Følg den geopolitiske udvikling – særligt i forhold til dataoverførsler
Vi anbefaler, at I som virksomhed løbende holder jer opdateret på den geopolitiske udvikling - særligt når det gælder dataoverførsler mellem EU og lande uden for EU. Det er vigtigt at forstå, hvordan risici og rammevilkår ændrer sig, så I kan vurdere, om det er tid til at opdatere jeres risikovurdering og jeres tekniske setup.
Geopolitik er ikke længere noget, der kun vedrører udenrigsministerier og forsvarsalliancer – det påvirker også jeres digitale hverdag.
Særligt dataoverførsler mellem EU og USA er et område, hvor regler og aftaler hurtigt kan ændre sig. Afgørelser fra EU-Domstolen og den amerikanske administration kan få direkte betydning for, hvordan og hvor jeres data må behandles, hvis I bruger udenlandske cloudløsninger.
Indtil videre vurderer DI ikke, at grundlaget for dataoverførsler mellem EU og USA er ændret, men det er vigtigt at følge med – fx via brancheorganisationer som DI eller juridiske rådgivere – for at sikre, at jeres løsninger er i overensstemmelse med gældende regler. Det handler ikke kun om compliance, men også om at undgå forretningsforstyrrelser og tab af tillid.
Forskellige typer af cloudløsninger, og hvad de betyder for jer
I dag findes der mange forskellige typer af cloudløsninger, som giver virksomheder fleksibilitet og mulighed for at tilpasse deres setup efter behov og risikoprofil:
- Public cloud: Her deler man infrastruktur med andre virksomheder via en ekstern udbyder (fx Microsoft Azure, Amazon Web Services eller Google Cloud). Det er ofte en billig og skalerbar løsning, men man skal samtidig være opmærksom på, hvor data fysisk opbevares. Det kan både være på dansk, europæisk eller udenlandsk jord.
- Private cloud: Her har virksomheden sin egen dedikerede cloudinfrastruktur – enten internt eller hos en udbyder. Det giver større kontrol og sikkerhed, men kan være dyrere og mindre fleksibelt.
- Hybrid cloud: En kombination af public og private cloud, hvor man fx opbevarer følsomme data i en privat cloud og bruger public cloud til mindre kritiske systemer. Det giver fleksibilitet og bedre risikostyring.
- Multi-cloud: Her bruger man flere forskellige cloududbydere parallelt – fx én til drift og en anden til backup. Det kan øge robustheden og mindske afhængigheden af én enkelt leverandør.
Ved at forstå forskellene og mulighederne i de forskellige cloudmodeller, kan I som virksomhed træffe mere informerede valg om, hvordan jeres data skal håndteres – og hvor meget kontrol I ønsker at have.
US-EU data privacy framework
EU-US Data Privacy Framework (DPF) er en aftale mellem EU og USA, der skal sikre, at persondata kan overføres lovligt fra EU til certificerede virksomheder i USA. Aftalen blev vedtaget i 2023 som afløser for tidligere ordninger som Privacy Shield, der blev underkendt af EU-Domstolen.
Hvad betyder det for jer?
Hvis jeres virksomhed bruger amerikanske cloudtjenester eller andre digitale løsninger, hvor data overføres til USA, er det vigtigt at sikre, at leverandøren er certificeret under DPF. Det kan være med til at dokumentere, at overførslen sker på et lovligt grundlag.
Vær opmærksom på:
- Aftalen kan blive udfordret juridisk enten i EU eller i USA.
- Det er stadig nødvendigt at lave en konkret vurdering af jeres databehandling og sikre passende tekniske og organisatoriske foranstaltninger.
- Brug gerne juridisk rådgivning eller vejledninger fra fx Datatilsynet eller DI, hvis I er i tvivl.
Tjekliste:
- Brugere af amerikanske cloudtjenester bør undersøge, om leverandøren er DPF-certificeret
- Dokumentér jeres overvejelser og vurderinger i jeres GDPR-compliance
- Følg med i udviklingen – fx via brancheorganisationer eller nyhedsbreve
Her kan du holde dig opdateret
Vil du have hjælp til at holde dig opdateret på hvordan geopolitiske forandringer påvirker dit digitale råderum? Følg med her:
