Har Microsoft oplevet en mindsket risikoappetit for Microsofts cloud løsninger fra danske virksomheder efter der er kommet øget fokus på international data transfer?
Microsoft oplever fortsat en generel appetit på anvendelsen af cloud løsninger og også et øget fokus på hvordan man kan risikovurdere, sikre sin compliance dokumentation og sikre god governance. Om det er udtryk for en ændring i risikoappetit skal jeg lade være usagt, men helt naturligt giver de igangværende meget offentligt kendte sager et øget fokus på, at man skal – som Datatilsynet siger – ”have gjort sit hjemmearbejde!”.
Oplever Microsoft en stigende interesse i international data transfer ud over USA fra deres danske kunder?
Der er generelt fokus på at kunne demonstrere sin compliance med hele GDPR, inklusiv kapitel 5 om overførsler til såkaldt ’usikre tredjelande’.
Hvilke løsninger har Microsoft i støbeskeen for at imødekomme de danske kunders krav om compliant brug af Microsofts cloud løsninger?
Vi er fuldt ud overbeviste om, at danske kunder allerede i dag kan anvende Microsoft cloud tjenester i fuld overensstemmelse med lovgivningen. Der er et ’hjemmearbejde’ man skal igennem, og vi arbejder konstant på at hjælpe vores kunder med udførelsen af det baseret på Datatilsynets vejledninger. For yderligere at forenkle nogle af arbejdets elementer, som for eksempel vurderinger af scenarier hvor der kan forekomme ’tredjelandsoverførsler’, har Microsoft annonceret, og er i gang med at implementere, EU Data Boundary projektet (https://aka.ms/MSEUDataBoundary). Detaljerne i det projekt fortæller vi mere om senere i 2022 inden den første implementering, som forventes senest 1/1/2023.
Kravene til teknisk dokumentation og risikovurderinger har været støt stigende over de seneste år, også til under-underleverandører. Det kan være svært for virksomheder som Scalepoint at få den nødvendige dokumentation fra Microsoft til brug for udarbejdelse af risikovurderinger. Hvad er dine tanker i forhold til Microsofts udstilling af teknisk dokumentation? Er I hvor I skal være? Og har I planer om at styrke adgangen til dokumentation?
Microsoft driver mere end 300 cloud tjenester og udstiller både for platformene generelt og de enkelte services – blandt andet på vores Service Trust Portal (https://aka.ms/STP) – et omfattende materiale i form af whitepapers, standardcertificeringer, revisionsrapporter etc.. Derudover har vi lokalt i Danmark forsøgt at hjælpe kunder og partnere med at strukturere materialet og finde svarene på lige deres specifikke spørgsmål. Det gør vi for eksempel gennem et Cloud Governance Whitepaper (https://aka.ms/MSCloudGovernance) med løbende opdateringer mellem de enkelte versioner på https://aka.ms/MSCloudComplianceRoundtable2022. Derudover deler vi anonyme kunde cases som for eksempel Compliance pakken (https://aka.ms/MSCompliancePakkeSummary).
Er det korrekt forstået at du – som repræsentant for Microsoft – har samarbejdet med en offentlig myndighed, Datatilsynet og et velkendt advokatfirma om at skabe tilstrækkelige sikkerhedsforanstaltninger for myndighedens behandling af data i MS Azure? Og kan du i så fald kort opridse et par eksempler på sikkerhedsforanstaltninger som endte med at få risikoniveauet ned på et acceptabelt niveau?
Det er korrekt at vi sammen med en kommune og deres eksterne juridiske rådgiver, med det danske Datatilsyn som rådgiver, udarbejdede den compliance pakke som kommunen derefter har valgt at dele anonymt. I pakken vil man kunne se alle de allerede implementerede sikkerhedsforanstaltninger, og herunder også både de ekstra foranstaltninger som kommunen valgte at implementere og de foranstaltninger som var tilgængelige men valgt fra. Det er ikke muligt at pege på én eller få foranstaltninger som er afgørende, da det helt afhænger af hvilke data, hvilke behandlinger, hvilke risici, etc. som man identificerer. I pakken vil man se, at kommunen i det givne tilfælde valgte implementering af i alt 41 mitigerende foranstaltninger af både juridisk, organisatorisk og teknisk karakter.
