Hvis man ønsker at bruge en dansk cloud-tjeneste, og det skal være uden risiko for, at data ryger til USA, skal man være opmærksom på deres underleverandører og de selskaber, der ejer eller har investeret i udbyderen. Det samme gælder andre tjenester. Rigtig mange bruger nemlig underleverandører fra USA.
I Danmark er Team.Blue paraply-selskab for en lang række kendte webhosting-selskaber, som f.eks. Scannet A/S, Dandomain A/S, Danhosting A/S, Cloud A/S, Simply.com, Surftown, Zitzom og mange flere. Team.Blue (i Esbjerg) er ejet af den international kapitalfond HGCapital, hjemmehørende i Storbritannien. Selvom landet i skrivende stund ikke er et godkendt, sikkert tredjeland for dataoverførsler, så er det ikke der problemet ligger. HGCapital er ejet af adskillige firmaer, herunder amerikanske Blackrock.
Hvis man udfører samme analyse på f.eks. danske Dinero.dk, havner man via norske Visma, samme sted (HGCapital og amerikanske Blackrock). Kapitalfonden HG Capital står også bag danske firmaer som IT Relation, Itadel og Progressive.
Det er uklart om et sådant delvist lille ejerskab er nok til at udgøre en risiko for data, men hvis Blackrocks ledelse bliver præsenteret for en stævning i USA med krav om at udlevere alle de data, de råder over, må der være en lille risiko for, at de kræver adgang til data i deres delvist ejede datterselskab, Team.Blue.
Den slags oplysninger skal med i den risikovurdering, du udfører inden du tager en evt. løsning i brug, fordi du har pligt til dokumentere, at databeskyttelsen hos dine leverandører, deres underleverandører og deres investorer er ”essentially equivalent”, altså grundlæggende sammenlignelig, med EU.
Andre danske selskaber med risiko for datalæk til de amerikanske myndigheder, er TDC Hosting, som er ejet af australske Macquarie og amerikanske Blackrock. COLT datacenter i Købehavn er ejet af amerikanske Fidelity Investments og et lille hosting-firma som Netsite.dk er danskejet, men benytter Apple iCloud til at opbevare backups af kundernes data.
Vær også opmærksom på andre danske tjenester
Desværre bruger mange danske tjenester underleverandører der hoster hos en amerikansk cloud-provider eller i et amerikansk-ejet datacenter. Ønsker man at benytte en e-mail/marketingløsning fra danske E-mailplatform/Marketingplatform, som hører hjemme i Vejen, skal man læse deres privatlivs-dokumenter eller databehandleraftale. Her kan du tjekke, om de har valgt at offentliggøre navnene på deres underleverandører.
Hvis ikke man kan se, hvem der ejer det datacenter, de benytter til at afvikle deres løsning på, så er man nødt til at bede dem om oplysninger på deres underdatebehandlere og få dem optaget på listen over anvendte databehandlere i databehandleraftalen.
I tilfældet Marketingplatform, viser det sig at firmaet rigtigt nok har hjemme i Vejen og er danskejet og bruger et datacenter i Holland, som jo er indenfor EU. Men at datacentret viser sig at være ejet af Google, altså amerikansk-ejet og dermed underlagt amerikansk lovgivning.
Så selvom man naturligvis gerne støtter et dansk firma, så skal man være opmærksom på deres underleverandører, hvis man ønsker at data skal blive i Europa.
Som eksemplet ovenfor illustrerer, kan det være vanskeligt at komme helt til bunds med en risikovurdering af den løsning,man overvejer at tage i brug. Det kan f.eks. være svært at afdække, om data på et eller andet tidspunkt i behandlingen eller opbevaringen kommer under et amerikansk firmas kontrol.
Ofte kan det blive nødvendigt at bruge firmaregistre til at undersøge reelt ejerskab og det kan være nødvendigt at spørge dem direkte om deres ejerskab og underleverandører. I Danmark kan man komme langt med Virk.dk (CVR-registret) hvor man under Reelle ejere typisk kan grave et eller flere lag ned i ejerskabs-strukturen.
Her er et eksempel på, ejerskabet af datacenter-selskabet DigiPlex, med datacentre i Sverige, Norge og Danmark, hurtigt kan konstateres i CVR-registret:
Ejeren af DigiPlex er William Conway, stifter af den berygtede Carlyle Group, et amerikansk investeringsfirma, der har sine primære aktiviteter indenfor våben- og sikkerhedsbranchen. Blandt investorer i den gigantiske Carlyle Group har man kunnet tælle både Bush-familien og Bin Laden-familien.
Det er på sin vis positivt, at man ikke har forsøgt at skjule firmaets reelle ejer. Men opmærksomhedspunktet er her, at det amerikanske ejerskab påfører den dataansvarlige en reel risiko for, at Digiplex kan blive præsenteret for en stævning udtaget af en hemmelig amerikansk FISA-domstol og dermed tvunget til at udlevere persondata. Risikoen er nok til, at den dataansvarlige er nødt til at finde en anden samarbejdspartner.
Et andet eksempel er det kendte datacenter i Ballerup, Interxion. Her kan man starte i CVR-registret for at konstatere, at Interxion Danmark ejes af Interxion i Holland. På firmaets hollandske hjemmeside kan man se, at Interxion nu er ejet af firmaet Digital Realty, hjemmehørende i Texas, USA. Igen, er man som dataansvarlig nødt til at se sig om efter en anden partner, hvis man vil undgå risikoen for amerikanske myndigheders adgang til data.
Det kan det blive meget vanskeligt at se, hvem der reelt er ejer af et selskab, og om detskaber risiko for, at persondata kan komme i forkerte hænder pga. ejerskabet. Det gælder i særlig grad, når der er tale om firmaer, hvor ejerskabssporet ender i skattely eller er ejet af kapitalfonde.
Kapitalfonde har det også med at sælge deres andel videre, så selvom det i dag er en EU-baseret kapitalfond, der har et delvist ejerskab, så kan kapitalfonden sælge sin andel til en amerikansk virksomhed når som helst.
Den risikovurdering, man foretager i dag, skal derfor genbesøges, hver gang der sker noget i ejerstrukturen hos ens underleverandører.