FISA-702 og Microsoft Cloud Region Danmark

 Jeg har længe gerne villet forstå lidt bedre, hvad Microsofts enorme lobby-indsats i Danmark for tiden fsa. deres cloud-tilbud og ikke mindst "Microsoft Cloud Region Danmark" går ud på i praksis, og om det reelt betyder, at f.eks. offentlige myndigheder snart kan bruge amerikanske big tech-clouds.

Så jeg satte ChatGPT til Thinking, Udvidet, og promptede følgende:

Du er en erfaren seniorpartner hos Kammeradvokaten og bliver præsenteret for følgende opgave fra en offentlig styrelses direktør.: microsoft reklamerer kraftigt for noget, som de kalder microsoft cloud region danmark, og mener at vide, at uanset hvad, så er microsoft nødt til at underkaste sig FISA-lovgivningen i USA (var det ikke dét, som den såkaldte Schremms 2-retssag gik ud på? Eller tager jeg fejl?). Så jeg har derfor den hypotese, at FISA stadig vil gælde for microsoft data region danmark, og den derfor ikke er lovlig at opbevare visse typer data (pga. GDPR) i. JEg ønsker en afbalanceret vurdering af ovenstående, implikationer og mulige nutidige eller fremtidige muligheder for at kunne køre i en cloud, der ejes af en amerikansk virksomhed.

Svaret var ret interessant, grundigt og informativt:

Kort sagt: din grundlæggende intuition er rigtig mht. FISA – men konklusionen “så er det ulovligt at bruge Microsoft Cloud Region Denmark til visse data” er for kategorisk. Det er snarere et spørgsmål om risiko, datatype og afbødende foranstaltninger, end et absolut forbud.

Nedenfor får du en struktureret, “partner-agtig” vurdering, som du kan bruge som oplæg til en mere konkret TIA/DPIA for styrelsen.

1. Hvad er “Microsoft Cloud Region Denmark” i GDPR-perspektiv?

Microsoft er ved at etablere en dansk Azure-region med tre datacenterlokationer på Sjælland. Pointen i markedsføringen er bl.a.:

  • at data kan lagres og behandles på dansk jord
  • at regionen er en del af Microsofts EU Data Boundary, som lover, at offentlig sektor og kommercielle kunder kan få lagring og behandling i EU/EFTA for de centrale cloud-tjenester (Azure, Microsoft 365, Dynamics 365, Power Platform).

EU Data Boundary minimerer dataflows ud af EU, men Microsoft skriver selv, at den ikke fjerner alle dataoverførsler; fx kan support, logning, sikkerhed og visse specialtjenester stadig indebære dataflows eller fjernadgang.

2. Gælder FISA/CLOUD Act stadig for Microsoft i Danmark?

Ja. Og det er det første vigtige budskab til direktøren:

  • FISA § 702 og US CLOUD Act har en udtalt ekstraterritorial rækkevidde: enhver virksomhed under amerikansk jurisdiktion, der udbyder tjenester og har adgang til udstyr, hvor kommunikation lagres eller passerer, kan pålægges at udlevere data – uanset hvor i verden data fysisk ligger.
  • EDPB og den europæiske datatilsynsfører (EDPS) har eksplicit påpeget, at CLOUD Act kan stå i spænd med GDPR, netop fordi den åbner for direkte amerikanske myndighedsanmodninger til cloud-leverandører uden om de sædvanlige internationale retshjælpsveje.

Det kan altså ikke lade sig gøre at “designe sig ud af” FISA/CLOUD Act alene gennem fysisk dataplacering i Danmark, så længe moderselskabet er amerikansk.

Microsoft har desuden for nylig – i forbindelse med diskussioner om digital suverænitet – åbent erkendt, at de ikke kan garantere fuld datasuverænitet overfor CLOUD Act/FISA, selv med EU Data Boundary, og at de i sidste ende er juridisk forpligtet til at efterkomme gyldige amerikanske pålæg. Samtidig oplyser de, at de hidtil ikke har modtaget sådanne krav for data lagret i Europa.

