Midt i Schrems II-hovedpine: Datatilsynet vil føre tilsyn med dataoverførsler ud af EU i år

Illustration: Datatilsynet
Schrems II-dommen og nye anbefalinger fra Det Europæiske Databeskyttelsesråd gør det svært for europæiske virksomheder at overføre data til USA på lovlig vis. Både virksomheder og myndigheder river sig i håret, og nu meddeler Datatilsynet, at man vil føre tilsyn med sagen allerede i år.

Schrems II-dommen har givet alle danske virksomheder og myndigheder, der bruger amerikanske cloud-tjenester, en juridisk hovedpine af de større.

Ingen er helt sikre på, hvordan man bliver 'compliant', og nu meddeler Datatilsynet med sin tilsynsplan for 2021, at man vil føre tilsyn med tredjelandsoverførsler allerede i år.

»Med den såkaldte Schrems II-afgørelse i 2020 slog EU-Domstolen fast, at man som dataeksportør er forpligtet til at sikre et essentielt tilsvarende beskyttelsesniveau i tredjelandet, og at dette i nogle tilfælde kræver, at man – ud over at tilvejebringe et overførselsgrundlag – iværksætter supplerende foranstaltninger,« hedder det i den nye tilsynsplan.

Læs også: Sundhedsplatformen på kant med loven: Regioner skal i kritiske forhandlinger med Epic efter Schrems II-dom

»Datatilsynet har – navnlig i lyset af Schrems II-afgørelsen – besluttet i 2021 at føre tilsyn med en række virksomheders og offentlige myndigheders overførsel af personoplysninger til tredjelande.«

Udover tredjelandsoverførsler vil Datatilsynet også fokusere på gamle klassikere som kontrol med databehandlere, ligesom man også vil gå myndigheder og virksomheder i sømmene på følgende områder.

  • adgangs- og rettighedsstyring,
  • anvendelse af personoplysninger i forbindelse med it-udvikling og test,
  • håndtering af personoplysninger, som 'tages ud af' dertil indrettede it-systemer, f.eks. på bærbare elektroniske medier eller på papir mv. (uddatamateriale),
  • om brud på persondatasikkerheden håndteres og anmeldes i overensstemmelse med reglerne herom.
Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (13)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Jørgen Elgaard Larsen

Åbenbart er flere i tvivl om, hvordan man bliver "compliant".

Mit bud er: Lad være med at lægge personoplysninger et sted, hvor andre staters myndigheder kan kræve at få dem udleveret.

Hvis Schrems II giver "juridisk hovedpine", må det være fordi man ikke har overvejet det simple faktum, at EU-regler ikke gælder udenfor EU. Så der må være tale om en selvforskyldt lidelse.

Jeg ved ikke, hvilke "supplerende foranstaltninger" man kan iværksætte for at få EU-regler til at gælde udenfor EU, men jeg forestiller mig, at det kræver våbenmagt.

(Man kan selvfølgelig kryptere sine data før man sender dem til udlandet, men det er den kedelige fortolkning. Det kan også kun bruges til lagring af data; hvis krypteringsnøglen også ligger i udlandet er man jo lige vidt.)

  • 14
  • 3
#3 Mark Klitgaard

Hvis Schrems II giver "juridisk hovedpine", må det være fordi man ikke har overvejet det simple faktum, at EU-regler ikke gælder udenfor EU. Så der må være tale om en selvforskyldt lidelse.

Jeg har svært ved at se hvordan man kan komme frem til det er en selvforskyldt lidelse, når fortolkningen før Schrems II dommen var at Privacy Shield var nok til at man kunne benytte amerikanske tech selskabers tjenester.

  • 6
  • 2
#4 Jørgen Elgaard Larsen

Jeg har svært ved at se hvordan man kan komme frem til det er en selvforskyldt lidelse, når fortolkningen før Schrems II dommen var at Privacy Shield var nok til at man kunne benytte amerikanske tech selskabers tjenester.

