Et Nationalt Cloud Initiativ?

Debatten omkring lovgivningen på dataområdet drejer sig ofte om overvågning, industripionage, ret til privatliv, amerikansk dominans, national sikkerhed, osv.  Men i sidste ende skal gældende lovgivning naturligvis overholdes, og det har efterhånden længe stået klart, at det offentlige ikke lovligt kan benytte amerikanske cloud-tjenester – hverken til selvbetjeningsløsninger, skoleløsninger eller sundhedsløsninger. Hvis man vil sætte tingene lidt på spidsen, kan man efter vores mening godt sige, at det offentlige i ret stor stil, i årevis, bevidst har overtrådt gældende lovgivning på data-området. Efter diverse kommuners og myndigheders egne udsagn hovedsageligt pga. mangelen på europæiske alternativer. Men hvis alternativer skal opstå, skal der være et marked. Og her er det offentlige markedet, og det offentlige bør derfor gå forrest.

Seneste problem med EU’s datadirektiver vedrører Aula, men der har været og er temmelig mange lignende sager:

• https://www.datatilsynet.dk/Media/637824109172292652/Vejledning%20om%20cloud.pdf
• https://www.computerworld.dk/art/260470/bygger-hele-aula-paa-en-ulovlig-kontrakt-i-strid-med-schrems-ii-n-saetning-skaber-store-gdpr-problemer-for-kombits-aula-platform
• https://www.version2.dk/artikel/ny-cloud-vejledning-fra-datatilsynet-presser-kombit-og-aula-platformen

Hvis vi indrager alle de cloud-tjenester som vi alle benytter i det daglige, som Netflix, netbank, Google Maps, Messenger, Gmail, Youtube, TikTok, Facebook, Twitter, osv., osv., er situationen meget kompleks. Men hvis vi ser på det offentlige IT-landskab, er situationen faktisk ikke specielt kompliceret. Det offentliges overtrædelser af EU’s datalovgivning drejer sig primært om ganske få områder:

• Email, hvilket i det offentlige i det store og hele er lig med Outlook/Office 365
• Office-applikationer, hvilket i det offentlige inkl. skoleområdet i det store og hele er lig med Office 365 og Google Workspace
• Fil-tjenester, hvilket også i det offentlige i det store og hele er lig med Office 365, Google Workspace og i begrænset omfang Dropbox
• IaaS, hvilket i det offentlige i det store og hele i det offentlige er lig med Azure og AWS

Hvis det offentlige ønsker at overholde gældende lovgivning, bør man altså i hovedtræk fokusere på at få stoppet afhængigheden af Office 365 (og i mindre grad Google Workspace) og Azure + AWS. Resten, f.eks. hosting af diverse websites, video-tjenester, chat-tjenester osv., er i det store og hele i småtingsafdelingen, og ofte direkte relateret til IaaS.

Email

I løbet af 90’erne konsoliderede det offentlige sig i det store og hele på Microsoft Exchange-servere (og i mindre grad IBM Lotus Domino), der kørte i lokale serverrum. I nullerne skiftede man over en bred kam til Office 365 – man flyttede altså email op i “skyen”. Skiftet var hovedsageligt drevet af succesfuldt salgs-, marketings- og lobbyarbejde – der var ikke nogen væsentlige økonomiske eller funktionalitetsmæssige gevinster. Om noget viste dette, at emailtjenester kan flyttes, hvis man ønsker det.

Prisen pr. bruger af f.eks. email i Office 365 har ikke ændret sig væsentligt de seneste årtier, og kun i opadgående retning. Det er stadig en rigtig god forretning at drive emailtjenester – selv en mindre kommune betaler millioner om året for disse (typisk pakket ind i uigennemsigtige Office-licenser). Alligevel findes i dag ingen store, danske udbydere af email-tjenester. Det skyldes ikke mangel på leverandører men mangel på kunder. Det offentlige står for halvdelen af økonomien i Danmark, og har i endnu højere grad end det private en forpligtelse til at overholde EU’s datadirektiver. Alligevel har der faktisk har ikke været et eneste større offentligt udbud omkring drift af email-tjenester de seneste 10 år. Vi kan og vil ikke spekulere i motiver, men blot konstatere, at hvis Staten ønskede et marked med professionelle, danske leverandører af email-tjenester, behøvede man blot at udbyde driften af nogle få større offentlige organisationers email, og udstede et direktiv til alle offentlige organistationer om at gøre det samme indenfor indenfor en given tidsramme.

Office

Man har tidligere, under en anden agenda (Open Source-banneret), forsøgt at få det offentlige og uddannelsessystemet vænnet fra Office. Det gik i det store og hele i sig selv. I høj grad pga. succesfuldt lobbyarbejde fra Microsoft, men også fordi man ikke inddrog erhvervslivet, men overlod tingene til det offentliges egne IT-afdelinger. Lobbyarbejde fra Google fik nogle til at gå over til Google Workspace, hvilket naturligvis ikke er bedre i forhold til gældende lovgivning. I mellemtiden har alternativet, LibreOffice, i høj grad udviklet sig, og er naturligvis fortsat gratis, mens Microsofts og Google’s produkter kun er blevet dyrere. Erfaringerne viser, at det offentlige, herunder uddannelsessektoren, kan skifte til LibreOffice, hvis det skal. Man kan således skabe et lokalt marked, ved at inddrage erhvervslivet, og udbyde migrering og drift i offentlige udbud. Med omhu og dygtighed mener vi, at man kan overholde gældende lovgivning, skabe arbejdspladser og spare penge.

