Fri datatrafik over Atlanterhavet i farezonen: To omstridte sager truer stor udvekslingaftale mellem EU og USA

Privacy Shield-dataudvekslingsaftalen mellem EU og USA bliver fra flere sider dødsdømt, hvilket kan resultere i et sandt datakaos. Det danske Datatilsyn opfordrer dog alle til at slå koldt vand i blodet, og her kan du læse hvorfor.

Der flyver data over Atlanterhavet som aldrig før, når danske og andre europæiske virksomheder eksempelvis benytter amerikanske cloud-tjenester som Amazon, Google og Microsoft.

Sidste år røg den store dataudvekslingsaftale igennem 15 år mellem Europa og USA, Safe Harbor, på gulvet med et brag.

Braget skyldtes, at EU-domstolen grundet amerikansk masseindsamling af europæernes data igennem det sociale medie Facebook med europæisk hjemsted i netop Irland, ikke fandt Safe Harbor-aftalen solid nok.

Det kan du læse mere om her: Cloud-selskaber er på gyngende grund efter kontroversiel datadom fra EU

På rekordtid fik EU og USA i sommers så flikket en ny aftale sammen med navnet EU-U.S. Privacy Shield, som nu også er presset fra hver sin side af Atlanterhavet. Fra EU's side er en ny irsk retssag om masseovervågning af EU-data i gang med næsten samme persongalleri bag Safe Harbor-nedbruddet.

Fra amerikansk side kan aftalen teoretisk falde til jorden på grund af den amerikanske præsident Donald Trumps indrejseforbud, som kan få konsekvenser for import af data fra lande uden for USA.

Hvis også Privacy Shield ryger, kan de få nærmest uoverskuelige konsekvenser for blandt andet danske virksomheder, der har dataudveksling med virksomheder i USA.

Ny irsk retssag i gang
Bag den nye irske retssag står østrigeren Max Schrems, efter han i 2013 fik Safe Harbor-nedbruddet til at rulle ved at påpege, at amerikanske NSA's masseovervågning var i strid med Safe Harbor-dataudvekslingsaftalen.

Denne gang omhandler retssagen EU-Kommissionens såkaldte standardkontrakter angående dataudveksling, som indirekte kan få indflydelse på Privacy Shield-aftalen.

Der stilles ikke lige så store krav til overførsler af personoplysninger baseret på EU-Kommissionens standardkontrakter, som til overførslerne baseret på Privacy Shield-ordningen.

For ved brug af Kommissionens standardkontrakter er det nok, at man som dataansvarlige "stiller tilstrækkelige garantier for beskyttelsen af de registreredes rettigheder", når der eksempelvis overføres oplysninger til Facebook, Google eller Microsoft. 

Ikke desto mindre har Max Schrems, en irsk digital rights-gruppe samt det irske Datatilsyn mistanke om, at dataudvekslingen mellem Europa og USA ikke foregår helt efter bogen.

Grunden til, at retssagen om standardkontrakterne har mulig indvirkning på Privacy Shield-ordningen, er, at der i den verserende irske retssag igen bliver stillet spørgsmålstegn ved, om NSA igen har datasnablen nede i data, der er overført til USA baseret på disse kontrakter.

Hvis dette er tilfældet, kan Privacy Shield også falde fra hinanden, hurtigere end du kan sige "Databeskyttelsesdirektiv."

Mulig Donald Trump-effekt 
Det er ikke kun EU med verdens skrappeste dataregler, der kan stikke en kæp i hjulet på dataudvekslingen mellem to af verdens rigeste kontinenter.

Også i USA er der forlydender om, at aftalen kan ryge fra hinanden grundet amerikansk lovgivningen.

Dette skyldes, at Donald Trumps omstridte indrejseforbud kan få indflydelse på, hvilke data der frit kan flyde ind på amerikanske servere.

Kort og godt handler denne udfordring om, hvorvidt udlændinge har ret til at få samme oplysninger som amerikanerne.

Dette scenario er fremmanet af mange medier, men chefkonsulent Jesper Vang fra Datatilsynet her i Danmark, som følger Privacy Shield-udviklingen opfordrer alle til at slå koldt vand i blodet.

"I sidste uge oplyste EU-Kommissionen på et møde i Artikel 29-gruppen, at man ikke finder, at de udstedte dekreter fra Præsident Donald Trump har nogen betydning for Privacy Shield-aftalen mellem EU og USA. Det kan dog næppe udelukkes, at emnet vil blive taget op igen til sommer, når det første årlige gennemsyn af Privacy Shield-ordningen skal finde sted," forklarer Jesper Vang til Computerworld.

Her henviser han til sommerens revision af Privacy Shield-aftalen, der pågår som planlagt, efter aftalen har kørt i et år.

Danske konsekvenser
Samtidig siger Jesper Vang fra Datatilsynet i Danmark, at så længe retssagen i Irland ikke er afgjort, kan man benytte sig af de gældende overførselsgrundlag, herunder EU-Kommissionens standardkontrakter

Hvis Privacy Shield-aftalen af den ene eller den anden grund bliver annulleret på et tidspunkt, kan det dog godt blive et problem for danske virksomheder med aktiviteter i USA.

