Den såkaldte Schrems II-dom fra 2020 sår tvivl om, hvorvidt virksomheder og myndigheder kan bruge amerikanske skytjenester fra fx Google, Apple, Microsoft og Amazon uden at komme på kant med GDPR. Formand for Rådet for Digital Sikkerhed Henning Mortensen forudser ”uoverstigelige” problemer, hvis der bliver sat en prop i muligheden for at bruge tjenesterne. 

- Vi vil få dårligere it i en periode, hvor vi ikke kan det, vi plejer at kunne, siger han.

Man vil miste en masse funktionaliteter og være nødt til at bygge både programmeringsværktøjer og datacentre op fra bunden. I hvert fald indtil der bliver fundet en europæisk løsning. 

- Så skal folkeskolen og kommunen have serveren hjem at stå i kælderen eller på danske datacentre, siger formanden.

"Voldtsomt" at droppe tjenesterne

Vil man være på den sikre side, er man nødt til at sige, at man ikke kan bruge skytjenesterne, mener lektor i persondataret ved SDU Ayo Næsborg-Andersen. Men det vil være “voldsomt”.

- Vi kan ikke lukke alting, mens vi finder ud af, hvordan vi får det til at fungere. Alternativet ville være værre, siger hun.

Det danske datatilsyn har da også en mere pragmatisk tilgang til spørgsmålet.

- De vil hellere finde en løsning end at fare frem med den store pegefinger, siger lektoren. 

Det efterlader plads til at afprøve ting i virkeligheden. For Datatilsynet har ikke udelukket, at man godt kan bruge tjenesterne uden at komme i problemer med lovgivningen.

- Man kan tænke sig til tusindvis af hypotetiske problemstillinger, men det er først, når man har prøvet det, man finder ud af, hvordan det fungerer, siger jurist ved tilsynet Allan Frank.

I konkrete tilfælde som i Helsingør-sagen er tilsynets opgave dermed at efterprøve, om kommunen er nået frem til det rigtige resultat.  

Efterlyser exitstrategi

Datatilsynets Allan Frank anerkender også, at risikoen ved at trække stikket på skyløsningerne kan være større end risikoen for, at de amerikanske myndigheder rent faktisk begynder at kigge i personoplysninger. Han ser dog gerne, at kommunerne ikke bare sidder i venteposition, men sætter sig ind i, hvilke risici der er ved deres databehandling.

- Man behøver ikke at sidde og vente på, at Datatilsynet kommer med noget. Find nu ud af, om du bruger nogle af de her ydelser, og hvad du bruger dem til. Hvis du overfører oplysninger til USA, kan du så lovligt gøre det? Det er den vurdering, man skal foretage, siger han. 

- En exitstrategi er ikke at sidde med hænderne i skødet, men at man kigger på, hvad der er af lovlige alternativer.

Formanden for Rådet for Digital Sikkerhed, Henning Mortensen, tror, at det mest sandsynlige er, at udbyderne ændrer på deres leverancer, eller at der findes en politisk løsning på problemet. Den lader i givet fald vente på sig. Dialogen mellem EU og USA begyndte allerede i august 2020, og i marts sidste år blev forhandlingerne intensiveret. 

Ingen facitliste

I mellemtiden er de danske kommuner efterladt på dybt vand. For selv hvis man følger en vejledning fra Datatilsynet, kan man ikke være 100 pct. sikker på, at man overholder GDPR-forordningen, mener Ayo Næsborg-Andersen.

Hun opfordrer kommunerne til at undersøge markedet og overveje, hvad der kunne være af andre løsninger. Selvom hun ikke vil råde dem til at købe noget lige nu, er der ikke noget i vejen for at se sig om, mener hun.

- Der findes ikke nogen facitliste. Man kan ikke være sikker. Det er altid op til den dataansvarlige at finde ud af, hvad der er op og ned. Vi kan give en brugsanvisning på, hvilke overvejelser der skal gøres, og forsøge at gøre rådgivningen så specifik som muligt, siger Datatilsynets Allan Frank.

Som dataansvarlig skal man kunne dokumentere, at det, man gør, er i overensstemmelse med forordningen. Det ligger i lovgivningen. Og det efterlader et meget lille råderum at agere indenfor. 

- Hvis man er i tvivl om, hvorvidt man kan bruge en bestemt skytjeneste, så kan man ikke. Og så skal man stoppe, siger han.