Professor forventer ikke Schrems II-bøder lige med det samme

Illustration: Nanna Skytte
Man skal ikke forvente, at Datatilsynet allerede nu står klar med bødeblokken for overtrædelser af lovgivningen som følge af Schrems II-dommen. De dataansvarlige er, ifølge professor i it-ret, blevet bragt i en meget svær situation, som de næppe selv kan løse. Pilen peger på EU.

Konsekvenserne af en EU-dom fra i sommer skaber bekymrede miner rundt om i det europæiske it-landskab. For med den såkaldte Schrems II-dom er overførsel af data til USA blevet besværliggjort. Det skyldes, at USA ikke længere anses som et sikkert tredjeland, hvilket betyder, at løsninger, der er hostet eller på anden vis fører data til de forenede stater er udfordret af lovgivningen.

Læs også: Sundhedsplatformen på kant med loven: Regioner skal i kritiske forhandlinger med Epic efter Schrems II-dom

Henrik Udsen, professor i it-ret på Københavns Universitet, forventer ikke, at der bliver udskrevet bøder for brud på lovgivningen som følge af Schrems II-dommen lige med det samme. Illustration: Henrik Udsen

Men de bekymrede miner må ikke veksles til en panisk angst for en massiv bøderegn i nærmeste fremtid. Det mener Henrik Udsen, der er professor i it-ret på Københavns Universitet.

»Jeg skal ikke være en af dem, der står og råber, at nu skal Lejre Badmintonklub passe på, for ellers får de lige straks en bøde. Det her er ikke en situation, som den enkelte dataansvarlige kan løse, som det ser ud lige nu. Derfor er det også min forventning, at man ikke vil begynde at stange bøder ud i den nærmeste fremtid,« siger han.

Herhjemme har Version2 de seneste dage beskrevet, hvordan Sundhedsplatformen er kraftigt udfordret af reglerne, da supportmedarbejdere hos Epic har adgang til danske sundhedsdata fra deres kontorer i Verona i den amerikanske stat Wisconsin.

Læs også: EU-dom presser Sundhedsplatformen: Region H til krisemøde med europæiske Epic-kunder

Læn jer ikke tilbage

Datatilsynet har allerede politianmeldt en række virksomheder og myndigheder for brud på persondataloven, men generelt set er der langt til det af nogle frygtede scenarie, hvor der ville flyve GDPR-bøder til højre og venstre.

Henrik Udsen forventer da heller ikke, at der bliver delt bøder ud lige med det samme, såfremt virksomheder eller offentlige aktører benytter eksempelvis amerikanske cloud-services. Tilløbet til at overholde reglerne har nemlig været en del kortere, end man så det med den oprindelige implementering af GDPR. Her havde man flere år til at gøre sig parat, mens EU-dommens fortolkning af reglerne kommer fra den ene dag til den anden.

»Jeg tror, at man vil acceptere og anerkende, at de dataansvarlige er blevet bragt i en meget svær situation og skal finde deres ben at stå på. Men det betyder ikke, at man bare kan læne sig tilbage. Man er nødt til at forholde sig til det her som dataansvarlig. Hvis der er nogen, der ikke gør det, så vil vi på et tidspunkt se, at der kommer bøder. Det bliver dog næppe den lille virksomhed eller frivillige forening, der står først i rækken,« lyder vurderingen fra professoren.

Læs også: Organisationer kritiserer nye databeskyttelsesregler: Vil presse livet ud af internationale dataoverførsler

EU på overarbejde

Uanset om det er en vanskelig position eller ej, er det svært som dataansvarlig i den nuværende situation at forholde sig til Schrems II-dommen og dens betydning for ens cloud-setup. Men det er inden panderynkerne forstener og bliver permanente, skal de dataansvarlige lige stoppe op. Løsningen ligger ikke nødvendigvis i deres egne hænder.

»Det her er ikke en situation, som den enkelte dataansvarlige selv kan løse, som det ser ud lige nu,« siger Henrik Udsen. Han tilføjer dog, at de dataansvarlige bør gå i dialog med deres cloududbydere, og at et pres fra de europæiske kunder kan bidrage til, at cloududbyderne tilpasser deres tjenester til det europæiske marked.

