For alle os, der arbejder med data i stor skala, var 10. juli i år en mærkedag. Efter flere år med usikkerhed præsenterede EU-Kommissionen – med Data Privacy Framework (DPF) – omsider klare retningslinjer for at overføre personoplysninger til cloud-leverandører med base i USA. Europæisk erhvervsliv og organisationer kan således endelig være sikre på at agere lovligt, når de deler persondata med amerikanske virksomheder, så længe disse blot er certificeret under DPF. 

Siden EU-domstolen underkendte EU’s dataaftale med USA i juli 2020, har usikkerheden ellers hersket. Det var Privacy-aktivist og advokat Max Schrems, som førte an i sagen, og med domstolens vurdering blev dataaftalen punkteret for sin manglende beskyttelse af EU-borgeres persondata. 

I fraværet af tydelig lovgivning prøvede mange dataejere – med sved på panden – med egne foranstaltninger at undgå ulovlig overførelse af data. Det gjaldt også for os hos TDC NET, hvor vi har forpligtet os til altid at sætte barren højt for vores datahåndtering. Vi fik sikret os et stabilt set up af processer, der minimerede risici, og som gav os en solid compliance. Vi fik blandt andet indført en plan for, hvordan alle leverandører skulle sikre et højere sikkerhedsniveau samt GDPR-screening forud for indgåede samarbejder. Dette resulterede for vores vedkommende i både bedre processer og dokumentation end før Schrems II.

Initiativer og mindset bør bevares

Selv om vi nu har fået DPF, er indsatsen for at beskytte danskeres og europæeres data langt fra slut. Det er således misforstået, hvis vi og andre virksomheder der tidligere måtte opbygge egne særlige procedurer, nu ukritiske bare skrotter dem ud fra en betragtning om, at vi jo i stedet har en ny situation og nye regler. Tværtimod skal vi kigge grundigt på, hvad der giver mening at beholde. For udviklingen bevæger sig så rasende hurtigt på data- og Privacy-området, og hvem siger, at DPF’en i sin nuværende form holder i al evighed? Max Schrems har allerede varslet endnu et juridisk opgør med den nye dataaftale.

I tiden før vi fik DPF, lærte vi i højere grad at tænke grundigt over, hvilke leverandører uden for EU vi anvendte, og hvordan vi fik styr på sikkerheden gennem de rette processer og procedurer. Og ikke mindst fik vi skabt en sund opmærksomhed – Awareness – omkring vores håndtering af data.

Det er vigtigt, at vi ikke bare smider vores øgede Awareness bort sammen med de solide processer vi fik opbygget fra juli 2020 til juli i år. Vi bør fortsætte med at være reflekterende i vores valg af leverandører uden for EU og holde fast i processer og foranstaltninger, som bidrager til at øge sikkerheden omkring vores datahåndtering.

Awareness alene er selvfølgelig ikke nok. Der skal selvsagt være juridiske aftaler på plads, som garanterer beskyttelse af vores europæiske data. Og netop dét var problemet, som aflivede den seneste dataaftale med amerikanerne. Desværre er udfordringen med usikkerhed ikke fortid. 

Vi risikerer at stå der igen…

Det er svært for USA at leve op til de høje krav til sikkerhed, som vi har i EU. Når vi ser på perspektiverne for fremtiden, så må vi erkende, at der er en stor sandsynlighed for, at vi får en Schrems III – altså et udfald, som vi har set to gange før, hvor en ny EU-dom vurderer, at dataaftalen mellem USA og EU ikke beskytter europæeres data i tilstrækkeligt omfang. 

Problemet var især, at efterretningstjenester i USA havde uproportionel adgang til EU-borgeres data under den amerikanske Cloud Act-lov. Den nye dataaftale mellem EU og USA forbedrer beskyttelsen af EU-data. Derudover sørges der for, at landets efterretningstjenester kun kan få adgang til data under veldefinerede hensyn til national sikkerhed, og der skal tages hensyn til individets ret til privatliv og vores frihedsrettigheder. Blot for at nævne nogle af de ting, som det nye framework retter op på - men er dette nok? Allerede nu har, som nævnt ovenfor, Max Schrems erklæret, at han vil afprøve den nye dataaftales lovlighed. 

En kommende sag kan få konsekvenser for den nye dataaftale, og det vil selvsagt være en udfordring, da vi i en globaliseret verden ikke realistisk kan fravælge verdens største og mest innovative softwareleverandører. Vi ønsker i Danmark at være et digitalt foregangsland, og derfor er vi nødt til at have adgang til de bedste services i verden.

Personligt håber jeg, at alle fortsætter med det mindset, der opstod i tiden uden en dataaftale. For vi skal fortsat tænke innovativt og være opmærksomme på hvilke tjenester, vi bruger. Og derudover er der en ting, vi ikke må glemme: Ofte vil der være cloudtjenester, som har bedre sikkerhed end platforme i EU, og derfor skal vi sørge for, at det i fremtiden vil være lovligt at anvende leverandører i USA.