Artikel i forbindelse med udsendelse af nyhedsmail torsdag den 12. september 2024

Hvorfor skal I have en exitstrategi?

Datatilsynet har ad flere omgange påpeget, at det er vigtigt at have en exitstrategi, så man let kan komme ud af et samarbejde med fx en cloud-leverandør.

En exitstrategi inden for GDPR er relevant i særligt 2 tilfælde:

1. Hvis jeres databehandler viser sig ikke at være compliant, og I dermed pludselig er tvunget til at skifte system.

Et tidspunkt, hvor vi var tæt på at se et sådan skift var ifm. Chromebook-sagen, hvor mange kommuner pludselig stod til at skulle skifte systemer, da det viste sig at Google behandlede personoplysninger om eleverne udenfor databehandleraftalens formål. I den konkrete sag var det dog muligt for kommunerne i samarbejde med KL, at få Google til at ændre i databehandlerkontrakten samt sikre sig at personoplysninger om eleverne ikke længere blev videregivet. Hvis ikke det havde været muligt at gå i dialog med Google omkring problematikken, ville samtlige kommuner, der benyttede Google Chromebook til undervisningen i skolerne skulle skifte system.

2. Hvis overførselsgrundlaget EU-US Data Privacy Framework (DPF) underkendes.

Max Schrems var allerede ude 14 dage efter vedtagelsen af DPF med en udtalelse om, at han ville lægge sag an mod overførselsgrundlagets gyldighed. Hvis han kommer igennem med samme resultat som ved Schrems I og Screms II sagen, hvor henholdsvis Safe Habour-ordningen og Privacy Shield blev underkendt som overførselsgrundlag til USA, vil vi stå med en række cloud-leverandører, hvor det ikke længere er lovligt at overføre data til dem. Det er vigtigt at bemærke, at der i sådan en situation næppe vil være en overgangsperiode, og at overførslerne af persondata til USA vil være ulovlige fra den ene dag til den anden. I sådan en situation vil man skulle finde et nyt overførselsgrundlag eller en ny leverandør.

Hvad er en exitstrategi?

En exitstrategi er kort sagt en strategisk plan for, hvad I gør, hvis I ikke længere kan anvende jeres leverandør, fx grundet et af de to ovenstående scenarier eller ved andre former for akut leverandørskifte.

Strategien minder om en beredskabsplan og bør have en konkret handleplan nedbrudt i steps, som struktureret viser, hvem der har ansvaret for hvad i forbindelse med skiftet. Der bør også på forhånd være kortlagt alternative leverandører, mulighederne for midlertidige opbevaringssteder til data mv.

Når man skal vælge et alternativt system, skal man i forhold til GDPR blandt andet også have følgende elementer for øje.

• Der skal laves en risikovurdering inden ibrugtagningen af det nye system. Risikovurderingen skal fokusere på konsekvenserne for de registrerede og ikke for organisationen.
• Det bør også overvejes, hvorvidt der skal gennemføres en konsekvensvurdering/DPIA på brugen af det nye system, særligt hvis det indebærer anvendelsen af en ny teknologi, og som vurderes sandsynligvis vil indebære en høj risiko for fysiske personers rettigheder og frihedsrettigheder.
• Det bør undersøges, om der skal være en databehandleraftale med leverandøren af systemet og om den opfylder kravene til GDPR artikel 28.
• Hvis den nye datamodtager er placeret i et usikkert tredjeland, skal der sikres et lovligt overførelsesgrundlag og eventuelt en opdateret TIA.
• Hvis man er databehandler, skal informationer om ibrugtagning af en ny underleverandør kommunikeres ud til de dataansvarlige indenfor de tidsfrister, der er fastsat i databehandleraftalen med de dataansvarlige.

Det er vigtigt at holde sig for øje, at der kan være forskel på, hvordan systemernes kritiske funktioner vægtes indenfor hhv. informationssikkerhed og GDPR.

Inden for informationssikkerhed vil man typisk vælge at lave en exitstrategi på de systemer, der vurderes som værende kritiske for virksomhedens drift og eksistens.

Inden for GDPR vil vi anbefale, at man starter med at lave en exitstrategi på de systemer der vurderes at indeholde flest personoplysninger, eller de systemer der indeholder følsomme personoplysninger.

Det er derfor ikke givet, at en vurdering af systemerne indenfor de to fag vil komme til samme konklusion omkring hvilket system der er vigtigst. Dog vil aspekter af informationssikkerhed og GDPR med al sandsynlighed kunne gøre sig gældende, uanset hvilken type af system du vælger at lave en exitstrategi på.

GapSolutions kan hjælpe jer med exitstrategier både inden for informationssikkerhed og inden for GDPR. Da vores specialister på informationssikkerhed og vores GDPR-jurister arbejder tæt sammen, vil de kunne hjælpe jer med en exitstrategi, der tager højde for begge fag, og som er skræddersyet til netop jeres organisation.

Kontakt os for en snak om exitstrategier