Midt i Schrems II-hovedpine: Datatilsynet vil føre tilsyn med dataoverførsler ud af EU i år

13 kommentarer.  Hop til debatten
Midt i Schrems II-hovedpine: Datatilsynet vil føre tilsyn med dataoverførsler ud af EU i år
Illustration: Datatilsynet.
Schrems II-dommen og nye anbefalinger fra Det Europæiske Databeskyttelsesråd gør det svært for europæiske virksomheder at overføre data til USA på lovlig vis. Både virksomheder og myndigheder river sig i håret, og nu meddeler Datatilsynet, at man vil føre tilsyn med sagen allerede i år.
13. januar 2021 kl. 10:31
errorÆldre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Schrems II-dommen har givet alle danske virksomheder og myndigheder, der bruger amerikanske cloud-tjenester, en juridisk hovedpine af de større.

Ingen er helt sikre på, hvordan man bliver 'compliant', og nu meddeler Datatilsynet med sin tilsynsplan for 2021, at man vil føre tilsyn med tredjelandsoverførsler allerede i år.

»Med den såkaldte Schrems II-afgørelse i 2020 slog EU-Domstolen fast, at man som dataeksportør er forpligtet til at sikre et essentielt tilsvarende beskyttelsesniveau i tredjelandet, og at dette i nogle tilfælde kræver, at man – ud over at tilvejebringe et overførselsgrundlag – iværksætter supplerende foranstaltninger,« hedder det i den nye tilsynsplan.

»Datatilsynet har – navnlig i lyset af Schrems II-afgørelsen – besluttet i 2021 at føre tilsyn med en række virksomheders og offentlige myndigheders overførsel af personoplysninger til tredjelande.«

Artiklen fortsætter efter annoncen

Udover tredjelandsoverførsler vil Datatilsynet også fokusere på gamle klassikere som kontrol med databehandlere, ligesom man også vil gå myndigheder og virksomheder i sømmene på følgende områder.

  • adgangs- og rettighedsstyring,
  • anvendelse af personoplysninger i forbindelse med it-udvikling og test,
  • håndtering af personoplysninger, som 'tages ud af' dertil indrettede it-systemer, f.eks. på bærbare elektroniske medier eller på papir mv. (uddatamateriale),
  • om brud på persondatasikkerheden håndteres og anmeldes i overensstemmelse med reglerne herom.
13 kommentarer.  Hop til debatten
Debatten
Log ind for at deltage i debatten.
settingsDebatindstillinger
13
11. marts 2021 kl. 12:36

... og hvilke hardwareleverandører har SIT og hvilke supportaftaler har SIT indgået? Forhåbentlig ikke nogen hvor der indgår assistance fra usikre tredjelande ... heller ikke når SAN'et er fucket op eller virtualiseringssoftwaren har lagt sig på ryggen ...

12
14. januar 2021 kl. 09:50

Som Gert helt rigtigt siger, så har vores nærmeste naboer og unions-fæller, masser af datacenter-kapacitet. De tilbyder også data-sikkerhed og tysk ordentlighed.

Jeg har nævnt nogle eksempler i en anden tråd her på mediet, f.eks. gridscale.io, men man kan jo også spørge sig frem hos den tyske datacenter-forening, hvis man er på bar bund.

https://www.germandatacenters.com

Der er også adskillige sammenslutninger af firmaer som har en ordentlig tilgang til datasikkerhed, f.eks.:

https://www.cloud-services-made-in-germany.de/loesungskatalog/kategorien

Eller

https://www.teletrust.de/en/itsmig/holders-of-the-teletrust-seal-it-security-made-in-germany/

Der er virkelig mange muligheder i Tyskland og også en del i Frankrig, Belgien og Italien.

Som udgangspunkt kan man jo altid spørge om de overholder EUs charter eller om de overlader data til selskaber fra tredjelande.

Hvis nogen har brug for det, så har jeg fortegnelser. Kontakt mig direkte.

10
14. januar 2021 kl. 08:24

Lige netop for offentlige myndigheder findes der faktisk en dansk cloudløsning, nemlig GovCloud.

Denne driftes af SIT, som jo alligevel ville drifte de servere som skulle benyttes hvis det hele blev flyttet on-premise.

Desværre er GovCloud stadig ikke en særlig moden løsning, men man kan da håbe at dette push væk fra de store amerikanske udbydere kan sætte skub i at få det udviklet til et reelt praktisk alternativ for offentlige myndigheder.

9
14. januar 2021 kl. 08:13

Jeg er principielt fuldstændigt enig, der er dog også et "aber dabei"....

Vil det være et fuldstændigt farvel til Cloud for offentlige myndigheder og "Return of the on-prem"? Du kan ikke længere bero dig på eksempelvis en Microsoft365 løsning, for det er jo ikke-EU (Allerede der er der et problem, da DK i høj grad er Microsoft-land...)

i har jo ikke mulighed for selv at vælge hvem der ser disse data, så det skal fra nu af være forbudt for offentlige data at blive behandlet af selskaber der hidrører fra et ikke-EU lovområde.

Hvis jeg nu som offentlig myndighed sørger for at databehandling sker hos udbyder i Belgien - der så benytter systemer, der er cloud-baserede. Må jeg så benytte det selskab? Eller kommer det an på om det selskab igen benytter services fra en selskab der hidrører fra et ikke-EU lovområde?

Med de praktiske briller på: Der findes ikke nogen cloud, der alene baserer sig på teknologi fra EU-lande. Du kan ikke bruge noget, der ikke findes.

Så ja, jeg er principielt enig - men det kan ikke lade sig gøre i praksis.

