Sådan navigerer du dataoverførsler i en ny geopolitisk virkelighed

Et af mange danske virksomheders største bekymringer er, hvordan man sikrer, at virksomhedens data er beskyttet - især når regler og politiske forhold hurtigt kan ændre sig.

I DI Digitals podcast 'Suveræn Tech' bliver netop disse spørgsmål diskuteret: Hvor ligger data? Hvem har adgang? Og hvad sker der, hvis aftalegrundlaget for dataoverførsler ændrer sig? Usikkerheden kan gøre det svært at navigere, og kræver en skarp og aktiv strategi for robusthed.

Hvor må data sendes hen?

I en global økonomi er det afgørende at vide, hvor og hvordan persondata må sendes og opbevares. Sender du data til lande uden for EU, skal du sikre dig, at reglerne og beskyttelsen følger med. GDPR og EU’s regler beskytter data, også når de sendes ud af EU, og EU-Kommissionen godkender lande som “sikre”, hvis de lever op til EU’s standarder.

Det betyder for eksempel, at du kan sende data til godkendte lande som Japan, Israel eller Uruguay, og til visse amerikanske virksomheder, hvis de er med i Data Privacy Framework. Selvom det juridiske grundlag kan ændre sig, stå vi i øjeblikket på fast grund. 

"Hvis vi kun ser på det rent juridiske, så er der lige nu et grundlag. Drejer det sig om overførsler til USA, så er der Data Privacy Framework, hvis virksomheden, man overfører til i USA, er del af det og altså har signet op til at efterleve de principper, som den ordning indeholder. Det gør, at du slet ikke skal tænke yderligere over det end bare at gøre det,” siger Christian Wiese Svanberg, advokat i DLA Piper i podcasten.

Erfaringerne viser dog, at politiske beslutninger og nye domme hurtigt kan vende op og ned på rammerne, især i forhold til USA. Derfor er det nødvendigt løbende at holde sig orienteret og være parat til at tilpasse virksomhedens løsninger, hvis reglerne ændrer sig.

“Hvis det grundlag skulle falde bort, så er der sådan set også allerede fra EU-Domstolen, i forbindelse med Schrems II-sagen, kommet en meget klar vurdering af, at man kan benytte det andet mest brugte grundlag, som er det, der hedder Standard Contractual Clauses,” siger Christian Wiese Svanberg.

Cloud, leverandørkæder og praktiske udfordringer

Mange virksomheder bruger globale cloud-leverandører, men det kan være både komplekst og tidskrævende at sikre, at alle juridiske krav bliver overholdt – især hvis data ender i lande, der ikke er godkendt af EU. Derfor vælger nogle virksomheder at gøre brug af Model Clauses eller Standard Contractual Clauses (SCC), som kan kræve både forhandling og tilpasning. Som Peter Gregersen, Head of Privacy i Pandora, siger i Suveræn Tech:

"Det kan tage én til to medarbejdere en hel måned at få forhandlet og indgået bare én SCC-aftale."

For mindre virksomheder kan det være en stor byrde, og selv større organisationer har svært ved at følge med kravene. Det viser, hvor vigtigt det er at kende sine leverandører og løbende vurdere, om både aftaler og praksis er opdaterede og robuste nok. Peter Gregersen, Head of Privacy i Pandora, har et godt råd til, hvad der er det første, man som virksomhed bør gøre: 

"Der må være bred enighed om, man er nødt til at kortlægge sine dataoverførsler. Find ud af, hvor din data er placeret henne, og sørg for, at du som minimum har styr på de overførelser, som indebærer den højeste risiko. Hvis du for eksempel overfører en masse sensitiv data, fordi du har lavet en app til et hospital, så skal du have styr på den del først, frem for måske at kigge på interne kundeserviceløsninger i Europa," siger han.

Digital suverænitet starter med ansvar – og en risikovurdering

DI anbefaler, at virksomheder starter med at lave en risikovurdering, hvis de vil styrke deres digitale suverænitet. Det handler om at skabe overblik over, hvor data ligger, hvem der har adgang, og hvilke teknologier der er kritiske for forretningen. Digital suverænitet er ikke at isolere sig, men at have flere valgmuligheder og større kontrol af kritiske teknologier som cloud og kunstig intelligens. Det er både en politisk dagsorden og en forretningsstrategi, der beskytter virksomhedens fremtid.

Besøg vores Suveræn Tech Univers og læs om digital suverænitet og meget mere.