Nyt rammeværk letter brug af eftertragtede amerikanske cloud-tjenester

Afgørelsen har været længe ventet og kommer efter EU-domstolen d. 16 juli 2020 ugyldiggjorde EU-kommissionens tidligere afgørelse, den såkaldte Privacy Shield.

’’DI har længe efterspurgt en løsning, der muliggør en sikker og effektiv overførsel af data mellem EU og USA. Denne afgørelse vil være til gavn for virksomhederne på begge sider af Atlanten og give dem nødvendig klarhed og forudsigelighed i deres datatransaktioner. På den måde er det en sejr for den fremadrettede digitalisering,’’ siger Andreas Holbak Espersen, digitaliseringspolitisk chef i DI Digital.

I en pressemeddelelse udtaler EU-Kommissionen, at virksomheder kan bruge Data Privacy Framework som et lovligt grundlag for at overføre personoplysninger til virksomheder i USA, der er certificeret hos det amerikanske handelsministerium. Listen er tilgængelig på det amerikanske handelsministeriums hjemmeside og opdateres løbende.

For at overholde reglerne har virksomheder indtil nu været nødt til at gøre brug af andre overførselsgrundlag og implementere supplerende foranstaltninger som sløring af personoplysningerne, så de ikke har været genkendelige for modtageren i USA – såkaldt ’pseudonymisering’ – eller kryptering, hvor nøglen opbevares hos et europæisk selskab uden tilknytning til USA. Med EU – U.S. Data Privacy Framework er det ofte ikke længere nødvendigt.

Rammeværket er derfor en vigtig milepæl til at garantere smidig og sikker dataudveksling mellem EU og USA. Det giver virksomhederne bedre mulighed for at opretholde deres forretningsaktiviteter og samtidig beskytte personoplysninger i overensstemmelse med EU's høje standarder for databeskyttelse.

Vicedirektør i DI, Kim Haggren, udtaler:"Denne afgørelse er essentiel for vores medlemmer og andre virksomheder, der er involveret i transatlantiske datatransaktioner. Den bidrager til at skabe den nødvendige sikkerhed og stabilitet, der er afgørende for at drive forretning på tværs af grænserne og understøtter samtidig EU's høje standarder for databeskyttelse."

Alle udfordringer er dog ikke løst. Data Privacy Framework sikrer nemlig kun et lovligt overførselsgrundlag, som alene er en af mange regler i GDPR virksomheder skal leve op til. Virksomhederne skal stadig kende hele værdikæden af underdatabehandlere og overholde de andre regler i GDPR; have retligt grundlag, oplyse, slette, risikovurdere, dokumentere, m.v.

Derfor er det vigtigt, at virksomheder stadig gennemgår databehandleraftaler med nye leverandører og danner sig et fuldt overblik over alle underdatabehandlere. Det er eksempelvis aktuelt, hvis man eksempelvis bruger cloudservices fra Microsoft og Google.

Virksomheder, der vil have et fuldt overblik, bør holde øje med Datatilsynets opdaterede vejledninger den næste tid, da tilsynet har udtalt, at de i den kommende tid vil opdatere deres vejledninger vedrørende cloud og overførsel af personoplysninger til tredjelande samt hjemmesidetekster om overførsel til USA.

DI opfordrer alle virksomheder til at gennemgå opdaterede vejledninger fra Datatilsynet i takt med, at de offentliggøres over efteråret.