Artikel top billede

(Foto: Computerworld)

Pas på, hvor du gemmer virksomhedens data

Flere og flere virksomheder anvender cloudløsninger, hvor data frit flyder over landegrænser. Men efter en opsigtsvækkende EU-dom har alle selskaber en skærpet pligt til sikker databeskyttelse. Ellers falder den store bødehammer. Det har skabt usikkerhed og forvirring.

Af Henrik Malmgreen, Alt om Data

Denne artikel er oprindeligt bragt på Alt om Data. Computerworld overtog i november 2022 Alt om Data. Du kan læse mere om overtagelsen her.

Flere steder i Europa – også i Danmark – skyder nye datacentre op som svampe på en fugtig skovbund. Argumentationen fra Apple, Microsoft, Facebook og andre af de store aktører er blandt andet, at man ønsker at være tættere på kunderne og at kunne servicere dem bedre – ikke mindst fordi virksomhederne i stadig højere grad anvender cloudløsninger. Men der kan også være en anden og mere skjult årsag til de flittige byggeaktiviteter.

Efter den såkaldte Schrems II-dom fra EU-domstolen er det nemlig ikke længere så enkelt at overføre data fra EU til eksempelvis USA. Det lægger blandt andet hindringer i vejen for de udbydere af cloudløsninger, der ikke har datacentre i et EU-land.

Det er der faktisk flere af dem, der ikke har, og et eksempel på dette er Dropbox, som leverer løsninger til deling af information og dokumentation, der flittigt bruges af virksomheder.


Virksomhederne skal selv undersøge de lande, hvor der lagres data, siger advokat Tina Brøgger Sørensen, Kromann Reumert.

Formalia skal være i orden

Uanset om man som virksomhed benytter en af de etablerede aktører på cloudmarkedet eller selv indgår aftale med en dataudbyder, er det en god ting at sikre sig, at ens serviceleverandør har formalia i orden. Det betyder ganske enkelt, at medmindre denne opbevarer data i et såkaldt sikkert tredjeland, er virksomheden forpligtet til at kontrollere hver enkelt leverandøraftale for en række helt specifikke krav.

Problematikken startede tilbage i 2003, da en person ved navn Max Schrems (i forlængelse af Edward Snowdens afsløringer af den masseovervågning, som National Security Agency (NSA) i USA stod bag) klagede til det irske datatilsyn over, at Facebook i Irland havde overført hans personlige data til Facebook Inc. Overførslen byggede på den såkaldte Safe Harbour-ordning, der havde været i brug i en årrække.

Sikkerhed på EU-niveau

Safe Harbour-ordningen betød, at de amerikanske databehandlervirksomheder, der var omfattet af ordningen, blev anset for at være beliggende i et sikkert tredjeland. Men klageren, Max Schrems, mente ikke, at USA’s lovgivning om national sikkerhed var ensbetydende med, at data blev behandlet ud fra et tilstrækkeligt beskyttelsesniveau for persondata, som det kræves efter europæisk databeskyttelseslovgivning.

I forbindelse med sagens behandling ved en domstol i Irland blev akterne forelagt EU-domstolen, der i oktober 2015 erklærede Safe Harbour-ordningen ugyldig. Samtidig blev det fastslået, at niveauet for beskyttelse af personoplysninger i et såkaldt usikkert tredjeland i al væsentlighed skal matche niveauet for beskyttelse af personoplysninger i EU. Dermed fik Max Schrems altså ret i sin klage til den irske Data Protection Commisioner.

Periode med usikkerhed

Safe Harbour-ordningen blev efterfølgende i 2016 erstattet af den såkaldte EU-US Privacy Shield-ordning, der efter EU-Kommissionens opfattelse rettede op på nogle af manglerne.

Max Schrems fortsatte imidlertid sin klageproces, hvilket medførte, at EU-Domstolen i sommeren 2020 også erklærede denne for ugyldig. Siden har der hersket usikkerhed på området, men i november 2020 kom Det Europæiske Databeskyttelsesråd med en række anbefalinger.

Det betyder, at hvis data overføres til et usikkert tredjeland uden for EU/EØS, er det ikke nok at leve op til for eksempel kravene i EU-Kommisionens standardkontraktbestemmelser. Den enkelte virksomhed skal sikre sig, at reglerne i det pågældende usikre tredjeland ikke underminerer databeskyttelsesreglerne i EU samt vurdere, hvilke muligheder landets myndigheder har for overvågning af EU-borgere, og om personoplysninger skal krypteres.

Alle står til ansvar

”Disse krav gælder, uanset om vi taler om, at Facebook i Irland overfører personoplysninger til Facebook i USA, eller en virksomhed selv indgår aftale med en databehandler i for eksempel USA. Hvis ikke virksomheden sørger for at undersøge importlandets regler og det eventuelle behov for supplerende foranstaltning som eksempelvis kryptering, kan den stilles retsligt til ansvar,” fortæller Tina Brøgger Sørensen, der er partner i advokatfirmaet Kromann Reumert.

Hun føjer til, at overtrædelse af reglerne nemt kan blive en kostbar affære – også selvom det beror på uvidenhed eller forglemmelse. Man kan ikke altid være sikker på, det er nok at leve op til kravene i EU’s GDPR-forordning (General Data Protection Regulation), så hvis ikke virksomheden selv råder over en juridisk afdeling, er hendes gode råd, at der søges assistance hos en professionel partner.