Det er naturligvis problematisk, at forskellige myndigheder tolker forkert. Det vil de formodentligt blive ved med i et forsøg på at tækkes dem der åh-så-gerne vil have alt i skyen.

Men hvis man træder et skridt tilbage, så er skyen jo en anden mands computer. Hvis den mand ikke alene er underlagt EU-lovgivning, så burde det være klart, at vores regler ikke gælder for ham.

At nogen opfinder et stykke juridisk vraggods, man kan klamre sig til, ændrer ikke ved, at EU-regler kun gælder i EU.

Hvis man tror på illusioner om andet, må det være selvforskyldt at man får problemer, når forhænget hives til side.

  • 9
  • 2
#6 Johnny Lüchau Blogger

Der er ikke tale om en juridisk hovedpine, for det drejer sig om noget så enkelt som borgernes ret til selv at bestemme, hvem der kan rode med ens data. I årevis har vi set hvordan man ignorerer det grundlæggende princip (fra EUs charter af 2000), ved at gemme sine dataoverførsler bag tykke, juridiske dokumenter, i stedet for at opføre sig ordentligt.

Man kan ikke tolke EUs Charter forkert.

Der er ingen undskyldninger og ingen papirer der kan forhindre at vores data bliver misbrugt, hvis vi lægger dem i armene på tredjelande og deres repræsentanter. Alle ved at f.eks. Kina og USA, ikke har noget der bare ligner beskyttelse af de rettigheder vi har som EU-borgere, så hvis man troede at man kunne krænke vores rettigheder uforstyrret, ved at påberåbe sig Privacy Shield, SCC'er eller andet juristeri, så skal man tænke om. I en fart.

Jeg er klar over at det lyder firkantet og kompromisløst, men det her er bare virkelig simpelt.

Jørgen har ret, det er en selvforskyldt lidelse og der er ingen "supplerende foranstaltninger" man kan sætte i værk, som ikke vil overtræde EUs charter.

Hvis der er nogen CISO'er eller andre derude, som bare sidder og venter på at EU skal lovliggøre deres dataoverførsler for tredje gang, så bliver de nok klogere. EDPB/EDPS levner ikke plads til smuthuller i deres seneste udspil og hvorfor skulle de også det? Deres primære formål er at beskytte os, vores data og ikke at gøre en praksis som er grundlæggende forkert, "lovligt" (for tredje gang!).

Forslag

Som mange har påpeget så er der tilsyneladende kun den løsning, at amerikanerne licenserer deres software til EU-selskaber, så data er udenfor deres rækkevidde. Jeg har dog et forslag til et kompromis:

  1. Den offentlige sektor i Danmark og EU, skal trække deres data og databehandling hjem fra tredjelande inden årets udgang. Vi har jo ikke mulighed for selv at vælge hvem der ser disse data, så det skal fra nu af være forbudt for offentlige data at blive behandlet af selskaber der hidrører fra et ikke-EU lovområde.

  2. Den private sektor, i Danmark såvel som resten af EU, skal herefter tydeligt skilte med at de sender dine data ud til lande, hvor de kan blive misbrugt. Kald det en stjerne på tøjet eller en dummepeter-hat, bare det er klart og tydeligt, så enhver kan vælge at bruge et andet selskab til sine opgaver. (Man kunne endda overveje blot at gøre det i en 3-årig periode, og så bliver det som 1 ovenfor.)

Jeg hører gerne meninger om mit forslag. :-)

  • 13
  • 1
#7 Jørgen Elgaard Larsen

Den private sektor, i Danmark såvel som resten af EU, skal herefter tydeligt skilte med at de sender dine data ud til lande, hvor de kan blive misbrugt. Kald det en stjerne på tøjet eller en dummepeter-hat, bare det er klart og tydeligt, så enhver kan vælge at bruge et andet selskab til sine opgaver

Selv i det tilfælde bør det reelt være muligt at fravælge, at ens data bliver kastet i grams.

