SOU, Alm.del - 2020-21 - Endeligt svar på spørgsmål 347: MFU spm. om, hvordan journalisten og dermed offentligheden kan få den information omkring lovligheden i at lægge persondata og it-systemer hos amerikanske cloud-udbydere, til skatteministeren

Social- og Ældreudvalget 2020-21
SOU Alm.del
Offentligt

3. marts 2021

J.nr. 2021 - 2021

Til Folketinget

–

Social- og Indenrigsudvalget

Hermed sendes svar på spørgsmål nr. 347 af 10. februar 2021 (alm. del). Spørgsmålet er

stillet efter ønske fra Karina Lorentzen Dehnhardt (SF).

Morten Bødskov

/ Trine Søberg

SOU, Alm.del - 2020-21 - Endeligt svar på spørgsmål 347: MFU spm. om, hvordan journalisten og dermed offentligheden kan få den information omkring lovligheden i at lægge persondata og it-systemer hos amerikanske cloud-udbydere, til skatteministeren

Spørgsmål

Vil ministeren oplyse, om organisationerne fortsat lægger data i cloud-løsninger, som sen-

der data ud af EU, og i bekræftende fald vil ministeren da redegøre for, hvad organisatio-

nerne gør for at efterkomme Schrems II-dommen, idet der henvises til artiklen

”Myndig-

heder er tavse om amerikanske cloud” bragt på prosa.dk, den 8. januar 2021?

Svar

Jeg kan henholde mig til følgende, som jeg har modtaget fra Udviklings- og Forenklings-

styrelsen.

”I

Udviklings- og Forenklingsstyrelsen anvendes fortsat en række cloud-løsninger, herun-

der cloud-løsninger, der i et vist omfang sender persondata ud af EU.

Styrelsen iagttager i den forbindelse reglerne for behandling af personoplysninger, som

findes i databeskyttelsesforordningen. Her er udgangspunktet, at persondata skal opbeva-

res inden for EU/EØS. I de tilfælde, hvor der er behov for at overføre persondata til

tredjelande, fx i forbindelse med anvendelse af en cloud-løsning leveret af en amerikansk

leverandør eller i forbindelse med internationalt samarbejde, er der i forordningen fastsat

særlige regler om, hvilke krav der skal iagttages.

I Schrems-dommen fra sommeren 2020 har EU-Domstolen taget nærmere stilling til,

hvad der skal til efter databeskyttelsesforordningen for, at der kan overføres persondata

til tredjelande.

Med dommen blev det såkaldte ”Privacy Shield” underkendt som overførselsgrundlag til

USA.

Udviklings- og Forenklingsstyrelsen fulgte op på dommen ved at sikre sig, at der ikke

skete overførsler til USA alene baseret på Privacy Shield. Efterfølgende har styrelsen fun-

det anledning til at undersøge dette på ny. Denne undersøgelse er fortsat i gang.

Med dommen blev der endvidere stillet krav om, at der skal være et tilsvarende beskyttel-

sesniveau i et tredjeland som inden for EU/EØS. Hvad, der nærmere ligger i dette krav,

er søgt uddybet af tilsynsorganet EDPB (European Data Protection Board), som er kom-

met med en række anbefalinger, senest i november 2020. Høringen over anbefalingerne

om supplerende foranstaltninger er netop afsluttet i december 2020, og der forventes så-

ledes en endelig udmelding fra EDPB.

Digitaliseringsstyrelsen har i øvrigt opdateret sin vejledning om anvendelse af cloud-ser-

vices på baggrund af Schrems-dommen.

Det fremgår af vejledningen (s. 29), at hvis

reglerne i databeskyttelsesforordningen iagttages, og hvis det ud fra en risikovurdering

vurderes, at der er et passende sikkerhedsniveau, så er der ikke noget generelt til hin-

der for at anvende en cloudløsning, der indebærer overførsel af data til tredjelande.

Side 2 af 3

Vejledningen vil i øvrigt blive opdateret, når eventuelle andre konsekvenser af

Schrems-dommen

er klarlagt.”

Side 3 af 3