Datatilsynet efter endelige Schrems II-anbefalinger: »Rummet for at overføre persondata til USA er meget snævert«
Schrems II-dommen har siden sidste sommer udløst hovedpine og nervøse trækninger i it-organisationer over hele Europa, og herhjemme har cloud-krisen blandt andet sat sit tydelige aftryk på det offentlige it-område.
Kombit bandlyste sidste år Microsoft som databehandler, og bekymrede kommuner har over flere omgange undret sig over, hvad dommen eksempelvis betyder for deres brug af Aula, der kører på infrastruktur fra amerikanske AWS.
Siden har mange ventet i spænding på de endelige anbefalinger fra Det Europæiske Databeskyttelsesråd (EDPB), og mandag landede de så.
Og hvis der skulle have hersket tvivl, så ser det nu ret svært ud for eksempelvis de myndigheder, der behandler danske borgeres persondata i amerikanske cloud-løsninger.
»Det er et meget snævert rum, der er for brug af tjenester der overfører persondata til USA, og det mener jeg egentlig allerede, at den oprindelige dom fra EU-domstolen beskrev,« siger Allan Frank, der er it-sikkerhedsspecialist hos Datatilsynet og har været involveret i arbejdet med anbefalingerne.
Afgørende scenarie er urørt
Schrems II-bekymringerne er i høj grad gået på de scenarier, hvor de amerikanske cloud-leverandører har brug for at kunne tilgå kundernes data i klartekst – typisk i forbindelse med support-sager.
I udkastet til EDPBs anbefalinger lød det her ildevarslende, at man var ‘ude af stand til at forestille sig en effektiv teknisk foranstaltning til at forhindre, at adgangen krænker den registreredes rettigheder’.
Læs også: Dumpede Microsoft efter EU-dom: Derfor blåstempler Kombit AWS og Aula
Og databeskyttelsesrådet har ikke ændret synspunkt i de endelige anbefalinger.
»Der er ikke meget i anbefalingerne, der har ændret sig i forhold til udkastet. Der er sket lidt i forhold til, hvad man kan inddrage, når man vurderer modtagerlandets forhold, men ellers er det i store træk det samme,« siger Allan Frank og understreger, at det er nu, man som dataansvarlig skal få styr på, om ens it-systemer er lovlige.
»Vi har i de sidste mange år haft en måde at forbruge it-produkter på, som EU-domstolen nu har konstateret ikke er i overensstemmelse med reglerne. Så vi er et sted nu, hvor man som dataansvarlig skal lakmusteste sit setup.«
Leverandørerne skal i arbejdstøjet
Leverandører som Microsoft og AWS har siden Schrems II-dommen forsøgt at give deres kunder ro i sjælen og forsikre, at man sagtens kan fortsætte med at bruge deres produkter.
I kølvandet på de nye anbefalinger vurderede Mikkel Friis Rossa, partner og advokat med speciale i databeskyttelsesret ved Bech-Bruun dog situationen lidt anderledes.
Læs også: Leverandører giver Schrems II-'garantier': Her er de nødvendige spørgsmål, du skal stille
I hans optik er det ikke muligt på lovlig vis at bruge de amerikanske tjenester i et setup, hvor leverandøren har behov for at kunne tilgå data.
Derfor er bolden på nu de amerikanske giganters banehalvdel.
»Det er derfor nu op til udbyderne af cloud-tjenesterne at tage næste skridt i håndteringen af udfordringen,« lyder det.
Hos Datatilsynet er Allan Frank enig i, at leverandørerne i lyset på Schrems II-dommen og de nye anbefalinger skal sørge for, at de cloud-produkter, de sælger til for eksempel danske myndigheder, også reelt er lovlige for kunderne at bruge.
»Jeg ser det lidt som en grundpræmis, at leverandørerne selvfølgelig må gøre det, der skal til for at deres løsninger harmonerer med europæisk lov. Men man må holde sig for øje, at der også kan ske noget politisk,« siger han og refererer til, at der fra flere kanter i USA er et ønske om at indføre ny lovgivning, der kan højne europæernes databeskyttelse.
Læs også: Databeskyttelse står i vejen for cloud i Statens It: »Vi har et ekstra ansvar«
»Uden at filosofere for meget, kunne man jo godt forestille sig, at USA havde en interesse i, at store amerikanske virksomheder kunne blive ved med at tjene penge på at sælge it-ydelser på det europæiske marked. Så der kan også ske noget der.«
Tidligere på måneden sendte 24 organisationer et brev til den amerikanske præsident Joe Biden, hvor de netop opfordrede ham til at få styr på USA interne regler om databeskyttelse, inden han forsøger at lave en erstatning for privacy shield.
Det vil nemlig være spildte kræfter, lyder det.
»USA’s fiasko med at sikre meningsfuld databeskyttelse for persondata er årsagen til, at et stigende antal lande er bekymrede over tværnationale dataflows. Indtil USA adresserer dette problem, vil bekymringerne bestå, og aftaler om dataflow vil sandsynligvis erklæres ugyldige.«
Tilsyn på vej
Tilbage i januar måned lancerede Datatilsynet sin tilsynsplan for 2021.
Og midt i myndighedernes Schrems II-hovedpine kunne man tydeligt læse, at der allerede i år vil blive ført tilsyn med de såkaldte tredjelandsoverførsler.
Og med det in mente er det en god idé hurtigst muligt at få overblik over, hvilke data man overfører til USA, og hvorfor man gør det.
»Ligesom vi tidligere har meldt ud, kommer vi til at føre tilsyn med dette her. Og der kommer vi som det første til at kigge på, om man har styr på, hvilke overførsler man har, hvilket grundlag de finder sted på, og de overvejelser man har gjort sig om lovligheden af eksisterende overførsler,« lyder det fra Allan Frank.
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
