Schrems II-anbefaling til kommunerne: Lad leverandøren vurdere loven i tredjelande

Illustration: Iskra Denkova
KL anbefaler at sende den juridiske hovedpine i kølvandet på Schrems II videre til leverandørerne.

Schrems II-dommen har sendt chokbølger gennem it-organisationer i hele verden, og sammenholdt med nye anbefalinger fra Det Europæiske Databeskyttelsesråd ser det nu jævnt besværligt ud at overføre data til USA på lovlig vis.

Blandt andet er det nu et krav, at den dataansvarlige skal vurdere, om lovgivningen i eksempelvis USA respekterer europæisk databeskyttelseslovgivning - og hvis det ikke er tilfældet, skal man aftale tekniske foranstaltninger med sin leverandør.

Jesper Langemark er partner i advokatvirksomheden Bird&Bird. Han arbejder til dagligt med it-kontrakter for både offentlige og private kunder. Illustration: Bird&Bird

Men det mener KL ikke, at kommunerne bør indlade sig på.

»Det er KL's anbefaling, at kommunerne går i gang med at følge de seks skridt for ansvarlig dataoverførsel, som er beskrevet i Det Europæiske Databeskyttelsesråds anbefalinger om iværksættelse af supplerende foranstaltninger,« lyder det i KLs nye Schrems II-anbefalinger til de danske kommuner.

»KL anbefaler dog, at kommunerne ikke går i gang med at vurdere tredjelandenes databeskyttelsesniveau, herunder lovgivning på området, men lader leverandørerne foretage denne opgave, eftersom leverandørerne må formodes allerede at kende lovgivningen i de tredjelande, de overfører data til.«

Læs også: Midt i Schrems II-hovedpine: Datatilsynet vil føre tilsyn med dataoverførsler ud af EU i år

I stedet opfordrer KL kommunerne til igennem en række trin at få styr på, hvor og hvornår de overfører data til tredjelande og indlede en dialog med de relevante leverandører om at få bragt sagerne i orden.

Presbold til leverandøren

Opfordringen fra KL flugter med udtalelser fra Jesper Langemark, der er partner i advokatvirksomheden Bird&Bird.

Læs også: EU-dom sætter leverandørforhold på spidsen: »Du får ikke ros for at køre over for rødt lys i en ny kontrakt«

I et interview med Version2 for nylig gav han sit bud på, hvad man kan gøre, hvis man som kunde står med det ene ben i et nyt cloud-projekt.

»Man kan sige til sin leverandør, at hvis man ikke skal tage en time out, så skal leverandøren stå på mål for, at tredjelandsoverførsler kan foregå lovligt. Det kræver, at leverandøren erklærer sig villig til at indbygge de tekniske løsninger, der er nødvendige for at for at leve op til retningslinjer, der kommer fra EDBP,« sagde han.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (11)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#3 Johnny Lüchau Blogger

KL anbefaler dog, at kommunerne ikke går i gang med at vurdere tredjelandenes databeskyttelsesniveau, herunder lovgivning på området, men lader leverandørerne foretage denne opgave, eftersom leverandørerne må formodes allerede at kende lovgivningen i de tredjelande, de overfører data til

Ja, de kender udmærket til lovgivningen og til praksis fsva data og ved at de ikke er forenelige med EUs Charter. De ved også at man derfor ikke kan transportere data til amerikanske leverandører. Men vil de indrømme det?

Uden sammenligning iøvrigt så svarer det til at vi lader rockerne selv bedømme om det de laver er lovligt eller ej.

Det er ikke god rådgivning fra KLs side!

Det ville være på sin plads hvis KL tog ansvar og indrømmede at de lod sig forføre, da de gav grønt lys til de ulovlige dataoversørsler og at KL nu medvirker til at bringe data i sikkerhed. Der er ingen grund til at grave hullet dybere.

