Ny rapport om brug af cloud

De store cloudleverandører, som f.eks. Microsoft, Google og AWS, står på rigtig mange lister over databehandlere og underdatabehandlere hos både offentlige myndigheder og private virksomheder. Nu har 22 Datatilsyn på tværs af EU gennemgået offentlige myndigheders brug af cloudløsninger, og det er der kommet en rapport ud af. Rapporten indeholder en lang række anbefalinger og opmærksomhedspunkter. Selvom rapporten handler om offentlige myndigheder, så kan private virksomheder med fordel også læse med, da reglerne for private virksomheder i hovedtræk er de samme.

Usikkerhed om lovligheden

Bliver du lidt frustreret, når databeskyttelsesrådgiveren eller GDPR-medarbejderen rynker på næsen over brugen af cloudløsninger, så er der desværre ikke godt nyt. Rapporten fra EDPB slår nemlig fast, at brugen af cloudløsninger ofte medfører store vanskeligheder, når det handler om at overholde GDPR. I rapporten er disse vanskeligheder kogt ned til 8 opmærksomhedspunkter:

1. Udarbejdelse af DPIA
2. De involverede parters roller
3. Mulighed for at forhandle en kontrakt, der passer til den konkrete behandling
4. Brug af underdatabehandlere
5. Overførsel til tredjeland
6. Risiko for, at tredjelandes myndigheder kan få adgang til oplysninger, selvom data er opbevaret i EU/EØS
7. Brug af diagnostiske data
8. Muligheden for at gennemføre audits

Du kan ikke nøjes med leverandørens risikovurdering

Når myndigheder og virksomheder indkøber cloudløsninger, ser de ofte kun på den risikovurdering, som udbyderen leverer. Men det er ikke tilstrækkeligt, lyder det i rapporten. Udbyderens risikovurdering er nemlig ikke en GDPR-risikovurdering, hvor der vurderes på den konkrete behandlingsaktivitet, som cloudløsningen skal bruges til.

Ifølge rapporten er udgangspunktet desuden, at offentlige myndigheder skal udarbejde en konsekvensanalyse – også kaldet en DPIA – når tages i brug. Det skyldes, at offentlige myndigheder ofte behandler store mængder personoplysninger, der ofte er følsomme. Den kombination vurderes at medføre en høj risiko for de registrerede, og det udløser helt automatisk et krav om, at der skal udarbejdes en DPIA.

Det er HjulmandKaptains anbefaling, at private virksomheder også overvejer at udarbejde en DPIA, særligt når der behandles stærkt fortrolige og/eller følsomme personoplysninger. Det kan f.eks. være i et HR-system.

Det vil ikke være i alle tilfælde, at det er nødvendigt at udarbejde en DPIA, men det anbefales, at dataansvarlige overvejer behovet og også dokumenterer en eventuel beslutning om ikke at udarbejde en DPIA.

Har du styr på din og deres rolle?

Når dataansvarlige indgår en kontrakt med en cloududbyder – eller cloududbyderen indgår som underdatabehandler i aftalen – så er det vigtigt, at der er helt styr på, hvilke roller I hver især har, hvilke personoplysninger der behandles af hvem og til hvilke formål.

Nogle cloududbydere behandler en lang række oplysninger, f.eks. oplysninger om brugeradfærd eller andre telemetriske/diagnostiske oplysninger, til egne formål. Men gør de det som selvstændige dataansvarlige eller som databehandler? Hvis de er selvstændige dataansvarlige, skal du som dataansvarlig have hjemmel til at videregive disse oplysninger til cloududbyderen.

Vanskelige forhandlingsvilkår

Opmærksomheden omkring roller og ansvar er væsentlig, fordi mangler på det punkt meget let kan føre til en overtrædelse af GDPR. Cloududbydere anvender desuden flere underdatabehandlere, og her er det vigtigt at have helt styr på, hvem de er, hvilke oplysninger de behandler, og hvordan og ikke mindst om du som dataansvarlig kan gøre indsigelse på en meningsfuld måde.

Rapporten tilkendegiver, at det kan være meget vanskeligt at få forhandlet en kontrakt, hvor der er helt styr på, at GDPR er overholdt. Det ændrer imidlertid ikke på, at det er den dataansvarlige, der har ansvaret for, at der indgås en kontrakt, der rent faktisk lever op til alle kravene i GDPR, lyder det i rapporten.

”Det forhold, at offentlige myndigheder faktisk ikke har nogen kontrol med ansættelsen af databehandlere og underdatabehandlere, gør det vanskeligt for dem at sikre, at behandlingen er i overensstemmelse med bestemmelserne i GDPR, især hvad angår overførsel til tredjelande. Det skal dog understreges, at denne vanskelighed ikke i sig selv fritager den dataansvarlige for sit ansvar i forbindelse med behandlingen”. (side 16)

Overførsel af oplysning til tredjelande

Når man siger cloudtjenester, så vil man i langt de fleste tilfælde også skulle forholde sig til (potentiel) overførsel af personoplysninger til tredjelande – også selvom data opbevares i EU/EØS. Det skyldes blandt andet, at nogle landes lovgivning, herunder amerikansk lovgivning, giver landets myndigheder mulighed for at kræve oplysningerne udleveret, uanset hvor i verden oplysningerne befinder sig. Du er derfor ikke nødvendigvis på sikker grund, hvis du f.eks. anvender en amerikansk cloududbyder, men har indgået aftale med den europæiske afdeling, og dine data opbevares i EU.

