Ny rapport fra EDPB om offentlige myndigheders brug af cloudservices

Baggrund

I oktober 2020 offentliggjorde EDPB en plan, hvis hovedformål var at forbedre samarbejdet mellem de nationale databeskyttelsesmyndigheder. Et år senere valgte rådet, at ”brugen af cloud i den offentlige sektor” skulle være hovedemnet for 2022.

EDPB begrundede denne prioritering med følgende:

1. Det er af afgørende betydning, at offentlige myndigheder sikrer borgernes fundamentale ret til beskyttelse af deres personoplysninger,
2. Offentlige myndigheder behandler store mængder personoplysninger (ofte følsomme og fortrolige oplysninger), og
3. Den hastige udvikling af cloudteknologi skaber nye risici, der skal håndteres.

Som beskrevet i rapporten, er EU-baserede virksomheders brug af cloud-tjenester fordoblet i perioden fra 2016-2021. En lignende tendens ses blandt offentlige myndigheder, hvis brug af cloudservices er intensiveret kraftigt de seneste år, bl.a. på grund af Covid-19.

I forlængelse heraf iværksatte nationale tilsynsmyndigheder på tværs af EU i 2022 en undersøgelse af offentlige myndigheders brug af cloudservices.

Det er bl.a. resultaterne af disse undersøgelser, der ligger til grund for EDPB’s rapport, som også det danske Datatilsyn har bidraget til.

Rapporten

Rapportens konklusioner er bl.a. baseret på en række myndigheders besvarelse af et spørgeskema fra EDPB. På baggrund af svarene har EDPB udvalgt en håndfuld fokusområder og givet 13 konkrete anbefalinger.

Det anbefales bl.a. at:

• Udarbejde en konsekvensanalyse: Der bør i det mindste foretages en risikovurdering, selv om en DPIA ikke er lovpligtig i henhold til GDPR for at overholde artikel 24 og 32 i GDPR.
• Sikre at rollefordelingen er klart og utvetydigt fastlagt
• Sikre at cloud-leverandører udelukkende handler i overensstemmelse med myndighedens instruks, og identificerer tilfælde, hvor cloud-leverandøren handler som selvstændig dataansvarlig
• Sikre, at det er muligt at gøre indsigelse mod nye underdatabehandlere på en meningsfuld måde,
  f.eks. ved at foreslå en ret til at gennemgå ændringer af underdatabehandlere og til at komme med indsigelser inden for en bestemt frist
• Samarbejde med øvrige myndigheder i forhandlinger med cloud-leverandørerne,
  når forskellige myndigheder forsøger at samarbejde i forhandlingen med cloud-leverandører, eller hvis en af dem forhandler om de samme tjenester på vegne af flere myndigheder, kan forhandlingspositionens uligevægt reduceres.
• Identificere hvilke overførsler, der kan finde sted i forbindelse med levering af rutinetjenester og i tilfælde af behandling af personoplysninger til cloud-leverandørernes egne formål og
• Sikre, at bestemmelserne i GDPR vedrørende tredjelandsoverførsler er opfyldt, også ved at identificere og vedtage supplerende foranstaltninger, når det er nødvendigt;

En del af punkterne vedrører forhold, der skal vurderes allerede inden aftaleindgåelsen og ibrugtagelsen af cloudservices. Derudover så vi i Chromebook-sagen, hvor Helsingør Kommune fik nedlagt forbud mod at anvende Chromebooks og Google Workspace, vigtigheden af at udarbejde en risikovurdering og konsekvensanalyse.

Kommentar

Rapporten fra EDPB er endnu en klar indikator på, at cloud er kommet for at blive – både i det private og det offentlige.

Det er derfor essentielt for både myndigheder, private virksomheder og cloud-leverandører at sikre, at cloudbaserede løsninger kan anvendes på en måde, der er i overensstemmelse med navnlig GDPR og borgernes grundlæggende rettigheder.

Rapporten rummer dog i så henseende ikke meget nyt. EDPB kommer således ikke med nye løsninger til, hvordan man som offentlig myndighed (eller privat dataansvarlig) kan løse de ofte vanskelige compliancemæssige udfordringer, som brugen af cloudløsninger giver anledning til – navnlig i relation til tredjelandsoverførsler.

Rapporten er derfor desværre hverken et Columbus- eller et kinderæg. Vi er derfor fortsat overladt til EDPB’s generelle anbefalinger om supplerende foranstaltninger og Datatilsynets cloud-vejledning samt cloud-leverandørernes forskellige initiativer med henblik på at tilpasse deres services EU’s persondataregler.

Ved uklarheder omkring hvorvidt din myndighed- eller virksomheds cloudpolitik lever op til gældende krav og vejledninger, kan du med fordel henvende dig til en af Bird & Birds eksperter på området.