Høringssvar: Opmærksomhedspunkter for Cloud

KL finder det positivt, at Datatilsynet har udarbejdet udkast til en vejledning om cloud, da særligt Schrems II-dommen har skabt stor usikkerhed hos kommunerne om brugen af cloud-løsninger.

Afsnit 2, "Hvad er cloud?"

Cloud er både teknisk og juridisk et svært tilgængeligt emne. Derfor vil KL også opfordre til, at vejledningen gøres lettere tilgængelig. Både hvad angår sprog, herunder lix, og ved at indføje eksempel bokse som i den netop udgivne vejledning om overførsel af personoplysninger til tredjelande. Særligt er afsnit 2, "Hvad er cloud?" meget teknisk i sin beskrivelse, eksempelvis i gengivelsen af de forskellige servicetyper opregnet på side 2 og de forskellige cloud modeller på side 3. Her vil konkrete eksempel bokse være en hjælp. Adressering af "follow the sun princippet" vil det også være godt at få beskrevet. Kan man have cloudløsninger, som ikke flytter sig med solen, og i givet fald hvad er så gevinsten herved? Enkle beskrivelser af de forskellige tekniske løsninger vil bidrage til den generelle forståelse af emnet. Forkortelser og begreber som API´er (s. 2m.), "on-premise infrastruktur" (s. 3, 3. bullet), CRM og CMS samt "fødereret PKI funktionalitet", s. 3n., må også gerne blive forklaret.

Afsnit 3, "Databeskyttelsesretlige opmærksomhedspunkter", "Kend dine services"

I vejledningens afsnit 3, i afsnittet "Kend dine services" understreges det, at man som dataansvarlig skal "... kunne dokumentere overholdelse af hele forordningen og ikke kun dennes principper." Og efterfølgende "... skal den dataansvarlige sikre sig og kunne dokumentere, at databehandlerkonstruktionen i sin helhed sikrer overholdelse af databeskyttelsesreglerne." Herefter opregnes der i punktform en række spørgsmål til databehandleren. Det er uklart ud fra afsnittet, om der stilles nye krav til dialogen med leverandøren udover den dialog, som er afspejlet i den indgåede databehandleraftale, hvor de nærmere detaljer omkring den aftalte behandling er nærmere beskrevet.

I afsnittet nævnes der også, at det skal kunne dokumenteres om "metadata og andre styringsdata" er personoplysninger eller ej. KL vil anbefale, at der her indsættes et eksempel på, hvor data om persondata kan være personoplysninger.

Afsnit 3, "Databeskyttelsesretlige opmærksomhedspunkter", "Kontrol med databehandlere"

I afsnittet "Kontrol med databehandlere" gennemgås den trinvise model for tilsyn med databehandlere, som er beskrevet i Datatilsynets endnu ikke offentliggjorte vejledning om tilsyn med databehandlere. KL har mundtligt haft mulighed for at kommentere udkastet til vejledningen på møde med Datatilsynet den 31. aug.

På mødet har KL fremført følgende bemærkninger:

• I pointmodellen er automatiserede afgørelser samt behandling af oplysninger om sårbare personer, herunder børn, ældre, psykisk syge, patienter og asylansøgere medtaget som eksempler på særlige, indgribende behandlinger, der giver en højere score og dermed fordrer et mere omfattende (og dermed dyrere) tilsyn. Efter KL´s opfattelse betyder automatiserede afgørelser ikke automatisk, at der behandles eller opnås særligt fortrolige eller beskyttelsesværdige oplysninger. Ligeledes er behandling af oplysninger om "sårbare personer" ikke nødvendigvis særligt indgribende behandlinger. Den skitserede kategorisering vil betyde, at en stor del af de kommunale systemer vil falde i en kategori, hvor der skal føres dyrere tilsyn.
• Flere steder i vejledningen indikeres det, at den dataansvarlige har ansvaret for at føre tilsyn med databehandlerens underdatabehandler. Dette er dog ikke tilfældet, idet det i vejledningens afsnit 8 præciseres, at det er databehandleren, der har ansvaret for at føre kontrol med underdatabehandleren. Derfor er det uheldigt, at teksten "Det er vigtigt i denne forbindelse at forstå, at "databehandlere" også omfatter underdatabehandlere (leverandører) til databehandleren." er medtaget i nærværende udkast til vejledning om cloud s. 6m.

Afsnit 3, "Databeskyttelsesretlige opmærksomhedspunkter", "Cloud og USA"

Det er særdeles positivt, at Datatilsynet i vejledningsudkastet giver en konkret vurdering af, hvad Schrems II-dommen betyder for kommunernes muligheder for at anvende amerikanske cloud-leverandører. Både i og uden for EU. Som KL forstår vejledningsteksten er det reelt kun, hvis data ikke er relevante for den amerikanske efterretningstjeneste, at personoplysninger kan overføres til USA. Det fremgår af vejledningens s. 8n, at "Det er Datatilsynets opfattelse, at denne undtagelse giver et reelt rum, også i praksis, for nogle typer af overførsler. Der vil være typer af persondata, der objektivt dokumenterbart ikke er efterretningsmæssigt efterspurgte." Da muligheden for fortsat at kunne overføre data til USA afhænger af, at denne undtagelse vedrørende ikke efterretningsmæssigt efterspurgte data tages i brug, vil KL kraftigt opfordre til, at der udarbejdes uddybende tekst og/eller en liste over, hvilke persondata der kan være tale om.

Afsnit 3, "Databeskyttelsesretlige opmærksomhedspunkter", "Behandlinger foretaget i EU/EØS af USA-baserede firmaer"

KL har i forbindelse med høringen over Datatilsynets udkast til opdateret vejledning om overførsel til tredjelande (3. udg.) påpeget behovet for afklaring af, hvordan kommunerne skal forholde sig til cloud leverandører, der tilbyder opbevaring af data inden for EU´s grænser men, som er underlagt tredjelandslovgivning, hvorefter data kan kræves udleveret til tredjelandets myndigheder. Det er derfor særdeles positivt, at dette nu er beskrevet i vejledningen om tredjelandsoverførsler (eksempel 10) og, at denne tekst nu også er medtaget i udkastet til cloud-vejledningen. Som KL læser vejledningen, vil det nu være muligt for kommunerne at anvende tredjelandsleverandører, der behandler data inden for EU´s grænsker. Det fordrer blot, at "... den dataansvarlige kun [må] benytte databehandlere, som kan sikre tilstrækkelige garantier for, at databeskyttelsesforordningens regler bliver overholdt. I den forbindelse bør den dataansvarlige anmode databehandleren om tydeligt at tilkendegive, om denne er underlagt lovgivning i tredjelandet, som på trods af den dataansvarliges instruks om det modsatte – pålægger databehandleren at udlevere personoplysninger, som befinder sig i EU/EØS, til tredjelandets myndigheder." KL savner imidlertid en uddybning og afklaring af dette krav. Hvad er konsekvensen af, at fx en amerikansk leverandør oplyser, at denne er underlagt lovgivning i tredjelandet, som pålægger databehandleren at udlevere personoplysninger, som befinder sig i EU/EØS? Dette formoder KL vil være tilfældet af den amerikanske lovgivning, FISA Sec 702, jf. vejledningens s. 8ø. En afklaring af dette forhold har stor betydning for kommunernes muligheder for at anvende amerikanske leverandører. KL skal derfor kraftigt opfordre til præcisering heraf.