Tredjelandsoverførsler: Nøglen til compliance er kontrol over datastrømmene

Dataoverførsler til usikre tredjelande er noget, der kan holde enhver compliance-ansvarlig vågen om natten. For hvordan sikrer du, at din virksomhed er compliant, når du eksempelvis sender data til USA? Første skridt er at få styr på jeres datastrømme, processer og ansvarsfordeling.

Da EU-Domstolen i sommeren 2020 afsagde dom i den efterhånden berygtede Schrems II-sag fik det konsekvenser for tusindvis af virksomheder, der hver dag overfører data til bl.a. USA. Med Schrems II-dommen blev det såkaldte Privacy Shield nemlig skudt ned, og dermed røg det lovgrundlag, der før gjorde det muligt for europæiske virksomheder at overføre persondata til bl.a. USA uden at overtræde GDPR.

Virksomheder i vildrede

Selvom domsafsigelsen ikke er nogen nyhed længere, kan rystelserne fra Schrems II stadig mærkes.
Afgørelsen har holdt mange dataansvarlige vågne om natten, fordi manglen på gennemsigtighed og best practice gør det uklart, hvordan virksomheder bedst navigerer i den nye virkelighed.

Hvordan sikrer du, at din virksomhed er compliant, når I overfører persondata til et tredjeland, der ikke yder samme databeskyttelse som inden for EU's grænser – samtidig med, at I opretholder effektive og konkurrencedygtige forretningsgange? Netop det spørgsmål har sat virksomheder i alle størrelser og brancher i lidt af en limbo.

Sandheden er, at der ikke findes et entydigt svar, fordi der stadig mangler præcedens på området. Det betyder, at de fleste virksomheder er nødt til at foretage en individuel risikovurdering for at fastslå, hvordan de skal agere. Men ét er sikkert: Det værste du kan gøre, er at lukke øjnene og håbe på, at pilen ikke peger på din virksomhed, den dag hammeren falder. For konsekvenserne ved ikke at være compliant, når du overfører data til et tredjeland som USA kan være vidtrækkende – for både pengepung og omdømme.

Dilemmaet omkring tredjelandsoverførsler er ikke blevet mindre i takt med at virksomheder i alle størrelser og brancher accelererer deres Cloud-migration. For mens skyens fordele som omkostningsreduktion, effektivisering, boostet innovation, skalering og hurtigere time-to-market står lysende klart, så kræver compliance-udfordringerne, at du aktivt forholder dig til dine datastrømme.

Få styr på dine datastrømme

Når du sender data over Atlanten, er det altafgørende at have et præcist overblik over, hvilke data, der flyder hvor. At du har styr på processer og datastrømme er nøglen til at sikre din virksomheds GDPR-compliance. For kun på den måde kan du vide, om I lever op til gældende regler – og justere til, når der er brug for det. Faldgruberne opstår, når du ikke har styr på dine datastrømme til tredjelande.

Med den mængde data, der flyder mellem grænserne i dag, er det lettere sagt end gjort. Det er her, NNIT kommer ind i billedet. Vi kan hjælpe med at få det overblik, der skal til – og sikre at processer, procedurer og ansvarsfordelingen er på plads.

Det Europæiske Databeskyttelsesråd (EDPB) opstiller seks trin i deres anbefalinger til, hvordan man som virksomhed sikrer databeskyttelse og overholder GDPR, når man overfører data til tredjelande. Hos NNIT tager vi altid afsæt i disse, når vi rådgiver og hjælper virksomheder til compliance i forbindelse med tredjelandsoverførsler. For eksempel anbefaler vi altid, at du opbevarer alle data på europæisk jord.

Vi faciliterer også processen omkring udarbejdelsen af den EDPB-anbefalede TIA (Transfer Impact Assesment), der omfatter et juridisk tjek at det modtagende lands datasikkerhed i forhold til gældende EU-krav.

Fra Compliance Assesment til implementering

er er stor forskel på, hvor langt virksomheder er i forhold til at sikre compliance i forbindelse med tredjelandsoverførsler. I NNIT tilbyder vi derfor en Compliance Assesment, der tager temperaturen på netop jeres compliance.

Vi kigger blandt andet på:

• Er jeres dokumentation og kontroller fyldestgørende?
• Har din virksomhed de nødvendige procedurer og processer på plads – og efterleves de?
• Har du sat det rigtige hold? Du kan have nok så fine procedurer, men hvis ikke du har de rette kompetencer til at efterleve dem, flytter det ikke noget.
• Er ansvarsfordelingen tydelig? I mange virksomheder flyder ansvaret mellem it og jura, men de bedste forudsætninger opnås, hvis begge sider sidder med ved bordet.

På den baggrund yder vi rådgivning og kommer med anbefalinger, og vi faciliterer processen med at optimere og indføre de rette procedurer og processer i din virksomhed. Og vi hjælper med at sikre en gnidningsfri implementering – fra sammensætningen af kompetencer til træning af de medarbejdere, der skal bære opgaven ud.

Med afsæt i vores brede ekspertise inden for it og digital transformation går vores compliance-eksperter altid til opgaven med blik for både jeres eksisterende it-løsninger og strategiske ambitioner inden for både Cloud og digital transformation.

Skal vi også hjælpe dig?

Er du også bekymret for, om din virksomhed rent faktisk lever op til GDPR, når I overfører data til tredjelande? Er du i tvivl om jeres BCR (Binding Corporate Rule) er tilstrækkelig, når medarbejdere rejser til tredjelande? Eller er du usikker på, om jeres processer og procedurer er tilstrækkelige til at sikre de skodder, der er alfa omega, når persondata sendes over Atlanten? Uanset hvilke bekymringer og udfordringer, der fylder for dig, er vi klar til at hjælpe.

Vi er klar med rådgivning, anbefalinger og hjælp til implementering, så du sikrer jeres compliance i forbindelse med tredjelandsoverførsler.