Datatilsynet efter endelige Schrems II-anbefalinger: »Rummet for at overføre persondata til USA er meget snævert«

Datatilsynet efter endelige Schrems II-anbefalinger: »Rummet for at overføre persondata til USA er meget snævert«
Illustration: Datatilsynet. Se større version
De længe ventede anbefalinger fra EDPB er endelig landet. Og ifølge Datatilsynets ekspert er der ikke meget plads at spille på, hvis man som dansk myndighed eller virksomhed gerne vil bruge amerikanske cloud-tjenester.
23. juni kl. 09:11
errorÆldre end 30 dage

Schrems II-dommen har siden sidste sommer udløst hovedpine og nervøse trækninger i it-organisationer over hele Europa, og herhjemme har cloud-krisen blandt andet sat sit tydelige aftryk på det offentlige it-område.

Kombit bandlyste sidste år Microsoft som databehandler, og bekymrede kommuner har over flere omgange undret sig over, hvad dommen eksempelvis betyder for deres brug af Aula, der kører på infrastruktur fra amerikanske AWS.

Siden har mange ventet i spænding på de endelige anbefalinger fra Det Europæiske Databeskyttelsesråd (EDPB), og mandag landede de så.

Læs også: De endelige Schrems II-anbefalinger er klar: Og det ser sort ud for amerikansk cloud

Og hvis der skulle have hersket tvivl, så ser det nu ret svært ud for eksempelvis de myndigheder, der behandler danske borgeres persondata i amerikanske cloud-løsninger.

Få fuld adgang til ComplianceTech

ComplianceTech er et medie til compliance-ansvarlige i danske virksomheder og offentlige myndigheder. Vi udgiver løsningsorienterede artikler om data compliance og konkrete værktøjer til, hvordan din organisation overholder reglerne og er compliant på den mest effektive måde - uanset om det handler om GDPR, cookies, NIS-loven eller ISO-standarder.

Abonnementsfordele
vpn_key
Fuld adgang til ComplianceTech
Alt indhold på ComplianceTech er åbent for dig, så du kan nyde det fra din computer, tablet eller mobil.
drafts
Kuraterede nyhedsbreve
Nyheder, interviews, tendenshistorier og meget mere, leveret til din indbakke.
thumb_up
Adgang til debatten
Deltag i debatten med andre professionelle.
Debatten
Du har ikke tilladelse til at deltage i debatten. Kontakt support@ing.dk hvis du mener at dette er en fejl.
#1
Kevin Kruse
24. juni kl. 10:11

Hele grund præmissen for Schrems 2 og hvorfor dette spørgsmål overhovedet blev bragt op i EU, er reelt ikke om usikre tredjelande myndigheder kan få adgang til data opbevaret i, eller overført til, det pågældende tredjeland. Dette vil altid være et relistisk scenarie, uanset hvilket land data er opbevaret i. Præmissen var det langt mere problematiske i dette scenarie, som vi via rettsager i blandt andet byretten i New York, allerede ved er virkligheden:

Amerikansk myndighed beder Amerikansk virksomhed om adgang til data med en hemmelig dommerkendelse i hånden, uanset hvorhenne denne data befinder sig og om virksomheden der opbevarer den juridisk set er en selvstændig enhed. Det gør de kva ledelsen i den adspurgte virksomhed her ejerskabskontrol med den juridiske enhed, og derved er den Amerikanske virksomhed juridisk i stand til at efterkomme myndgihedernes krav, da man må formode det i yderste instans er et spørgsmål om at indsætte den ledelse i den oversøiske instans, som vil være villig til at afterkomme moder selskabets befalinger. Efterkommer ledelsen i den Amerikanske afdeling ikke dette, er det ledelsen som personligt straffes for ikke at efterkomme dette. Hvad vælger den Amerikanske statsborger derfor at gøre i dette scenarie?

Når nu MS indfører for eksempelvis end-to-end kryptering, så er det jo ikke særlig svært at forestille sig selv samme fremgangsmåde for at gennemtvinge bagdøre eller bevidst svækkelse af løsningerne. Det er netop her at EDPB sætter ind når de vurderer de ikke kan forestille sig nogen teknisk foranstaltning som skulle kunne sandsynliggøre at usikre tredjdelands ejede cloud services kunne anvendes i harmoni med GDPR. Og netop defor bliver jeg træt af at læse om jurister som vurderer ud fra et Europæisk juridisk scenarie der forudsætter kontrakter der binder leverandøreren til at sikre ovenstående ikke kan finde sted. INGEN kontrakt kan nogensinde overrule lovgivning.

Brugen af usikre tredjelands ejede cloud services, er hermed en totalt lukket bog.

Forsiden