Ny rapport om brug af cloud

Ny rapport om brug af cloud

IT-ret Offentlig ret EU-ret Persondata og cybersikkerhed
EDPB identificerer høje GDPR-risici ved myndigheders brug af cloud, med direkte betydning for private. Krav til DPIA og TIA, uklare roller, begrænset kontraktfrihed, tredjelandsoverførsler og DPO’s manglende inddragelse skærper behovet for dokumenteret governance, audits og supplerende foranstaltninger.
SE
Stefanie Lynge Eriksen
NM
Nicoline Madsen

Centrale risici ved cloud-brug under GDPR

Det Europæiske Databeskyttelsesråd har offentliggjort en koordineret undersøgelse af offentlige myndigheders brug af cloudtjenester. Konklusionen er klar: Cloud medfører betydelige databeskyttelsesretlige udfordringer, som også er relevante for private organisationer. Ansvar, roller og overførsler skal dokumenteres og kunne efterprøves.

Rapporten samler de væsentligste opmærksomhedspunkter og viser, at mange aktører læner sig for meget op ad leverandørernes standardvilkår og risikovurderinger. Det er utilstrækkeligt efter GDPR, hvor risici vurderes i forhold til den konkrete behandling og de registreredes rettigheder.

EDPB peger særligt på følgende problemfelter, som bør adresseres systematisk og tidligt i anskaffelsesprocessen:

  1. Behovet for at udarbejde en DPIA ved høj risiko.
  2. Klar afgrænsning af parternes roller og formål.
  3. Reelle muligheder for at tilpasse kontrakten til behandlingen.
  4. Styring af underdatabehandlere og indsigelsesret.
  5. Retligt grundlag for tredjelandsoverførsler.
  6. Risiko for myndighedsadgang i tredjelande, også ved EU-hosting.
  7. Behandling af diagnostiske og telemetriske data.
  8. Praktisk mulighed for meningsfulde audits.

DPIA, roller og forhandling af vilkår

Offentlige myndigheder vil ofte være forpligtet til at udarbejde en DPIA, fordi de typisk behandler store datamængder, herunder følsomme oplysninger. Private virksomheder bør overveje det samme, når behandlingen omfatter fortrolige eller særlige kategorier af oplysninger. En dokumenteret beslutning – også om at undlade DPIA – er anbefalet.

Rollefordelingen skal være tydelig: Hvem er dataansvarlig, hvem er databehandler, og hvilke data behandles til hvilke formål? Flere cloududbydere behandler diagnostiske eller brugsdata til egne formål. Er udbyderen i så fald selvstændigt dataansvarlig, skal videregivelsen have hjemmel. Kontraktstyring bør omfatte identifikationen af alle underdatabehandlere, deres opgaver og en reel indsigelsesmekanisme.

Tredjelandsoverførsler og supplerende foranstaltninger

Cloudtjenester indebærer ofte faktiske eller potentielle tredjelandsoverførsler – også ved hosting i EU/EØS – fordi visse landes lovgivning, eksempelvis amerikansk, kan give myndigheder adgang til data uanset lagringssted. Derfor skal der udføres en TIA, som vurderer lovgivning og praksis i modtagerlandet.

EDPB understreger, at supplerende foranstaltninger skal sikre et beskyttelsesniveau, der i praksis svarer til EU’s. I mange SaaS-implementeringer kan det være vanskeligt at opnå, medmindre der anvendes robust end-to-end-kryptering, og nøglerne er udelukkende under den dataansvarliges kontrol. Hvor det ikke er muligt, peger rapporten på behovet for at (gen)forhandle vilkår eller vælge EU/EØS-løsninger, der er i overensstemmelse med GDPR.

Governance, audits og DPO’s rolle

Selv om kontraktforhandling med store leverandører kan være vanskelig, fritager det ikke den dataansvarlige for ansvaret. Kontrakten skal matche den konkrete behandling, give auditmuligheder og sikre transparens om underdatabehandlere, lokationer og formål. Manglende tilpasning kan føre til sanktioner, som praksis allerede viser.