Så: din hypotese om, at FISA/CLOUD Act stadig gælder for en dansk Microsoft-region, er grundlæggende korrekt.

3. Schrems II – hvad gik sagen egentlig ud på?

Du husker rigtigt, at Schrems II (C-311/18) handlede om amerikansk overvågningslovgivning (bl.a. FISA 702) – men den konkrete genstand var:

  • ugyldiggørelse af EU–US Privacy Shield (tidligere overførselsgrundlag),
  • samtidig bekræftede Domstolen, at Standard Contractual Clauses (SCC’er) stadig er gyldige, dog kun hvis eksportøren vurderer, at beskyttelsesniveauet i tredjelandet reelt er “væsentligt lig” EU, og at der om nødvendigt suppleres med ekstra tekniske/organisatoriske tiltag.

Kernen i kritikken mod USA var netop, at FISA 702 og andre overvågningsregler gav for bred adgang til EU-borgeres data uden tilstrækkelige retsmidler, hvilket ikke levede op til EU-Charterets krav.

Efter dommen udstedte EDPB detaljerede anbefalinger om supplerende foranstaltninger (kryptering, pseudonymisering, organisatoriske tiltag mv.), som eksportører skal bruge i forbindelse med en Transfer Impact Assessment (TIA).

4. Hvad er ændret siden? EU–US Data Privacy Framework m.m.

Efter Schrems II har vi nu:

  • EU–US Data Privacy Framework (DPF) med en tilstrækkelighedsafgørelse fra juli 2023. EU-Kommissionen vurderer, at USA – med de reformer, der bl.a. følger af Executive Order 14086 og nye klagemuligheder – nu samlet set giver et tilstrækkeligt beskyttelsesniveau for data, der overføres til DPF-certificerede organisationer.
  • I september 2025 stadfæstede EU’s General Court DPF-afgørelsen i sagen T-553/23 Latombe mod Kommissionen, og fastslog, at USA på tidspunktet for afgørelsen tilbød et tilstrækkeligt beskyttelsesniveau.

DPF er dog kun direkte relevant, når der faktisk sker en overførsel til en organisation i USA, der er certificeret under ordningen. Hvis data bliver i EU, men en amerikansk leverandør i princippet kan tilgå dem (fx via fjernsupport), er vi i en gråzone, hvor DPF ikke kan bruges som overførselsgrundlag, men hvor GDPR stadig kræver, at man håndterer risikoen for tredjelandsmyndigheders adgang.

Samtidig er FISA §702 blevet forlænget og udvidet i 2024, så bestemmelsen efter flere eksperters vurdering omfatter enhver virksomhed under amerikansk jurisdiktion, der har adgang til det relevante udstyr/tjenester – hvilket i praksis skærper problemstillingen, ikke mindsker den.

5. Er det så “ulovligt” at lægge visse typer data i Microsoft Cloud Region Denmark?

Her er det vigtigt at skelne mellem:

  1. Juridisk ramme (GDPR m.v.)
  2. Praktisk risikovillighed og politisk/strategisk valg for en offentlig myndighed

5.1. GDPR: ikke et automatisk forbud

GDPR indeholder ikke et generelt forbud mod at bruge amerikansk-ejede clouds – heller ikke til følsomme oplysninger. Den kræver:

  • et gyldigt behandlingsgrundlag (art. 6 + evt. art. 9/10),
  • tilstrækkelige sikkerhedsforanstaltninger (art. 32),
  • og at eventuelle overførsler til tredjelande (herunder fjernadgang) kun sker, hvis niveauet samlet set er “væsentligt lig” EU (kapitel V, art. 44-49).

EDPB’s anbefalinger er ret klare:

Hvis du ikke kan bringe risici fra “problematiske tredjelandslove” (som FISA/CLOUD Act) ned på et acceptabelt niveau med tekniske og organisatoriske foranstaltninger, bør du ikke gennemføre overførslen.