Det dur jo ikke, at den lokale knallertbingoforening siger, at du bare kan lade være at være med. "Du vil jo gerne være med i klubben, Mulle". Det er ikke et informeret samtykke, hvis man ikke har noget valg.

  • 14
  • 1
#9 Asbjørn Hoffskov Lund

Jeg er principielt fuldstændigt enig, der er dog også et "aber dabei"....

Vil det være et fuldstændigt farvel til Cloud for offentlige myndigheder og "Return of the on-prem"? Du kan ikke længere bero dig på eksempelvis en Microsoft365 løsning, for det er jo ikke-EU (Allerede der er der et problem, da DK i høj grad er Microsoft-land...)

i har jo ikke mulighed for selv at vælge hvem der ser disse data, så det skal fra nu af være forbudt for offentlige data at blive behandlet af selskaber der hidrører fra et ikke-EU lovområde.

Hvis jeg nu som offentlig myndighed sørger for at databehandling sker hos udbyder i Belgien - der så benytter systemer, der er cloud-baserede. Må jeg så benytte det selskab? Eller kommer det an på om det selskab igen benytter services fra en selskab der hidrører fra et ikke-EU lovområde?

Med de praktiske briller på: Der findes ikke nogen cloud, der alene baserer sig på teknologi fra EU-lande. Du kan ikke bruge noget, der ikke findes.

Så ja, jeg er principielt enig - men det kan ikke lade sig gøre i praksis.

  • 2
  • 2
#10 Tobias Kildetoft

Lige netop for offentlige myndigheder findes der faktisk en dansk cloudløsning, nemlig GovCloud.

Denne driftes af SIT, som jo alligevel ville drifte de servere som skulle benyttes hvis det hele blev flyttet on-premise.

Desværre er GovCloud stadig ikke en særlig moden løsning, men man kan da håbe at dette push væk fra de store amerikanske udbydere kan sætte skub i at få det udviklet til et reelt praktisk alternativ for offentlige myndigheder.

  • 3
  • 0
#11 Gert Madsen

Med de praktiske briller på: Der findes ikke nogen cloud, der alene baserer sig på teknologi fra EU-lande. Du kan ikke bruge noget, der ikke findes.

Det giver nok mening at kigge syd for grænsen. Tyskerne har ikke så nonchalant forhold til andre folks data, som vi ser herhjemme.

Det vil være noget andet, og nok inkludere Amerikansk teknologi, men med data i EU, og drevet af EU-borgere.

  • 5
  • 0
#12 Johnny Lüchau Blogger

Som Gert helt rigtigt siger, så har vores nærmeste naboer og unions-fæller, masser af datacenter-kapacitet. De tilbyder også data-sikkerhed og tysk ordentlighed.

Jeg har nævnt nogle eksempler i en anden tråd her på mediet, f.eks. gridscale.io, men man kan jo også spørge sig frem hos den tyske datacenter-forening, hvis man er på bar bund.

https://www.germandatacenters.com

Der er også adskillige sammenslutninger af firmaer som har en ordentlig tilgang til datasikkerhed, f.eks.:

https://www.cloud-services-made-in-germany.de/loesungskatalog/kategorien

Eller

https://www.teletrust.de/en/itsmig/holders-of-the-teletrust-seal-it-secu...

Der er virkelig mange muligheder i Tyskland og også en del i Frankrig, Belgien og Italien.

Som udgangspunkt kan man jo altid spørge om de overholder EUs charter eller om de overlader data til selskaber fra tredjelande.

Hvis nogen har brug for det, så har jeg fortegnelser. Kontakt mig direkte.

  • 3
  • 0
#13 Henrik Sørensen

... og hvilke hardwareleverandører har SIT og hvilke supportaftaler har SIT indgået? Forhåbentlig ikke nogen hvor der indgår assistance fra usikre tredjelande ... heller ikke når SAN'et er fucket op eller virtualiseringssoftwaren har lagt sig på ryggen ...

  • 1
  • 0
Log ind eller Opret konto for at kommentere