Læs også: Organisationer efterspørger klar aftale om dataoverførsler efter Schrems II-dom

»Hvis man ender i en situation, hvor det ikke kan lade sig gøre at overføre oplysninger til USA eller andre tredjelande ved hjælp af cloud-tjenstenster, så er det en mulighed, at man etablerer europæiske clouds. Det må endvidere forventes, at EU-kommissionen arbejder på en løsning for overførsler til USA, selvom det bliver en vanskelig opgave.«

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (11)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Jørgen Elgaard Larsen

Jeg tror ikke, man skal håbe på, at EU-kommisionen gennemtvinger, at EU-ret gælder i fx. USA. Det er svært nok at få den til at gælde i UK.

Til gengæld mener jeg godt, at de enkelte dataansvarlige selv kan løse situationen: Hold op med at gemme persondata udenfor EU-juridistiktion.

Man enten in-source eller finde en europæisk udbyder.

For mig er det ikke en undskyldning, at man tidligere ukritisk har sendt persondata til udlandet - vel vidende, at en udenlandsk dommer eller myndigheder ville kunne kræve at få det udleveret i strid med EU-regler.

Privacy Shield har alle dage være en illusion, som man har forsøgt at bruge til ansvarsfraskrivelse. Med Screms II brister den illusion.

Lad nu være med at opfinde nye illusioner, som så skal gennemhulles af Screms III

  • 21
  • 5
#2 Bjarne Nielsen

Jeg tror ikke, man skal håbe på, at EU-kommisionen gennemtvinger, at EU-ret gælder i fx. USA. Det er svært nok at få den til at gælde i UK.

Nej, EU-ret gælder i EU, og der bliver ikke tale om at "gennemtvinge" noget udenfor. Men hvis f.eks. USA vil handle med EU, så gælder EUs regler ... og det vil de jo nok. Så der er ikke så meget tale om tvang, men mere om et tilbud, som de ikke kan afslå :-).

Se f.eks.:

...og det bliver også tilfældet for UK.

For mig er det ikke en undskyldning, at man tidligere ukritisk har sendt persondata til udlandet ...

Kunne ikke være mere enig. Og hvis man nu føler sig hensat i en umulig position, så er det enten fordi, at man har sovet i timen, eller bevidst har taget chancen. Værsgo, en serviet til øjnene og en tudekiks!

  • 16
  • 3
#3 Dennis Benneballe Grade

Mindre dataansvarlige og databehandlere i EU kan ikke tvinges til at stå til ansvar for, at der førhen gjaldte andre regler, end der gælder nu, vil jeg mene.

Det er positivt, at udfordringerne ved tredjelandsoverførsler bliver italesat. Men det skal ikke gå ud over europæiske virksomheder, at USA havde en fordrejet lovgivning, som de fleste dataansvarlige og databehandlere i EU ikke kunne gennemskue, qua de ikke har nogen juridisk speciale. Og selv folk med juridisk speciale har da ikke altid været helt obs på overvågningslovene i USA.

Derfor vil jeg også mene, at ansvaret for at udredde den her problemstilling ligger højt oppe, på EU-plan.

Det er ikke ensbetydende med at de skal oprette en ny overførselsaftale á la Safe Harbor/Privacy Shield - men nok nærmere finde en transatlantisk aftale, hvor ansvar og kontrol for EU-borgeres data 100% ligger i EU-virksomheders og -organisationers hænder, ikke delvis hos US-leverandører.

Den opgave har dog lange udsigter, så hvis man tager Brexit som målestok, vil vi først være i land med en aftale på lovplan engang om 4-7 år.

