Trods officiel advarsel: Tre ud af fire kommuner har ingen Plan B, hvis Trump trækker stikket
Kommunerne skal have exitplaner i skuffen for at beskytte deres data, siger blandt andre beredskabsminister Torsten Schack Pedersen (V). Men ganske få kommuner følger anbefalingen, viser aktindsigter. Imago/Ritzau Scanpix
74 kommuner har ingen exitplan, hvis de bliver tvunget til at droppe amerikanske cloudtjenester. Det viser en kortlægning fra Akademikerbladet.
Siden 2020 har Datatilsynet advaret om, at brugen af amerikanske cloudløsninger fra den ene dag til den anden kan blive ulovlig.
Advarslen er rettet mod blandt andet landets kommuner, der i stigende grad køber internetbaserede tjenester til at opbevare og anvende data om borgerne.
Det er data, der er omfattet af EU’s regler om beskyttelse af personoplysninger, og kommuner og andre myndigheder skal derfor have en klar plan for at exitte samarbejdet, lyder anbefalingen fra Datatilsynet.
Alligevel har 74 ud af 98 kommuner ikke udarbejdet exitplaner, viser aktindsigter til Akademikerbladet.
“Det tyder på at de pågældende kommuner har et alvorligt problem,”siger David Ulrik Kristiansen, chef for Governance, risiko og compliance i Prueba Cybersecurity.
Han kalder Akademikerbladets kortlægning “bekymrende.”
“Uden en exitstrategi gør du dig sårbar, fordi din handlekraft bliver svækket. Det er basal risikostyring. En exitplan bør være en integreret del af enhver cloudservice, så du altid ved, hvad I gør i morgen, hvis løsningen falder væk,” tilføjer han.
Seks kommuner oplyser, at de har udarbejdet exitstrategier eller arbejder på sagen, mens 17 enten har afvist aktindsigt eller ikke har svaret.
Flere mindre kommuner oplyser til Akademikerbladet, at de mangler ressourcer til at lave exitplaner. Andre henviser til, at den nuværende dataaftale mellem EU og USA stadig er gældende.
Det gælder blandt andre Hørsholm Kommune, der i stedet for at følge Datatilsynets anbefalinger “afventer udmeldinger fra EU og staten”.
”Som følge heraf har vi ikke udarbejdet dokumenter, der konkret kan betegnes som en cloud-exitstrategi,” skriver Julie Appelt Honoré, der er chef for kommunens Center for Politik, Personale og IT, i en mail til Akademikerbladet.
I Haderslev giver man en lignende begrundelse.
”Haderslev Kommune forholder sig som udgangspunkt kun til gældende lovgivning, hvorfor arbejdet med cloud-exitstrategier endnu ikke er behandlet,” skriver Anders Juel Sørensen, teamleder i kommunens digitaliseringsafdeling.
Men “opgaven vil blive prioriteret”, tilføjer han, hvis lovændringer eller domsafsigelser kommer til at påvirke det juridiske grundlag under cloudløsningerne.
EU-domstolen kan fra den ene dag til den anden underkende grundlagetAllan Frank, IT-sikkerhedsspecialist og jurist i Datatilsynet
I strid med Datatilsynets anbefaling
Tidligere udmeldinger fra Donald Trump har skabt tvivl om USA’s forpligtelse overfor den nuværende aftale for dataoverførsler, det såkaldte EU-US Data Privacy Framework (DPF).
Microsoft lovede i april at bekæmpe enhver regerings ordre om at lukke dets cloudtjenester. Men da Microsoft i maj lukkede en mailkonto tilhørende chefanklageren ved Den Internationale Straffedomstol (ICC), muligvis efter ordre fra amerikanske myndigheder, rejste det fornyet frygt fra europæisk side.
Senest har Microsofts juridiske chef i Frankrig under en høring i det franske senat bekræftet, at firmaet ikke kan garantere, at EU-borgeres data ikke udleveres til amerikanske myndigheder.
Ifølge Allan Frank, IT-sikkerhedsspecialist og jurist i Datatilsynet, er kommunerne nødt til at tage højde for, at deres brug af cloud-tjenester pludselig kan blive ulovlig:
”EU-domstolen kan fra den ene dag til den anden underkende grundlaget for at overføre data til USA. Det er netop derfor, vi anbefaler exitstrategier,” siger Allan Frank og henviser til den såkaldte Schrems 2-dom.
Det undrer Allan Frank, at mange kommuner i Akademikerbladets kortlægning begrunder manglen på exitstrategier med, at det er leverandørens ansvar at sikre lovligheden.
Det gælder blandt andre i Ringkøbing-Skjern.
”Vedrørende de systemer, hvor Ringkøbing-Skjern Kommune har indgået en aftale med leverandøren, er ansvaret for en exitstrategi fra leverandørens cloudservice-leverandørens ansvar, og ikke Ringkøbing-Skjern Kommunes ansvar,” skriver kommunen til Akademikerbladet.
Men den forklaring køber Allan Frank ikke.
