Kommuner bremser brug af nye teknologier pga. GDPR og risici for dataoverførsler til tredjelande
Flere leverandører med cloudbaserede løsninger, hvor data gemmes i skyen, oplever at kommuner ikke kan tage løsningerne i brug pga. GDPR-reglerne og risikoen for, at data potentielt kan overføres til tredjelande som USA.
Udfordringerne er aktualiseret af f.eks. Københavns Kommune, der har arbejdet med problemstillingen i længere tid og som 23. august, på foranledning af en henvendelse fra Danish.Care, afholdt et orienteringsmøde for at redegøre for kommunens tilgang. Henvendelsen fandt sted på vegne af virksomheden Brane, der er medlem af Danish.Care.
Ingen amerikanske cloudløsninger i det offentlige
Det kan være kompliceret stof – men kort fortalt er det no-go at handle med det offentlige, hvis en løsning har en amerikansk cloudløsning og persondata. Det kan være en cloudløsning i Google, Amazon, Microsoft m.v. og det kan også gøre sig gældende, selvom data fysisk er lagret i EU. Problemet opstår i og med, at USAs myndigheder kan kræve at få udleveret oplysningerne, herunder personoplysningerne, som er lagret i skyen. Det kan f.eks. være umiddelbart uskyldige oplysninger om en borger på et dansk plejehjem. Og alene den potentielle risiko for at data kan overføres ud af landet, er nok til at løsningen ikke kan tages i brug.
Alternativerne mangler
Udfordringen er, at der ikke findes brugbare alternative europæiske leverandører. Løsninger baserede på cloud-løsninger der ikke er amerikanske eller som opererer med ekstra 3-lags kryptering, er i praksis ikke anvendelige.
Danish.Care tager sagen alvorligt
Fra Danish.Cares side fortsætter vi med at søge afklaring på de muligheder branchens virksomheder har som leverandører af cloud-afhængige løsninger til kommuner og regioner. Udfordringerne rammer mange forskellige virksomheder på tværs af kommuner og regioner og på tværs af områder, og det risikerer selv sagt at bremse innovation og nye løsninger, som efterspørges i kommunerne. Løsningerne bør findes i fællesskab og på nationalt og på EU-plan. Herhjemme er Datatilsynet den ansvarlige myndighed, som også fortolker loven og har udgivet en række vejledninger om emnet.
Står I med udfordringer i forbindelse med Cloud-løsninger til det offentlige?
Medlemmer, der har oplevet udfordringer ift. cloud-løsninger og tredjelande bedes kontakte Morten Rasmussen på mr@danish.care for en nærmere dialog om problematikken og mulige løsninger.
Yderligere information kan findes her:
Datatilsynets Vejledning om cloud, marts 2022: www.datatilsynet.dk/Media/637824109172292652/Vejledning%20om%20cloud.pdf
Datatilsynets Vejledning om Overførsel af personoplysninger til tredjelande, juni 2022: www.datatilsynet.dk/Media/637902777513932912/Vejledning%20om%20overf%c3%b8rsel%20til%20tredjelande.pdf
Datatilsynets information om Tredjelandsoverførsler: www.datatilsynet.dk/internationalt/tredjelandsoverfoersler
Datatilsynets Pod-casts om GDPR, herunder om tredjelandsoverførsler og Schrems II: www.datatilsynet.dk/hvad-siger-reglerne/podcast
KL om overførsel af data til tredjelande, Schrems II-dommen: www.kl.dk/okonomi-og-administration/digitalisering-og-teknologi/databeskyttelse-og-informationssikkerhed/schrems-ii-dommen/