I den tid skal mindre it-virksomheder i EU ikke lide under at være blevet lokket ind i falsk tryghed af EU (som jo var med til at lave Privacy Shield og Safe Harbor). Disse virksomheder og organisationer burde heller ikke være dem, der nu har ansvaret for at oprette en ny teknisk løsning, der er lige så konkurrencedygtig og tilpasset til økonomien, som US-clouds var. Det kræver desuden en stor mængde tid og bemanding, og selvfølgelig penge, at flytte fra den ene løsning til den anden... i hvert fald indtil der ikke findes en EU-cloud.

Skal it-virksomheder virkelig betale den pris, fordi EU har været lidt for hurtigt med at lave aftaler med USA? Det vil jeg ikke mene.

Men jeg er til gengæld heller ikke sikker på, at Datatilsynet ikke skal handle, hvis nogen sender en klage til Datatilsynet vedr. utilstrækkelig sikkerhed ved tredjelandsoverførsler... det må tiden vise.

Det er ikke mening at vores ønske om it-suverænitet og øget fokus på persondataret (som GDPR og Schrems-I og II er udtryk for) gør, at vores digitale og it-forretningsmæssige landskab skrumper ned til nogle få store virksomheder, der har penge nok til at kaste sig over løsninger her og nu. Vi skal ikke stoppe udviklingen, vi skal hjælpe den på vej - det gøres ikke ved at pege fingeren mod den mindre it-virksomhed, dataansvarlige eller andre.

Kom med noget konstruktiv kritik, kære EU. Ikke bare "hey, det her er forkert, find selv ud af, hvordan du så gør det rigtigt, uden at du skal lukke og slukke din forretning/organisation".

  • 7
  • 15
#5 Dennis Benneballe Grade

Nej, det er vist ikke noget, som nogen har sagt.

Men det giver ingen mening at tvinge it-virksomheder til at betale for at EU og USA har lavet en aftale og meldt ud til EU-virksomheder at det er nok at overholde denne. Det ville svare til at sige, at man godt kan tjekke ud med rejsekort efter man er ude af bussen, men det sekund du træder ud af bussen og dørene lukker, er reglen pludselig ændret til at du SKAL tjekke ud i bussen.

EU har førertrøjen på her, og melder noget ud, som ikke burde være meldt ud. At vi ikke alle er så kloge på jura, skal da ikke betyde, at hvis EU siger at privacy shield er legitim, så skal vi fact-tjekke EUs melding. Man kan da forvente at man kan stole på EU, og derfor kan man da også forvente, at man mere eller mindre ukritisk kan følge EUs regler.

  • 7
  • 1
#6 Martin Jensen

Kom med noget konstruktiv kritik

Det er min opfattelse at kritikken i EPDBs vejledninger på baggrund af Schrems II er meget konstruktiv - hvad problemet er, hvorfor det er, hvad der er de særlige problemområder man skal være opmærksomme på osv.

Det der måske ikke er konstruktivt er at sige: "jeg vidste det var en gråzone, jeg håbede den gik væk; det gjorde den ikke - vær konstruktive og lav en løsning der trækker mit hår intakt ud af postkassen!"

Det er altså ikke nyt, at der ville blive ballade om emnet, og en del af støjen om problemet er nu at der var lige mange nok, der var lige konstruktive nok.

  • 13
  • 0
#7 Jørgen Elgaard Larsen

Mindre dataansvarlige og databehandlere i EU kan ikke tvinges til at stå til ansvar for, at der førhen gjaldte andre regler, end der gælder nu, vil jeg mene.

Reglerne er ikke ændret. Domstolen har bare afgjort, at "pas på data" ikke kan tolkes til "du må godt udlevere data til tilfældige udlændinge, bare de lover at passe på dem".

Jeg er helt med på, at mindre databehandlere ikke nødvendigvis kan overskue konsekvenserne af, at dele data med andre.

Men så må konklusionen være "vi må hellere lade være" frem for "det går nok, alle andre gør det".

EU kan ikke på magisk vis kan ændre ved, at skyen er en mands computer, og at den mand er underlagt de love, der gælder i hans land.

  • 14
  • 3
#8 Dennis Benneballe Grade

Igen, så er der ingen der ser på, at Privacy Shield altså ikke kom fra den lille dataansvarlige, men fra EU selv. EU har godkendt Privacy Shield.