Det betyder:

  • For mange “almindelige” administrative formål (HR, sagsbehandling uden særligt høje risici) kan brug af Microsoft-tjenester med EU Data Boundary og de rette foranstaltninger godt være kompatibel med GDPR – det er bl.a. konklusionen i statens samlede DPIA/TIA for Microsoft 365, udarbejdet af Økonomistyrelsen, Statens It m.fl. med Kammeradvokaten som rådgiver.
  • For meget følsomme eller sikkerhedskritiske data (fx straffesags-data, særligt beskyttelsesværdige grupper, eller oplysninger, der også er reguleret af særlig sektorlovgivning eller national sikkerhed), vil det ofte være svært at argumentere for, at risikoen ved en potentiel amerikansk myndighedsadgang er tilstrækkeligt afbødet, hvis leverandøren har adgang til data i klar tekst.

Schweiziske databeskyttelsesmyndigheder har fx for nylig frarådet offentlige organer at bruge amerikanske hyperscalere til højsensitive eller fortrolige data, med mindre myndigheden selv krypterer data på en måde, hvor leverandøren slet ikke har adgang til nøglerne.

5.2. Offentlige myndigheder i Danmark – praksis lige nu

For danske myndigheder er pejlemærkerne bl.a.:

  • Digitaliseringsstyrelsens og Center for Cybersikkerheds cloud-vejledning, som netop skal hjælpe myndigheder med at vurdere, hvornår cloud er en god idé, og understreger behovet for forretningsmæssige, juridiske og sikkerhedsmæssige afklaringer (TIA/DPIA, kontrakter, arkitektur).
  • Datatilsynets generelle fokus på cloud og tredjelandsoverførsler, herunder vejledninger og podcasts om, hvordan Schrems II skal operationaliseres i cloud-kontekst – med betoningen af, at lovlig cloud-brug kan lade sig gøre, men kræver grundigt forarbejde.
  • Statens samlede DPIA/TIA for Microsoft 365, som overordnet konkluderer, at statslige myndigheders brug af en bred vifte af Microsoft 365-tjenester til sagsbehandling og personaleadministration kan ske inden for databeskyttelsesforordningens rammer, når de identificerede risici håndteres med passende foranstaltninger, og at den samlede risiko vurderes til lav-mellem.

Det samlede billede:

Der er ikke et generelt forbud, men der er et klart krav om:

  • segmentering af data efter risiko
  • konkrete TIA’er
  • og stærke tekniske/organisatoriske garantier, især for offentlige myndigheder.

6. Praktiske muligheder, hvis I vil bruge Microsoft Cloud Region Denmark

Hvis jeg skulle rådgive din direktør, ville jeg skitsere følgende model.

6.1. Segmentér data og systemer

Opdel jeres data i fx tre klasser (eksempler):

  1. Lav/middel følsomhed
    – fx almindelige driftsdata, intranet, samarbejdsværktøjer uden særligt følsomt indhold.
    → Kan typisk placeres i Microsoft Cloud Region Denmark under EU Data Boundary, med standard-sikkerhed og almindelig TIA/DPIA.

  2. Høj følsomhed
    – fx helbredsoplysninger, sociale sager, følsom HR, art. 9-oplysninger.
    → Kræver skærpet analyse af, om Microsoft behøver adgang i klar tekst; hvis ja, er det et politisk og risikomæssigt spørgsmål, om man vil acceptere FISA/CLOUD Act-risikoen, selv med kryptering, logning, begrænsning af support mv.

  3. Særligt beskyttede / nationalt sikkerhedskritiske data
    – fx klassificerede oplysninger, visse politimæssige eller efterretningsrelaterede data, kritisk infrastruktur.
    → Her vil anbefalingen typisk være ikke at bruge en amerikansk-juridisk cloud i det hele taget, medmindre man flytter til en reelt suveræn/national cloud-løsning.

