Home » AOD Pro » Danske virksomheder og organisationer er i et datamæssigt limbo
Danske virksomheder og organisationer er i et datamæssigt limbo

Danske virksomheder og organisationer er i et datamæssigt limbo

Share

Siden Schrems II-EU-dommen i 2020 har det ikke været lovligt at overføre ukrypterede data til cloududbydere i USA. Blandt andet fordi der er risiko for masseovervågning.

Lige nu venter vi på et udspil fra EU-Kommissionen, men Max Schrems klager videre, hvilket blandt andet har betydet, at Google Analytics indtil videre er dømt ude i Frankrig og Østrig. At vi lever i en verden, der er i hastig forandring, vil de fleste nok skrive under på.

Eksempelvis har krigen i Ukraine for så vidt angår risikoen for at blive hacket betydet et markant øget fokus på datasikkerhed, men også når det gælder noget så forholdsvis enkelt som, hvor en virksomheds data kan og må gemmes, ser det meget anderledes ud end tidligere. Det skyldes den såkaldte Schrems II-dom, der blev afsagt af EU-Domstolen i sommeren 2020.

Årsagen er, at den EU-US Privacy Shield-ordning, der indtil da dannede fundamentet for udveksling af data mellem et EU-land og USA, blev erklæret ugyldig.

Siden har der, på trods af at Det Europæiske Databeskyttelsesråd i november 2020 kom med en række anbefalinger til sikker dataudveksling, hersket en del forvirring på området. Det har i bund og grund efterladt erhvervslivet i en situation, hvor man så at sige har trådt vande.

Afventer nyt udspil fra EU

Rygterne vil vide, at EU-Kommissionen er på vej med et udspil til at løse problematikken. Det skulle ske hen over sommeren, men hvornår – og om – vi ser et udspil, vides ikke. Det har helt konkret betydet, at eksempelvis Københavns Kommune grundet Schrems II-dommen indtil videre har suspenderet udflytning af systemer med persondata til Microsofts cloudløsninger.

Se også:  Nyt EU-sikkerhedsdirektiv kan blive en dyr omgang for nogle virksomheder

Man har ønsket at afvente en cloudvejledning fra Datatilsynet. Den er nu kommet her i foråret, men når det gælder kryptering, som er et af de væsentlige fundamenter for sikkerhed, er der ikke den store hjælp at hente.

Selvom der godt nok står i vejledningen, at ”Det er ikke afgørende, om det er dig som den dataansvarlige eller din cloud­leverandør, der træffer de supplerende foranstaltninger, forudsat foranstaltningerne er effektive.”

Unik EU-beskyttelse er årsag til problemerne

Amerikanske myndigheder kan forlange at se data lagret i USA – uanset om disse data ejes af europæiske selskaber eller privatpersoner.

I Europa har vi en unik beskyttelse i EU’s Charter om menneskerettigheder, der sikrer EU-borgere bedre end borgere i resten af verden. Især set i relation til USA er udfordringen, at den amerikanske lovgivning FISA 702 (Foreign Intelligence Surveillance Act) giver ret til at kigge ind i, hvilke persondata cloudleverandører i USA har liggende.

Executive Order 12333 gør det desuden muligt for NSA (den amerikanske sikkerhedsstyrelse) at få adgang til oplysninger, der er i transit. Det sker gennem adgang til de transatlantiske kabler og ved at indsamle samt opbevare disse oplysninger, før de når til USA og bliver undergivet FISA’s bestemmelser.

Den såkaldte Cloud Act giver endvidere amerikanske myndigheder ret til at anmode amerikanske virksomheder om at udlevere data, uanset hvor i verden de måtte være opbevaret. USA har således aldrig været et sikkert tredjeland, hvorfor EU-US Privacy Shield skulle efterleves.

Se også:  Nye it-sikkerhedskrav kan dræne uforberedte virksomheder for en halv milliard kroner

Når persondata lander i USA, giver FISA 702 altså myndighederne ret til at kigge i disse, og denne masseovervågning er ikke forenelig med EU’s principper om demokrati og menneskerettigheder. EU-borgere kan nemlig ikke gå til en domstol og få prøvet en sag mod de amerikanske myndigheder.

Derfor er data ikke beskyttet tilstrækkeligt, når de lander i et usikkert tredjeland. Dermed er overførslen ifølge EU’s persondataforordning (GDPR) ulovlig. Det gælder dog kun, hvis de amerikanske myndigheder kan se oplysningerne.

Derfor kan en overførsel til USA godt være lovlig, hvis data er krypteret. Men her stopper udfordringerne ikke, for hvis for eksempel Microsoft, Google, AWS eller en anden amerikansk cloudleverandør har krypteringsnøglen liggende, kan de amerikanske myndigheder også kræve den udleveret – og så er vi lige vidt.

Vejledningen konstaterer nemlig videre, at ”Der vil dog være typer af supplerende juratekniske foranstaltninger, herunder navnlig implementering af effektiv kryptering, som kan være vanskelige for cloudleverandøren at træffe.

Det er navnlig tilfældet, hvis leverandøren selv vil være i besiddelse af krypteringsnøglen, hvorved krypteringen ikke vil kunne anses som effektiv.”

Det hedder videre: ”I tilfælde, hvor cloudleverandøren kan træffe effektive foranstaltninger, er det dog fortsat dit ansvar som den dataansvarlige at sikre dig, at de supplerende foranstaltninger, som cloudleverandøren træffer, reelt er effektive og i kombination med det relevante overførselsgrundlag sikrer et beskyttelsesniveau, som i det væsentlige svarer til niveauet i EU/EØS.”

TAGS
datasikkerhed
EU
gdpr
schrems
Virksomheds sikkerhed

DEL DENNE
Share


Mest populære
Populære
Nyeste
Tags

Find os på de sociale medier

Find os på FaceBook

AOD/AOD.dk

Brogårdsvej 22
DK-2820 Gentofte
Telefon: 33 91 28 33
redaktion@aod.dk

Audio Media A/S

CVR nr. 16315648,
Brogårdsvej 22
DK-2820 Gentofte
Telefon: 33 91 28 33
info@audio.dk
Annoncesalg:
Lars Bo Jensen: lbj@audio.dk Telefon: 40 80 44 53
Annoncer: Se medieinformation her
Annoncelinks


AOD/AOD.dk   © 2022
Privatlivspolitik og cookie information - Audio Media A/S