For hvis EU ikke længere har en overførselsaftale med USA, kan det betyde, at europæiske virksomheder må indgå en række af Kommissionens standardkontrakter med amerikanske modtagere af oplysninger fra EU. Dette er naturligvis forudsat, at Kommissionens standardkontrakter ikke også erklæres for ugyldige ved den irske domstol.

En dansk virksomhed med dataudveksling mellem sig selv og 10 amerikanske selskaber skal således indgå separate dataudvekslingsaftaler med alle 10 amerikanske virksomheder og eventuelt også deres underdatabehandlere.

Så udover borgere med et fjendsk syn på fremmede kontinenter, ser det ud til, at juristerne kan blive de helt store sejrsherrer, hvis Privacy Shield-aftalen bliver afblæst.

"Der er virkelig mange hvis'er omkring, at Privacy Shield-aftalen skal bryde sammen. Så vi opfordrer alle til at slå koldt vand i blodet og følge med i, hvordan diverse sager udvikler sig," runder Jesper Vang fra Datatilsynet af med.

Læs også:
Persondata-ekspert: Diskret detalje i lov-teksten gør omfattende datalov nærmest ubrugelig


Ytringer på debatten er afsenders eget ansvar - læs debatreglerne
Indlæser debat...


Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
IT Relation A/S
Outsourcing, hosting, decentral drift, servicedesk, konsulentydelser, salg og udleje af handelsvarer, udvikling af software.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Bliv klar til EU's persondataforordning: It-opgaver, ansvar og teknologiske muligheder

EU's persondataforordning træder i kraft 25. maj 2018, og det er en stor opgave at få gjort it-setuppet i organisationerne klar. Få overblik over regler og konsekvenser for it-afdelingen og virksomhedens it-ansvarlige, samt indblik i en stribe teknologier, der kan hjælpe til at efterleve kravene.

22. august 2017 | Læs mere


Bliv klar til EU's persondataforordning: It-opgaver, ansvar og teknologiske muligheder

EU's persondataforordning træder i kraft 25. maj 2018, og det er en stor opgave at få gjort it-setuppet i organisationerne klar. Få overblik over regler og konsekvenser for it-afdelingen og virksomhedens it-ansvarlige, samt indblik i en stribe teknologier, der kan hjælpe til at efterleve kravene.

24. august 2017 | Læs mere


Sikkerhed i virksomheden: Sådan får du et bedre forsvar mod de mange trusler

Flere tusinde it-ledere meldte for nylig i en ny stor undersøgelse ud, at sikkerhedstruslen aldrig har været mere alvorlig. Det er dog langt fra kun de cyberkriminelle, der giver søvnløse nætter. Vi sætter fokus på sikkerhed i virksomheden i 2017.

31. august 2017 | Læs mere





mest debaterede artikler

Computerworld
Valutaspekulanter rydder grafikkort-lagrene hos ProShop igen og igen: "Det er helt vanvittigt for tiden"
Den nye kryptovaluta ethereum presser markedet for grafikkort voldsomt i disse måneder. For grafikkort anvendes til at udvinde valutaen. "Det er helt vanvittigt for tiden. Siden etherum-valutaen slog igennem i slutningen af 2016, har vi stort set ikke kunne holde grafikkort på lagrene, før de bliver solgt," lyder det fra ProShop.
CIO
Indsigt: Seks vigtige konklusioner om det store hacker-angreb mod Mærsk efter nyt regnskab
Det store hackerangreb mod A.P Møller - Mærsk 27. juni har fået alvorlige konsekvenser, viser selskabets nye regnskab. Her har du seks vigtige konklusioner i kølvandet på regnskabet.
Comon
AMD-nyheder: Så (vanvittig) kraftfuld er Ryzen Threadripper 1950X i tests
AMD’s nyeste 16-kernede processor æder alle andre forbruger- og entusiast-processorer til morgenmad.
Job & Karriere
Se listen: Disse it-folk bliver ansat på stedet - cheferne skriger efter helt bestemte it-kompetencer
Der er en markant mangel på it-folk med helt bestemte kompetencer samtidig med, at it-cheferne er i gang med at øge bemandingen i it-organisationerne. Se listen med de mest efterspurgte it-kompetencer netop nu.
White paper
Netværksprinteren er den oversete trussel mod din virksomheds it-sikkerhed - her er de gode råd
Danske virksomheder er i stigende grad under angreb fra it-kriminelle, og oplever flere og flere brud på it-sikkerheden. En undersøgelse blandt 300 it-ansvarlige gennemført af Spiceworks i samarbejde med HP viser, at 16 procent af de registrerede brud på it-sikkerheden involverede printere. I 2014 var tallet kun fire procent. Alligevel er det kun fire ud af ti it-ansvarlige, som har indført tilstrækkelige sikkerhedspolitikker for netværksprintere, hvilket udsætter virksomheden for betydelig risiko: Hackerangreb, blotlæggelse af følsom information eller bøder i forbindelse med EU’s persondataforordning.