De endelige Schrems II-anbefalinger er klar: Og det ser sort ud for amerikansk cloud

3 kommentarer.  Hop til debatten
De endelige Schrems II-anbefalinger er klar: Og det ser sort ud for amerikansk cloud
Illustration: Nanna Skytte. Se større version
Siden november sidste år har mange ventet i spænding på det Europæiske Databeskyttelsesråds endelige anbefalinger til supplerende foranstaltninger. Nu er de endelig kommet, og det ser ud til, at cloud-hovedpinen fortsætter.
21. juni kl. 15:24
errorÆldre end 30 dage

Efter flere måneders ventetid har det Europæiske Databeskyttelsesråd (EDPB) vedtaget sine endelige anbefalinger til supplerende foranstaltninger, når dataansvarlige skal føre data ud af EU.

Og det cementerer i praksis cloud-hovedpinen for mange dataansvarlige og -behandlere, som vil sende data frem og tilbage til usikre tredjelande, som USA eksempelvis er. Det fortæller Mikkel Friis Rossa, partner og advokat med speciale i databeskyttelsesret ved Bech-Bruun:

»I forhold til brugen af amerikanske cloudtjenester, forholder det sig fortsat sådan, at det ikke er muligt på lovlig vis at anvende disse tjenester, så længe cloududbyderen er etableret i et usikkert tredjeland og har behov for at kunne tilgå indholdet af personoplysningerne. Brug af amerikanske cloudtjenester kræver derfor fuldstændig kryptering eller pseudonymisering, og at cloududbyderen ikke har adgang til krypterings- eller pseudonymiseringsnøglen,« skriver han i en mail til ComplianceTech.

»Det er derfor nu op til udbyderne af cloudtjenesterne at tage næste skridt i håndteringen af udfordringen.«

Anbefalingerne er et resultat af Schrems II-afgørelsen sidste sommer, hvor EU-domstolen underkendte Privacy Shield-aftalen. Derfor er man nu nødt til at bruge Standard Contractual Clauses (SCC’er), når man sender persondata til et tredjeland – for eksempel USA, der med Schrems II-dommen blev stemplet som usikkert tredjeland.

Men man kan ikke nøjes med SCC’erne. Ifølge EU, kan man være nødt til at implementere nogle tekniske, kontraktuelle eller organisatoriske supplerende foranstaltninger for at gøre overførslen lovlig efter GDPR’s krav.

Sidste november offentliggjorde EDPB sit første udkast til anbefalinger til supplerende foranstaltninger, hvorefter de var i høring. Her kunne interessenter – blandt andet Digitaliseringsstyrelsen –  indsende høringssvar til EDPB:

»Det er vores synspunkt, at denne ændring i mange tilfælde vil forvride et fokus på kerneaktiviteterne i vores virksomheder og myndigheder og derfor bremse udviklingen af vores økonomi,« skriver digitaliseringsstyrelsen i sit høringssvar.

Amerikansk cloud

Efter offentliggørelsen af anbefalingerne stod det klart for flere eksperter på området, at dokumentet gør det meget svært for eksempelvis danske virksomheder og myndigheder at overføre persondata lovligt til USA i forbindelse med brugen af amerikanske cloud-tjenester.

For at beskytte mod tredjelandsmyndigheders adgang til data, vurderer EDPB nemlig, at man skal bruge tekniske foranstaltninger i dataoverførslen.

Men i udkastets Use Case 6 skriver man, at Databeskyttelsesrådet er »ude af stand til at forestille sig en effektiv teknisk foranstaltning til at forhindre, at adgangen krænker den registreredes rettigheder«, hvis dataoverførslen sker til et usikkert tredjeland, som EU-domstolen har vurderet, at USA er.

Og det har ikke ændret sig i de endelige anbefalinger.

Nedenfor kan du se en sammenligning mellem Use Case 6 i udkastet og Use Case 6 i den endelige udgave.

Udkast UC6
Use Case 6 i EDPB's udkast til anbefalinger til supplerende foranstaltninger. Illustration: EDPB. Se større version
UC6 endelige
Use Case 6 i EDPB's endelige anbefalinger til supplerende foranstaltninger. Illustration: EDPB. Se større version

På ComplianceTech vil vi følge op på, hvad de endelige anbefalinger kommer til at betyde for danske dataansvarliges mulighed for at bruge amerikanske cloud-tjenester i fremtiden.

3 kommentarer.  Hop til debatten
Debatten
Du har ikke tilladelse til at deltage i debatten. Kontakt support@ing.dk hvis du mener at dette er en fejl.
#3
Pernille Tranberg
22. juni kl. 22:13

Vi har netop offentliggjort en guide til europæiske cloud løsninger på dataethics.eu så vi kan fremme dem frem for US eller kinesiske løsninger

#2
Klavs Klavsen
22. juni kl. 11:16

Uden at være til fals for ussel mammon (og inerti).. Selvfølgelige kan man hoste andre steder end lige AWS, Google og Azure.. og der er f.ex. en Open Source (libreoffice online) service - der modsvarer office365 på mange måder.. mv. Er man vant til f.ex. Microsoft produkter - skal man lige vænne sig til de andre måske - men det er IMHO på tide.. og fra hvad jeg hører - så er de 3 store udbydere, godt i gang med at få det løst så europæer KUN bliver serviceret af medarbejdere indenfor EU, der er ansat i det irlandske firma - de alle har.. Derefter begynder vi også at have en chance for at de kunne komme til at betale skat en dag og bidrage til EU? man kan håbe :)

#1
Peter Valdemar Mørch
21. juni kl. 19:48

Så længe amerikansk ret er som den er, er dette udfald vel det forventelige.

Amerikanerne kommer vel nu og kalder det for protektionisme, og pragmatikerne vil ærgre sig over at de ikke kan bruge Azure og AWS på grund af de "unødigt bureaukratiske og virksomhedsfjendske GDPR regler".

Jeg er glad for at EDPB ikke har bøjet sig og fortolke reglerne til ukendelighed. Jeg er stolt over at vi i EU har taget et standpunkt og står fast.

Forsiden