Filtjenester

Office-applikationer er ikke noget værd uden et sted at gemme dokumenter og filer. Velfungerende filtjenester er derfor vigtige. Med Office 365 og Google Workspace følger hhv. OneDrive og Google Drive. Begge er virkelig velfungerende, og en væsentlig del af baggrunden for Office 365 og Google Workspace’s succes. Der har ganske enkelt ikke været nogen tilsvarende tilbud fra lokale udbydere. Med produkter som Owncloud og NextCloud har dette dog stille og roligt ændret sig. Den kommercielle situation er lige så markant som situationen for email-tjenester, der har således aldrig været et offentligt udbud om disse tjenester fra nogen offentlig organisation. Uden kunder, intet marked. Hvis offentlige organisationer går sammen om offentlige udbud omkring levering, drift og support af filtjenester, med udelukkelse af amerikanske cloud-leverandører, er det vores vurdering, at danske og europæiske leverandører nok skal melde sig.

IaaS

Det sidste store område er IaaS-tjenesterne fra især Microsoft og Amazon. Det offentliges tjenester kører i sidste ende, som alle andres, hovedsageligt på “almindelige” Linux eller Windows servere. Dette gælder såvel interne tjenester, som eksterne tjenester rettet imod borgerne. IaaS giver mulighed for at køre disse servere hos andre, så man slipper for bøvlet med at køre dem selv. Man slipper altså for selv at indkøbe fysiske servere, placere dem i serverrum osv. Det er nemt, praktisk og faktisk rigtig godt for miljøet, da Microsoft og Amazon er rigtig gode til at drive servere energieffektivt. Det er desværre også ulovligt, hvis IaaS-udbyderen er underlagt amerikansk lovgivning, og tjenesten der afvikles involverer borgerdata. Det er svært at forestille sig nogen tjenester fra det offentlige, der ikke involverer borgerdata.

IaaS har været vejen væk fra ineffektivt drevne serverrum i kældre rundt omkring i det offentlige og i det private. Vi skal ikke tilbage til de lokale serverrum, men holde fast i de effektiviseringer som IaaS har givet. Der findes enkelte større europæiske udbydere af IaaS, som f.eks. franske OVH og tyske Hetzner, men der er en næsten total mangel på danske udbydere. Af det offentlige benyttes dette ofte som forklaring på, at man vælger at benytte AWS og Azure til afvikling af selv kritisk infrastruktur, vel vidende at dette er ulovligt.

At bygge en moderne IaaS-tjeneste, med alt hvad det indebærer (moderne API, autoprovisionering af hardware, selvbetjening, osv.) er naturligvis en kompleks opgave, men – på ingen måder umulig. Den opstår bare ikke af sig selv, det kræver et marked af en vis størrelse. Og her må det igen pointeres: Der har aldrig været et eneste offentligt udbud af denne type i Danmark. Måske værd at gentage: Det offentlige Danmark har aldrig afholdt et eneste offentligt udbud omkring indkøb af IaaS cloud-kapacitet fra det private erhvervsliv. Man har forventet at f.eks. Statens IT stillede dette til rådighed, og da dette ikke materialiserede sig, ad forskellige omveje indkøbt kapacitet i Azure og AWS, enten direkte eller via private leverandører.

Området er generelt uigennemsigtigt for mange offentlige kunder, fordi drift af en tjeneste som regel blot er en del af det samlede udbud. En tjeneste udvikles af den valgte leverandør, og drift forventes som hovedregel at foregå på almindelige “markedsvilkår”. Men det offentlige har ikke “almindelige” behov, og det offentlige er ikke en “almindelig” kunde. Det offentlige er underlagt særlig lovgivning og forpligtelser i forhold til borgerne, og det offentlige tegner sig for halvdelen af den danske økonomi, og er derfor markedsdannende.

Et Nationalt Cloud Initativ

Nationen Danmark bør kunne fungere selvom et datakabel bliver gravet over ude i Nordsøen. Kritiske tjenester der betjener europæiske borgere bør ikke afvikles på infrastruktur drevet af leverandører, der er forpligtede til at lade fremmede magters efterretningstjenester lytte med. En levende cloud-industri er kritisk for vores fremtidige konkurrenceevne. Vi tror ikke der er stor uenighed om disse grundlæggende emner. Alt dette er afspejlet i EU’s lovgivning på området. Hvorfor det offentlige Danmark, bevidst og i årevis har valgt, at overtræde denne lovgivning kan være svært at forstå.

Danmark, og i bredere forstand EU, har de-facto stort set ingen cloud-industri i dag. Danmark og EU har alt at vinde ved at fremdyrke en velfungerende og levende cloud-industri. Den bør ikke være en dårlig kopi af den amerikanske, men bør bygges på europæiske principper omkring åbenhed, gennemsigtighed og respekt for borgerne. De europæiske stater har som lovgivere og garanter for vores allesammens uafhængighed, frihed og sikkerhed et særligt ansvar. Men uanset hvor mange initiativer EU sætter i gang, har en europæisk cloud-industri ingen chancer for at opstå, så længe de europæiske stater systematisk og ulovligt indkøber cloud-tjenester fra amerikanske leverandører, på præcis de vilkår som de lovgiver imod. Den danske stat har således aldrig afholdt  ét eneste offentligt udbud omkring levering af cloud-kapacitet. Må vi anbefale, at man i det offentlige Danmark går forrest, begynder at overholde gældende lovgivning og bakker dette op med konkrete offentlige udbud omkring indkøb af cloud-kapacitet i stor skala. Man kunne kalde det “Et Nationalt Cloud Initiativ”.