8
13. januar 2021 kl. 16:15

Ja, det har du ret i.

7
13. januar 2021 kl. 15:52

Den private sektor, i Danmark såvel som resten af EU, skal herefter tydeligt skilte med at de sender dine data ud til lande, hvor de kan blive misbrugt. Kald det en stjerne på tøjet eller en dummepeter-hat, bare det er klart og tydeligt, så enhver kan vælge at bruge et andet selskab til sine opgaver

Selv i det tilfælde bør det reelt være muligt at fravælge, at ens data bliver kastet i grams.

Det dur jo ikke, at den lokale knallertbingoforening siger, at du bare kan lade være at være med. "Du vil jo gerne være med i klubben, Mulle". Det er ikke et informeret samtykke, hvis man ikke har noget valg.

6
13. januar 2021 kl. 15:28

Der er ikke tale om en juridisk hovedpine, for det drejer sig om noget så enkelt som borgernes ret til selv at bestemme, hvem der kan rode med ens data. I årevis har vi set hvordan man ignorerer det grundlæggende princip (fra EUs charter af 2000), ved at gemme sine dataoverførsler bag tykke, juridiske dokumenter, i stedet for at opføre sig ordentligt.

Man kan ikke tolke EUs Charter forkert.

Der er ingen undskyldninger og ingen papirer der kan forhindre at vores data bliver misbrugt, hvis vi lægger dem i armene på tredjelande og deres repræsentanter. Alle ved at f.eks. Kina og USA, ikke har noget der bare ligner beskyttelse af de rettigheder vi har som EU-borgere, så hvis man troede at man kunne krænke vores rettigheder uforstyrret, ved at påberåbe sig Privacy Shield, SCC'er eller andet juristeri, så skal man tænke om. I en fart.

Jeg er klar over at det lyder firkantet og kompromisløst, men det her er bare virkelig simpelt.

Jørgen har ret, det er en selvforskyldt lidelse og der er ingen "supplerende foranstaltninger" man kan sætte i værk, som ikke vil overtræde EUs charter.

Hvis der er nogen CISO'er eller andre derude, som bare sidder og venter på at EU skal lovliggøre deres dataoverførsler for tredje gang, så bliver de nok klogere. EDPB/EDPS levner ikke plads til smuthuller i deres seneste udspil og hvorfor skulle de også det? Deres primære formål er at beskytte os, vores data og ikke at gøre en praksis som er grundlæggende forkert, "lovligt" (for tredje gang!).

Forslag

Som mange har påpeget så er der tilsyneladende kun den løsning, at amerikanerne licenserer deres software til EU-selskaber, så data er udenfor deres rækkevidde. Jeg har dog et forslag til et kompromis:

  1. Den offentlige sektor i Danmark og EU, skal trække deres data og databehandling hjem fra tredjelande inden årets udgang. Vi har jo ikke mulighed for selv at vælge hvem der ser disse data, så det skal fra nu af være forbudt for offentlige data at blive behandlet af selskaber der hidrører fra et ikke-EU lovområde.

  2. Den private sektor, i Danmark såvel som resten af EU, skal herefter tydeligt skilte med at de sender dine data ud til lande, hvor de kan blive misbrugt. Kald det en stjerne på tøjet eller en dummepeter-hat, bare det er klart og tydeligt, så enhver kan vælge at bruge et andet selskab til sine opgaver. (Man kunne endda overveje blot at gøre det i en 3-årig periode, og så bliver det som 1 ovenfor.)

Jeg hører gerne meninger om mit forslag. :-)

4
13. januar 2021 kl. 12:52

Jeg har svært ved at se hvordan man kan komme frem til det er en selvforskyldt lidelse, når fortolkningen før Schrems II dommen var at Privacy Shield var nok til at man kunne benytte amerikanske tech selskabers tjenester.

Det er naturligvis problematisk, at forskellige myndigheder tolker forkert. Det vil de formodentligt blive ved med i et forsøg på at tækkes dem der åh-så-gerne vil have alt i skyen.

Men hvis man træder et skridt tilbage, så er skyen jo en anden mands computer. Hvis den mand ikke alene er underlagt EU-lovgivning, så burde det være klart, at vores regler ikke gælder for ham.

At nogen opfinder et stykke juridisk vraggods, man kan klamre sig til, ændrer ikke ved, at EU-regler kun gælder i EU.

Hvis man tror på illusioner om andet, må det være selvforskyldt at man får problemer, når forhænget hives til side.

2
13. januar 2021 kl. 12:04

Men gælder EU-regler også indenfor EU i praksis, hvis selskabet er amerikansk. Jeg tænker naturligvis på CLOUD-act.

1
13. januar 2021 kl. 11:07

Åbenbart er flere i tvivl om, hvordan man bliver "compliant".

Mit bud er: Lad være med at lægge personoplysninger et sted, hvor andre staters myndigheder kan kræve at få dem udleveret.

Hvis Schrems II giver "juridisk hovedpine", må det være fordi man ikke har overvejet det simple faktum, at EU-regler ikke gælder udenfor EU. Så der må være tale om en selvforskyldt lidelse.

Jeg ved ikke, hvilke "supplerende foranstaltninger" man kan iværksætte for at få EU-regler til at gælde udenfor EU, men jeg forestiller mig, at det kræver våbenmagt.

(Man kan selvfølgelig kryptere sine data før man sender dem til udlandet, men det er den kedelige fortolkning. Det kan også kun bruges til lagring af data; hvis krypteringsnøglen også ligger i udlandet er man jo lige vidt.)