Gælder alle dataformer

”Samtidig skal man være opmærksom på, at der ikke nødvendigvis kun stilles skærpede krav til følsomme personoplysninger. Hvis man overfører data til et usikkert tredjeland, gælder kravene til en nærmere undersøgelse af regler og sikkerhedsforanstaltning i forhold til alle former for data, der på den ene eller den anden måde kan relateres til en konkret person, for eksempel en e-mail og adresse i en kundedatabase,” forklarer Tina Brøgger Sørensen.

Der er givet mange, som fejlagtigt vil formode, at et land, der er så veludviklet it-mæssigt som USA, er godkendt som sikkert tredjeland uden for EU, men det er altså ikke tilfældet. Til gengæld er lande som Uruguay og Argentina godkendt. På vore breddegrader gælder det samme for Schweiz, hvor blandt andet et sikkerhedsfirma som Kaspersky har valgt at lægge et af deres Global Transparency Initiative-datacentre. 

Hvilke dataoverførsler er egentlig omfattet af EU’s krav?

En overførsel af personoplysninger til et tredjeland kan for eksempel bestå af persondata leveret via internettet, via en USB-nøgle eller det forhold, at personer i et tredjeland får adgang til ”at se” personoplysninger, der fysisk befinder sig i EU – ifølge brancheforeningen IT-Branchen. Begrebet ”overførsel af data” er således vidtrækkende.

Det samme gælder i forhold til selve behandlingsbegrebet. Hvis man giver en tredjepart en ”kigge-adgang”, sker der også en behandling i forordningens forstand. Det forhold, at man har adgang til at se data, er dog ikke ensbetydende med, at man betragtes som en databehandler. Ved tredjeland skal forstås et land, der ikke er medlem af EU eller EØS.

Er der tale om sikre tredjelande eller organisationer, kan en overførsel som udgangspunkt ske uden særlige krav ud over de sædvanlige, der gælder for alle personoplysninger. Vurderingen sker på baggrund af, at disse lande overholder EU’s behandlingsgarantier, der skal sikre, at det pågældendes lands sikkerhedstjeneste ikke uden konkret trussel eller anden særlig grund kan få adgang til europæiske persondata.

Kilde: Datatilsynet

Hvilke tredjelande er sikre?

Hvis en virksomhed eller myndighed ønsker at overføre personoplysninger til lande uden for EU – såkaldte tredjelande – eller internationale organisationer, skal de særlige regler i databeskyttelsesforordningens Kapitel V iagttages.

Formålet er at sikre, at forordningens regler ikke udvandes, blot fordi oplysningerne overføres til lande eller organisationer uden for EU.

Forordningens Kapitel V er eksempelvis relevant, hvis en virksomhed ønsker at benytte et selskab uden for EU til at drifte it-systemer eller håndtere kundeservice, samt hvis en myndighed, som følge af en aftale med et tredjeland, eksempelvis er forpligtet til at overføre skatteoplysninger. Følgende lande uden for EU og EØS er ifølge Datatilsynet i dag godkendt som sikre tredjelande:


10 lande uden for EU samt EØS-landene lever ifølge Datatilsynet op til EU’s datakrav.

Som bekendt er Storbritannien trådt ud af EU-samarbejdet, men i forbindelse med udtrædelsen er der indgået en midlertidig aftale, der betyder, at virksomheder inden for EU/EØS frem til og med 1. juli 2021 kan overføre data til Storbritannien, som var det et EU-land.

EU/EØS består ud over EU-medlemslandene også af Norge, Island og Liechtenstein. Det er kun Europa-Kommissionen, som kan fastslå, om et tredjeland har et beskyttelsesniveau, der svarer til det, der gælder i EU.

Kilde: Datatilsynet

6 konkrete anbefalinger

Det Europæiske Databeskyttelsesråd har 10. november 2020 – ifølge Kammeradvokaten – offentliggjort anbefalinger om supplerende foranstaltninger, som henvender sig til dataeksportører i EU, det vil sige både dataansvarlige og databehandlere, private virksomheder og offentlige myndigheder, der overfører personoplysninger til tredjelande.

Formålet med anbefalingerne er at hjælpe dataeksportørerne med at vurdere, om et tredjeland yder et tilstrækkeligt beskyttelsesniveau og at fastsætte relevante foranstaltninger, hvis det ikke er tilfældet.


  1. Få et overblik over alle dataoverførsler.

  2. Sørg for at have et lovligt overførselsgrundlag efter databeskyttelsesforordningens Kapitel V.

  3. Undersøg modtagerlandets lovgivning og praksis med henblik på at vurdere, om der er mulige hindringer for en effektiv beskyttelse af personoplysningerne.

  4. Identificér og udvælg supplerende foranstaltninger, hvis resultatet af ovennævnte vurdering viser, at modtagerlandet ikke giver den tilstrækkelige beskyttelse.

  5. Implementér mulige supplerende foranstaltninger, herunder foretag forhandling med kontraktparter og opnå godkendelse fra Datatilsynet ved brug af ad hoc-aftaler, der afviger fra standardkontrakterne.

  6. Revurdér løbende beskyttelsesniveauet, og gennemfør tilsyn med mulige forandringer, der kan påvirke beskyttelsen.


Kilde: Kammeradvokaten