Når europæiske virksomheder benytter amerikanske selskabers cloud-løsninger, skal de forholde sig til risikoen for, at de persondata, de behandler, ender hos amerikanske myndigheder. Amerikansk lovgivning har lige siden 1981 gjort det muligt for bl.a. NSA at kræve adgang til selskabernes data, også selv om de omfatter oplysninger om europæere. Denne adgang i er udvidet flere gange siden. Der findes fornuftige, brede, europæiske alternativer, som kan tages i brug med det samme. Her er 15 cloud-tjenester i EU.
EU og USA har to gange indgået aftaler om overførsel af data, men de er begge blevet underkendt af EU Domstolen i henholdsvis 2015 og 2020. Samtidig har EU-domstolen fastslået, at der ikke kan udformes en gyldig aftale, så længe den amerikanske lovgivning ikke ændres.
Det Europæiske Databeskyttelsesråd peger på, at man kan benytte Standard Contractual Clauses (SCC’er) til at sikre, at databeskyttelsesniveauet i USA svarer til det, vi har i EU. Det forudsætter, at den dataansvarlige i EU udfører en Transfer Impact Assessment (TIA), og derefter vurderer, hvad risikoen er for at overføre og hvordan den risiko kan elimineres eller mitigeres. Tilsvarende kan koncerner benytte sig af Binding Corporate Rules (BCR).
Ingen af disse instrumenter kan dog forhindre dataoverførsler til USA og heller ikke fjerne den mulighed for adgang, som amerikanske myndigheder er tillagt. Men ved hjælp af tekniske foranstaltninger som kryptering og pseudonymisering af data vil den dataansvarlige kunne reducere sin risiko. På samme måde kan organisatoriske foranstaltninger bidrage til en bedre beskyttelse af data. De omfatter fx forpligtelser til udbyderen om at oplyse den dataansvarlige om myndighedskrav til adgang.
Læs artikel her om, hvordan EU og US datalovgivning clasher
Flere eksperter har udtalt, at der for de amerikanske selskaber kun er to mulige løsninger: Enten at de udlicenserer deres software til EU-firmaer eller at den amerikanske regering ændrer sin lovgivning. Ingen af disse løsninger virker realistiske på kort sigt.
Dataetisk stiller vi krav til fuld transparens og kontrol med egne data, og i det lys arbejder vi i denne guide med udelukkelse af udbydere, hvis underleverandører eller investorer er registreret i USA. Vi ønsker med andre ord, helt at udelukke risikoen for, at data bliver udleveret til amerikanske myndigheder.
Denne guide opstiller derfor en række alternative leverandører af cloud- og datacenterløsninger i EU. Der findes fornuftige, brede, alternativer, som kan tages i brug med det samme. Vi nævner også enkelte udbydere, som lige nu må betegnes som ikke helt modne, men med potentiale til at komme i betragtning indenfor en overskuelig fremtid.
Brug guiden til at undersøge muligheden for at vælge en sikker cloud-udbyder, som ikke påfører din virksomhed eller organisation en øget risiko, fordi de sender data videre til usikre tredjelande som USA, som sidder på en stor del af cloud-markedet i Europa.
Det har en pris at forlade de dominerende cloud-tjenester
Cloud-udbydere som Amazons AWS og Microsofts Azure og MS365 er på flere områder længere fremme end deres EU-konkurrenter. Det skyldes først og fremmest, at særligt Amazon opfandt den måde at tilbyde fleksibel og skalérbar computerkraft på, som vi omtaler som ”cloud”. Dernæst har Microsoft og Amazon formået at opbygge avancerede funktioner, fordi de råder over en enorm kundebase og har næsten ubegrænsede midler at arbejde med.
Det har således en pris at forlade Microsoft, Amazon og Google, som kan tilbyde flere funktioner end de europæiske alternativer. Til gengæld opererer man lovligt og støtter opbyggelsen af en europæisk vital cloud-infrastruktur.
Men hvordan vurderer man, hvilke udbydere, der bedst opfylder de europæiske krav til databehandling og datasikkerhed? Nedenfor foreslår vi et sæt kriterier, der kan anvendes til at vurdere, om udbyderne og deres underleverandører sikrer effektiv databeskyttelse.
Det skal bemærkes, at det naturligvis heller ikke umiddelbart vil være i overensstemmelse med EU-kravene at benytte f.eks. kinesiske AlibabaCloud, som har et datacenter i Frankfurt. De kan være underlagt kinesisk lovgivning eller kan sende data til Kina – også Kina er et usikkert t tredjeland i et databeskyttelsesperspektiv.