Vil du mene at de fleste organisationer, som benytter MS Azure, vil kunne implementere de samme foranstaltninger og dermed gøre deres behandlingsaktiviteter lovlige?
Det er jo en gratis omgang at sige ja, da jeg ikke er myndighed og blot udtrykker ’min mening’. Men jeg mener virkelig ja, også selvom man som nævnt ikke bare kan ’implementere de samme foranstaltninger’, fordi hver enkelt løsning SKAL vurderes individuelt, og at risici afdækkes og behandles i nødvendigt omfang. Men helt overordnet så er der i dag kun et meget begrænset antal løsninger, som er underlagt lovgivning, der umuliggør brugen af en løsning, der ikke kan tilbyde at serveren som afvikler løsningen står på dansk jord. Det er de få systemer underlagt databeskyttelseslovens paragraf 3, stk 9 (lokationskravet) – og når Microsoft danske data center region, Danmark EAST, er i drift, vil såmænd også de systemer, kunne anvende Microsoft Cloud. Man kan læse mere om Denmark EAST her https://aka.ms/DigitalLeapDenmark)
Vil du beskrive hvad Microsofts ”Black Forest”-setup helt konkret går ud på? Er det korrekt forstået at setuppet udelukkende er ved at blive implementeret i Tyskland? Og hvis ja, hvorfor er det særligt Tyskland der er fokus på frem for andre af EU’s markeder?
”Black Forest” var et koncept vi introducerede i Tyskland tilbage i 2015, men lukkede igen omkring 2020. Meningen var at have en tysk operatør (T-Systems) inde som databehandler og såkaldt ’Data Trustee’, således at Microsoft ikke stod for nogen del af driften. “Black Forest” blev skabt på baggrund af, at en række tyske datatilsyn havde et ønske – ikke en lov -, om at man skulle kunne anvende MS Online Services drevet af ”tyske hænder”. Vi lukkede det igen, fordi der ganske enkelt ikke var efterspørgsel og derfor ingen business case. Udfordringerne med disse modeller viser sig hurtigt at være, at denne ’tredjepart’ naturligvis tager sig betalt for ydelsen, hvilket gør løsningerne uforholdsmæssigt dyrere. Samtidig er der ikke ’feature paritet’ fordi tredjeparten ikke kan adoptere og deploye nye løsninger med samme tempo som det sker i standard Microsoft Hyper Scale Cloud, hvilket betyder, at man potentielt får en dårligere service. Sidst, men ikke mindst, er det en udfordring at der stadig vil kunne forekomme situationer, hvor tredjeparten ikke kan udføre en opgave uden at involvere cloud leverandøren. Vi udelukker ikke, at der kan være særlige scenarier, datatyper, industrier etc. hvor det giver mening at introducere en ’black forest’ model, men for langt hovedparten af løsningsscenarier og datatyper, giver det funktionelt, sikkerheds- og compliancemæssigt slet ikke mening.
Om Ole Kjeldsen
Ole Kjeldsen er teknologi- og sikkerhedsdirektør hos Microsoft Danmark & Island. Med over 20 års erfaring fra Microsoft Danmark, inden for områder som sikkerhed, compliance og governance, har han fået en stor indsigt i løsninger og udfordringer inden for datasikkerhed.
Ole er ansvarlig for at kommunikere og sikre et match mellem Microsoft og samfundets generelle interesser. Derudover er det Oles ansvar, at skabe en forståelse i Danmark for Microsofts betydning for sikring af den globale digitale infrastruktur, eksempelvis hvordan de kan være med til at løse de stigende sikkerhedsudfordringer. Det arbejder han bl.a. på som en del af bestyrelsen for Dansk Internet Forening/DK Hostmaster. Derudover besidder Ole en række tillidshverv i interesseorganisationer som Dansk Erhverv, Dansk Industri, Dansk Standard og Rådet for Digital Sikkerhed hvor sikkerhed, databeskyttelse, bæredygtighed, compliance, standardisering, digitalisering og specifikt digital velfærd og kunstig intelligens fylder en del.