Stadigt flere organisationer benytter sig af cloudservices. Det er i den forbindelse væsentligt, at den dataansvarlige har fokus på at sikre efterlevelse af databeskyttelsesreglerne, herunder særligt i forhold til 1) brugen af databehandlere og underdatabehandlere, 2) behandlingssikkerhed, samt 3) overførsel af personoplysninger til tredjelande.
Fra Datatilsynets nye cloudvejledning er det særligt relevant at fremhæve følgende hovedpointer:
- Det er helt afgørende, at den dataansvarlige selv har overblik over, hvilke af sine behandlingsaktiviteter, der er omfattet af cloudservicen, ligesom den dataansvarlige skal sikre, at kontrakterne er klare og gennemsigtige i sin ordlyd.
- Den dataansvarlige skal sikre dokumentation for hele kæden af eventuelle underdatabehandlere. Hvis det ikke er muligt for dig som dataansvarlig at sikre tilstrækkelig dokumentation for, hvilke underdatabehandlere der er relevante for de cloudservices, du benytter, eventuelt efter dialog med cloudleverandøren, skal du efter Datatilsynets opfattelse lægge til grund, at alle de underdatabehandlere, der fremgår af cloudleverandørens generelle oversigt, benyttes til levering af dine cloudservices.
- Ved vurdering af et usikkert tredjelands lovgivning og/eller praksis, kan du basere din vurdering på ”worst case scenario”, hvilket indebærer, at alle de omhandlede tredjelande har problematisk lovgivning og/eller praksis. Herefter kan du nærmere vurdere, hvilke supplerende tekniske foranstaltninger der skal implementeres for at sikre et tilstrækkeligt beskyttelsesniveau.
For så vidt angår overførsler til USA, fremhæves det særligt, at det er Datatilsynets opfattelse, at en dansk organisation typisk vil behandle oplysninger om personer, som er omfattet af anvendelsesområdet for den såkaldte FISA 702. En dansk organisations brug af cloudleverandører i USA vil derfor normalt være omfattet af ”problematisk” lovgivning, hvilket betyder, at cloudservicen alene kan anvendes, hvis:
- Der enten sikres tilstrækkelig supplerende sikkerhedsforanstaltninger (hvilket typisk forudsætter kryptering) eller,
- Det kan påvises og dokumenteres, at den relevante ”problematiske” lovgivning ikke vil blive anvendt i praksis for så vidt angår din cloudleverandør. En sådan dokumentation vil skulle være understøttet af objektiv, troværdig og tilgængelig information, fx fra de omhandlede myndigheder, og det er således ikke tilstrækkeligt som dokumentation at henvise til din egen eller cloudleverandørens subjektive vurdering.
Det er EY’s erfaring, at mange dataansvarlige har vanskeligt ved at gennemskue rammer og vilkår for sine cloudservices, herunder ikke mindst at skabe overblik over organisationens tredjelandsoverførsler.
EY anbefaler, at I først og fremmest – som en del af jeres lovpligtige kortlægning (artikel 30-fortegnelse) – får sikret et fuldt overblik over organisationens cloudløsninger og øvrige potentielle tredjelandsoverførsler, herunder ved identifikation af enhver relevant databehandler og underdatabehandler.