Advokat: Hvis ikke politikerne tager stilling til cloud, får det store konsekvenser

Debat | Print

Danske aktører skal i dag selv vurdere risikoen for at benytte en amerikansk cloudleverandør. Det har store konsekvenser for kvaliteten af de tekniske løsninger. Derfor bør politikerne forholde sig til cloud, skriver Tue Goldschmieding.

Med EU-domstolens afgørelse i Schrems II blev det for alvor klart, hvad konsekvenserne af EU's ambition om digital uafhængighed og visionen om at være en regulatorisk supermagt er for både den offentlige og private sektor i EU.

Danmark er et gennemdigitaliseret land, hvor store dele af den offentlige IT-infrastruktur er afhængig af internationale IT-leverandører og hvor enhver større virksomhed for længst har begivet sig ud på en "cloud journey".

Derfor har det store konsekvenser, når det med EU-domstolens afgørelse i Schrems II-sagen og myndighedernes fortolkning heraf, i praksis er blevet næsten umuligt at benytte databehandlere uden for EU.

En umulig opgave

Reelt er Schrems II-afgørelsen alene udtryk for, at domstolen anvender eksisterende regler. Når det forekommer, at afgørelsen medfører nye krav til brugen af databehandlere uden for EU, er det juridisk set udtryk for, at reglerne hidtil ikke har været anvendt og håndhævet.

At reglerne ikke har været anvendt og håndhævet hidtil, skyldes nok til dels den betændte problemstilling, der ligger til grund for domstolens afgørelse – nemlig, at europæiske borgeres personoplysninger ikke er tilstrækkelig juridisk beskyttet over for myndighederne i USA.

Denne problemstilling lader sig i sagens natur alene løse, hvis enten EU eller USA går på kompromis med egen lovgivning.

Fra et praktisk perspektiv opstiller EU domstolen og ikke mindst tilsynsmyndighederne, på baggrund af Schrems II-afgørelsen, dog krav til brugen af databehandlere uden for EU.

Dette gælder ikke mindst i forhold til brugen af typisk amerikanske cloud leverandører, der gør det svært at se, hvordan en almindelig myndighed eller virksomhed, vil kunne løfte opgaven at sikre en (fortsat) lovlig brug af databehandlere uden for EU.

Virksomheders egen vurdering

Med den nuværende retstilling er det således op til myndigheder og virksomheder selv at vurdere i hvilket omfang lovgivning og praksis i eksempelvis USA og andre lande uden for EU, hvor der benyttes databehandlere, tillader myndighederne en adgang til personoplysninger, der ikke er forenelig med EU Charterets fundamentale rettigheder.

Det er ligeledes op til myndigheder og virksomheder selv at vurdere, om risikoen for sådan adgang kan afhjælpes gennem supplerende foranstaltninger.

I praksis betyder dette, at en virksomhed, der eksempelvis benytter en amerikansk cloud leverandør, skal have en kvalificeret holdning til, hvorvidt amerikansk efterretningslovgivning konkret giver myndighederne mulighed for at få adgang til virksomhedens personoplysninger og om denne risiko kan afhjælpes gennem eksempelvis kryptering af data.

Sidstnævnte forudsætter selvfølgelig, at virksomheden kan vurdere om de amerikanske efterretningstjenester, teknisk er i stand til at bryde den kryptering, som leverandøren anvender.

Hvis denne opgave forekommer uoverskuelig eller umulig for en lille eller mellemstor dansk virksomhed eller myndighed, så er det fordi den er det.

Lovgiver sender den problemstilling, der ligger til grund for Schrems II-afgørelsen, videre til myndigheder og virksomheder. Måske netop fordi, problemstillingen er så svær at løse i praksis.  

Brug for politisk retning

Nogen vil nok påpege, at politik og jura blandes sammen i det ovenstående, og at EU domstolens afgørelse og tilsynsmyndighedernes fortolkning ikke er udtryk for en politisk ambition.

Problemet er desuagtet, at når afstanden mellem de juridiske krav og den praktiske virkelighed bliver for store, er der behov for, at der politisk udstikkes en reel vej for myndigheder og virksomheder.

Uden denne vej, er resultatet som nu, at der gås på kompromis med kvaliteten af de tekniske løsninger eller at der foretages mere eller mindre substantielle risikovurderinger for at gardere sig mod myndighedernes søgelys.

Med udsigten til en ny rammeaftale for dataoverførsler til USA med Privacy Shield 2.0, kan nogle af de praktiske problemstillinger måske løses for en tid.

Det ændrer ikke ved det generelle behov for mere klar politisk stillingtagen og en klar og praktisk vej for både myndigheder og virksomheder.

Forrige artikel IT-Branchen: Cloud bør være en pligtopgave for alle – også det offentlige IT-Branchen: Cloud bør være en pligtopgave for alle – også det offentlige Næste artikel Netværk: Giv kommunerne bøder, når de tager hjælp fra borgere, som har ret til den Netværk: Giv kommunerne bøder, når de tager hjælp fra borgere, som har ret til den

arbejdsmarked
arktis
by og bolig
børn
christiansborg
civilsamfund
civilsamfundets videnscenter
digital
embedsværk
energi og forsyning
erhverv
etik og tro
eu
fonde
forskning
forsvar
fødevarer
hovedstaden
idræt
klima
kommunal
kultur
maritim
miljø
social
sundhed
transport
uddannelse