Vurderingskriterier
Nedenfor ser vi først og fremmest på mulige cloud- og datacenterudbydere, som enten ikke overfører persondata eller kan blive tvunget til at overføre data til et usikkert tredjeland. Først når vi ved, at data behandles med respekt for kravene til databehandling og behandlingssikkerhed, kan vi se på, hvad disse sikre cloud-udbydere ellers kan tilbyde.
For at vurdere om en cloud-udbyder er et sikkert alternativ til de amerikanske udbydere, undersøger vi det økonomiske ejerskab både for udbyderen og for dennes underleverandører. Hvor har de juridisk hovedsæde? Hvis der på noget tidspunkt i dataflowet mellem leverandør og underleverandør kommer et firma ind over, som er underlagt amerikansk lovgivning, eller hvis data flyder igennem et kinesisk datacenter, så er der en risiko, og udbyderen eller løsningen kan ikke bruges uden at tilsidesætte EU-kravene.
Efter at vi har undersøgt det absolut vigtigste kriterie, økonomisk og juridisk ejerskab, har vi også set på en række andre kriterier som funktionalitet, om de er baseret på open source teknologier, hvor hurtige servere de har og dokumentation herfor.
Funktionalitet
De sikre alternativer har vi også vurderet ud fra funktionalitet i form af teknologier og services til opbevaring og transmission af data, herunder forskellige cloud-typer og container software, tilgængeligheden til udviklings- og udrulningsmiljøer, samt deres certificeringer grønne profil.
De amerikanske udbydere har været i gang i meget længere tid, end de europæiske alternativer, og er kun blevet bedre i takt med øget antal brugere. Det betyder naturligvis, at de kan tilbyde mere modne og avancerede løsninger.
Nedenstående skema viser, at især udbydere i Tyskland og Frankrig kan tilbyde løsninger, som indeholder de funktionaliteter, der er efterspørges hos brugere.
Når det gælder almindelige funktioner som at stille virtuelle servere, netværk og diskplads til rådighed, så er der i EU rigtigt mange alternativer. Containere, software-baseret netværk, virtuelle firewalls og loadbalancers er alt sammen muligt at finde hos EU-udbydere. Mange kan tilbyde, at du kan bygge hele din infrastruktur i en public cloud i sikkerhed indenfor EU, men kun ganske få kan levere avancerede ydelser i form af f.eks. microservices.
Microservices er relativt nyt og består af små ”pakker” af funktionalitet som man kan tilføje til sin løsning med et par klik. Det kan være en særlig beregner med machine learning (ML) eller en komponent der løser en anden meget specifik og avanceret opgave. Ved at bruge disse ”byggeklodser” kan man sammensætte eller udvide egne løsninger og samtidigt begrænse mængden af egen udvikling. Man kan spare meget tid ved at bruge den type ydelser.
Flere og flere virksomheder har set fordelene i at benytte container-software som Kubernetes, også kaldet K8s eller ”Kates” samt Docker. Ved at bruge den slags software i skyen, kan man lægge et abstraktionslag ind mellem cloud-leverandørens infrastruktur og sin applikation. Det gør også at man er uafhængig af cloud-udbyder og relativt nemt kan flytte fra f.eks. Microsoft Azure til f.eks. franske Ikoula eller tyske First-colo, som tilbyder Kubernetes-as-a-Service. Et første skridt i flytteplanlægningen kan således være at få sine applikationer flyttet til containers.
Alle de anførte udbydere kan levere grundlæggende cloud-ydelser. Nogle kan noget mere og er værdige udfordrere til de amerikanske firmaer. Dem ser vi på i de næste afsnit.
De europæiske cloud-tjenester
Hvis man skal se på cloud-leverandører som kan tilbyde ydelser, der kan levere et udvalg af løsninger, som kan være med til at f.eks. Amazon Web Services (AWS), Microsoft Azure eller Google Cloud Platform, så er der en del firmaer i Frankrig og Tyskland, der ikke deler data med myndigheder i usikre tredjelande. Også i Sverige og Finland, findes alternativer som bør overvejes.