6.2. Arkitektur og tekniske foranstaltninger

For de workloads, der lægges i Microsoft-cloud (også i Danmark), bør I overveje:

  • Stærk kryptering med kundestyrede nøgler (Customer Key/“hold your own key”) og nøglehåndtering i EU-kontrolleret infrastruktur, så Microsofts praktiske mulighed for at tilgå data i klar tekst minimeres.
  • Pseudonymisering/split-arkitektur, hvor identiteter ligger i et separat system (evt. hos en ikke-US-leverandør), og cloud-tjenesten kun ser pseudonymer.
  • EU-begrænset support og drift, så vidt muligt kontraktuelt og teknisk, jf. EU Data Boundary og Microsofts løfter om EU-baseret drift og personale – velvidende at dette ikke ændrer den amerikanske jurisdiktions rækkevidde, men kan indgå i TIA’en.
  • Grundig logning, adgangsstyring, revisionsspor og periodisk re-vurdering af trusselsbilledet.

6.3. Kontraktuelle og organisatoriske tiltag

  • Brug opdaterede Databehandleraftaler og SCC’er, hvor Microsoft kontraktuelt forpligter sig til at:
    • underrette (så langt loven tillader) om myndighedsanmodninger
    • bestride uberettigede/uklare krav
    • og dokumentere sin praksis via transparensrapporter mv.
  • Dokumentér en TIA efter EDPB’s seks-trinsmodel (kortlægning af transfers, vurdering af tredjelandslovgivning, valg af supplerende foranstaltninger mv.).
  • Sørg for, at DPO, informationssikkerhed og forretningen er reelt inddraget, så risikobilledet er fælles forstået – og at ledelsen formelt accepterer den resterende risiko.

7. Fremtidige muligheder: “suveræn” cloud på amerikansk teknologi

Der sker meget på området for suveræne clouds baseret på amerikansk teknologi, men drevet under lokal kontrol:

  • I Tyskland etablerer Delos Cloud sammen med Microsoft og Arvato Systems en suveræn cloud til tysk offentlig sektor, hvor driften ligger hos et tysk selskab efter tysk ret.
  • I Frankrig lancerer Bleu (Orange/Capgemini) en “cloud de confiance” baseret på Microsoft Azure og 365, men med fransk ejerskab og SecNumCloud-krav.
  • Microsoft har samlet disse under en strategi for National Partner Clouds, hvor lokale partnere driver adskilte miljøer med Microsoft-software, målrettet scenarier med høje suverænitetskrav.

Hvis der på sigt etableres lignende modeller i Norden/Danmark, vil det potentielt give jer mulighed for at bruge Microsoft-teknologi i en konstruktion, hvor:

  • Microsoft ikke selv har driftsadgang,
  • den daglige kontrol og ejerskab ligger hos en EU-/national aktør,
  • og risikoen for direkte CLOUD Act/FISA-påvirkning reduceres (om end den juridiske analyse her heller ikke er triviel).

8. Hvad vil jeg konkret anbefale direktøren at gøre nu?

Som overordnet strategi:

  1. Fastlæg en cloud-politik for styrelsen, der:

    • opdeler data i risikoklasser,
    • definerer, hvilke klasser kan ligge hos amerikanske clouds (fx Microsoft Cloud Region Denmark) og hvilke, der som udgangspunkt skal ligge hos EU-/nationalt ejede leverandører.

  2. Gennemfør en konkret TIA/DPIA for brug af Microsoft Cloud Region Denmark (og Microsoft 365 generelt), med eksplicit vurdering af:

    • FISA/CLOUD Act’s betydning for jeres datatyper,
    • hvilke supplerende tekniske foranstaltninger der realistisk kan implementeres,
    • og hvor I selv lægger snittet for risikovillighed.

  3. For de mest følsomme systemer:

    • Undersøg alternative løsninger (EU-ejede clouds, national hosting, eller på sigt en suveræn partner-cloud).
    • Overvej om visse registre/klassificerede oplysninger helt skal holdes uden for amerikansk jurisdiktion.

  4. Følg udviklingen:

    • DPF kan stadig blive prøvet ved EU-Domstolen igen,
    • FISA/CLOUD Act-praksis kan ændre sig politisk,
    • og suveræne cloud-tilbud i Europa udvikler sig hurtigt.

