Datatilsynet fører tilsyn med cloudløsninger: Datatilsynet har for nylig offentliggjort, at de nu opstarter tilsyn med brug af cloudløsninger, og at de starter med at føre tilsyn med 2 offentlige myndigheders brug af cloudløsninger.
Datatilsynet varslede endvidere, at de inden længe opstarter tilsvarende tilsyn hos en række – endnu ikke offentliggjorte – private virksomheder.
Cloud-tilsynene er en naturlig følge af Datatilsynets intensiverede fokus på brugen af cloudløsninger de seneste 2 år og en opfølgning på Datatilsynets vejledning brugen af cloud-services, som datatilsynet offentliggjorde i marts 2022.
Læs også vores artikel “Ny vejledning om cloudservices”, en vejledning om brug af cloudservices.
Stort set alle danske virksomheder benytter sig – i mere eller mindre omfang – af cloud-services til outsourcing af IT-opgaver, og der har i kølvandet på den såkaldte Schrems-II afgørelse i juli 2020 hersket stor usikkerhed om, hvorvidt brugen af særligt amerikanske udbydere af cloudservices kunne ske på lovlig vis.
Datatilsynet har i første omgang udtaget Region Hovedstaden og Økonomistyrelsen til tilsyn og begge myndigheder er indledningsvist blevet anmodet om at fremsende en oversigt over de cloud-services, som de benytter til drift af eller i tilknytning til de offentlige IT-systemer.
Oversigten skal indeholde følgende oplysninger:
- Navn på cloud-service
- Leverandør af cloud-service
- Dato for indgåelse af kontrakt
- Typen af cloud-service (Infrastructure as a Service, Platform as a Service eller Software as a Service)
- Typen af leverancemodel for cloud-service (Privat, Fælles, Offentlig eller Hybrid)
- Hvilke(t) IT-system(er) den pågældende cloud-service understøtter
- Hvilke(n) behandlingsaktivitet(er) den pågældende cloud-service understøtter
- Hvilke kategorier af registrerede, der behandles personoplysninger på i den pågældende cloud-service
- Hvilke typer af personoplysninger, der behandles ved brug af cloud-servicen
Datatilsynet har endvidere anmodet om en komplet oversigt over, hvilke cloud-services myndighedens databehandlere og underdatabehandlere benytter til behandling af personoplysninger på de dataansvarliges vegne.
Derudover vil tilsynet efterfølgende blive fulgt op med supplerende spørgsmål og en eventuel anmodning om yderligere dokumentation. Datatilsynet varsler i øvrigt også, at besvarelserne kan give anledning til et fysisk tilsynsbesøg.
CLEMENS Advokatfirma forventer, at cloud-tilsynet med de private virksomheder vil struktureres på samme måde, og vi anbefaler derfor, at alle virksomheder, der behandler personoplysninger i cloudløsninger, at sikre sig, at virksomheden kan besvare ovennævnte spørgsmål med en relativ kort frist. For rigtig mange virksomheder vil det betyde en fuldstændig gennemgang af virksomhedens databehandlere og i vidt omfang også underdatabehandlere.
Har du spørgsmål til brugen af cloud-services, kontrol med databehandlere eller databeskyttelsesreglerne i øvrigt, er du også altid velkommen til at kontakte vores persondataretlige team.