DPO’en skal inddrages tæt i DPIA, TIA og valg af tekniske og organisatoriske foranstaltninger. EDPB konstaterer, at DPO’er ofte involveres for sent. En styrket governance-struktur med ledelsesforankrede beslutninger er central: enten bringes løsningen i overensstemmelse via supplerende foranstaltninger og kontraktuelle ændringer, eller også vælges en alternativ løsning. Læs mere i EDPB’s rapport på edpb.europa.eu.

Læs hele artiklen hos HjulmandKaptain →
Søgeord
GDPR, Persondata, Databehandleraftale, Tilsyn, Risikovurdering, Leverandørstyring, Datatilsynet, Behandlingsgrundlag, DPIA, Standardkontraktbestemmelser, Dataansvarlig, DPO, GDPR art. 28, GDPR art. 35, Privacy by design, Sikkerhedsforanstaltninger, Dataminimering, SaaS, PaaS, IaaS, Kryptering, EDPB, Formålsbegrænsning, Databehandler, Tredjelandsoverførsel, Offentlige myndigheder, Schrems II, Adgangskontrol, EØS, Overførselsgrundlag, Audit, GDPR art. 46, GDPR art. 44, Underdatabehandler, Tia, Cloud, Nøglehåndtering, CLOUD Act, Telemetri, Diagnostiske data

Relaterede artikler

Advocate General opinion on neutral order execution and insider dealing under MAR
Plesner

Advocate General opinion on neutral order execution and insider dealing under MAR

Generaladvokaten fastslår, at neutral ordreudførelse ikke i sig selv er insiderhandel efter MAR, heller ikke ved parallelt ABB. Ansvar kræver bevis for illegitimt motiv. Vurderingen kan påvirke Finanstilsynets vejledning om medvirkensansvar og praksis for ordreeksekvering.
Littler's Global Guide kvartalsvise nyheder
Littler Danmark

Littler's Global Guide kvartalsvise nyheder

EU-Domstolen begrænser mindstelønsdirektivets rækkevidde uden at ændre den danske overenskomstmodel, Arbejdsretten kræver kompensation ved lavere vikar-løn, og Højesteret præciserer både 120-dages-reglen og afgrænsningen af arbejdsskader under pendling.
Datatilsynet giver 51 kommuner alvorlig kritik i Chromebook-sag
Datatilsynet

Datatilsynet giver 51 kommuner alvorlig kritik i Chromebook-sag

Datatilsynet retter alvorlig kritik mod 51 kommuner i Chromebook-sagen og advarer om GDPR-brud ved forkert konfiguration og tredjelandsoverførsler. Kommuner skal dokumentere kontrol med underdatabehandlere og sikre EU-ækvivalent beskyttelse.
Kapitalfondes investeringer i revisionsvirksomheder skaber både muligheder og risici
Erhvervsstyrelsen

Kapitalfondes investeringer i revisionsvirksomheder skaber både muligheder og risici

Kapitalfonde i revisionsbranchen kan styrke teknologi og vækst, men skærper risikoen for uafhængighedsbrud og kvalitetsfald. Få overblik over revisorlovens ejerskabsregler, etiske standarder og praktiske tiltag, der reducerer regulatoriske og driftsmæssige risici.

Relaterede kurser

Årlig ansættelsesretlig opdatering
7
JUC
Årlig ansættelsesretlig opdatering
Risikovurderinger og GDPR
4
JUC
Risikovurderinger og GDPR
Bevisret
7
Djøf
Bevisret

Relaterede jobs

Naturstyrelsen
Jurister med interesse for natur- og miljøbeskyttelse
Naturstyrelsen
Statens It
Indkøbere med drive til Statens It
Statens It
Erhvervsministeriet
Medarbejdere søges til nyoprettet kontor for tilsyn med leasingvirksomheder
Erhvervsministeriet
Erhvervsministeriet
Erhvervsstyrelsen søger analytisk fuldmægtig til arbejdet med national sikkerhed og udenlandske investeringer
Erhvervsministeriet
Sundhedsdatastyrelsen
Erfaren jurist til udviklingsopgaver i Sundhedsdatastyrelsen
Sundhedsdatastyrelsen
GF Forsikring
AI-jurist til Koncernjura
GF Forsikring
Gratis adgang til alle juridiske nyheder, artikler og opdateringer.
Opret dig gratis i dag, vælg dine fagområder, og få adgang til et skræddersyet nyhedsoverblik, der gør dig klogere – og holder dig foran.
Opret gratis profil →