Cloudtjenester

EU-Kommissionens tilstrækkelighedsafgørelse for EU US Data Privacy Framework åbner for lovlige dataoverførsler til certificerede amerikanske modtagere. Ordningen gælder kun USA, kan blive prøvet ved EU-Domstolen, og kræver fortsat TIA og exit-strategi ved usikkerhed.

Gør it-indkøb grønnere med EU’s GPP: fra energi- og varmeudnyttelse i datacentre til målbar rapportering og kontraktstyring. Få overblik over lovlige greb i udbudsprocessen, praktiske standarder som EN 50600 og metoder til at fremtidssikre grønne løsninger via bonus, bod og ændringsklausuler.

DORA indfører bindende og harmoniserede krav til IKT-risikostyring, hændelsesrapportering, test og leverandørstyring for finansielle virksomheder. Fra januar 2025 holdes bestyrelser ansvarlige for robusthed, mens kritiske IKT-udbydere kan mødes af særskilt tilsyn.

EDPB iværksætter en koordineret håndhævelsesindsats om databeskyttelsesrådgiverens rolle. 26 EØS-tilsyn, herunder Datatilsynet, vurderer efterlevelsen af GDPR-krav til udpegning, uafhængighed og ressourcer for DPO’er. Initiativet er anden runde under CEF.

EU har vedtaget DORA, som skærper kravene til IKT-risikostyring, test og hændelsesrapportering i finanssektoren. Kritiske tredjepartsleverandører som cloud- og dataanalyseudbydere kan udpeges til direkte tilsyn. Forordningen kræver stærkere kontrakter og dokumenterbar modstandsdygtighed.

EDPB udstikker 13 anbefalinger til offentlige myndigheders brug af cloud: gennemskuelig rollefordeling, risikovurdering og DPIA, stærk kontrol med underdatabehandlere samt kortlægning af tredjelandsoverførsler. Rapporten giver dog ingen nye løsninger på transfer-udfordringer.

EDPB samler europæisk praksis i ny rapport om offentlige myndigheders brug af cloud. Fokus er på fuld GDPR-efterlevelse, herunder rollefordeling, sikkerhedsforanstaltninger, DPIA og tredjelandsoverførsler. Datatilsynet har bidraget og følger op med tilsyn og vejledning.

DORA gennemføres i Norge med nye, detaljerede krav til IKT-risikostyring i finanssektoren. Reglerne omfatter også væsentlige leverandører, mens registrerede AIF-forvaltere undtages. Delegerede forordninger skærper kontrakt- og policykrav. Forbered kontrakter og styring nu.

Ny norsk DORA-lov skærper cybersikkerheden i finanssektoren med krav om IKT-risikovurdering, beredskabsplaner, leverandørregister og hurtig hændelsesrapportering til Finanstilsynet. Bestyrelse og direktør får skærpet ansvar, og manglende efterlevelse kan udløse betydelige administrative bøder.

Det norske Datatilsyn lægger EDPB’s linje til grund i ny vejledning om tredjelandsoverførsler. Fokus skærpes på dokumentation, TIA/DPIA og kontrol af leverandørers eksponering for udenlandske myndigheder. Særligt cloudleverandører kræver tekniske og kontraktuelle værn.