Organisationer kritiserer nye databeskyttelsesregler: Vil presse livet ud af internationale dataoverførsler

30. december 2020 kl. 03:4527
EU-cloud-bom illustration
Illustration: Iskra Denkova.
Store internationale organisationer retter kritik mod Det Europæiske Databeskyttelsesråds anbefalinger til tredjelandsoverførsler. Man mangler en risikobaseret tilgang, og opgaven er umulig for virksomheder, lyder opråbet.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Flere store internationale organisationer kommer med stærk kritik af Det Europæiske Databeskyttelsesråds (EDPB) nye anbefalinger til tredjelandsoverførsler og profeterer om dommedag for internationale dataoverførsler, hvis ikke EDPB revurderer vejledningen.

Log ind og læs videre
Du kan læse indholdet og deltage i debatten ved at logge ind eller oprette dig som ny bruger, helt gratis.
27 kommentarer.  Hop til debatten
Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
27
4. januar 2021 kl. 19:13

Personligt er jeg stor tilhænger af disse regler, da det jf. min opfattelse er reelle udfordringer som bør tages meget alvorligt. Det nytter ikke noget at tredjepart ikke er i stand til at garantere fortrolighed.

26
4. januar 2021 kl. 15:45

Som lille erhvervsdrivende ville jeg da elske hvis der var andre åbenlyse valg på hylden end "bare" Microsoft 365 og Google Suite.

Hvis vi skelner imellem data som kræver særlig beskyttelse såsom CPR-numre, seksualitet, religion mv. er det så et problem for små virksomheder at skulle overholde Screms II?

Jeg ville sige nej, for det antal mennesker som har brug at kunne databehandle f.eks. lønoplysninger er jo formentlig kun en person selv om der måske er 100 ansatte. En afdelingsleder som skal godkende lønnen før udbetaling, behøver jo kun et fornavn og efternavn samt personalenummer for de personer som afdelingsleder godkender (plus de elementer som afdelingslederen skal godkende)

De oplysninger som kræver særlig beskyttelse er jo typisk stamoplysninger som man ikke bruger ret tit når først ansatte er oprettet i systemet. En ansat kan jo bare få et medarbejdernummer som så oversættes til CPR i selve lønkørslen.

Mon ikke et eksternt drev som DataLocker 3 kan klare sikkerhedsproblemet for løningsbogholderen?

Det som er problemet, er nok nærmere at man bare vil sende regneark rundt med alle personlige data på f.eks. medarbejdere og via MS-teams kunne tilgå alt, selvom 99+ % af virksomhedens ansatte jo ikke har noget at bruge netop de følsomme data til.

Jeg tror man kommer langt med at overholde Screms II ved at tænke sig om - og tænke på om det nu er nødvendigt med de data på en cloud?

Personligt jeg ikke drømme om at lægge data på en cloud som ikke en konkurrent må kunne læse.

21
3. januar 2021 kl. 01:25

Flere store internationale organisationer kommer med stærk kritik

Læs venligst "Efter et kostbart og massivt lobbyarbejde, så "kommer flere store internationale organisationer med stærk kritik"

Hvorfor skal det være specielt problematisk at man stiller tilsvarende krav til datalagring?

"Man" har fusket sig fra de nødvendige tiltag samt udgifter til it-sikkerhed i årtier - "går den så går den", og nu kom så stopklodsen samt regningen og bøvlet er på vej både til virksomheder samt borgerne.

Bedre sent end aldrig - som nævnt i foranstående indlæg Privacy har en pris. Og tag så den tudekiks lobbyfolk og "organisationer", så vi alle herefter kan bruge tiden til noget it-fagligt ;)

17
1. januar 2021 kl. 16:09

Men at sidde og pive over, at ved at overføre data til amerikanske virksomheder er der risiko for at personfølsomme data vil havne hos amerikansk efterretningstjeneste... er der virkelig nogen der tror på at ved at indføre EU regler så havner data ikke der..

Nu forudsætter du at overførsler af data til de kendte amerikanske leverandører, betyder at data ikke bliver tilgængelig i de 3. lande, du nævner ovenfor.

Der tror jeg at du skal revidere din opfattelse af disse tjenester.

16
1. januar 2021 kl. 13:48

Måske der skulle lidt realisme ind i billedet...

Der er fornuft i at data ikke skal overføres til 3. lande hvor der er risiko for at data havner i hænderne på kriminelle, fordi en tilfældig supporter er ven med hackerjoe. Den risiko er typisk størst i lavtlønslande hvor en hurtig gevinst vinder over det langsigtede perspektiv.

Men at sidde og pive over, at ved at overføre data til amerikanske virksomheder er der risiko for at personfølsomme data vil havne hos amerikansk efterretningstjeneste... er der virkelig nogen der tror på at ved at indføre EU regler så havner data ikke der... Vi snakker et land der officielt bruger 720 milliarder dollars på militæret per år samt yderligere 300 milliarder dollars på efterretningstjeneste. (R&D data skal bare holdes inden for virksomhedens 4 vægge)

Hvis det virkeligt ikke skulle være muligt at købe en central, medarbejder der "kontrollere" de data, så må man jo bare gøre som i Danmark og sikre sig aftaler med stater og backbone providers så man får monteret lus på kablerne de rigtige steder. Det kunne jo også tænkes at en "EU-cloud konkurrent" fik lidt "opstarts kapital" til at udvide til det amerikanske marked.

