Advokat: Hvis ikke politikerne tager stilling til cloud, får det store konsekvenser

Danske aktører skal i dag selv vurdere risikoen for at benytte en amerikansk cloudleverandør. Det har store konsekvenser for kvaliteten af de tekniske løsninger. Derfor bør politikerne forholde sig til cloud, skriver Tue Goldschmieding.

Tue Goldschmieding

Partner, Gorrissen Federspiel

Dette indlæg er alene udtryk for skribentens egen holdning. Alle indlæg hos Altinget skal overholde de presseetiske regler.

Med EU-domstolens afgørelse i Schrems II blev det for alvor klart, hvad konsekvenserne af EU's ambition om digital uafhængighed og visionen om at være en regulatorisk supermagt er for både den offentlige og private sektor i EU.

Fakta

Hvad er Schrems II?

I 2020 erklærede EU-Domstolen overførsel af personoplysninger fra EU til USA via den såkaldte "Privacy-Shield"-aftale for ugyldig. Det kan du læse meget mere om her.

I april 2022 blev der vedtaget en ny principaftale, som dog udelukkende udstikker de "overordnede linjer" for transatlantisk datadeling.

Danmark er et gennemdigitaliseret land, hvor store dele af den offentlige IT-infrastruktur er afhængig af internationale IT-leverandører og hvor enhver større virksomhed for længst har begivet sig ud på en "cloud journey".

Derfor har det store konsekvenser, når det med EU-domstolens afgørelse i Schrems II-sagen og myndighedernes fortolkning heraf, i praksis er blevet næsten umuligt at benytte databehandlere uden for EU.

En umulig opgave

Reelt er Schrems II-afgørelsen alene udtryk for, at domstolen anvender eksisterende regler. Når det forekommer, at afgørelsen medfører nye krav til brugen af databehandlere uden for EU, er det juridisk set udtryk for, at reglerne hidtil ikke har været anvendt og håndhævet.

At reglerne ikke har været anvendt og håndhævet hidtil, skyldes nok til dels den betændte problemstilling, der ligger til grund for domstolens afgørelse – nemlig, at europæiske borgeres personoplysninger ikke er tilstrækkelig juridisk beskyttet over for myndighederne i USA.

Denne problemstilling lader sig i sagens natur alene løse, hvis enten EU eller USA går på kompromis med egen lovgivning.

Fra et praktisk perspektiv opstiller EU domstolen og ikke mindst tilsynsmyndighederne, på baggrund af Schrems II-afgørelsen, dog krav til brugen af databehandlere uden for EU.

Temadebat

Ny temadebat: Bør det offentlige omfavne eller undgå cloud?

Cloudmarkedet giver danskerne panderynker. Hvordan bør det offentlige forholde sig til teknologien? Det spørgsmål stiller Altinget Digital.

Om temadebatter:
Alle indlæg er alene udtryk for skribenternes holdning.

Vi bringer kun indlæg, som udelukkende er sendt til Altinget.

Vil du deltage i debatten om cloud? Indlæg kan sendes til [email protected].

Dette gælder ikke mindst i forhold til brugen af typisk amerikanske cloud leverandører, der gør det svært at se, hvordan en almindelig myndighed eller virksomhed, vil kunne løfte opgaven at sikre en (fortsat) lovlig brug af databehandlere uden for EU.

Virksomheders egen vurdering

Med den nuværende retstilling er det således op til myndigheder og virksomheder selv at vurdere i hvilket omfang lovgivning og praksis i eksempelvis USA og andre lande uden for EU, hvor der benyttes databehandlere, tillader myndighederne en adgang til personoplysninger, der ikke er forenelig med EU Charterets fundamentale rettigheder.

Det er ligeledes op til myndigheder og virksomheder selv at vurdere, om risikoen for sådan adgang kan afhjælpes gennem supplerende foranstaltninger.

I praksis betyder dette, at en virksomhed, der eksempelvis benytter en amerikansk cloud leverandør, skal have en kvalificeret holdning til, hvorvidt amerikansk efterretningslovgivning konkret giver myndighederne mulighed for at få adgang til virksomhedens personoplysninger og om denne risiko kan afhjælpes gennem eksempelvis kryptering af data.

Sidstnævnte forudsætter selvfølgelig, at virksomheden kan vurdere om de amerikanske efterretningstjenester, teknisk er i stand til at bryde den kryptering, som leverandøren anvender.

Hvis denne opgave forekommer uoverskuelig eller umulig for en lille eller mellemstor dansk virksomhed eller myndighed, så er det fordi den er det. Lovgiver sender den problemstilling, der ligger til grund for Schrems II-afgørelsen, videre til myndigheder og virksomheder.
Tue Goldschmieding
Advokat og partner, Gorrissen Federspiel

Hvis denne opgave forekommer uoverskuelig eller umulig for en lille eller mellemstor dansk virksomhed eller myndighed, så er det fordi den er det.

Lovgiver sender den problemstilling, der ligger til grund for Schrems II-afgørelsen, videre til myndigheder og virksomheder. Måske netop fordi, problemstillingen er så svær at løse i praksis.

Brug for politisk retning

Nogen vil nok påpege, at politik og jura blandes sammen i det ovenstående, og at EU domstolens afgørelse og tilsynsmyndighedernes fortolkning ikke er udtryk for en politisk ambition.

Problemet er desuagtet, at når afstanden mellem de juridiske krav og den praktiske virkelighed bliver for store, er der behov for, at der politisk udstikkes en reel vej for myndigheder og virksomheder.

Uden denne vej, er resultatet som nu, at der gås på kompromis med kvaliteten af de tekniske løsninger eller at der foretages mere eller mindre substantielle risikovurderinger for at gardere sig mod myndighedernes søgelys.

Med udsigten til en ny rammeaftale for dataoverførsler til USA med Privacy Shield 2.0, kan nogle af de praktiske problemstillinger måske løses for en tid.

Det ændrer ikke ved det generelle behov for mere klar politisk stillingtagen og en klar og praktisk vej for både myndigheder og virksomheder.

Politik har aldrig været vigtigere