Hvordan skulle du "lade være" hvis du har fået at vide, at Privacy Shield sammen med en masse sikkerhedscertifikater og revisionserklæringer er nok til at sikre den samme sikkerhed, som i EU? Privacy Shield har været et legitimt, godkendt overførselsgrundlag for overførsler til USA. Det var helt inden for lovens grænser.

Ja, man kunne selvfølgelig i bagkloghedens lys have undgået at bruge de store tech-udbydere eller USA som helhed pga. nogle love, hvis kendskab til er blevet mere udbredt her på det sidste.

Dermed ville man dog være forhindret i at konkurrere i det åbne internet-landskab, hvilket ville have haft indflydelse på både vores økonomi og vores arbejdspladser... Så var vi en hel del længere tilbage i EU og specielt DK, end vi er i dag. Skal DK kunne konkurrere inden for IT? Så er det på tide, man ikke laver benspænd for erhvervslivets mindre aktører, og i stedet går efter dem, der er årsag til, at vi ikke kan påberåbe os samme sikkerhed, som i EU - nemlig US-myndighederne og deres brug af ulovlig overvågning, samt EU-kommissionen, som kom med Privacy Shield aftalen til at starte med.

Og det er vist heller ikke tilfældige udlændinge, man udleverer til, men her er der tale om de store tech giganter, som nok er mere interesseret i deres forretning og deres brugere end at skulle lege politi og overvåge folk på US-amerikanske myndigheders vegne. Og som jeg kan se det, havde Google, Amazon, Microsoft, Apple, osv. da en ret god sikkerhed - lige udover at de er tvunget til at skulle udlevere data på deres brugere... i øvrigt lidt ligesom man gør herhjemme ift Telelogning...

  • 7
  • 3
#9 Knud Larsen

Ja og den anden vej. USA har knægtet især Schweiz til at udlevere data der kun lå i Schweiz . Pressionen gik på de amerikanske afdelinger, og så var der ikke så meget at gøre. Merete Vestager lægger jo også pres på de store it foretagender nu - jeg ser det ikke som fornem jura - men som politisk pres. Jvf USA og KINA. Så jeg ser det stadig som voldsom benspænd for små foretagender som er det dominerende i EU i forhold til USA og KINA.

  • 2
  • 0
#10 Gert Madsen

Skal DK kunne konkurrere inden for IT? Så er det på tide, man ikke laver benspænd for erhvervslivets mindre aktører, og i stedet går efter dem, der er årsag til, at vi ikke kan påberåbe os samme sikkerhed, som i EU

Det er jo ikke sådan at virksomhederne har været tvungen til at sende data til USA. Nogle virksomheder har bare valgt at spare på de interne omkostninger, ved at slække på beskyttelsen af deres kunders data. Det troede man at man havde lov til. Det har man så ikke.

Dette handler om at passe på kunderne/klienternes data, ikke om virksomhederne - selvom det er træls for nogle af dem.

Det er "benspænd" på samme måde, som regler for miljø, arbejdsmiljø og skat.

  • 5
  • 3
#11 Rune Hansen

Selv hvis der slet ikke fandtes nogen Persondataforordning (GDPR). Er der et helt grundlæggende brud med de mest basale sikkerhedsprincipper (CIA modelen), hvis virksomheder placerer persondata ukrypteret hos et Kinesisk eller Amerikansk (US) firma.

Det virker symptomatisk at det er virksomheder/kommuner uden interesse (vilje) for at tage sikkerheden alvorligt i deres egen infrastruktur, der kommer i klemme her. Det er mig vitterligt en gåde hvordan IT-folk og ledere kæmper med at ansvarsfraskrive sig sikkerheden over egne aktiviteter til eksterne aktører (der ikke har en historik for at håndterer dette ordentligt).

Ideen om at man bare kan sætte hvem som helst til at klikke rundt i MS og Azure til tingen tilsyneladende virker. Er ufatteligt dyrt og ufatteligt dumt.

  • 2
  • 0
Log ind eller Opret konto for at kommentere