Hvis du vil, kan vi i næste skridt dykke ned i en konkret løsning (fx Microsoft 365 eller et bestemt fagsystem) og skitsere, hvordan en TIA for netop den løsning kunne se ud – herunder hvilke datatyper, der efter min vurdering bør holdes ude af en amerikansk-ejede cloud i jeres situation.

Kommentarer

Send en kommentar

Populære opslag fra denne blog

De fem forbandede år

  De fem forbandede år Af Gorm Martin Larsen, forsvars- og sikkerhedsrådgiver, fhv. chef for Forebyggende Sikkerhed hos Forsvarets Efterretningstjeneste Et svigt i fundamentet Kravene til fysisk sikkerhed i Forsvaret er klare. De er defineret af Den Militære Sikkerhedstjeneste, som organisatorisk hører under Forsvarets Efterretningstjeneste (FE) og er godkendt af forsvarschefen. Men virkeligheden har ikke på alle punkter levet op til minimumskravene. År efter år konstaterede vi alvorlige brud på sikkerheden, forældede installationer og procedurer, der hverken kunne forhindre klassisk kriminalitet som indbrud, tyveri og spionage – eller nyere trusler som hybride angreb og sabotage. Og år efter år indberettede vi loyalt hullerne i sikkerheden op gennem systemet. At statsrevisorerne nu fastslår, at ministeriet kendte til problemerne uden at handle, kommer derfor ikke som nogen overraskelse. Det nye er, at sandheden nu står sort på hvidt for offentligheden. Normalt er disse rapporter k...
Læs mere

Udvikling af Danmarks forsvar: Lærdomme fra Ukraine og anbefalinger mod Rusland 2025–2045

  Udvikling af Danmarks forsvar: Lærdomme fra Ukraine og anbefalinger mod Rusland 2025–2045 Executive Summary Ruslands invasion af Ukraine i 2022 markerede et geopolitisk vendepunkt, som har tvunget Europa – og ikke mindst Danmark – til grundlæggende at revurdere sit forsvar. Denne rapport analyserer de vigtigste erfaringer fra Ukraine-krigen og vurderer, hvordan det danske forsvar bør udvikles over de næste 5, 10 og 20 år for at kunne afskrække og forsvare effektivt mod Rusland . Anbefalingerne er baseret på åbne kilder og fokus på danske forhold i NATO-regi per 23. december 2025. Rapporten identificerer nøgletendenser fra Ukraine-konflikten , herunder droners gennemgribende effekt på kamppladsen, massiv ammunitionsefterspørgsel, informationskrig og hybridtrusler, samt betydningen af decentraliseret ledelse og innovationshastighed. Disse lektioner omsættes til tre scenarier for Danmark – hybridkrig, begrænset regional konflikt og totalkrig – med tilhørende implikationer....
Læs mere

Evaluering af DR's nye strategi fra hhv. Claude, Gemini og ChatGPT

  Claude om DR’s strategi: Konsulentbureauets mødelokaler “Åh ja, der er rigeligt at tage af. Her er et udpluk af formuleringer, der lugter af konsulentbureauets mødelokale: De højtravende abstraktioner: "opmærksomhedsøkonomi præget af vildtflydende informationsstrømme" "demokratisk viljesdannelse" "borgerne skal mægtiggøres" "kulturelle sammenhængskraft og forståelse på tværs af forskelle" "autentiske musikalske øjeblikke med et digitalt efterliv" Konsulent-klassikerne: "omstillingsparathed" (bruges mindst fem gange) "handlekraftig organisation" "afbureaukratisering af processer" "organisatorisk smidighed" "effektvurderinger" "tværmediel medieproduktion" "indholdsportefølje" og "teknologiportefølje" De lidt tomme løfter: "DR vil insistere på, at virkeligheden ofte er kompleks og sammensat" "styrke danskernes kritiske tænkning og evne til refl...
Læs mere