Datatilsynet offentliggjorde i onsdags en ny cloud-vejledning, der skal klæde dataansvarlige virksomheder og myndigheder på til at komme i skyen lovligt.
I vejledningen kommer tilsynet blandt andet ind på overførsler til USA, hvor danskernes foretrukne cloud-leverandører holder til. Men landets problematiske lovgivning har skabt store udfordringer for dem, der gerne vil bruge eksempelvis Microsoft, Google eller AWS.
Kunderne skal nemlig etablere en ekstra teknisk sikkerhed omkring borgernes persondata, når den ender hos en cloud-leverandør i USA, fortæller vejledningen. Datatilsynet giver læseren ét eksempel på, hvordan det kan lade sig gøre.
Farvel til funktionaliteten
Eksemplet beskriver en dansk virksomhed, der har udviklet en app og ønsker at hoste hos en cloud-tjeneste med databehandling i EU. Leverandøren kan dog ikke udelukke, at der kan ske overførsler til tredjelande, eksempelvis USA, i forbindelse med service og opgradering af infrastrukturen.
Virksomheden bruger standardkontrakter som overførselsgrundlag og har indgået en aftale med et svensk firma, som krypterer data på hele rejsen. Når en bruger indtaster persondata i appen, ryger oplysningerne til Sverige, hvor behandlingsaktiviteterne foregår.
Den svenske virksomhed krypterer så data og sender den til cloud-leverandøren, som opbevarer oplysningerne i EU. På den måde sikrer den danske dataansvarlige, at data ikke kan ende i USA i klar tekst.
Flere amerikanske tech-giganter har datacentre i EU, så derfor kan eksemplet være en løsning for nogen. Men for de fleste er det ikke realistisk, vurderer Henning Mortensen, formand for Rådet for Digital Sikkerhed.
Med sådan en løsning skal de danske virksomheder og myndigheder nemlig give afkald på al den kvalitetsrige funktionalitet, som tech-giganterne tilbyder.
»Som udgangspunkt bruger man cloud, fordi cloud-leverandøren kan stille alle de her funktionaliteter til rådighed. I det her tilfælde bruger du bare clouden til at lagre data. Clouden er kun en harddisk her. Det kan der selvfølgelig godt være økonomiske fordele i, men de vil være meget begrænsede. Som regel ligger fordelene i alle de andre ting,« siger han.
Selvom eksemplet måske ikke vil appellere til nogle virksomheder og myndigheder, roser Henning Mortensen alligevel vejledningen og eksemplerne i den. Den gør noget svært juridisk stof let tilgængelig for dem, der har svært ved at finde hoved og hale i GDPR, understreger han.
Tilmeld dig V2 Security 2022 | Danmarks største messe om cybersikkerhed
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
