kraften. I statslige myndigheders tilfælde vil det være Statens It, mens softwaren kan leveres af en af de amerikanske tech-giganter.
– Vi har flyttet enormt mange af vores kunders databaser over i det setup de sidste tre år. Man kan køre det samme som på offentlig cloud, siger Michael Ørnø, der forventer en markant bevægelse i den retning, da mange offentlige kunder gerne vil undgå de potentielle problemer, der er med Googles eller AWS’ offentlige cloud-løsninger.
– Vi er i gode dialoger med mange. En del leverandører deler min analyse, som er: Kan man skrive sig ud af det her? Altså, man kan tage chancer. Men i stedet for at vente på jurister, så er det bedre at lave alternativer, siger han.
Hullet i osten
I Chromebook-sagaen, der omfatter Helsingør og 53 andre kommuner, undersøger Datatilsynet to grundlæggende spørgsmål: På den ene side skal tilsynet bedømme, om Folkeskoleloven giver kommuner ret til at udlevere persondata på eleverne, der bruges til drift af selve computeren og Google Workspace og desuden udvikling af nye Google-produkter. Såfremt dette er i orden ifølge juristerne, så er næste spørgsmål, om potentiel videregivelse af persondata til Google indebærer, at amerikanske sikkerhedsmyndigheder via tredjelandsoverførsler kan få fat i disse data, hvilket ikke er i samklang med persondataforordningen GDPR.
Spørgsmålet er, om at-customer-cloud er en helgardering i forhold til disse problemstillinger. I så fald ville danske skoler godt kunne bruge Big Techs software, så længe den afvikles på et dansk datacenter, som drives af kommunerne eller skolerne og er placeret i Danmark. Og danske myndigheder skal samtidig kunne få adgang til at kontrollere dette.
Kan man være sikker på, at der ikke findes bagindgange, hvor der kan sive personlig data, når man bruger at-customer-cloud?
– Det er en delproblematik i forhold til software: Hvad er det for software, der kører og hvad foretager den sig. Man kan sagtens forestille sig et SolarWinds-scenarie i Microsofts Azure hos os. Det kan ske alle steder. Det er en generel problematik.
SolarWinds-hacket skete i 2020. Her havde, hvad der formentlig var statsstøttede hackere, held til at placere ondsindet kode i en opdatering til SolarWinds it-monitoringssoftware, som spredte sig til omkring 18.000 af selskabets kunder – herunder USA’s Ministerium for Hjemlig Sikkerhed, Pentagon og Udenrigsministeriet.
Ikke idiotsikkert
Susanne Stougaard, partner i advokatfirmaet Bech-Bruun med speciale i persondataret og compliance, mener ikke, at cloud-at-customer automatisk løser alle udfordringer med tredjelandsoverførsler.
– Hvis der stadig er support fra Microsoft eller Oracle, så vil der stadig være risiko for tredjelandsoverførsler. Og så er spørgsmålet, om det er ren systemdata eller om det er persondata. Det kan godt være, at det løser noget. Men hvis der er en adgang ind, når man får support, så får de muligvis adgang til persondata, siger hun.
Ayo Næsborg-Andersen, lektor med speciale i persondata- og forvaltningsret ved Syddansk Universitet ser stort potentiale i cloud-at-customer.
– Hvis det er en lukket cloud, hvor data geografisk ikke forlader Danmark, så slipper vi for alle de overvejelser og at lave Transfer Impact Assessment, siger hun og tilføjer:
– Grunden til at alle ikke bare gør det, er angiveligt at der er nogen sikkerhedsløsninger, som ikke kan fås lige så gode i Europa som i USA.
Lektoren ser dog samme problem som Susanne Stougaard, hvis supporten i forhold til cloud-løsningen betyder, at der eksternt er adgang til den lokale sky.
– Det er det evindelige problem. Så du er nødt til at gå ned i alle led for at sikre, at der ikke sker dataoverførsler, siger hun.
