DA
Teknologi

Datatilsynet tester virksomheders brug af cloud-løsninger

logo
Juranyt
calendar 22. september 2022
globus Danmark

Datatilsynet har efter en opdateret cloud-vejledning nu indledt tilsyn med to virksomheders brug af skyen. Cloud-løsninger er en nødvendighed for mange virksomheders tekniske løsninger, og er derfor også naturligt et punkt, som kræver særligt fokus efter databeskyttelsesreglerne. Når Datatilsynet udfører kontrol, kan virksomheder som konsekvens blive mødt med en række specifikke spørgsmål til brugen af tjenesterne.

Cloud-løsninger er normen i de fleste virksomheder i større eller mindre grad. For mange virksomheder er løsninger som eksempelvis OneDrive, Dropbox eller iCloud praktiske it-ressourcer som led i den daglige drift.

Men, brugen af cloud-løsninger kommer med et ansvar, og virksomheder bærer i sidste ende ansvaret for at tjenesten, der benyttes, overholder databeskyttelsesreglerne. Derfor er det vigtigt, at der i aftalerne for brugen af tjenesten er taget stilling til en række forhold, som virksomheder også nøje overvejer inden løsningen tages i brug. Netop det tester Datatilsynet i øjeblikket hos et stort forsikringsselskab og en redningsvirksomhed.

Virksomheder har ansvaret i tilfælde af skybrud

Udover mere generelle spørgsmål, tester Datatilsynet overordnet fire dele på et tilsyn i forhold til virksomheders brug af cloud-løsninger:

  • Kendskab til løsninger (fokus på tjenestens navn, behandlingsaktiviteter, datatyper, kategorier af datasubjekter, forholdsregler som virksomheden har for at tage højde for eventuelle risici mv.)
  • Kendskab til leverandører (fokus på hvordan det er sikret, at leverandøren lever op til reglerne, screening af leverandører, underdatabehandlere, fortrolighed, tredjelandsoverførsler mv.)
  • Tilsyn med leverandører (fokus på procedurer, årshjul og lignende for tilsyn med leverandører, samt hyppigheden og intensiteten af den type tilsyn, håndtering af afvigelser og ny praksis mv.)
  • Internationale dataoverførsler (fokus på kortlægning og håndtering af tredjelandsoverførsler, instruktioner og overførselsgrundlag, forhold der påvirker sikkerheden i tredjelandene mv.)

Datatilsynet kan under tilsyn desuden anmode om dokumentation fra virksomhedens side. Relevant dokumentation kan efter omstændighederne være databehandleraftaler, politikker, procedurer, et årshjul, afrapporteringer, standardkontrakter, udskrift fra fortegnelse og lignende.

IUNO mener

Databeskyttelsesreglerne er teknologineutrale og det står virksomheder frit for hvilke løsninger, der passer bedst, alt efter hvilken behandlingsaktivitet der er tale om. Det udløser på én gang en masse muligheder og en masse faldgruber, som kan være svære at navigere i. De to tilsyn, som Datatilsynet i øjeblikket udfører, bliver derfor også interessante at følge.

IUNO anbefaler, at virksomheder sætter sig godt ind i de forskellige spørgsmål, som Datatilsynet vil stille i tilfælde af et tilsyn. I den forbindelse kan virksomheder med fordel se på, om den nødvendige dokumentation er på plads sådan at det er muligt at dokumentere, at cloud-løsningerne der bruges, overholder reglerne. Det kan nemlig udløse store bøder, hvis cloud-løsningen ikke overholder databeskyttelsesreglerne. Det har vi skrevet mere om her og her.

[Datatilsynets brev om tilsyn med brug af cloud til Topdanmark Forsikring A/S og Falck Healthcare A/S af den 28. juni 2022]

Cloud-løsninger er normen i de fleste virksomheder i større eller mindre grad. For mange virksomheder er løsninger som eksempelvis OneDrive, Dropbox eller iCloud praktiske it-ressourcer som led i den daglige drift.

