Ny vejledning og ekspertgruppe om brug af cloud

Dato: 09-03-2022

Cloud er en af de teknologier, som de seneste år har givet anledning til mange spørgsmål. Datatilsynet udgiver derfor nu en vejledning om brugen af cloudservices. Samtidig tager tilsynet initiativ til en ekspertarbejdsgruppe, der skal se på mulige tiltag, der kan understøtte en lovlig brug af cloudservices.

Datatilsynet offentliggør i dag en vejledning om brugen af cloudservices. Vejledningen er primært målrettet dataansvarlige og gennemgår de overvejelser, man skal gøre sig, hvis man ønsker at benytte en cloudservice. Samtidig nedsættes en ekspertgruppe, der skal se på tiltag, der kan sikre en lovlig brug af disse tjenester.

”Cloudservices er meget udbredte – og med god grund. Men det kan være svært for især mindre virksomheder at finde ud af, hvordan man kan gøre dette inden for reglerne, særligt i lyset af den såkaldte Schrems II-afgørelse,” siger Datatilsynets direktør Cristina Angela Gulisano og fortsætter:

”Der er ingen lette smutveje, men vi forsøger med den nye vejledning at opridse både faldgruber, muligheder og forpligtelser – og vi håber, at ekspertgruppen kan være med til at komme med helt konkret vejledning på, hvordan man bedst kan gøre brug af disse tjenester og samtidig overholde reglerne.”

Samtidig offentliggør Datatilsynet i dag en kort oversigt over spørgsmål og svar om brug af cloud.

Vejledning skal hjælpe med at give et overblik

Vejledningen om cloud giver blandt andet anvisninger på, hvordan du vurderer dine databehandlere, hvilke krav du skal stille til dem, hvordan du dokumenterer dine valg, og hvordan du kontrollerer, at behandlingerne sker i tråd med din instruks. Herudover er der afsnit, der handler om overførsler til tredjelande, og en gennemgang af det mest benyttede tredjeland – USA – og de særlige problemstillinger, som EU-domstolens afgørelse i den såkaldte Schrems II-sag har affødt.

Vejledningen indeholder både gennemgang af typiske spørgsmål samt flere eksempler på praktisk forekommende spørgsmål, man skal stille sig selv som en dataansvarlig, der påtænker at benytte en cloudservice.

”Vi forstår ganske udmærket de mange kommercielle fordele, der kan være for en organisation ved at benytte cloudservices. Som Datatilsynet er vi dog meget optaget af, at der sker på en ansvarlig måde og inden for de rammer, som lovgiver har opsat. Med vejledningen har vi forsøgt at give så operationelle og retningsanvisende anbefalinger som muligt til brugen af cloudservices samtidig med, at vi afklarer eventuelle misforståelser og misvisende fortolkninger af reglerne, som Schrems II-sagen har givet anledning til”, udtaler it-sikkerhedsspecialist Allan Frank.

Cloudservices leveres ofte som standardiserede ydelser, hvor den enkelte organisation som kunde har begrænsede muligheder for at tilpasse servicen til sine individuelle behov og krav. Dele af vejledningen henvender sig derfor samtidigt til cloudleverandører, der kan læse mere om, hvordan de kan levere services i overensstemmelse med databeskyttelsesreglerne. Af samme årsag har Datatilsynet som noget nyt udarbejdet en engelsk udgave af vejledningen med henblik på at nå ud til flest mulige aktører, der arbejder med udvikling og brug af cloudservices.

Endelig er cloudservices et område i hastig forandring. Datatilsynet har derfor en ambition om at tilpasse vejledningen jævnligt, ligesom tilsynet vil afsøge eventuelle tekniske og juridiske muligheder, der kan understøtte en lovlig og ansvarlig brug af cloudservices og tilpasse vejledningen til dette. Har du som interessent på området input til vejledningen, er du velkommen til at sende det til Datatilsynet (dt@datatilsynet.dk) (angiv venligst ”Input til vejledning om cloud, j.nr. 2022-22-0092” i emnefeltet). Datatilsynet forventer at genbesøge vejledningen i løbet af 2. kvartal af 2023.

Konkrete anbefalinger fra ekspertgruppe

Samtidig med offentliggørelsen af vejledningen tager Datatilsynet initiativ til nedsættelsen af en ekspertarbejdsgruppe. Gruppen skal blandt andet se på udfordringerne ved de nuværende cloudservices i lyset af den seneste retlige udvikling – og på mulige tiltag og foranstaltninger, der kan sikre en ansvarlig og lovlig brug af cloudservices.

Ekspertgruppens arbejde skal udmønte sig i konkrete anbefalinger og praktisk vejledning, der kan sikre anvendelse af cloudservices inden for rammerne af databeskyttelsesreglerne.

Gruppen kommer til at bestå af op til syv faste medlemmer. Medlemmerne udpeges på baggrund af ansøgninger.

På denne side kan du læse mere om gruppens sammensætning, arbejdsform og mødestruktur, ligesom det fremgår, hvordan man kan søge om at blive medlem af gruppen. Siden om ekspertgruppen findes også i en engelsk udgave: Expert working group on the use of cloud.