Debat

Advokatfirma: Debatten om cloud er præget af misforståelser

Debatten om GDPR, tredjelandsoverførsler og brug af cloud-tjenester er omgærdet af forskellige udlægninger, som giver anledning til misforståelser, skriver Emil Agerskov Thuesen.

Flere globale cloud-leverandører har indskrevet en nøjagtig procedure i deres databehandleraftaler for, hvordan anmodninger om udlevering af data håndteres, skriver Emil Agerskov Thuesen.
Flere globale cloud-leverandører har indskrevet en nøjagtig procedure i deres databehandleraftaler for, hvordan anmodninger om udlevering af data håndteres, skriver Emil Agerskov Thuesen. Foto: Dado Ruvic/Reuters/Ritzau Scanpix
Dette indlæg er alene udtryk for skribentens egen holdning. Alle indlæg hos Altinget skal overholde de presseetiske regler.

Reglerne om overførsel af personoplysninger til lande uden for EU/EØS har givet anledning til en del juridisk uro siden 16. juli 2020, hvor EU-domstolen afsagde dom i Schrems II-sagen.

Dommen indskærper GDPR’s restriktive regler for, hvornår personoplysninger må overføres til tredjelande, herunder USA.

Temadebat

Ny temadebat: Bør det offentlige omfavne eller undgå cloud?

Cloudmarkedet giver danskerne panderynker. Hvordan bør det offentlige forholde sig til teknologien? Det spørgsmål stiller Altinget Digital.

Om temadebatter:

Alle indlæg er alene udtryk for skribenternes holdning.

Vi bringer kun indlæg, som udelukkende er sendt til Altinget.

Vil du deltage i debatten om cloud? Indlæg kan sendes til ida@altinget.dk.

Der er dermed tale om regler, som kan påvirke brugen af store globale cloud-leverandører som Microsoft, Google, Amazon Web Services, Zendesk og Mailchimp.

I dag er det vanskeligt, men ikke umuligt, for mange virksomheder og offentlige myndigheder at undvære cloud-tjenester, og de fleste er glade og tilfredse med de cloud-baserede løsninger.

Misforståelser og uklarheder

Reglerne for overførsel af personoplysninger er imidlertid også præget af uklarheder og misforståelser.

Domstole og myndigheder præciserer og justerer løbende på, hvordan reglerne skal forstås, og senest har Datatilsynet publiceret en udtalelse om den juridiske forskel på tilsigtede og utilsigtede overførsler til tredjelande.

Datatilsynets udtalelse præciserer, at hvis en databehandler har forbeholdt sig retten til at foretage en overførsel af personoplysninger til et tredjeland, og databehandleren udnytter dette forbehold, er der tale om en tilsigtet overførsel – og ikke et sikkerhedsbrud.

Udtalelsen er imidlertid i flere medier, herunder i Computerworld 13. april 2022, blevet udlagt som at brugen af sådanne amerikansk-ejede cloud-tjenester i sig selv er ulovlig og i strid med GDPR.

Dette mener jeg dog ikke, at Datatilsynets udtalelse kan tages til indtægt for.

Kend dine dataoverførsler

Når man taler om overførsler til tredjelande, er første skridt, at du skal vide hvilke dataoverførsler, der er tale om.

Du skal med andre ord holde styr på, hvilke data du indsamler, hvordan du opbevarer dem og hvordan du forhindrer, at uvedkommende får adgang til dem.

Dette udgangspunkt gælder som sådan altid inden for GDPR men er særligt relevant, når man taler om overførsler til tredjelande.

Læs også

De fleste globale cloud-leverandører tilbyder i dag, at kunderne frit kan vælge, hvor i verden deres data opbevares.

Det er altså dig, kunden, der bestemmer, om dine data skal opbevares inden for eller uden for EU's grænser.

Risikovurderingen er afgørende

Hvis du har valgt at dine data opbevares inden for EU’s grænser skal du også undersøge, om cloud-leverandøren alligevel kan tvinges til at overføre dine data til lande uden for EU, for eksempel hvis det er påkrævet af lovgivning eller en anmodning fra myndigheder.

Som dataansvarlig skal du nemlig sikre dig, at leverandøren kan stille ‘nødvendige garantier’ for, at der vil blive implementeret passende foranstaltninger, der sikrer, at GDPR bliver overholdt.

Men modsat udlægningen i visse medier, er der ikke tale om firkantede kontraktuelle garantier.

Det er først, hvis risikoen ikke kan begrænses tilstrækkeligt, at du er forpligtet til at indstille brugen af cloud-tjenesten.

Emil Agerskov Thuesen, advokat, DLA Piper Denmark

Som det fremgår af vejledningen om dataansvarlige og databehandlere fra det Europæiske Databeskyttelsesråd, drejer spørgsmålet sig derimod om databehandlerens ekspertviden, pålidelighed og ressourcer, hvortil databehandlerens omdømme også kan tages i betragtning.

Du skal med andre ord foretage en risikovurdering af databehandleren baseret på behandlingens karakter, omfang, sammenhæng og formål, samt risikoen for fysiske personers rettigheder og frihedsrettigheder.

Det er hvad Datatilsynet siger, når de henviser til artikel 28 i GDPR til sidst i deres udtalelse. Dette betyder også, at sandsynligheden for og konsekvenserne ved, at databehandleren faktisk overfører personoplysninger om den registrerede skal vurderes.

Cloud eller ej?

Hvis risikovurderingen viser, at der foreligger en ikke-acceptabel risiko, skal risikoen begrænses, for eksempel ved brug af kryptering eller lignede tekniske foranstaltninger.

Jeg gør i den forbindelse også opmærksom på, at flere globale cloud-leverandører har indskrevet en nøjagtig procedure i deres databehandleraftaler for, hvordan anmodninger om udlevering af data håndteres.

Ligeledes offentliggør de jævnligt såkaldte transparensrapporter om antal, typer og behandling af anmodninger. Jeg anbefaler at disse inddrages i risikovurderingen.

Det er således først, hvis denne risiko ikke kan begrænses tilstrækkeligt, at du er forpligtet til at indstille brugen af cloud-tjenesten.

Politik har aldrig været vigtigere

Få GRATIS nyheder fra Danmarks største politiske redaktion