Men, brugen af cloud-løsninger kommer med et ansvar, og virksomheder bærer i sidste ende ansvaret for at tjenesten, der benyttes, overholder databeskyttelsesreglerne. Derfor er det vigtigt, at der i aftalerne for brugen af tjenesten er taget stilling til en række forhold, som virksomheder også nøje overvejer inden løsningen tages i brug. Netop det tester Datatilsynet i øjeblikket hos et stort forsikringsselskab og en redningsvirksomhed.

Virksomheder har ansvaret i tilfælde af skybrud

Udover mere generelle spørgsmål, tester Datatilsynet overordnet fire dele på et tilsyn i forhold til virksomheders brug af cloud-løsninger:

  • Kendskab til løsninger (fokus på tjenestens navn, behandlingsaktiviteter, datatyper, kategorier af datasubjekter, forholdsregler som virksomheden har for at tage højde for eventuelle risici mv.)
  • Kendskab til leverandører (fokus på hvordan det er sikret, at leverandøren lever op til reglerne, screening af leverandører, underdatabehandlere, fortrolighed, tredjelandsoverførsler mv.)
  • Tilsyn med leverandører (fokus på procedurer, årshjul og lignende for tilsyn med leverandører, samt hyppigheden og intensiteten af den type tilsyn, håndtering af afvigelser og ny praksis mv.)
  • Internationale dataoverførsler (fokus på kortlægning og håndtering af tredjelandsoverførsler, instruktioner og overførselsgrundlag, forhold der påvirker sikkerheden i tredjelandene mv.)

Datatilsynet kan under tilsyn desuden anmode om dokumentation fra virksomhedens side. Relevant dokumentation kan efter omstændighederne være databehandleraftaler, politikker, procedurer, et årshjul, afrapporteringer, standardkontrakter, udskrift fra fortegnelse og lignende.

IUNO mener

Databeskyttelsesreglerne er teknologineutrale og det står virksomheder frit for hvilke løsninger, der passer bedst, alt efter hvilken behandlingsaktivitet der er tale om. Det udløser på én gang en masse muligheder og en masse faldgruber, som kan være svære at navigere i. De to tilsyn, som Datatilsynet i øjeblikket udfører, bliver derfor også interessante at følge.

IUNO anbefaler, at virksomheder sætter sig godt ind i de forskellige spørgsmål, som Datatilsynet vil stille i tilfælde af et tilsyn. I den forbindelse kan virksomheder med fordel se på, om den nødvendige dokumentation er på plads sådan at det er muligt at dokumentere, at cloud-løsningerne der bruges, overholder reglerne. Det kan nemlig udløse store bøder, hvis cloud-løsningen ikke overholder databeskyttelsesreglerne. Det har vi skrevet mere om her og her.

[Datatilsynets brev om tilsyn med brug af cloud til Topdanmark Forsikring A/S og Falck Healthcare A/S af den 28. juni 2022]

Modtag vores nyhedsbrev

Anders

Etgen Reitz

Partner

Kirsten

Astrup

Advokat

Lignende

logo
Teknologi

8. september 2022

Hackerangreb bliver dyrt for advokatfirma

logo
Teknologi

18. august 2022

Manglende sletning får Datatilsynet til at hive bødeblokken frem for bogforlag

logo
Teknologi

16. juni 2022

Uheldig softwareopdatering gav tusinder af ansatte adgang til jobansøgninger

logo
Teknologi

2. juni 2022

Tilsidesat oplysningspligt over for aktionær var brud på databeskyttelsesreglerne

logo
Teknologi

19. maj 2022

Fratrådt medarbejders overdrevne indsigtsanmodning kunne godt afvises

logo
Teknologi

5. maj 2022

Datatilsynet har indstillet bank til bøde på 10 millioner kr. for brud på sletteregler

Holdet

Anders

Etgen Reitz

Partner

Kirsten

Astrup

Advokat