Det Europæiske Databeskyttelsesråd har vedtaget en samlet rapport efter en koordineret håndhævelsesindsats om offentlige myndigheders brug af cloudtjenester. Rapporten understreger kravet om fuld overholdelse af GDPR ved indkøb og drift af cloud, herunder klar rollefordeling mellem dataansvarlig og databehandler, lovligt behandlingsgrundlag, passende tekniske og organisatoriske foranstaltninger samt dokumenteret risikovurdering og DPIA, hvor relevant. Særligt fremhæves tredjelandsoverførsler og brugen af standardkontraktbestemmelser.
Rapporten samler nyere praksis fra europæiske tilsyn og giver anbefalinger til kontraktstyring, leverandørtilsyn og kontrol med underdatabehandlere. Initiativet er gennemført under EDPB’s Coordinated Enforcement Framework og bygger på nationale tilsyn. I Danmark har Datatilsynet deltaget aktivt og fulgt op med vejledning og tematiske tilsyn om cloud. Se EDPB-rapporten på edpb.europa.eu og Datatilsynets cloudvejledning på datatilsynet.dk.
Offentlige myndigheder bør derfor revidere databehandleraftaler, styrke due diligence af cloudleverandører, sikre overførselsgrundlag ved tredjelandsoverførsler og opdatere interne kontroller, så ansvarlighedsprincippet kan dokumenteres.