Nedenfor er anført de alternativer, som vi har vurderet som sikre i forhold til at ikke sende data til behandling i usikre tredjelande:
Hetzner, Germany
Noris, Germany
RegioIT, Germany
firstcolo, Germany
T–Systems, Germany
Stackit.de, Germany
Ikoula, France
Data4group, France
Scaleway, France
Orange, France
Upcloud, Finland
ElastX, Sweden
Rackfish, Sweden
Motus, Denmark
NNIT, Denmark
DLX, Denmark
Tyskland
De leverandører i Tyskland, som lever op til kravet om ikke at have amerikansk ejerskab eller underleverandører, og som samtidigt har et avanceret cloud-katalog med kundevendt konsol, er primært Noris Network og Hetzner Cloud.
Hetzner er nok det mest oplagte alternativ til de amerikanske udbydere, da de har et stort udvalg af løsninger og stiller et API til rådighed for dem, som vil bygge deres egen cloud-management konsol ovenpå Hetzners udstyr. Flere europæiske virksomheder benytter allerede Hetzner i et eller andet omfang. De er nemme at komme i gang med at bruge og har et meget højt serviceniveau – også når det skal foregå på engelsk.
Noris Network er en lidt overset udbyder, men er et absolut interessant alternativ på niveau med Hetzner. De har et meget stort udvalg af features og meget høje standarder for sikkerhed. Blandt deres kunder tæller de alt fra Adidas til Vodaphone.
Deutsche telekoms datterselskab T-Systems, har et velassorteret cloud-program på open-telekom-cloud.com. Og på trods af det knap så mundrette navn First-colo.net, så er firmaet også et interessant bekendtskab med en lang række features, herunder kubernetes-as-a-service,
Lidt færre cloud-features kan tilbydes det offentligt ejede RegioIT.de.
Der findes endvidere en række specialiserede cloud-tilbud i Tyskland. Robhost.de tilbyder hostede server-løsninger med eller uden f.eks. Nextcloud eller GitLab og bruger kun grøn energi. En anden udbyder af hostede open source løsninger, er OwnCube, hvor man kan få sin egen hostede BigBlueButton eller Jitsi videoløsning. Bitpack.io er en anden interessant nichespiller i samme område.
Frankrig
Ikoula har et meget fint sortiment af cloud-services, og de har også en lettilgængelig cloud management brugergrænseflade.
Teleselskabet Orange købte en tidlig statsfinansieret cloud-startup ved navn Cloudwatt og omdøbte det til cloud.orange-business.com med gode cloud features.
Data4group driver datacentre og kan tilbyde forskellige former for hosting/oursorcing.
Man kan også finde en lang række specialiserede firmaer i Frankrig. Der er f.eks. en udbyder af digital signatur og andre sikkerhedsprodukter, ved navn OODrive, som allerede nu arbejder internationalt.
Norden
Der generelt et meget stort udvalg af mindre leverandører, men de færreste har tilstrækkeligt med services. Men i Sverige finder man Elastx.se, en spirende cloud-udbyder, som bygger hele deres forretning på open source-teknologier som Jelastic og Openstack.
I Finland har Upcloud specialiseret sig i verdens hurtigste servere og kan dokumentere virkelig god performance på deres udstyr. De har egne datacentre fire steder i verden og ejet af den finske stifter. Upcloud har fået €18 mio. i kapital fra en hollandsk kapitalfond i 2019 (Connected Capital & Partners). De har en velfungerende managed cloud-konsol, hvor du kan provisionere servere, netværk og storage. Og det hele går meget hurtigt.
De danske datacentre NNIT, dlx.dk og Motus kan også noget. Læs artikel her kun om de danske cloudtjenester.
Selvom det kan virke som en stor opgave at skifte sine ulovlige leverandører ud med EU-alternativer, så betaler det sig på sigt. Byrden til sikkerhedsvurderinger og GDPR-arbejde, vil dale betydeligt. Man behøver ikke længere bekymre sig om, at mennesker eller organisationer uden for ens egen kontrol, har indflydelse på den daglige drift.
Endelig er der også EU’s nye mantra; digital suverænitet. Ved at benytte europæiske cloud-udbydere bakker man op om et mere teknologisk og datamæssigt selvstændigt Europa. Så længe vi ikke selv kontrollerer vigtige dele af vores infrastruktur, herunder netværk, el, vand og data, kan vi ikke hævde at have suverænitet. Vi er helt afhængige af at have en velfungerende digital infrastruktur i Danmark såvel som i hele EU.
Johnny Lüchau ejer firmaet yansatech.dk, hvor han rådgiver om og bygger cloud-løsninger. DataEthics.eu bad ham udarbejde denne guide.