Cloudløsninger bliver dyrere

Henning Mortensen har skrevet en guide til IT-ansvarlige.
Henning Mortensen har skrevet en guide til IT-ansvarlige. (Foto: Rådet for Digital Sikkerhed)

Nye retningslinjer for dataoverførsler til tredjelande og herunder USA gør det klart, at europæerne nu kommer til at betale prisen for den ekstra beskyttelse af deres data. Cloudløsninger bliver dyrere og måske umulige, og der er stor risiko for at IT-sikkerheden forringes.

Schrems 2 dommen får store konsekvenser. European Data Protection Board, EDPB, har netop offentliggjort sine anbefalinger til nye guidelines for dataoversler til trejdelande herunder USA, og det bliver langt mere besværligt for virksomheder, institutioner og myndigheder.

Cloudløsninger kan blive umulige
Det vil helt konkret betyde, at cloudløsninger, der indebærer dataudveksling med USA, bliver langt mere besværlige og dyrere at bruge. Det vurderer IT-Sikkerhedschef og formand i Rådet for Digital Sikkerhed Henning Mortensen i en artikel, der rummer en guide til IT-ansvarlige.

”Jeg vil gerne understrege, at mine synspunkter og vurderinger står for min egen regning. Jeg skrev artiklen og offentliggjorde den staks, fordi der er rigtig mange, der bruger cloudløsninger, og de kommer alle sammen til at forholde sig til de nye guidelines meget hurtigt,” siger Henning Mortensen.

Der er ikke nogen tvivl om, at de retningslinjer, EDPB anbefaler, gør cloud-løsninger betydeligt vanskeligere og i en række situationer helt umulig, med deraf følgende øgede omkostninger til digitalisering. Der kommer med andre ord en helt konkret pris ved at opretholde de rettigheder, vi har som europæiske borgere, mener han.

Forringer sikkerheden
Med mindre, der kommer nye foranstaltninger, der kan lette dataudvekslingen med USA, frygter Henning Mortensen, at vi står overfor en periode, hvor datadrevne virksomheder ikke vil være i stand til at beskyttede de registreredes rettigheder efter artikel 32 nær som godt som hidtil.

”Det skyldes, at rigtig mange af de teknologiske sikkerhedsforanstaltninger, som er etableret hos europæiske dataansvarlige, har deres oprindelse i USA, og hvor der sker analyse af og filtrering af data, mails, logs m.v. på servere i USA. Og hvor amerikanske konsulenter i mange tilfælde har adgang til data, der ligger på servere i europæiske datacentre med support for øje. Det kommer nu til at give en lang række problemer,” siger Henning Mortensen.

Support kan blive lukket
”For det første er der stor risiko for, at europæiske dataansvarlige udelukkes fra at bruge disse tjenester, så skal vi sadle om og bruge nogle andre, som måske er dårligere. For det andet leverer mange af de tjenester, vi bruger, en suite af sikkerhedstiltag, der spiller sammen. Hvis vi skal til at bruge flere leverandører, stiger den teknologiske kompleksitet betydeligt med øget risiko for de dataansvarlige og de registrerede til følge, ”siger Henning Mortensen.

Endelig er det ikke sikkert, at den nye forretningssoftware de dataansvarlige skal ud og finde spiller lige så godt sammen med de sikkerhedsprodukter, som de bruger i dag. Det vil yderligere bidrage til at øge kompleksiteten og risikoen i mange sikkerhedsløsninger.

Skal sikre juraen
Det er EU-domstolens underkendelse af privacy shield som retsgrundlag for overførsler til USA, der er blevet udmøntet i et sæt af nye guidelines for dataeksportører. Og alle andre muligheder for retsgrundlag rummer mere bureaukrati og besvær.

European Data Protection Board, EDPB, lægger op til, at det er de dataansvarlige, der selv skal sikre sig, at de har et retsgrundlag for, at de kan foretage dataoverførsler. De har også det grundlæggende ansvar for at sikre, at de data, der sendes ud af Europa, er lige så godt beskyttede, som de ville være her. Du kan læse mere om de ganske omfattende krav, der efter de nye anbefalinger vil blive stillet til de dataansvarlige for at beskytte de registrerede her   

Løsning har lange udsigter
Europas dataansvarlige kan godt forberede sig på, at de nye retningslinjer kan komme til at gælde i ganske lang tid. Den bedste løsning har nemlig lange udsigter. 

”Man kunne forestille sig, at amerikansk lovgivning tilnærmer sig europæiske lovgivning på dette punkt. Måske en from drøm, men ikke helt urealistisk. USA er medlem af OECD og dermed ikke er ubekendt med de fundamentale databeskyttelsesprincipper, som går igen i OECDs guidelines, ”siger Henning Mortensen og peger på, at den frygt EU har for masseovervågning fra USA også synes at være til stede i USA i forhold til Kina.

”Der har i USA i de senere år været en stigende kritik af kinesiske hard- og softwareudbydere for at indsamle personoplysninger om og profilere amerikanske statsborgere. Vi har også set Californien etablere lovgivning, som skal beskytte personoplysninger bedre, så en tilnærmelse mellem de to områders regelsæt er måske alligevel en mulighed, siger Henning Mortensen, men understreger, at det næppe ligger lige for.

Den nærliggende løsning
En mere nærliggende løsning kunne i hans optik være, at cloududbyderne ændrer forretningsmodel og benytter sig af europæiske udbydere til at tilbyde deres cloudtjenester. På den måde kunne der etableres en europæisk cloud på tværs af EU-landene med de software-tjenester vi kender i dag, og hvor alle bånd til de amerikanske moderskibe er klippet.

”Det er måske den bedste og mest oplagte løsning, selvom den bliver en del dyrere end de cloudløsninger vi bruger i dag. Men europæisk baserede cloudløsninger bliver helt sikkert ikke lige så dyre, som hvis vi skal gennemføre analyser for alle mulige lande og for alle mulige tjenester og betale bøder hver gang vi vurderer forkert”, siger Henning Mortensen.

Datatilsynet forstår bekymring
Datatilsynet har forståelse for, at de nye retningslinjer ikke gør det nemmere for dataeksportører, men der er på den anden side glæde over, at der nu er kommet nogle anbefalinger til retningslinjer.

"Vi har i Datatilsynet stor forståelse for den bekymring, som Schrems II-afgørelsen har skabt i forhold til den praktiske håndtering af overførsler af personoplysninger til tredjelande. Med vedtagelsen af anbefalingerne har vi dog taget et vigtigt skridt i forhold til at give noget konkret vejledning på dette område, siger kontorchef Anders Aagaard.

Hos IT-Branchen er man netop gået i gang med at kigge på konsekvenserne af anbefalingerne til nye retningslinjer og har endnu ingen kommentarer ud over, at man er glad for, at der er kommet en afklaring af retningslinjerne.

Skrevet af

Kasper Skaanning

Kasper Skaanning, Journalist

Kasper Skaanning er uddannet journalist, og har bl.a. arbejdet som senior kommunikationskonsulent i Nykredit, i Danske Bank og som informationschef i Scandlines.

Klummer

Se alle