”Det er ville jo være herligt, hvis man kunne vælte ansvaret over på leverandøren, men i sidste ende er det Ringkøbing-Skjern, der er dataansvarlig, og i sidste ende er det Ringkøbing-Skjern, der står på mål for, at de har en lovlig forvaltning”, siger Allan Frank.
Akademikerbladet har ikke set Ringkøbing-Skjerns leverandørkontrakter, men Allan Frank peger på, at underleverandører som regel har ret til at ændre vilkårene, typisk med 30 til 180 dages varsel.
”Bare for at nævne et eklatant eksempel, kunne det jo være, at jeg som leverandør pludselig beslutter mig for at benytte en underdatabehandler, der befinder sig i Kina”, forklarer Allan Frank.
”Så har jeg måske 30 eller 180 dage, før databehandlingen bliver ulovlig, og så vil min eneste mulighed være at opsige kontrakten. Og selv 180 dage er kort tid til at skifte leverandør og flytte data og applikationer. Det er ikke usædvanligt at det tager op til to år ”, siger Allan Frank.
Alle de her forskellige forklaringer viser jo, at kommunerne er i lommerne på de store teknologiselskaberJacob Herbst, formand for regeringens Cybersikkerhedsråd
I lommerne på techgiganter
Også Jacob Herbst, formand for regeringens Cybersikkerhedsråd og partner i cybersikkerhedsfirmaet Dubex, er forundret over, at kommuner, der ikke har fulgt anbefalingen fra Datatilsynet, sender bolden videre til leverandørerne.
”Det er jo bare det samme som at sige, at man ikke har en strategi, hvis man mener, at leverandøren skal løse problemerne. For en exitstrategi går jo netop ud på at kunne skifte leverandør”, siger han.
En lang række kommuner argumenter, at de under alle omstændigheder vil være i stand til at hjemtage data til egne datacentre, eller at de har sikkerhedskopier af kritiske data.
”Det giver naturligvis rigtig god mening at have sikkerhedskopier. Men det løser ikke den udfordring, som en exitstrategi skal adressere adresser. For sikkerhedskopier ligger formentlig i et format, der ikke kan bruges til noget, før de er integreret med den service og den funktionalitet, som leverandørerne stiller til rådighed,” siger Jacob Herbst.
Han har set en lang række af de svar, kommunerne har givet til Akademikerbladet, og peger på et altoverskyggende problem:
”Alle de her forskellige forklaringer viser jo, at kommunerne er i lommerne på de store teknologiselskaber, og der er ingen nem vej ud. Det er hamrende svært. Kommunerne ved godt at de skal have alternativer på hånden, men de sparker dåsen hen ad vejen og lukker øjnene.”
Men ifølge Allan Frank er kommunal passivitet overfor techselskaberne ikke en mulighed.
”Selvfølgelig er det et generelt problem. Men det er også skuffende, at man ikke arbejder på at komme et spadestik dybere og foregribe begivenhedernes gang. For det er gået galt tidligere, og i sidste ende er det kommunens ansvar at forvalte på et lovligt grundlag,” siger han.
Kommunernes Landsforening erkender, at der er brug for handling.
”Vi står i en ny situation og sikkerhedspolitisk virkelighed, som vi selvfølgelig er nødt til at forholde os til. Derfor er der også brug for, at vi får lavet planer for, hvad man kan gøre, hvis der sker noget uventet,” lyder det fra kontorchef Frederik Nordentoft Andersen, der samtidig efterlyser større handlefrihed i valg af leverandører.
”Men det er komplekst, og derfor skal vi også tænke os godt om,” skriver han i en mail til Akademikerbladet.
Beredskabsminister Torsten Schack Pedersen (S) gentager i en kommentar til Akademikerbladets kortlægning myndighedernes anbefaling om, at kommunerne udarbejder exitstrategier.
”Myndighederne anbefaler, at virksomheder og myndigheder generelt har exitplaner og backup-planer, der beskytter deres data, hvis et samarbejde ophører – dette gælder både ved varslede og uventede hændelser,” siger han.
Han henviser også til, at kommunerne siden 1. juli har skullet leve op til det såkaldte NIS-2-direktiv, der medfører en række nye, skærpede krav til cyber- og informationssikkerhed, herunder den digitale forsyningskæde.
“Styrelsen for Samfundssikkerhed har en tæt dialog med kommunerne om rammerne for efterlevelse af de nye krav, og det er forventningen, at implementeringen af NIS 2 vil højne kommunernes cyber- og informationssikkerhedsniveau betragteligt,” bemærker beredskabsministeren.
Ifølge Cybersikkerhedsrådets formand Jacob Herbst viser udfordringen med exit-strategier, at det ikke er nok med en national indsats. Der er behov for europæisk handling, mener han.
”Man bliver nødt til at have nogle realistiske europæiske alternativer til de amerikanske selskaber, før det for alvor giver mening for kommunerne at lave exit-strategier. Som det er nu, er kommunerne simpelthen for små til at vride sig løs af Microsoft.”
