EU-dom kan sætte den digitale udvikling over styr

Uden nye aftaler om overførsel af persondata til fortrinsvis USA risikerer vi at gøre uoprettelig skade på den digitale udvikling i Danmark og resten af EU, skriver Martin Jensen Buch, chefkonsulent hos IT-Branchen.
Brødtekst

Med afgørelsen i Schrems II-sagen har EU-domstolen i sommer underkendt den tidligere aftale om overførsel af persondata til USA – det såkaldte ’Privacy Shield’. 

Uden denne aftale er det i teorien fortsat muligt, men i realiteten meget svært, at overføre data til USA lovligt. Også overførsel af persondata til andre ikke EU-lande, der huser gode it-serviceleverandører, såsom Indien, Ukraine m.fl. er i praksis stort set blevet umulig.

Det skaber et gevaldigt benspænd for alle de virksomheder og myndigheder, der gerne vil bruge internettet, cloud og online tjenester.

Indtil i sommer, har det været muligt at eksportere data ved hjælp af EU´s standardkontrakter for eksport af data, men selv om disse fortsat er gyldige, kræves der siden dommens afsigelse noget mere, for at man lovligt kan overføre data. 

Hvad der nærmere og helt konkret ligger i det, var uklart, og alle har ventet på en udmelding fra det europæiske dataråd (EDPB) i spænding.

Anbefalinger er ikke nok

Det europæiske dataråd har omsider udarbejdet en række anbefalinger, som giver en rettesnor for, hvordan disse overførsler kan udføres fremover. Anbefalingerne er dog ikke til megen hjælp, og vi har brug for, at EU kommer med nogle løsninger, som rent faktisk kan bruges af alle.

De anbefaler blandt andet, at alle virksomheder og myndigheder skal gennemføre deres egen analyse af retsforhold i tredjelande.

Det forekommer meget urealistisk og som en kæmpe byrde, at eksempelvis en lille danske produktionsvirksomhed selv skal læse hele den amerikanske, indiske og kinesiske lovgivning igennem for derefter at vurdere forskellene og sikkerhedsniveauet i hvert land, hvorefter de skal skrive en rapport om dette – bare for at kunne sende et kvartalsmæssigt nyhedsbrev ud til deres kunder og indsamle data om, hvilke undersider på deres hjemmeside som deres brugere besøger.

Vi mangler som minimum et par eksempler, der viser, at det kan gøres relativ enkelt. Som det ser ud lige nu, skal virksomheder producere en lang rapport bare for at hoste en webshop. Det er en uholdbar situation, og risikerer at sende hele digitaliseringen i bakgear.

Ingen er tjent med situationen, som den er nu, og EU bør have en ny aftale med USA om dataoverførsler allerøverst på prioriteringslisten på linje med arbejdet for en Brexit-aftale. For det er noget, der påvirker alle virksomheder og myndigheder i hele Europa.

Gode intentioner uden virkelighedssans

Det er i og for sig fint at arbejde for, at datasikkerheden i tredjelande lever op til EU’s standarder, men det sker ikke fra den ene dag til den anden.

Vi har ikke i dag reelt muligheden for at fravælge dataoverførsler til 3.-lande, og i særdeleshed ik-ke til USA. Det er derfor meget vigtigt, at EDPB – indtil der foreligger en ny aftale med USA – fremkommer med detaljerede retningslinjer og eksempler, der foregiver, hvordan tingene skal gøres i praksis.

Vi risikerer at sætte den digitale udvikling på hold, og det er ikke i nogens interesse.