Nej! Sikker dataoverførsel til USA er ikke løst med ny aftale

Dette er et debatindlæg: Finans bringer løbende indlæg fra specialister og meningsdannere. De er alle udtryk for den pågældende skribents egen holdning.

Som repræsentanter for henholdsvis en brancheorganisation og en cybersikkerhedsleverandør vil vi gerne give en klar opfordring til danske virksomheder og offentlige myndigheder: Lad være med at vente på juridiske løsninger på problematikken med dataoverførsler.

Vi kan som samfund ikke have en risikobaseret tilgang til persondata, hvor man satser på, at der ikke vil ske et datalæk, at lovgivningen vil løse problemerne eller at en leverandør ikke vil udlevere kunders data til andre - her tænker vi på udlevering af data til efterretningstjenester.

Siden cloud-løsningernes indtog har problematikken lydt: Hvad sker der når følsomme og fortrolige oplysninger fra danske virksomheder og offentlige myndigheder bliver lagret i lande uden for EU, hvor andre love gælder, og hvor udenlandske efterretningstjenester kan tilgå data?

Særligt er dataoverførsel til USA presserende, da de førende cloud-løsninger udspringer derfra. EU har derfor også allerede to gange forsøgt at løse problematikken med tilstrækkelighedsvurderingerne omhandlende Safe-Harbor og Privacy Shield. Begge vurderinger af tilstrækkelighed er blevet bragt for EU-Domstolen af databeskyttelsesaktivist Max Schrems. Og begge afgørelser blev erklæret ugyldige af EU-Domstolen.

Man skulle derfor tro, at tredje gang var lykkens gang, da Europa-Kommissionen i juli vedtog endnu en tilstrækkelighedsvurdering, det såkaldte ”EU-U.S. Data Protection Framework”, der sikrer et tilstrækkeligt beskyttelsesniveau i forbindelse med overførsel af persondata fra EU til USA. Der blev holdt skåltaler, og problematikken blev af flere erklæret for løst. Men det er langt fra tilfældet.

Tilstrækkelighedsvurderingen omfatter kun leverandører, der fremgår af listen fra det amerikanske handelsministerium og kan alene anvendes som overførselsgrundlag, når man agter at overføre personoplysninger til organisationer i USA, der har selvcertificeret sig under EU-U.S. Data Protection Framework. Det kan ikke anvendes ved brug af andre leverandører i andre lande end USA eller andre leverandører i USA, der ikke har eller ikke kan selvcertificere sig under EU-U.S. Data Protection Framework.

Derudover er suverænitetsproblematikken om videregivelse af persondata til amerikanske myndigheder heller ikke løst; NSA mfl. har fortsat ret til at tilgå vores data. Det er endda nævnt i både databehandleraftaler og SOC-rapporter fra ledende amerikanske cloud-leverandører at det kan ske - og uden, at vi bliver underrettet herom.

Samtidig har en lang række eksperter i databeskyttelse, Europa-Parlamentet og EDPB (Sammenslutningen af alle Datatilsyn i EU) udtalt sig kritisk om aftalen, og bliver tilstrækkelighedsvurderingen kendt ugyldig, som de foregående blev det, står man igen på bar bund. Første forsøg på at stoppe EU-US Data Privacy Framework lykkedes dog ikke i Frankrig, men det er formodentligt blot et spørgsmål om tid.

Danske virksomheder og myndigheder står derfor lige nu i et vakuum, hvor man venter på, om aftalen kan holde vand, eller om vi bliver slået tilbage til start. Og kalenderen kan nå at vende mange gange, før aftalen overhovedet kommer for EU-Domstolen. Det har vi ganske enkelt ikke tid til, hvis vi i Danmark ønsker at blive i fronten af digitaliseringsfeltet.

Sammenhængen mellem effektiv digitalisering og den nødvendige fokus på beskyttelse af vores persondata kan nemlig ikke skilles ad i dag – og så længe vi står et uvist sted i forhold til databeskyttelse, vil udviklingsprojekter i både det offentlige og private blive udskudt eller helt afblæst, og det vil unægtelig have stor indvirkning på økonomi og arbejdspladser.

Derudover er en række sektorer særligt udsatte, da de også skal leve op til yderligere krav og regulering. Kigger man eksempelvis på den finansielle sektor, er virksomhederne underlagt både EU-forordningen kaldet DORA (Digital Operational Resilience Act) og de danske regler for outsourcing i sektoren. Deres udfordringer med databeskyttelse er altså ikke nødvendigvis løst, selv hvis tilstrækkelighedsvurderingen klarer EU-Domstolens granskning eller man har en exit-plan.

Det er dog ikke kun de erhvervsmæssige hensyn, der vejer tungt, når vi snakker vigtigheden af databeskyttelse. Særligt det offentlige – og i særdeleshed sundhedssektoren – er nødt til at gå med livrem og seler. Danmark er måske et af de lande i verden, der indsamler mest data på sine borgere. Bare en ting som CPR-nummeret, der er helt naturligt for os, er helt utænkelig hos vores største eksportmarkeder i USA og Tyskland.

De store mængder data, som staten har på danskerne, er med til at gøre rigtig meget godt for os alle sammen, og data giver unikke indsigter, vi kan bruge til at indrette samfundet bedst muligt. Men det forpligter i den grad også, for det hele afhænger af, at vi kan stole på, at vores personlige oplysninger, eksempelvis sygdomshistorik, bliver hemmeligholdt fra både private og statslige aktører, der ikke har vores samtykke.

Slutteligt er samfundets digitalisering og den grønne omstilling samt FN’s 17 Verdensmål uløseligt forbundne, og derfor lider denne agenda også under, at man sidder på hænderne og håber at lovgivningen vil løse databeskyttelsesudfordringen.

Både det offentlige og private kan ganske enkelt ikke længere tøve med at implementere tekniske løsninger, der beskytter vores persondata, og som virker uanset skiftende EU-love eller hvor i verden vores data bliver sendt hen.

Det kan nemlig hurtigt blive meget dyrt for tilliden, forretningen og samfundet, hvis data fra kunder, brugere og borgere viser sig at være blevet misbrugt, fordi man satser på, at lovgivningen vil løse problemet for en. Det er derfor afgørende, at langsigtet databeskyttelse i form af vandtætte tekniske løsninger bliver implementeret – både i det private og offentlige og hellere nu end senere.