Computerworld konference d. 25. november – spørgsmål & svar

2. december 2020

Vi deltog i et webinar om GDPR hos Computerworld 25/11. Deltagerne stillede en del spørgsmål, og det var ikke dem alle sammen, der blev besvaret. Vi har besvaret en stor del af dem her.

Hvordan vurderer du mulighederne for anvendelse af cloud-services, hvor data placeres i datacentre i EU, men hvor leverandøren (fx fra USA eller Indien) har “remote access” (enten ad hoc eller stående adgang) til datacenteret i EU?

Det vil, ifølge de nye retningslinjer, ikke være muligt. Det skyldes, at det er muligt at behandle data fra tredjelandet.

Vil du synes det er en god idé at rette snuden efter europæiske cloudleverandører frem for at vælge de amerikanske cloudleverandører efter Schrems II-sagen?

Det kan være en løsning. Man skal dog være stadig sikre sig, at der ikke – eksempelvis i forbindelse med support – er adgang til data fra et tredjeland.

hvornår er høringen vedr. den nye srems vejledning afsluttet og hvornår forventes vejledningen at træde i kraft ?

Høringen slutter midt i december, så vi kan formentlig forvente, at de endelige anbefalinger kommer inden jul eller måske starten af januar.

Hvordan overlever fx en tømrervirksomhed med 20 ansatte Screms II?

Det er et rigtigt godt spørgsmål, hvordan mindre virksomheder skal håndtere Schrems II. Vi forventer, at der i løbet af de kommende måneder vil komme en række praktiske løsninger, I det omfang, det er muligt, vil vi forsøge at vidensdele det her i vores Vidensbase, så også mindre virksomheder kan trække på det.

Hvis krypteringsnøglen ligger hos Microsoft i Europa, vil det så være en tilstrækkeligt i forhold til Microsofts behandling i usikre tredjelande? Eller vil den også kunne udleveres og dermed være værdiløs i GDPRmæssig sammenhæng?

Ifølge anbefalingerne vil det ikke være nok. Krypteringsnøglen skal være under eksportørens kontrol. Der er også i forhold til USA den udfordring, at den europæiske del af virksomheden stadig vil være under amerikansk lovgivning i forhold til at udlevere oplysninger til eksempelvis efterretningstjenester.

Har Schrems-II reelt set ikke dømt cloud services hos Microsoft, Amazon og Google ude?

Det har i hvert fald vanskeliggjort brugen betydeligt.

Kan du high level opsummere de 4 Europæiske garantier ?

Ja.

  • Er behandlingen baseret på klare, præcise og gennemsigtige reguleringer?
  • Er behandlingen nødvendig og proportional, og følger den legitime formål?
  • Er der en uafhængig myndighed, som fører tilsyn med behandlingen (f.eks. i form af masseovervågning), og som har adgang til alle relevante sagsakter og kan vurdere om behandlingen er begrænset til, hvad der er strengt nødvendig?
  • Har den registrerede adgang til at få prøvet sine rettigheder ved en domstol?

Vil det have indflydelse på hvorvidt du kan benytte en service fra et amerikansk selskab, som har datacenter placeret i EU?

Ja, det vil det. Set-up’et vil ofte være sådan, at der er eller kan skabes adgang til data fra USA. I det tilfælde vil det ikke leve op til anbefalingerne.

Jacob Høedt Larsen

Head of Communications hos Wired Relations

Du er måske også interesseret i

Ny i GDPR II – processen

Ny i GDPR II – processen

Kom godt i gang med GDPR-arbejdet i din virksomhed – hvad enten I som virksomhed er nye i det, eller du har fået...