Schrems II: Du skal stadig nok ikke gøre noget endnu

De fleste organisationer (offentlig + privat) overfører personoplysninger udenfor EU. Det sker ikke mindst typisk, hvis de bruger services fra Microsoft. Men det kan også sagtens ske gennem andre, mindre cloudværktøjer.

Da der mod forventning er begyndt at dukke afgørelser op rundt omkring i EU, der rent faktisk tager Schrems II alvorligt ved at påbyde ophør af overførsel, bør man som CEO/direktør bede sin it-ansvarlige sætte sig ned og på forretningens vegne stille følgende spørgsmål som led i forretningsrisikovurderingen:

  1. Er det sandsynligt indenfor 1 år, at vores lokale tilsynsmyndighed kommer hos os og kigger?
  2. Hvis nej (da datatilsynene generelt er tilbageholdende på området) gør ingenting. Hvis ja, gå videre.
  3. Har vi forretningskritiske systemer, der overfører personoplysninger udenfor EU?
  4. Hvis nej, gør ingenting, da I kan holde til et forbud. Hvis ja, gå videre.
  5. Læg spørgsmål vedrørende supplerende foranstaltninger/supplementary measures ind i dit tilsynsskema. (Har du ikke et sådan skema, hjælper vi dig gerne med det.)
  6. Er du mere modig, og du er kommet hertil, så vent. Databehandlerne skal nok komme med deres supplerende foranstaltninger. De vil jo gerne have din forretning. Microsoft har deres på plads. Om de holder, må tiden vise, men du kan næppe gøre mere ved det.

Og husk nu, at hvis der intet står i din databehandleraftale om overførsel (du har ikke sagt ok til overførsel og ikke godkendt underdatabehandlere udenfor EU), har du dit på det tørre, selvom eksempelvis AWS er underdatabehandler, og du har en stærk formodning om, at der reelt sker slutbehandling udenfor EU ved support, udvikling og beredskabshændelser.

Og så nægter vi i Unitas at kommentere denne skævert, da Schrems II-apparatet næppe skal sættes i værk, alene fordi der er tale om amerikanskejede europæiskplacerede servere.

Unitas har tidligere skrevet om overførsel til tredjelande.

Kontakt Unitas – din partner i sikkerhed og compliance​

Unitas leverer pålidelig rådgivning inden for compliance, IT- og informationssikkerhed. Med en pragmatisk tilgang hjælper vi virksomheder i regulerede brancher med at håndtere sikkerhed og driftsansvar effektivt. Kontakt os for en snak om, hvordan vi kan hjælpe dig.

Formular til kontaktside

Vi kaster om os med viden...

Bestil dit gratis materiale her og modtag det om et par minutter i din indbakke. Tjek for en sikkerheds skyld din SPAM-folder om nødvendigt.

Få tilsendt materiale bestilt på hjemmesiden

Med på en læser? Tilmeld dig Unitas’ nyhedsbrev

Tilmeldingsformular til nyhedsbrev

UNITAS sårbarhedsscanning