Denne klumme er et debatindlæg og er alene udtryk for skribenternes synspunkter.
I skyen er alt tilsyneladende godt, har vi efterhånden fået indlært. Det er billigere, det er hurtigere og først og fremmest mere smart.
Men går man i skyen, skal man være opmærksom på, at man fra dag et i langt højere grad skal være klar til at håndtere sine data og systemer med disciplinen compliance.
Et godt eksempel er Københavns Kommunes aftale med Atea og Microsoft, som har været omtalt i Computerworld og som du kan læse mere om her: Sådan er København Kommunes public cloud-aftale skruet sammen: "Microsoft garanterer, at data forbliver inden for EU"
Hvad dækker udtrykket compliance over?
Compliance er - efter min opfattelse – disciplinen at få samfundet, aftaler og organisationens krav omsat til relevante tekniske og organisatoriske aktiviteter, der medfører det resultat, som kravene er født til at udvirke.
Hertil kan føjes, at disciplinen også indebærer, at man løbende efterprøver, om omsætningen skal justeres, så kravene, som kan have ændret sig, reelt efterleves.
En bred definition
Det er en meget bred definition, der umiddelbart dækker stort set al aktivitet i mange offentlige og private organisationer.
For at kunne bruge ordet compliance på en meningsfuld måde, er det derfor nødvendigt i hvert fald at tilføje ordene målrettet, sammenhængende og afgrænset.
Det er altså kun, når vi arbejder målrettet med at få forskellige krav til på en sammenhængende måde at styre vores tekniske og organisatoriske aktiviteter indenfor et afgrænset område, at vi kan sige, at vi anvender disciplinen compliance.
Set i et complianceperspektiv handlede historien om Københavns Kommune om, hvorvidt kommunens aftale med Atea og Microsoft sikrer, at Københavns Kommune fortsat kan leve op til de krav, som samfundet stiller til kommunens behandling af personoplysninger om borgere og ansatte.
Jeg tænker her selvsagt mest på databeskyttelsesforordningen (GDPR).
Men det er klart, at en offentlig myndighed også skal leve op til andre regler om behandling af personoplysninger. Ofte vil disse andre regler supplere kravene i databeskyttelsesforordningen. I andre tilfælde vil de andre regler udvide mulighederne for at anvende personoplysningerne, det vil reelt sige slække på kravene.
I forlængelse heraf kan det være overraskende for Københavns Kommune, at der knytter sig en lang række afledte complianceaktiviteter til aftalen med Atea og Microsoft.
Her tænker jeg ikke på, at det kan vise sig, at personoplysningerne ved support, udvikling, en beredskabshændelse eller gennem en underdatabehandler havner udenfor EU i strid med det aftalte. Jeg tænker på, at kommunens juristers krav til Atea og Microsoft skal omsættes til en række opgaver for de ansatte.
For nu skal Københavns Kommune tage de krav, som er aftalt, lægge dem ned og få knyttet kontrolaktiviteter, deadlines, roller og ansvar på dem. Og det kan koste ressourcer, og måske skal man overveje, om de nuværende kompetencer er nok, og om de er tilstrækkelige.
Hvordan med risikoappetitten?
Det er uundgåeligt, at prisen for aftalen ikke alene kan aflæses af slutsedlen mellem Københavns Kommune og Atea og Microsoft. Kommunen vil uvægerligt skulle bruge medarbejdertimer til at kontrollere og følge op overfor Atea og Microsoft, hvis man skal gøre tingene ordentligt.
Hvor dyrt det i sidste ende bliver for Københavns Kommune afhænger af i hvert fald kommunens risikoappetit, Datatilsynets undersøgelsesiver og Atea og Microsofts meddelsomhed og efterrettelighed. Og så afhænger slutprisen selvsagt af kommunens dygtighed.
Er man i stand til at skære ind til benet, opdage problemer tidligt, forberede det uforudsete og sørge for, at man løbende får sine ønsker opfyldt? Eller trækker det ud, kommuneledelsen bliver først utålmodig og så ligeglad (”der sker jo intet som helst”) og til sidst kommer ”Sagen” så, som viser, at der ikke blev arbejdet godt nok med compliance, efter kommunen kom i skyen.
I hvert fald må Københavns Kommune forvente, at cloudaftalen indebærer, at nogle medarbejderomkostninger bliver mindre, mens andre stiger, da opgavebilledet hos kommunen har rykket sig gevaldigt. Ud kom teknikerne, ind kom tjeklistefolket.
