Navnet Max Schrems er nok et navn, de færreste mennesker vil nikke genkendende til. Østrigeren har været kendt i de kredse, der interesserer sig for data privacy og sidenhen GDPR, men i den brede befolkning, har interessen om Max Schrems været til at overse.
Om det kommer til at ændre sig, skal vi ikke begynde at gætte på, men der er ingen tvivl om, at hvis din virksomheds digitaliseringsstrategi baserer sig helt eller delvist på public cloud, så vil østrigerens navn komme til at fylde en del for dig i de kommende måneder. Hans navn er nemlig synonymt med en afgørelse der faldt ved EU-domstolen den 16. juli 2020. Den vender vi tilbage til.
Max Schrems' kamp mod Facebook og det irske datatilsyn
Lad os lige opridse, hvad sagen handler om. Max Schrems anlagde sagen i 2013 som en klagesag overfor det irske datatilsyn. Han argumenterede for, at det ikke var lovligt for Facebook at eksportere persondata til USA under de dagældende regler, som baserede sig på tillid til at modtagerne af de pågældende data (i dette tilfælde Facebook i USA) kunne beskytte disse data tilstrækkeligt.
Efter et forløb, hvor det irske datatilsyn afviste sagen, med den begrundelse at den var "unødvendig og irriterende," endte sagen i Irland med en afgørelse ved den irske Højesteret d. 3. oktober 2017, hvori sagen blev overført til EU-domstolen.
EU-domstolen tog herefter sagen under behandling, og afsagde som sagt dom d. 16. juli 2020. I dommen står der, at "europæiske datamyndigheder skal stoppe overførsler af persondata under virksomheders (eksempelvis Facebooks) standardvilkår." Dommen er således en underkendelse af Privacy Shield-aftalen mellem EU og de Amerikanske myndigheder.
Hvad betyder dommen?
På almindeligt dansk betyder dommen, at eksportører af data nu er særligt forpligtede til at sikre sig, at lovgivningen for dataoverførsler til tredje lande lever op til GDPR. Med andre ord er du som kunde hos en public cloud-udbyder (AWS, Azure, Google Cloud eller en af de 5.372 øvrige virksomheder, der er certificerede under Privacy Shield) forpligtet til at sikre dig, at GDPR er overholdt, når du eksporterer data til f.eks. USA.
Men det er vel ikke så slemt, er det? Altså, det er jo klart at det rammer virksomheder som Facebook og Google. Men hvad med helt almindelige danske virksomheder, der blot har få services i skyen?
Hvad med dig og din virksomhed?
Svaret er, at du også er ramt, hvis du benytter dig af en af de store public cloud services: Amazon Web Services, Google Cloud Platform, Microsoft Azure m.fl.
Det hænger sammen med disse virksomheders tilgang til support, der følger en "follow the sun"-model, hvor support til enhver tid udøves af medarbejder, der sidder et sted i verden, hvor det er dag. Eksempelvis USA eller Indien. Da disse medarbejdere kan tilgå EU-borgeres persondata - også selvom disse er krypterede - er data at betragte, som om de er eksporteret uden for EU - og så har vi balladen.
Men hvad med vores digitaliseringsstrategi?
Og det bringer os tilbage til starten af dette indlæg. For hvordan kan danske virksomheder følge en allerede lagt digitaliseringsstrategi baseret på public cloud, hvis lovgrundlaget for at have persondata i public cloud i et vist omfang er væk? I hvert fald forstået sådan, at du har en forpligtelse, som du vil have svært ved at overholde, sådan som public cloud eksisterer i sin nuværende form.
Jo bevares, hvis dine applikationer eller services ikke indeholder persondata, så giv los, men det er de færreste virksomheder, der ikke har persondata. Mange virksomheder endda i stor stil.
Man kan naturligvis vente, og håbe på at nogen løser problemet. Eksempelvis public cloud udbyderne, hvis forretning i nogen grad må siges at være truet af dette. Men der er alternativer.
Flere af Netics kunder anvender en hybrid model, da denne model samtidigt indebærer andre fordele. Modellen, som vi i øvrigt allerede anvender sammen med flere af vores større kunder, indebærer test- og udviklermiljøer i public cloud og og dermed anvendelse af de fordele som cloud-udbyderne har til disse formål.
Personfølsomme data opbevares udelukkende i Netics Private Cloud, etableret i egne danske datacentre. Således overholder det samlede hybride miljø GDPR.
Netic kan hjælpe dig videre
Netics erfaring med etablering og drift af Private, Public og Hybrid Cloud stiller vi gerne til rådighed, uanset om dialogen skal have et teknisk, kommercielt eller juridisk udgangspunkt.
Hvis du vil vide mere, om, hvordan Netic kan hjælpe dig med Cloud, har vi samlet artikler, viden og hjælp til dig. Du kan også få viden og hjælp indenfor sikkerhed.