Siden EU-Domstolens Schrems II-afgørelse har det været meget omdiskuteret, i hvilket omfang det er muligt at overføre personoplysninger til USA og andre tredjelande. Med den fortolkning af dommen, som EDPB har lagt til grund i sine anbefalinger til supplerende foranstaltninger, er der i særlig grad rejst tvivl om, hvorvidt det i det hele taget er muligt at bruge amerikanske cloudløsninger. Indlægget drøfter dette spørgsmål, blandt andet med inddragelse af de nyeste udtalelser og vejledninger fra Datatilsynet og andre europæiske tilsynsmyndigheder.

En beretning fra virkeligheden. ComplyCloud udarbejder automatiserede Transfer Impact Assessments. En af disse har været forbi DPO’erne i alle landets kommuner og Datatilsynet. Hør, hvordan det gik. Martin Folke Vasehus fortæller om processen, og hvordan fremtiden for TIA ser ud herfra.

Den endelige vejledning indeholder ved første øjekast en langt mere udførlig vejledning til brugen af cloud i lyset af Schrems II end høringsudkastet, hør mere om denne vejledning i dette oplæg.

De seneste måneder har givet godt indblik, hvordan det er muligt at anvende Cloud Computing tjenester fra amerikanske udbydere.

Vejledninger og rådgivning fra bl.a. det danske Datatilsyn har den seneste tid givet meget mere klare anvisning i, hvordan man KAN sikre, at man får etableret dokumentation for, at man har gjort de nødvendige overvejelser, lavet de nødvendige vurderinger og etableret den nødvendige governance.

I indlægget vil Microsoft fokusere på, hvordan de nødvendige opgaver kan håndteres og være grundlaget for, at man som dataansvarlig med hjælp af både juridiske, organisatoriske og tekniske værktøjer og kontroller, kan tilbyde den ’essentielt ækvivalente databeskyttelse’.

Omdrejningspunktet bliver igen den såkaldte ’Microsoft Cloud Compliance pakke’, som allerede anvendes til at løfte opgaven i en del danske organisationer.

Hvilke typiske udfordringer er der i praksis? Bliv klogere på det i Katjas oplæg.

Cloud-ydelser adskiller sig bl.a. fra traditionelle it-ydelser ved, at der er tale om standardydelser, og ved at leveringsvilkårene ikke er til forhandling.

Dette udfordrer den klassiske tilgang til EU-udbud, hvor kunden typisk udarbejder en omfattende kravspecifikation og en detaljeret kontrakt.

Som offentlig myndighed er man derfor nødt til at tænke i nye baner, når man skal udbyde sine (public) cloud anskaffelser. Skal der f.eks. overhovedet udarbejdes en kontrakt?
I dette indlæg præsenterer Peter og Jesper Bird & Birds koncept for udbud af (public) cloud-ydelser (”Go Cloud”).