Det vi virkelig skal bekymre os om er:

  • Data ikke ligger og flyder.
  • Virksomheder og det offentlige deler data til højre og venstre.
  • At der ikke bare opsamles data til højre og venstre.
  • At det ikke er lemfældighed der er den største risiko for persondata.

Men vigtigst af alt så er det uafhængighed, der er ingen garanti for at USA ikke laver en "Huawei" med Cloud services og det kan i princip lukke det meste af verden ned over night

14
31. december 2020 kl. 13:29

Som lille erhvervsdrivende ville jeg da elske hvis der var andre åbenlyse valg på hylden end "bare" Microsoft 365 og Google Suite. Og især hvis der var europæiske pendanter, der kunne garantere data kun kan tilgås af min virksomhed og eventuelt europæiske retsinstanser, skulle det være nødvendigt. Men de eneste jeg har fundet er Nextcloud og Owncloud og selvom de kan noget af det samme (mail, kalender, noter, videochat, tekstbehandling online og ditto præsentations- og Excel-agtig software), så er der dog også tydelige mangler og dertil skal der også være en rimelig sikkerhed for, at man ikke står med kompatibilitets problemer (modtager/afsender) i forhold til de mere gængse anvendte formater i Microsoft Office. Så ligesom nok de fleste andre virksomheder, venter man lige og ser hvad der sker før man omlægger hele sit kontor-it. Det er ikke en enkel og morsom øvelse, når man jo beskæftiger sig med noget helt andet i dagligdagen og det dersens IT bare skal spille.

13
31. december 2020 kl. 12:24

Det er selvfølgelig umuligt at bruge den brede kam og tage alle amerikanske virksomheder med, men det største problem (IMHO) er at de EU-baserede alternativer til langt de fleste amerikansk baserede cloud services (og lignende) er at de sjældent, I både i pris, funktionalitet og eksisterende integrationsmuligheder, kan måle sig med de amerikanske produkter - og de er ofte så langt fra at det er meningsløst at kalde dem pendanter.

Med mange, mange års brug af de her "fantastiske" produkter og services fra USA og manglende tilsvarende produkter inden for EU, så har vi bare mange EU baserede erhvervsdrivende der kontinuerligt benytter og tilvælger amerikanske udbydere.

Så selvfølgelig har de incitament for at arbejde for at EU skal lempe regler og krav - og det vil selvfølgelig fortsat pågå så længe der ikke kommer bedre alternativer inden for EU.

12
31. december 2020 kl. 11:40

Er vi for dårlige til at tiltrække kloge hoveder, eller kan EU bare ikke finde ud af det med indvandring.
Er bureaukratiet for gumpetungt til innovation.
Er det for besværligt skaffe kapital.
Har fagforeningerne for meget magt?
Er skat og lønniveau for højt.

  • miljø
  • Arbejdsmiljø

Alt sammen krav, som gør at vi allesammen kan have det, vi betragter som en fornuftig tilværelse.

Det er vilkår, som giver skæve konkurrencevilkår for europæiske virksomheder.

Det er dyrere at bestille en tømrer i EU, af ovenstående årsager.

Dem beskytter vi (en smule) mod urimelig dumping udefra, ved at kræve at alle lever op til visse minmumskrav.

Hvorfor skal det være specielt problematisk at man stiller tilsvarende krav til datalagring?

11
31. december 2020 kl. 10:40

"Et andet tænkt eksempel. En amerikansk virksomhed har en afdeling i Danmark. Data på de danske medarbejdere ligger i HR systemet. Det amerikanske firma har adgang til disse data fra USA. Må de det?"

Cloud Act, det er lige præcis problematikken, og årsagen til, at virksomheder for at være i compliance med Schrems 2 er nødt til at segmentere deres infrastruktur på en sådan måde, at et sådant scenarie ikke er muligt.

10
31. december 2020 kl. 10:35

Det gælder alle tredjelande, hvor der ikke foreligger en tilstrækkelighedsbeslutning, og hvor overførselsredskaber som standardkontrakter er utilstrækkelige. Det siger sig selv, at SCC ikke kan sikre personoplysninger i det tilfælde, at et lands myndigheder kan pålægge moderselskabet at tilgå data hostet på servee i Europa som med Cloud Act, eller tech supportere fysisk bosiddende i i et usikkert tredjeland som Indien. Der er intet nyt i, at fjernadgang fra et usikkert tredjeland også anses for en overførsel, der kræver retsgarantier for borgernes personoplysninger. Det modsatte synspunkt ville effektivt ophæve GDPR, dersom en virksomhed kunne unddrage sig sit ansvar ved at outsource sin infrastruktur på en uoverskuelig måde.

9
31. december 2020 kl. 10:25

Man kan ikke sammenligne situationen dengang med nutidens holdning til beskyttelsen af privatlivet.

