De endelige Schrems II-anbefalinger er klar: Og det ser sort ud for amerikansk cloud

Foto : Nanna Skytte

De endelige Schrems II-anbefalinger er klar: Og det ser sort ud for amerikansk cloud

Siden november sidste år har mange ventet i spænding på det Europæiske Databeskyttelsesråds endelige anbefalinger til supplerende foranstaltninger. Nu er de endelig kommet, og det ser ud til, at cloud-hovedpinen fortsætter.

Efter flere måneders ventetid har det Europæiske Databeskyttelsesråd (EDPB) vedtaget sine endelige anbefalinger til supplerende foranstaltninger, når dataansvarlige skal føre data ud af EU.

Og det cementerer i praksis cloud-hovedpinen for mange dataansvarlige og -behandlere, som vil sende data frem og tilbage til usikre tredjelande, som USA eksempelvis er. Det fortæller Mikkel Friis Rossa, partner og advokat med speciale i databeskyttelsesret ved Bech-Bruun:

»I forhold til brugen af amerikanske cloudtjenester, forholder det sig fortsat sådan, at det ikke er muligt på lovlig vis at anvende disse tjenester, så længe cloududbyderen er etableret i et usikkert tredjeland og har behov for at kunne tilgå indholdet af personoplysningerne. Brug af amerikanske cloudtjenester kræver derfor fuldstændig kryptering eller pseudonymisering, og at cloududbyderen ikke har adgang til krypterings- eller pseudonymiseringsnøglen,« skriver han i en mail til ComplianceTech.

»Det er derfor nu op til udbyderne af cloudtjenesterne at tage næste skridt i håndteringen af udfordringen.«

Anbefalingerne er et resultat af Schrems II-afgørelsen sidste sommer, hvor EU-domstolen underkendte Privacy Shield-aftalen. Derfor er man nu nødt til at bruge Standard Contractual Clauses (SCC’er), når man sender persondata til et tredjeland – for eksempel USA, der med Schrems II-dommen blev stemplet som usikkert tredjeland.

Men man kan ikke nøjes med SCC’erne. Ifølge EU, kan man være nødt til at implementere nogle tekniske, kontraktuelle eller organisatoriske supplerende foranstaltninger for at gøre overførslen lovlig efter GDPR’s krav.

Sidste november offentliggjorde EDPB sit første udkast til anbefalinger til supplerende foranstaltninger, hvorefter de var i høring. Her kunne interessenter – blandt andet Digitaliseringsstyrelsen –  indsende høringssvar til EDPB:

»Det er vores synspunkt, at denne ændring i mange tilfælde vil forvride et fokus på kerneaktiviteterne i vores virksomheder og myndigheder og derfor bremse udviklingen af vores økonomi,« skriver digitaliseringsstyrelsen i sit høringssvar.

Amerikansk cloud

Efter offentliggørelsen af anbefalingerne stod det klart for flere eksperter på området, at dokumentet gør det meget svært for eksempelvis danske virksomheder og myndigheder at overføre persondata lovligt til USA i forbindelse med brugen af amerikanske cloud-tjenester.

For at beskytte mod tredjelandsmyndigheders adgang til data, vurderer EDPB nemlig, at man skal bruge tekniske foranstaltninger i dataoverførslen.

Men i udkastets Use Case 6 skriver man, at Databeskyttelsesrådet er »ude af stand til at forestille sig en effektiv teknisk foranstaltning til at forhindre, at adgangen krænker den registreredes rettigheder«, hvis dataoverførslen sker til et usikkert tredjeland, som EU-domstolen har vurderet, at USA er.

Og det har ikke ændret sig i de endelige anbefalinger.

Nedenfor kan du se en sammenligning mellem Use Case 6 i udkastet og Use Case 6 i den endelige udgave.

Udkast UC6

Use Case 6 i EDPB's udkast til anbefalinger til supplerende foranstaltninger.

Illustration: EDPB
UC6 endelige

Use Case 6 i EDPB's endelige anbefalinger til supplerende foranstaltninger.

Illustration: EDPB

På ComplianceTech vil vi følge op på, hvad de endelige anbefalinger kommer til at betyde for danske dataansvarliges mulighed for at bruge amerikanske cloud-tjenester i fremtiden.

Prøv ComplianceTech

ComplianceTech er et medie til compliance-ansvarlige i danske virksomheder og offentlige myndigheder. Vi udgiver løsningsorienterede artikler om data compliance og konkrete værktøjer til, hvordan din organisation overholder reglerne og er compliant på den mest effektive måde - uanset om det handler om GDPR, cookies, NIS-loven eller ISO-standarder.

Klik her