Datatilsynet: Sådan kan du bruge amerikansk cloud lovligt

1 kommentar.  Hop til debatten
Datatilsynet: Sådan kan du bruge amerikansk cloud lovligt
Illustration: Bigstock/Ffmr.
I den nye cloud-vejledning giver Datatilsynet ét eksempel på, hvordan man kan bruge tekniske foranstaltninger til at bruge amerikansk cloud lovligt. Men så skal man give afkald på funktionaliteten og de fordele, som følger med.
11. marts kl. 10:05
errorÆldre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Datatilsynet offentliggjorde i onsdags en ny cloud-vejledning, der skal klæde dataansvarlige virksomheder og myndigheder på til at komme i skyen lovligt.

I vejledningen kommer tilsynet blandt andet ind på overførsler til USA, hvor danskernes foretrukne cloud-leverandører holder til. Men landets problematiske lovgivning har skabt store udfordringer for dem, der gerne vil bruge eksempelvis Microsoft, Google eller AWS.

Kunderne skal nemlig etablere en ekstra teknisk sikkerhed omkring borgernes persondata, når den ender hos en cloud-leverandør i USA, fortæller vejledningen. Datatilsynet giver læseren ét eksempel på, hvordan det kan lade sig gøre.

Farvel til funktionaliteten

Eksemplet beskriver en dansk virksomhed, der har udviklet en app og ønsker at hoste hos en cloud-tjeneste med databehandling i EU. Leverandøren kan dog ikke udelukke, at der kan ske overførsler til tredjelande, eksempelvis USA, i forbindelse med service og opgradering af infrastrukturen.

Artiklen fortsætter efter annoncen

Virksomheden bruger standardkontrakter som overførselsgrundlag og har indgået en aftale med et svensk firma, som krypterer data på hele rejsen. Når en bruger indtaster persondata i appen, ryger oplysningerne til Sverige, hvor behandlingsaktiviteterne foregår.

Den svenske virksomhed krypterer så data og sender den til cloud-leverandøren, som opbevarer oplysningerne i EU. På den måde sikrer den danske dataansvarlige, at data ikke kan ende i USA i klar tekst.

Flere amerikanske tech-giganter har datacentre i EU, så derfor kan eksemplet være en løsning for nogen. Men for de fleste er det ikke realistisk, vurderer Henning Mortensen, formand for Rådet for Digital Sikkerhed.

Med sådan en løsning skal de danske virksomheder og myndigheder nemlig give afkald på al den kvalitetsrige funktionalitet, som tech-giganterne tilbyder.

»Som udgangspunkt bruger man cloud, fordi cloud-leverandøren kan stille alle de her funktionaliteter til rådighed. I det her tilfælde bruger du bare clouden til at lagre data. Clouden er kun en harddisk her. Det kan der selvfølgelig godt være økonomiske fordele i, men de vil være meget begrænsede. Som regel ligger fordelene i alle de andre ting,« siger han.

Selvom eksemplet måske ikke vil appellere til nogle virksomheder og myndigheder, roser Henning Mortensen alligevel vejledningen og eksemplerne i den. Den gør noget svært juridisk stof let tilgængelig for dem, der har svært ved at finde hoved og hale i GDPR, understreger han.

Tilmeld dig V2 Security 2022 | Danmarks største messe om cybersikkerhed


Tilmeld dig messen her

1 kommentar.  Hop til debatten
Debatten
Log ind for at deltage i debatten.
settingsDebatindstillinger
1
14. marts kl. 20:05

Problemet med de eksempler der bruges er, at de kun går et niveau længere ned end hovedleverandøren, nemlig til underleverandøren.

Under f.eks. en SaaS ydelse kan der sagtens ligge en kæmpe undertræ af underleverandører både i bredden og i dybden. Det kræver altså en hel del tekniske og organisatorisk indsigt og forståelse for hvad hovedleverandøren laver for at kunne vurdere om der ift. dette 'træ' er et problem ift. GDPR.

Og det .. ja tvivler jeg på at man checker, måske især der hvor det at brydde GDPR ingen reel konsekvens har.

// jesper