I EU/EØS er persondata sikret gennem et af verdens mest omfattende forordninger; GDPR. AWS har nu forpligtet sig til at give alle kunder, der håndterer persondata omfattet af GDPR, adgang til samme niveau af beskyttelse, hvis deres data bliver sendt ud af EU/EØS.
Schrems II-dommen
I november 2020 traf EU-domstolen afgørelse i den såkaldte Schrems II-sag, hvor det vurderes, at Privacy Shield-ordningen ikke giver den fornødne beskyttelse ved overførsel af persondata til USA, bla. fordi den åbner op for, at myndighederne kan kræve næsten ubegrænset adgang til persondata, hvis det skønnes at tjene landets nationale sikkerhed.
Dette betyder, at der nu ligger et væsentligt større ansvar hos de dataansvarlige, og efterfølgende har Det Europæiske Datasikkerhedsråd publiceret en detaljeret vejledning, der som følge af dommen understreger, at dataansvarlige er forpligtede til at vurdere om det rette niveau af databeskyttelse kan opnås i et givet land uden for EU/EØS. Dette er naturligvis særlig aktuelt i forbindelse med opbevaring og håndtering af data i en cloudinfrastruktur.
Schrems II-dommen og Det Europæiske Datasikkerhedsrådet efterfølgende vejledning udgør for mange dataansvarlige en væsentlig udfordring, ikke mindst fordi det kan være vanskeligt at opnå tilstrækkelig indsigt i alle landes gældende regler for beskyttelse af persondata, ligesom det i nogle cloudinfrastrukturer ikke nødvendigvis er helt transparant, hvor data måtte blive opbevaret på et givet tidspunkt. I Danmark opfordrer bla. KL derfor til, at dataansvarlige indgår i individuelle dialoger med deres IT-leverandører, som KL vurderer har bedre overblik og kendskab til de gældende regler i de forskellige lande.
Sikkerhed har førsteprioritet
Der kan ikke herske tvivl om, at netop håndtering og beskyttelse af persondata er et indviklet område, særligt i en cloudbaseret infrastruktur. Det er på denne baggrund, at AWS har valgt at implementerer en tilføjelse til den såkaldte AWS GDPR Data Processing Addendum, hvori det hedder, at AWS som standard forpligter sig til at give kunder adgang til at kunne levere samme niveau af beskyttelse af persondata, som defineret i GDPR ved overførsel af persondata fra EU til lande uden for EU og EØS. Det betyder, at persondata kan blive omfattet af GDPR-beskyttelse uanset, hvilken region data bliver opbevaret og håndteret i. Det vil således ikke være op til den enkelte dataansvarlige at lave vurderinger af forskellige landes regler for beskyttelse af persondata. Med AWS som cloudleverandør ligger det som en standardiseret tilgængelig service at opnå den beskyttelse, der er defineret i GDPR.
Konkret betyder dette bla. at AWS – selv i tilfælde, hvor fx en statslig myndighed gør et tilsyneladende legitimt krav gældende vedr. udlevering af persondata – altid vil udfordre myndighederne krav og kun vil udlevere den absolut mindst mulige mængde data.
At tilbyde adgang til dette niveau af beskyttelse er en naturlig konsekvens af AWS’ stålsatte målsætning om at levere markedets højeste sikkerhedsniveau og give kunderne fuld transparens og de bedste services til at have kontrol over deres data. Det er en kontinuerlig indsats, der konstant optimerer, tilpasser og indretter efter både kendte, forventelige og mulige trusselsbilleder, regulering og globale forskydninger. AWS’ motto er, at alle initiativer beror på et kundecentrisk perspektiv, og når det kommer til at levere sikkerhed og beskyttelse af netop kunderne og deres data, kan der aldrig herske tvivl om hvis hensyn, der bliver prioriteret højest.
For yderligere om AWS’ tiltag på baggrund af EU-domstolens afgørelse i Schrems II-sagen og information om nogle af de konkrete services til at understøtte dem læs indlægget af VP and Chief Information Security Officer for AWS Steve Schmidt.