I forhold til spørgsmålet om placering af personoplysninger kan man med ovenstående in mente med rette spørge til den konkrete sag: Kunne Københavns Kommune have gjort det bedre? Og her tænker jeg på, om kommune nu har sikret sig, at man har gjort sin compliancebyrde så let som mulig.
Jeg har svært ved at se, at Københavns Kommune kunne have gjort det bedre på det punkt.
Er dækket af
Har Microsoft med Atea som mellemmand garanteret, hvilket fremgår af historien, at data ikke flyttes ud af EU, kan kommunen – rent juridisk - være ligeglad med, hvad der faktisk sker i Microsofts maskinrum. Om data reelt flyttes ud af EU ved udvikling, hændelseshåndtering, support eller gennem underdatabehandlere er således underordnet. Kommunen har dækket sig af.
Helt sikker i sin sag synes kommunen dog ikke at være. For i en artikel bragt d. 3. november 2020 får vi følgende yderligere forsikring fra Morten Ellegaard, afdelingschef hos Koncern IT:
”Vi har i vores aftale sikret os, at data ikke forlader EU, da serverne står to forskellige steder i Holland. Data er krypteret. Desuden skal vi godkende, hvis data udleveres på Microsofts opfordring.”
Morten Ellegaard fortsætter:
”Vi kan ikke spå om fremtiden, men det er vores vurdering, at hvis EU-Kommissionen kommer frem til, at der skal tages yderligere foranstaltninger, så vil de foranstaltninger, Københavns Kommune allerede har truffet, formodentlig være dem, man vil kigge på.”
Erkender kommune her, at man godt ved, at borgernes data kan havne udenfor EU i visse situationer, men at man rent teknisk har gjort, hvad der må antages at blive gældende krav til tredjelandsoverførsler på et senere tidspunkt? Det kan i hvert fald læses sådan. Og så må man spørge: Hvad hvis kryptering ikke er nok?
Hvis vi skal se tingene lidt fra oven, kan man sige, at både Microsoft, Atea og Københavns Kommune tager en kalkuleret risiko.
Microsoft og Atea vil ikke miste aftalen, for så kunne andre store kunder jo risikere at løbe bort.
Kommunen vil forståeligt nok gerne forenkle, spare og komme i et antageligt mere sikkert driftsmiljø. Og så accepterer man de gråzoner, der klart for enhver er forbundet med behandlingen. Kun en tilsynssag, der efterprøver, hvor data faktisk er i alle situationer, vil kunne give problemer.
Men i så fald vil det være Microsoft eller måske Atea, der har balladen, for kommunen fik jo en garanti for, at data ikke flyttes ud af EU. Og det har prisen også afspejlet. Og hvor sandsynlig er en tilsynssag, når modparten er Microsoft? Omvendt er det mange borgeres data, det drejer sig om, så en tilsynssag er ikke utænkelig.
Forløbet må endelig antages at danne skole for, hvordan forholdet mellem kunder og it-leverandører udvikler sig set i lyset af deres roller som henholdsvis dataansvarlig og databehandler.
Det er i sidste ende nok fornuftigt, at det er de helt store it-leverandører, der står med ansvaret og bøvlet med, at data ikke forlader EU i nogen situation, hvis det er kundens ønske. Og det har de så fået noget betaling for.
Dermed undgår vi, at tilsynssagerne om personoplysningers placering retter sig mod den enkelte dataansvarlige, der skal forsvare sin eventuelt forkerte brug af Microsoft på vegne af millionvis af kunder. Med denne model har vi forhåbentlig fået placeret tvisten, hvor den hører hjemme: Mellem myndighedernes firkantede jurister og Microsofts mange advokater.
Set i et complianceperspektiv har Københavns Kommune således gjort et fint stykke arbejde for så vidt angår placering af personoplysninger.
Så nu har kommunen tid og ro til at finde ud af, hvordan man vil organisere sit tilsyn og kontrol med, at Atea og Microsoft reelt efterlever alle de øvrige krav i aftalen.
Det er en opgave, som kommunen næppe i disse år står alene med. Skal det lykkes, kræver det nok en lidt højere fleksibilitet fra it-leverandørernes side, end vi historisk har været vant til.
Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling.
Har du en god historie eller har du specialviden, som du synes trænger til at blive delt?
Læs vores klumme-guidelines og send os din tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.