Ny rapport fra EDPB om offentlige myndigheders brug af cloudservices

Ny rapport fra EDPB om offentlige myndigheders brug af cloudservices

IT-ret Offentlig ret EU-ret Persondata og cybersikkerhed
EDPB udstikker 13 anbefalinger til offentlige myndigheders brug af cloud: gennemskuelig rollefordeling, risikovurdering og DPIA, stærk kontrol med underdatabehandlere samt kortlægning af tredjelandsoverførsler. Rapporten giver dog ingen nye løsninger på transfer-udfordringer.
JL
Jesper Langemark
MS
Mathias Nybo Stokholm

Det Europæiske Databeskyttelsesråd har vedtaget en rapport med 13 anbefalinger til, hvordan offentlige myndigheder lovligt kan anvende cloudtjenester. Kernen er, at myndigheder i både anskaffelse og drift skal kunne dokumentere efterlevelse af GDPR, særligt ved risikovurdering, tydelig rollefordeling og håndtering af tredjelandsoverførsler. Anbefalingerne bygger på en koordineret EU-undersøgelse af myndigheders cloudbrug og afspejler den markante udbredelse af cloud i den offentlige sektor.

Centrale anbefalinger

EDPB fremhæver, at efterlevelse ikke alene er et kontraktspørgsmål. Myndigheder skal foranledige og føre kontrol med, at leverandører behandler oplysninger efter instruks, og at passende sikkerhedsniveau opretholdes. Det indebærer aktiv styring af underdatabehandlere, gennemskuelighed om dataflow og retlige overførselsgrundlag.

Blandt EDPB’s centrale anbefalinger er følgende prioriterede tiltag, som bør indarbejdes før og under anvendelsen af cloudløsninger:

  • Gennemfør en risikovurdering og, hvor relevant, en DPIA for at opfylde kravene i GDPR artikel 24 og 32.
  • Klargør og dokumentér rollefordelingen mellem dataansvarlig og databehandler, og identificér situationer hvor leverandøren selv er dataansvarlig.
  • Sikr reel instruksbeføjelse, herunder en meningsfuld indsigelsesret mod nye underdatabehandlere med frister og proces.
  • Samarbejd på tværs af myndigheder ved kontraktforhandlinger for at afbøde skæv forhandlingsposition over for store leverandører.
  • Kortlæg alle dataoverførsler, også ved rutineydelser og eventuel behandling til leverandørens egne formål, og implementér supplerende foranstaltninger ved behov for at overholde tredjelandsregler.

Retlig ramme og praksis

Rapporten bekræfter, at cloud er en varig teknologisk infrastruktur i den offentlige sektor, men leverer ikke nye løsninger på de mest komplekse problemfelter, især tredjelandsoverførsler. Myndigheder bør derfor fortsat basere sig på eksisterende EU-vejledning og nationale retningslinjer.

Som praktisk pejlemærke henviser EDPB til sine generelle anbefalinger om supplerende foranstaltninger, som kan læses her: edpb.europa.eu. Datatilsynet har desuden udgivet en cloud-vejledning med konkrete krav og overvejelser for danske myndigheder: datatilsynet.dk. Chromebook-sagen illustrerer konsekvensen af utilstrækkelig risikovurdering, herunder behandlingsforbud og pause af anvendelsen af cloudløsninger: datatilsynet.dk.

Læs hele artiklen hos Bird & Bird →
Søgeord
GDPR, Persondata, Databehandleraftale, Risikovurdering, Informationssikkerhed, Datatilsynet, DPIA, Databeskyttelse, Konsekvensanalyse, Tredjelandsoverførsler, Standardkontraktbestemmelser, Dataansvarlig, Sikkerhedsforanstaltninger, Cloudkontrakter, EDPB, Databehandler, Tilsynsmyndigheder, Artikel 28, Offentlige myndigheder, Overførselsgrundlag, Binding corporate rules, Samarbejdsaftaler, Offentlig ret, It-ret, Eu ret, Underdatabehandler, Supplerende foranstaltninger, Cloudtjenester, Cloud, Google Workspace, Artikel 32, Ansvar og roller, Offentlig cloud, Artikel 24, Instruksbeføjelse, Behandlingsforbud, Chromebook sagen

Relaterede artikler

Nye FSR-retningslinjer
Gorrissen Federspiel

Nye FSR-retningslinjer

Kommissionens nye retningslinjer til forordningen om udenlandske subsidier udvider forståelsen af fordrejning og skærper beviskravene. Virksomheder med tredjelandsstøtte bør styrke dokumentationen, kortlægge finansielle bidrag og afklare notifikationspligt i M&A og udbud for at undgå forsinkelser og call-in.
Advocate General opinion on neutral order execution and insider dealing under MAR
Plesner

Advocate General opinion on neutral order execution and insider dealing under MAR

Generaladvokaten fastslår, at neutral ordreudførelse ikke i sig selv er insiderhandel efter MAR, heller ikke ved parallelt ABB. Ansvar kræver bevis for illegitimt motiv. Vurderingen kan påvirke Finanstilsynets vejledning om medvirkensansvar og praksis for ordreeksekvering.
Regeringens lovprogram for 2026: Disse nye ændringer bør arbejdsgivere forberede sig på
HjulmandKaptain

Regeringens lovprogram for 2026: Disse nye ændringer bør arbejdsgivere forberede sig på

Lovprogrammet for 2026 moderniserer arbejdsskadesystemet, lemp­er fristen for anmeldelse af arbejdsulykker og skærper tilsynet med asbest. Bidrag til barselsudligning stiger, social dumping bekæmpes med ID‑kort og arbejdsklausuler, og adgang til udenlandsk arbejdskraft lettes via lavere beløbsgrænse.
Når formelt ejerskab ikke anses for reelt ejerskab
TVC Advokatfirma

Når formelt ejerskab ikke anses for reelt ejerskab

Skatteankenævnet tilsidesatte avancebeskatning, fordi den tinglyste ejer ikke var reel ejer. Manglende betaling af realkreditlån og intet salgsprovenu blev afgørende. Afgørelsen er endelig, da Skatteministeriet lod stævningsfristen udløbe.

Relaterede kurser

Årlig ansættelsesretlig opdatering
7
JUC
Årlig ansættelsesretlig opdatering
Risikovurderinger og GDPR
4
JUC
Risikovurderinger og GDPR
Bevisret
7
Djøf
Bevisret

Relaterede jobs

Naturstyrelsen
Jurister med interesse for natur- og miljøbeskyttelse
Naturstyrelsen
Statens It
Indkøbere med drive til Statens It
Statens It
Erhvervsministeriet
Medarbejdere søges til nyoprettet kontor for tilsyn med leasingvirksomheder
Erhvervsministeriet
Klima-, Energi- og Forsyningsministeriet
Studentermedhjælpere (2 stillinger) til arbejdet med den grønne omstilling
Klima-, Energi- og Forsyningsministeriet
Erhvervsministeriet
Erhvervsstyrelsen søger analytisk fuldmægtig til arbejdet med national sikkerhed og udenlandske investeringer
Erhvervsministeriet
Erhvervsministeriet
Engageret jurist med interesse for offentlig ret til Erhvervsstyrelsens interne advokatkontor
Erhvervsministeriet
Gratis adgang til alle juridiske nyheder, artikler og opdateringer.
Opret dig gratis i dag, vælg dine fagområder, og få adgang til et skræddersyet nyhedsoverblik, der gør dig klogere – og holder dig foran.
Opret gratis profil →