Det korte og det lange er, at USAs retsregler er utilstrækkeligt i forhold til at yde beskyttelse af fremmede borgeres personoplysninger over for landets efterretningstjenester f.x efter FISA.

Hverken Fourth Amendment eller FISA beskytter udlændinge bosiddende uden for USAs territorium.

8
31. december 2020 kl. 07:25

Men som jeg læser det er der INGEN tiltag, heller ikke kryptering der lovliggør det!? Hvis ikke loven i det land hvor data overføres til beskytter GDPR data på samme niveau som EU - så er det forbudt. Hvis det er tilfældet - så er der mange mange danske virksomheder som har store problemer, og det har ikke noget med clouad at gøre. Men det virker som om fokus kun er på cloud.

Et andet tænkt eksempel. En amerikansk virksomhed har en afdeling i Danmark. Data på de danske medarbejdere ligger i HR systemet. Det amerikanske firma har adgang til disse data fra USA. Må de det?

7
31. december 2020 kl. 00:24

Hvorfor er der ikke store Europæiske Cloud firmaer, som er under EU lov. Hvorfor ligger det hele på den amerikanske vestkyst?

Et eller andet sted har EU lovgiverne været alt for sent ude, med at skabe nogle forhold, hvor sådanne virksomheder kunne eksistere på Europæisk grund.

  • Er vi for dårlige til at tiltrække kloge hoveder, eller kan EU bare ikke finde ud af det med indvandring.
  • Er bureaukratiet for gumpetungt til innovation.
  • Er det for besværligt skaffe kapital.
  • Har fagforeningerne for meget magt?
  • Er skat og lønniveau for højt.
6
31. december 2020 kl. 00:11

Jeg synes det er et relevant synspunkt der fremføres. Selvfølgelig koster det noget at cloud udbuddet begrænses, antallet af leverandører begrænses, antallet af advokater og jurister øges.

Det er jo ikke bare virksomhederne der kommer til at tjene færre penge. På grund af konkurrencen, plejer regningen at ende hos forbrugerne i sidste ende. Eller hos skatteyderne.

Privacy har en pris, det må vi blot erkende.

Og folk har selvfølgelig også krav på at vide det. Man skal ikke foregøgle dem, at det er gratis.

5
30. december 2020 kl. 16:09

Må HR-data på EU-borgere overhovedet kunne tilgås udenfor EU?</p>
<p>Hvis det ikke gælder i disse scenarier - hvorfor så ikke? GDPR data er vel hverken beskyttet i Indien, Kina, Malaysia, m.fl. eller USA?

Hvis man bryder loven ved at sende følsomme persondata til et usikkert land og ikke er villig til at indføre sikerhedsmelanismer, hvorfor skal det så være lovligt? Hvis en virksomhed har beug for at sende følsomme HR-data til indien, fordi det er super billigt ar behandle dem der, burde de så ikke kunne få råd til at at indføre sikkerhedstiltag såsom kryptering, kontrakter med dem der har adgang og adgangskode for dem? Hvis det er umuligt at gøre lovligt, hvorfor er det så så livsvigtigt at data ulovligt skal til indien?

4
30. december 2020 kl. 14:56

Som jeg tolker reglerne handler det ikke kun om USA. Men også om egne (IT)-afdelinger uden for EU der har adgang til GDPR data?! Eller for den sags skyld hosting og servicevirksomheder med afdelinger uden for EU?! Må HR-data på EU-borgere overhovedet kunne tilgås udenfor EU?

Hvis det ikke gælder i disse scenarier - hvorfor så ikke? GDPR data er vel hverken beskyttet i Indien, Kina, Malaysia, m.fl. eller USA?

3
30. december 2020 kl. 14:28

er det virkelig ikke muligt at finde løsninger? I sin tid (støttede) promotede EU europøiske virksomheder som ICL. Siemens (infeneon), Bull, CII etc for at have en IT industri i EU, de er alle væk ligesom i Danmark (Regencentralen, Rovsing, Dansk Data Elektronik osv.)

Hvordan ha rman tænkt si at løse det?

Om regelrytteri og begrænsninger se Herby på CEPOS:

2
30. december 2020 kl. 11:25

Vi er vant til at tjene penge på at være ligeglade med andre, dette vil vi gerne fortsætte med.

Hilsen

Dem der tjener pengene

1
30. december 2020 kl. 10:33

Det giver ikke mening kun at rette vejledningerne mod de dataansvarlige, for i mange tilfælde har virksomhederne reelt ikke nogen indflydelse på, hvordan databehandleren håndterer data, hvis man bruger en tjeneste hos en af tech-giganterne.

Nu må tuderiet høre op!

Er argumentet, at "jeg giver data til nogen som misbruger dem og derfor er det ikke min skyld?"

Det er blevet gjort klart, at man ikke kan bruge USAnske tjenester. Før var det uklart. Nu er det krystalklart.

Det kan koges ned til: Vil vi i Europa acceptere at USA kan læse alle vores data?

Nej, er det eneste svar. Det har konsekvenser...