Er Israel det forjættede land for personfølsomme cloud-data? Ikke længere. Hvis du overvejer at placere personfølsomme cloud-data i et israelsk datacenter, så er det i hvert fald netop blevet meget nemmere. Nu har EU stemplet Israel som et sikkert land at opbevare følsomme skydata i.
Derfor er det nu blevet nemmere for europæere at bruge virksomheder i Israel som cloud-vært.
"Det er selvfølgelig langt, langt lettere, end hvis du arbejder med et land, der er uden for kredsen," siger Jesper Langemark, advokat med speciale i cloud-løsninger hos advokatkontoret Bender von Haller Dragsted.
Hvis en data-ansvarlig, det kan være en kommune eller et firma, placerer cloud-data i EU eller i et EØS-land (Norge, Island og Liechtenstein), så skal man blot leve op til de almindelige regler for, hvordan man beskytter data. Hvis man vil placere data i et land, der ligger udenfor, så skal man have en særskilt kontrakt godkendt hos Datatilsynet. Kontrakten kan man dog undgå, hvis man placerer dataene i en lille kreds af lande, som EU har godkendt som sikre data-destinationer.
Også USA og Canada er sikre
Udover Israel er det Schweiz, Argentina og miniput-østaterne Guernsey, Isle of Man, og Jersey i den britiske kanal. Også Canada kan firmaer placere følsomme persondata i, hvis blot databehandleren dækkes af den canadiske databeskyttelseslov. Det er også muligt at placere de følsomme data hos amerikanske datacentre, men så skal firmaet, eksempelvis som Google har gjort det, have skrevet under på den amerikanske regerings Safe Harbor Privacy Principles.
Jesper Langemark siger, at det er positivt for udviklingen inden for sky-databehandling, når den smalle kreds af sikre cloud-lande bliver udvidet.
"Det er jo klart, at jo større kredsen bliver, jo nemmere er det at lave en cloudløsning," siger advokaten.
Håb om flere lande
Han håber, at kredsen med EU-stemplet bliver udvidet yderligere.
"Det kunne jo også være interessant, hvis f.eks. lande i Østeuropa og måske Asien, som mange it-opgaver i dag outsources til, kommer med. Men der har nok lange udsigter, at sådanne lande bliver dækket. Det er for egen regning, men jeg har svært ved at se, at for eksempel Indien og Pakistan bliver omfattet af ordningen, da de næppe vil være i stand til at etablere et passende beskyttelsesniveau for behandling af personoplysninger," siger Jesper Langemark.
Nærtjek af databeskyttelse i Israel
EU-Kommissionen har Israel som sikker data-destination efter at have undersøgt landets databeskyttelseslovgivning og efter at have gennemført en høring hos Den Europæiske Tilsynsførende for Databeskyttelse. I en erklæring skriver EU-Kommissionen, at landet har en grundig databeskyttelse, når det kommer til helt automatisk databehandling.
"Staten Israel bør derfor anses som et land, der kan sikre et tilstrækkeligt højt databeskyttelsesniveau i henhold til direktiv 95/46/EF med hensyn til automatiske internationale overførsler af personoplysninger fra EU til staten Israel; dette gælder også i tilfælde af ikke-automatiske overførsler, når oplysningerne er genstand for videre automatisk behandling i staten Israel. Afgørelsen dækker derimod ikke internationale overførsler af personoplysninger fra EU til staten Israel, hvor nævnte overførsel og den efterfølgende behandling af oplysningerne udelukkende sker på ikke-automatisk måde," skriver EU-Kommissionen i en erklæring.
EU-Kommissionen giver desuden anbefalinger til, hvordan Israel kan forbedre databeskyttelsen, så godkendelsen kan udvides til at dække manuelt behandlede databaser.
Virksomheder, som vil placere følsomme persondata i Kina, Indien, Pakistan eller et andet tredjeland kan tage udgangspunkt i en EU-standardkontrakt, der fastslår, hvordan data behandles i overensstemmelse med de europæiske databeskyttelsesregler.
