Lynanalyse: Datatilsynet håndhæver sin cloudvejledning

Datatilsynet udsendte i marts i år en cloudvejledning på dansk og på engelsk. Den handlede ikke kun om overførsel til USA/usikre tredjelande, selvom man skulle tro det ud fra, hvad der efterfølgende var fokus på blandt de kloge hoveder.

Den handlede eksempelvis også om, at man skal kende sin slutbehandler (hvor er dine data?), at man ikke må lade databehandleren anvende data til egne formål, og at man skal splitte sin risikovurdering op i en, der omhandler databeskyttelse og en, der omhandler behandlingssikkerheden.

Datatilsynet har i dag meldt ud, at to offentlige myndigheder kigges efter i sømmene. Og næste måned vil det blive ført tilsyn hos private virksomheders cloudanvendelse:

”De to tilsyn i den offentlige sektor er netop påbegyndt, men området vil være genstand for Datatilsynets fortsatte fokus.

Datatilsynet vil således også føre tilsyn med brugen af cloud i private virksomheder. Disse vil blive iværksat i den kommende måned.”

Datatilsynets udmelding kommer i kølvandet på, at KL 8. juni, altså et par dage siden, har ændret synspunkt i forhold til overførsler i kommunerne.

Nu har piben så at sige fået en anden lyd. Væk er tilliden til, at aftalen mellem EU og Biden nok skal ordne det hele.

Tidligere lød KL nemlig således:

”Vi har råbt højt hurra herinde. Det er ikke nogen hemmelighed, for det er en kæmpe, kæmpe lettelse.”

KL udtalte ved samme lejlighed:

“Det er især på cloud, hvor vi har Google, Microsoft og Amazon. Så er der Facebook, som socialt medie. Men alle de store er jo amerikanske, og nærmest alle kommuner bruger jo Microsoft, hvor der også er overførsler til USA. Der har været en diskussion om, hvorvidt det kun er på support. Men selv hvis det kun er på supporten, og selv hvis det kun er på supporten i særlige situationer, så er der også – rent juridisk – tale om overførsler.”

Nu anbefaler KL de helt sædvanlige skridt, alle der clouder i et tredjeland bør tage.

Det ligner en koordineret indsats: Ny vejledning, ny udmelding og endelig tilsyn.

Hvad er det værste, der kan ske? Efter vores opfattelse er det ikke bøderne – det offentlige kan i øvrigt slet ikke få så store bøder som private virksomheder. Det værste må være et påbud om ikke længere at anvende et system i et tredjeland. Se dette eksempel fra Island (som tidligere er omtalt her på siden).

Uanset om man er offentlig eller privat, bør man således se at få sin kortlægning, risikovurdering og databehandleraftale og eventuelt overførselsgrundlag på plads.

Man kan spidse den endnu mere til: Hvis du har et system, som hele eller væsentlige dele af dine aktiviteter hviler på, og som indebærer overførsel til USA, du mangler din risikovurdering, og du mangler at gennemgå databehandleraftalen, så må det være på høje tid at komme i gang med arbejdet i forhold til netop de systemer. Kan du tåle et forbud?

Derudover er det klart, at hvis man har følsomme personoplysninger såsom helbredsoplysninger i et usikkert tredjeland, og man måske tilmed ikke har den bedste databehandleraftale – den er måske slet ikke forsøgt forhandlet – og man har glemt at få opdateret sin risikovurdering, så bør man nok også reagere nu her.

Som en slutbemærkning skal det med, at det ikke kun er GDPR, der presser i retning af meget mere compliance- og informationssikkerhed. Det gør NIS 2 også. Det gør DORA også. Andre regelsæt på vej kunne nævnes.

Kontakt Unitas – din partner i sikkerhed og compliance​

Unitas leverer pålidelig rådgivning inden for compliance, IT- og informationssikkerhed. Med en pragmatisk tilgang hjælper vi virksomheder i regulerede brancher med at håndtere sikkerhed og driftsansvar effektivt. Kontakt os for en snak om, hvordan vi kan hjælpe dig.

Formular til kontaktside

Vi kaster om os med viden...

Bestil dit gratis materiale her og modtag det om et par minutter i din indbakke. Tjek for en sikkerheds skyld din SPAM-folder om nødvendigt.

Få tilsendt materiale bestilt på hjemmesiden

Med på en læser? Tilmeld dig Unitas’ nyhedsbrev

Tilmeldingsformular til nyhedsbrev

UNITAS sårbarhedsscanning