Med næsen i sky

Datatilsynet har i denne uge udgivet en detaljeret vejledning om cloud:

https://www.datatilsynet.dk/Media/637824109172292652/Vejledning%20om%20cloud.pdf

… og den er jo ikke mindst interessant i lyset af at Københavns Kommune jo netop har smidt cloud-håndklædet i ringen. Men giver den nye vejledning håb til masserne, der ligesom kommunen leder efter en smutvej uden om Schrems? En nem måde at bare bruge amerikansk cloud, ligesom i (ahem) gamle dage?

Nej, desværre.

Grundlæggende er vejledningen en mere udførlig gengivelse af den 6-trins-model, som EDPB og de nationale tilsyn udsendte allerede sidste år:

Og én væsentlig udfordring, man løber ind i med at forsøge at følge 6-trinsmodellen (og derfor også med Datatilsynets vejledning), indtræffer i modellens step 1, det som vejledningen også omtaler som: Kend dine dataoverførsler. Det lyder simpelt, men når man først indser at man som dataansvarlig skal stå på mål for alle sine databehandlere, og alle deres databehandlere (underdatabehandlere), og alle deres databehandlere (underunderdatabehandlere) og … ja, altså hele kæden af databehandlere, uanset i hvor mange led, og at ansvaret altså ikke aftager med antallet af led, ja, så mister de fleste pusten inden de næsten er kommet i gang.

Udsnit af side 13 af vejledningen

Jeg sad for nylig i møde med en amerikansk ejet, global softwarevirksomhed med tusindvis af ansatte, og som i øvrigt sælger løsninger baseret på public cloud, og jeg spurgte deres sikkerhedschef, om de havde et overblik over hvilke underleverandører, herunder underdatabehandlere, de havde.

Svaret: “Vi bruger ikke underleverandører”!

Den manglende forståelse siger noget om hvor langt vi er fra en situation, hvor det man som europæisk dataansvarlig mangler, er en mere pædagogisk og detaljeret vejledning. Men tak til Datatilsynet for at gøre sig umage med at forklare og eksemplificere reglerne, så alle nu kan se, hvordan virkeligheden burde se ud.

Imens jeg har skrevet på dette indlæg kan jeg se, at altid skarpe Henning Mortensen fra RfDS har forholdt sig til vejledningen: “Problemstillingerne har ikke ændret sig med den her vejledning”.