Datatilsynets advarsler preller af på kommune: ”Det vil jeg ikke snakke mig ud af”

Kommunerne har i stor stil lagt kritisk it-infrastruktur i hænderne på amerikanske cloud-udbydere. Alt fra Office-programmer, mails og datalagring bliver hostet via internettet af udbydere som Microsoft. 

Alligevel har tre ud af fire kommuner ingen exitplan for at flytte data og drift til en ny løsning, hvis cloudtjenesten ikke længere kan bruges, viser aktindsigter til Akademikerbladet.

Dermed trodser mange kommuner gentagne opfordringer fra flere danske myndigheder. I Hørsholm Kommune, en af kommunerne uden en exitplan, kalder borgmester Morten Slotved situationen ”meget udfordrende”.  

”Det er da en ærgerlig situation at stå i rent datasikkerhedsmæssigt, det vil jeg ikke snakke mig ud af. Vores data ligger oppe i skyen hos en amerikansk leverandør, og det har vi ikke en løsning på her og nu,” siger Morten Slotved. 

Myndighederne har længe advaret imod det

Advarslerne fra myndighederne er ikke nye. Sandsynligheden for, at den amerikanske regering trækker stikket til cloudtjenesterne, er måske lille, men det udgør alligevel en ”betydelig risiko, som vi er nødt til at planlægge efter,” lød det i april fra Jacob Herbst, forperson for regeringens cybersikkerhedsråd.

Få dage efter fulgte en advarsel til landets myndigheder fra Ministeriet for Samfundssikkerhed og Beredskab.

”Vi anbefaler allerede, at virksomheder og myndigheder lægger exitplaner for brug af eksempelvis cloudtjenester,” sagde beredskabsminister Torsten Schack Pedersen (V) i Politiken.

Siden 2020 har Datatilsynet opfordret virksomheder og myndigheder til at have en exitplan – ikke fordi USA kan trække stikket til skyen, men fordi brugen af cloudtjenester fra den ene dag til den anden kan blive ulovlig, som det skete i den såkaldte Chromebook-sag i 2022.

Hørsholm Kommunes afdeling for Center for Politik, Personale og IT har i en mail til Akademikerbladet begrundet fraværet af en exitplan med, at dataaftalen mellem EU og USA fortsat er gældende, og at Hørsholms brug af amerikanske cloudtjenester derfor er lovlig.

Det er dog ikke derfor, at kommunen ikke har udarbejdet en exitplan, uddyber Morten Slotved.

”Vi er en lille kommune med 25.000 indbyggere og har ikke lige fem personer ansat til at finde ud af, hvad vi gør. Så ja, vi er afhængige af techvirksomhederne, og det er en kæmpe udfordring. Men vi prøver at presse vores leverandører og lytter til, hvad andre gør,” siger Morten Slotved.

”Og så kan du sige meget negativt om Microsoft, men de har altså et sikkerhedsniveau, som jeg ikke er sikker på, at vi som mindre kommune har ressourcerne til at sikre, hvis vi i stedet for skulle bruge open source.”

Men uanset hvad siger Datatilsynet, at I skal have exitplaner, så I hurtigt kan hjemtage data og skifte leverandør?

”Jeg tror, at vi som kommuner skal læne os meget op ad det, som Kombit (Kommunernes it-fællesskab) kan garantere. Det er hos Kombit, vi har de fleste af vores store systemer, og det er et professionelt selskab, der kan håndtere de her udfordringer, og det er dem, vi kan stille krav til,” siger Morten Slotved.

I det hele taget mener han, at et styrket it-fællesskab på tværs af kommunerne er svaret på den udfordring, som exitplanerne adresserer – handlekraft til at forlade et cloudmiljø og have brugbare alternativer på hånden.

”Det er vel også derfor, at regeringen og KL har aftalt, at kommunernes it-drift skal samles i fire-fem fælles centre,” siger Morten Slotved, der tilføjer:

”Jeg prøver ikke at snakke mig ud af det her, for vi har en udfordring.  Datatilsynet siger så, at vi skal have en ekstra strategi, og det gør, at jeg lægger et ekstra pres på mine leverandører. Dem, vi er afhængige af, skal vise, at de har erfaringer med exit-strategier.”