Til gengæld er du forpligtet til at gennemføre en analyse (også kaldet TIA), hvor du undersøger tredjelandets lovgivning. Herefter skal du gennemføre såkaldte supplerende foranstaltninger, så overførslen sker, uden at der sker overtrædelse af GDPR. EDPB har tidligere meldt ud, at det meget vanskeligt kan lade sig gøre, når der er tale om brug af cloudløsninger, medmindre cloududbyderen garanterer et vist niveau af kryptering, og krypteringsnøglen ikke kan tilgås af cloududbyderen.

Rapporten understreger, at de dataansvarlige skal sikre, at der gennemføres passende supplerende foranstaltninger, så eventuelle overførsler til tredjelande kan ske inden for rammerne af GDPR.

”Når de oplysninger, der er tilgængelige for de offentlige myndigheder som dataansvarlige og for tilsynsmyndigheden, ikke er tilstrækkeligt klare, kan det være vanskeligt at vurdere præcist, hvilke kategorier af oplysninger der overføres til hvilke steder og til hvilke formål.

Desuden kan det, især i forbindelse med visse SaaS-implementeringer, vise sig umuligt eller yderst udfordrende at identificere effektive supplerende foranstaltninger. Derfor vil det være yderst sandsynligt, at overførslerne vil finde sted i strid med overførselsreglerne (Schrems II-dommen), hvilket kræver, at de offentlige myndigheder, der fungerer som dataansvarlige, skal finde forskellige løsninger for at forhindre eller standse sådanne overførsler, f.eks. ved at (gen)forhandle kontrakter eller anvende forskellige cloud-løsninger, der er i overensstemmelse med GDPR (f.eks. EØS cloud-løsninger, der er i overensstemmelse med GDPR)”.

Inddrag databeskyttelsesrådgiveren og lyt til rådene

Offentlige myndigheder har pligt til at udpege en DPO (databeskyttelsesrådgiver), som skal hjælpe myndigheden med at overholde GDPR og overvåge at myndigheden faktisk overholder reglerne.

Men det er ikke tilstrækkeligt blot at udpege en DPO. Den dataansvarlige har også pligt til at inddrage DPO’en, f.eks. i arbejdet med en DPIA eller ved udarbejdelse af en TIA. Det fremgår imidlertid af rapporten, at DPO’erne ikke inddrages i tilstrækkelig grad, når myndigheder indkøber cloudløsninger, og det vækker bekymring hos EDPB.

”Den dataansvarliges databeskyttelsesrådgiver var dog i de fleste tilfælde ikke tæt involveret i processen. Dette giver anledning til bekymring hos nogle Datatilsyn. En tæt inddragelse af databeskyttelsesrådgiveren kan faktisk hjælpe offentlige myndigheder med at implementere cloud-applikationer på en måde, der er i overensstemmelse med GDPR”. (side 11)

Datatilsynet har desuden udpeget ”DPO’ens udpegelse og rolle” som et fokusområde i 2023.

Hvad kan du bruge rapporten til?

Rapporten er blot et indlæg i diskussionen om cloudløsninger, der særligt tog fart efter den såkaldte Schrems-II-dom. Det er HjulmandKaptains vurdering, at tilsynsmyndighederne i stigende grad sætter fokus på de databeskyttelsesretlige problematikker, der følger med brugen af cloud. Selvom mange dataansvarlige muligvis synes, at det er svært at undgå cloudløsninger, og at det vil blive særdeles vanskeligt at undgå dem, særligt hvis de allerede er taget i brug, så slår rapporten fast, at det er tilsynsmyndighedernes opfattelse, at det ikke fritager for ansvar.

En dataansvarlig, der f.eks. ikke får tilpasset kontrakten til den konkrete behandling, som ikke har helt styr på roller, kategorier af oplysninger, der behandles, formål med behandlingen og overførsler til tredjelande, risikerer at blive mødt med en sanktion. Det så vi blandt andet i den såkaldte Chromebook-sag fra Helsingør Kommune.

HjulmandKaptain anbefaler derfor, at du, sammen med din DPO eller GDPR-team, gennemgår alle cloudløsninger og sikrer, at de lever op til GDPR. I de tilfælde, hvor løsningen ikke efterlever reglerne, er det vores anbefaling, at det tages op til drøftelse på det relevante ledelsesmæssige niveau, om der kan ske yderligere tilpasninger, f.eks. via tilkøb, eller om organisationen skal vælge cloudløsningen helt fra.

Du finder rapporten her

Skal vi hjælpe dig med at efterleve GDPR?

Hvis du har brug for hjælp til dit arbejde med cloudløsninger eller til andre dele af dit arbejde med databeskyttelse, er du altid velkommen til at kontakte vores specialister i databeskyttelse.