  • 22
  • 0
#4 Claus Bobjerg Juul

KL anbefaler dog, at kommunerne ikke går i gang med at vurdere tredjelandenes databeskyttelsesniveau, herunder lovgivning på området, men lader leverandørerne foretage denne opgave

Hvis opgaven overlades til leverandøren bør man nok spørge sig selv:

1) Har leverandøren en interessekonflikt?

2) Har leverandøren tilstækkelige kompetancer til at løfte opgaven?

3) Hvem har ansvaret i sidste ende (retorisk)

  • 14
  • 0
#9 Anne-Marie Krogsbøll

...hvem der foretager vurderingen, er det vel i sidste ende kommunernes ansvar, hvis det går galt? Tør de så virkeligt overlade den opgave til leverandøren?

Jeg synes, det lyder som noget, vi har hørt mange gange før: At kommunerne tror, at de kan købe sig fra ansvaret for borgernes data... Det kan de vel ikke?

  • 13
  • 1
#11 Rune Hansen

Mig bekendt har kommunerne allerede deres egne store og fine datacentre. Jeg er vitteligt i tvivl. Handler dette bare om at folk har overbevist sig selv om at de ikke kan leve uden MS Office 360 (fordi de muligvis aldrig har prøvet andet) eller foregår der en eller anden form for lobbyisme som stikker dybere?

Jeg undrer mig, fordi jeg som privat person valgte at følge POSIX-standarderne (og kylede min sidste MS maskine på mødingen for ca. 2 år siden), hvilket jeg må tilstå er et af de bedste IT valg jeg nogen sinde har truffet (af flere årsager).

Af såkaldt cloud storage (SaaS, som GDrev, iCloud, OneDrive), benytter jeg mig kun af disse til kryperede backups og kun så længe det er gratis. Som SaaS løsning benytter jeg mig af min egen opsætning af Nextcloud (såvidt jeg ved benytter de tyske myndigheder sig også af Nextcloud), sat op i et troværdigt Europæisk datacenter.

Tiludvikling og eksperimenter inden for den lidt mere komlicerede del af cloud (microservices, IaC og distribueret computing/cluster). Benytter jeg mig af et miniature setup (K3S) på RPi (selvom arm arkitekturen giver en del vanskeligheder). Dette er jo tjent hjem på en måned, sammenlignet med at skulle spinne maskiner op hos GCP og så ligger det on-premis.

Til produktion, bør man (kommunerne) nok benytte sig på noget managed/semi-managed der bygger på OpenStack, a la Platform9, Canonical eller Red Hat OpenShift. (Jeg har dog endnu ikke et sådan setup, men har regnet mig frem til at det vil koste mig i omegnen af 250kr. o/m for et testsetup med en master servere og 3 nodes i alt.)

Nu har jeg rodet lidt rundt i Azure og GCP (mangler AWS). Og man efterlades jo med et indtryk af at der er smidt en stor bunke rod af obskuerende, forvirende og manipulerende services ind for at kamuflerer ellers simple og enkle cloud native standarder, biblioteker og protokoller.

Hvorfor benytte standardiserede operativsystemer??? (UNIX-lignende: Mac OSX, Fedora typer, Debian typer, BSD typer, Solaris osv. i hundrede vis). Pointen er at har man først lært grundpricipperne bag et af disse systemer, så kan man kommunikere, styrer alle systemer inden for disse standarder fra printere til servere osv (der er eks. ingen mystiske D:\drev/\og\ sti/\systemer/\som/ man skal tilpasses sig). Ideen om at det skulle være en god idé at binde sig til et firma, med lukket kildekode og monopol-ambitioner, som laver deres egne standarder om omkalfatre dem som "vinden blæser" eller hver femte år, er meget svært at begribe.

Der er sikkert mange der er trådt over fode nu. Men det er "desværre" den eneste rigtige løsning, hvis afhængigheden af især Google og Microsoft skal ophører og man vil efterleve Europæisk lovgivning.

  • 4
  • 0
Log ind eller Opret konto for at kommentere