Computerworld mener: I månedsvis har flere danske kommuner og deres leverandør KMD, sendt borgeres beskæftigelsesdata til Microsofts Azure-servere udlandet.
Det er ikke et sikkerhedsproblem. For historierne fra Se & Hør-sagen (Nets) og hackersagen der ramte CSC (nu DXC) har vist, at vores data sandsynligvis ligger lige så sikkert i clouden som herhjemme.
Det er heller ikke et egentligt GDPR-problem, for lignende data fiser hver dag over grænsen.
Det er heller ikke ulovligt.
For der er ikke pt. nogen lovgivning på området. Kun aftaler og vejledninger. Og de peger ifølge nogle myndigheder, på, at data ikke må passere landets grænser - mens andre ikke ser et problem i dette. Bare de almindelige retningslinjer overholdes.
Og her har vi problemet.
Staten har givet sig selv et pusterum
For mens private virksomheder, offentlige myndigheder, sportsklubber og spejdere har kæmpet med at få GDPR-lovgivningen på plads inden 25. maj, så har staten tilsyneladende givet sig selv et pusterum, som skulle bruges til at finde ud af, hvad den såkaldte krigsregel reelt dækker over.
Krigsreglen anvendes til at udpege data, der skal kunne slettes i tilfælde af krig og derfor ikke må forlade landet.
Vi under gerne staten det pusterum. For den teknologiske udvikling kan tage pusten fra enhver lovgiver.
Problemet er, at den ekstra tid tilsyneladende ikke er blevet brugt til noget fornuftigt.
Kaotiske tilstande
I stedet hersker der, når Computerworld spørger de ansvarlige myndigheder, nærmest kaotiske tilstande:
Kommunernes fællesorganisation, KL bliver skældt ud af beskæftigelsesministeren, nogle oplysninger er helt nye for KMD, mens kommunerne tilsyneladende selv har glemt, at de skal håndhæve aftalen med staten.
Og da justitsminister Søren Pape Poulsen (C) tirsdag lovede Computerworld, at ministeriet ville levere en klar vejledning inden nytår, annoncerede beskæftigelsesminister Troels Lund Poulsen (V) samtidig, at han havde bedt Kammeradvokaten om at lave ”en klar juridisk vurdering”.
Vi ved ikke, hvordan arbejdsgangene er i din organisation. Men vi håber, at de er både klarere og mere effektive end ovenstående.
Og resultatet er, at et så omfattende og vigtigt system som Aula reelt skal udvikles i et vakuum, hvor der hele tiden skal skeles til muligheden for, at det store cloud-baserede system skal afvikles i et dansk datacenter.
Det er ikke fair over for kommunerne, leverandørerne og for skatteborgerne, som i sidste ende får regningen, hvis systemerne efterfølgende skal rykkes op med roden og flyttes til Danmark.
Undskyldning om teknologisk hastighed går ikke
Undskyldningen, som dukker op igen og igen er, at teknologien kører hurtigere end lovgivningen.
Men den undskyldning virker ærligt talt en smule hul i lyset af, at ordlyden i krigsreglen blev ændret i forbindelse med GDPR-implementeringen 25. maj 2018 - som var undervejs i flere år.
På Computerworld synes vi, at sagen er ret oplagt: Ministrene og embedsværket skal få styr på ansvarsfordelingen, få etableret en krigsregel, som indeholder reelt kritiske militær- og valgdata – og så skal de give plads til faste rammer for den teknologiske udvikling, som for længst har overhalet statens nølen.
Ideelt set havde det været bedst, hvis KMD, kommunerne og alle de andre aktører havde overholdt de eksisterende aftaler. For den manglende overholdelse svækker mulighederne for at anvende ny teknologi.
Pilen peger på ministrene
Men lige nu peger pilen på ministrene. Og her virker det mest af alt oplagt gennemgå data i de eksisterende løsninger og projekter med en tættekam – med det formål at blåstemple de nuværende projekter.
Samtidig viser sagen også, hvor uholdbart det er, når de teknologiske muligheder og lovgivningsarbejdet udvikler sig i hvert sit tempo – hvor både borgerens retssikkerhed og leverandørernes indsats fastholdes i limbo.
”Det er skadeligt for markedet, udviklingen og innovationen at vente. Det er skadeligt for Danmark.” siger direktør for IT-Branchen, Birgitte Hass, til Computerworld i denne artikel.
Birgitte har helt ret.
Læs også:
Her er kommunerne, der i strid med aftale med staten sender personfølsomme data til udlandet