Professor forventer ikke Schrems II-bøder lige med det samme
Konsekvenserne af en EU-dom fra i sommer skaber bekymrede miner rundt om i det europæiske it-landskab. For med den såkaldte Schrems II-dom er overførsel af data til USA blevet besværliggjort. Det skyldes, at USA ikke længere anses som et sikkert tredjeland, hvilket betyder, at løsninger, der er hostet eller på anden vis fører data til de forenede stater er udfordret af lovgivningen.
Men de bekymrede miner må ikke veksles til en panisk angst for en massiv bøderegn i nærmeste fremtid. Det mener Henrik Udsen, der er professor i it-ret på Københavns Universitet.
»Jeg skal ikke være en af dem, der står og råber, at nu skal Lejre Badmintonklub passe på, for ellers får de lige straks en bøde. Det her er ikke en situation, som den enkelte dataansvarlige kan løse, som det ser ud lige nu. Derfor er det også min forventning, at man ikke vil begynde at stange bøder ud i den nærmeste fremtid,« siger han.
Herhjemme har Version2 de seneste dage beskrevet, hvordan Sundhedsplatformen er kraftigt udfordret af reglerne, da supportmedarbejdere hos Epic har adgang til danske sundhedsdata fra deres kontorer i Verona i den amerikanske stat Wisconsin.
Læn jer ikke tilbage
Datatilsynet har allerede politianmeldt en række virksomheder og myndigheder for brud på persondataloven, men generelt set er der langt til det af nogle frygtede scenarie, hvor der ville flyve GDPR-bøder til højre og venstre.
Henrik Udsen forventer da heller ikke, at der bliver delt bøder ud lige med det samme, såfremt virksomheder eller offentlige aktører benytter eksempelvis amerikanske cloud-services. Tilløbet til at overholde reglerne har nemlig været en del kortere, end man så det med den oprindelige implementering af GDPR. Her havde man flere år til at gøre sig parat, mens EU-dommens fortolkning af reglerne kommer fra den ene dag til den anden.
»Jeg tror, at man vil acceptere og anerkende, at de dataansvarlige er blevet bragt i en meget svær situation og skal finde deres ben at stå på. Men det betyder ikke, at man bare kan læne sig tilbage. Man er nødt til at forholde sig til det her som dataansvarlig. Hvis der er nogen, der ikke gør det, så vil vi på et tidspunkt se, at der kommer bøder. Det bliver dog næppe den lille virksomhed eller frivillige forening, der står først i rækken,« lyder vurderingen fra professoren.
EU på overarbejde
Uanset om det er en vanskelig position eller ej, er det svært som dataansvarlig i den nuværende situation at forholde sig til Schrems II-dommen og dens betydning for ens cloud-setup. Men det er inden panderynkerne forstener og bliver permanente, skal de dataansvarlige lige stoppe op. Løsningen ligger ikke nødvendigvis i deres egne hænder.
»Det her er ikke en situation, som den enkelte dataansvarlige selv kan løse, som det ser ud lige nu,« siger Henrik Udsen. Han tilføjer dog, at de dataansvarlige bør gå i dialog med deres cloududbydere, og at et pres fra de europæiske kunder kan bidrage til, at cloududbyderne tilpasser deres tjenester til det europæiske marked.
»Hvis man ender i en situation, hvor det ikke kan lade sig gøre at overføre oplysninger til USA eller andre tredjelande ved hjælp af cloud-tjenstenster, så er det en mulighed, at man etablerer europæiske clouds. Det må endvidere forventes, at EU-kommissionen arbejder på en løsning for overførsler til USA, selvom det bliver en vanskelig opgave.«
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
