Opbevarer eller overfører du persondata til cloud-løsning hos en amerikansk baseret virksomhed – eller har du en SaaS løsning hos samme – så kan det være, du skal overveje din løsning.

Hvorfor skal du det?

For nuværende er det tilladt at have persondata opbevaret i cloud-løsninger hos amerikansk baserede virksomheder som følge af Data Privacy Framework (DPF-aftalen) indgået mellem EU og USA i 2023. DPF-aftalen muliggør altså, at der overføres persondata fra EU til virksomheder i USA.

Som forudsætning for DPF-aftalen stillede EU-Kommissionen krav om kontrolforanstaltninger, der begrænsede de amerikanske sikkerhedstjenesters adgang til persondata. Disse kontrolforanstaltninger blev indført ved præsidentielt dekret i 2023, og indebar, at der blev oprettet en uafhængig og upartisk klagemekanisme samt en adgang for EU-borgere til at få domstolsprøvet adgangen til deres persondata i USA.

I januar 2025 blev det kontrolorgan, der bl.a. skulle føre tilsyn med, at de indførte foranstaltninger rent faktisk bliver overholdt, reduceret fra fire medlemmer til et medlem som følge af afskedigelser. Der er således reelt ikke et beslutningsdygtigt tilsynsorgan i USA og dermed heller ikke en ”vagthund”, der står som garant for EU-borgernes retssikkerhed.

Spørgsmålet er nu, om EU-Kommissionen kommer til at tage konsekvensen af det manglende uafhængige kontrolorgan i USA, der var forudsætningen for DPF-aftalen, og det fremover derfor ikke vil være lovligt at overføre persondata til USA?

Hvorvidt EU-Kommissionen kan og vil annullere DPF-aftalen er for nuværende uvis, men det er vanskelig at forestille sig, at EU-Kommissionen vil afvente, at en EU-borger anlægger sag før de skrider til handling.

Såfremt det bliver en realitet, er det derfor vigtigt at have en exitplan klar med din cloudleverandør og også en plan B for fremtiden. Har du spørgsmål til håndtering af cloud eller til IT-kontrakter eller i øvrigt har brug for bistand inden for området, er du velkommen til at kontakte Peter eller Rikke.