Eksperter om Schrems II-anbefalinger: Cloud-kaos er langt fra overstået

Foto : SahilGhosh via Bigstock

Eksperter om Schrems II-anbefalinger: Cloud-kaos er langt fra overstået

I mandags kom EDPB’s endelige anbefalinger til tredjelandsoverførsler, og det ser stadig sort ud for amerikansk cloud i Use Case 6. Men der kan være en vej uden om casen, fortæller formand for Rådet for Digital Sikkerhed.
Cloud-problemerne er langt fra overstået. Det slår flere eksperter fast, efter de har læst Det Europæiske Databeskyttelsesråds (EDPB) endelige anbefalinger til supplerende foranstaltninger, som kom i mandags efter et halvt år med neglebideri fra mange dataansvarlige.
Vil du have fuld adgang til ComplianceTech?

ComplianceTech er et medie til compliance-ansvarlige i danske virksomheder og offentlige myndigheder. Vi udgiver løsningsorienterede artikler om data compliance og konkrete værktøjer til, hvordan din organisation overholder reglerne og er compliant på den mest effektive måde - uanset om det handler om GDPR, cookies, NIS-loven eller ISO-standarder.

Husk at være logget ind med den e-mail, hvor du har dit abonnement tilknyttet. Oplever du fortsat udfordringer med din adgang, så skriv til support@ing.dk.

Prøv ComplianceTech

ComplianceTech er et medie til compliance-ansvarlige i danske virksomheder og offentlige myndigheder. Vi udgiver løsningsorienterede artikler om data compliance og konkrete værktøjer til, hvordan din organisation overholder reglerne og er compliant på den mest effektive måde - uanset om det handler om GDPR, cookies, NIS-loven eller ISO-standarder.

Klik her
Hvor kommer cloud-kaosset fra?

Sidste sommer smed EU-Domstolen overførselsgrundlaget Privacy Shiels i skraldespanden, og det betød, at dataansvarlige siden da har brugt Standard Contractual Clauses (SCC’er) til at sende persondata til USA.

Men i samme sag vurderede domstolen, at SCC’erne ikke kan stå alene, når en overførsel til et usikkert tredjeland, for eksempel USA, skal gøres lovlig. Man kan være nødt til at implementere supplerende foranstaltninger.

I november sidste år fremlagde Det Europæiske Databeskyttelsesråd (EDPB) et udkast til anbefalinger til supplerende foranstaltninger, hvor man blandt andet foreslog, at dataansvarlige kan bruge organisatoriske, kontraktuelle eller tekniske foranstaltninger til at gøre en overførsel lovlig - med ekstra vægt på de tekniske.

Men i samme udkast skriver man i Use Case 6, at der ikke findes tilstrækkelige tekniske foranstaltninger, hvis man vil sende data til en amerikansk cloud-udbyder.

Det fik mange europæiske virksomheder og myndigheder til at svede, for amerikansk cloud er udbredt i unionen og især i Danmark, hvor for eksempel Microsofts produkter er populære.

Siden da har anbefalingerne været i høring, og man har ventet på en afklaring fra det endelige dokument, som EDPB offentliggjorde i mandags. Use Case 6 består, men der kan være en vej udenom