GDPR og udfordringerne med velfærdsteknologi
-
- 30. marts 2023
Hvad står GDPR for?
GDPR står for General Data Protection Regulation, og det er en europæisk forordning, der trådte i kraft i maj 2018. GDPR har til formål at beskytte persondata og personlige oplysninger for alle EU-borgere og regulerer den måde, virksomheder indsamler, behandler, opbevarer og deler personlige oplysninger på.
GDPR blev indført for at styrke beskyttelsen af persondata og personlige oplysninger og for at give borgerne mere kontrol over deres egne data. GDPR pålægger også strenge krav til virksomheder, der indsamler og behandler persondata, herunder krav til samtykke, gennemsigtighed, ansvarlighed og håndhævelse.
Når det kommer til velfærdsteknologi og servere, er det vigtigt at overholde GDPR’s krav, da disse teknologier ofte indsamler personlige oplysninger om brugere, såsom sundhedsdata og personlige præferencer. Ved at overholde GDPR kan man sikre, at disse data er beskyttet og at brugernes rettigheder bliver respekteret.
Hvorfor så meget fokus på GDPR nu?
Der er flere grunde til, at der er pludselig fokus på GDPR i kommunerne. For det første er GDPR en relativt ny forordning, og det kan tage tid for organisationer at implementere de nødvendige procedurer og politikker for at overholde kravene. Derfor kan det være, at kommunerne først nu har nået tilstrækkelig modenhed i deres implementering af GDPR.
For det andet kan der være øget fokus på GDPR i kommunerne på grund af stigningen i brugen af velfærdsteknologi og digitalisering af kommunale tjenester. Disse teknologier indsamler ofte persondata og kræver derfor, at kommunerne overholder GDPR-reglerne for at beskytte borgerne mod misbrug af deres data.
Endelig kan der også være større opmærksomhed på GDPR i kommunerne på grund af stigende bekymringer om databrud og datalækager, både i den offentlige og private sektor. Disse bekymringer kan føre til en større bevidsthed om vigtigheden af at beskytte persondata og følge GDPR-reglerne for at undgå potentielle problemer og bøder fra Datatilsynet.
Schrems II dommen
Schrems II-dommen blev afsagt af EU-domstolen i juli 2020 og har stor betydning for overførsel af persondata fra EU til lande uden for EU, herunder USA. Dommen fastslog, at Privacy Shield-aftalen, som var en aftale mellem EU og USA om at beskytte persondata i overførsler mellem de to regioner, var ugyldig. Det skyldtes, at USA’s love og praksis på området ikke giver tilstrækkelig beskyttelse af persondata, og at Privacy Shield-aftalen ikke indeholdt tilstrækkelige garantier for at beskytte persondata.
Dommen har stor betydning for virksomheder, der overfører persondata fra EU til lande uden for EU, herunder USA. Efter dommen skal virksomheder sikre, at deres overførsler af persondata er baseret på passende garantier og beskyttelsesmekanismer, f.eks. standardkontraktbestemmelser eller bindende virksomhedsregler (BCR). Dommen betyder også, at virksomheder skal vurdere og være opmærksomme på risiciene ved at overføre persondata til lande, hvor beskyttelsen af persondata ikke er på samme niveau som i EU.
Kan det ikke undgås at der skal udleveres data til tredjelande så er det essentielt at der bliver tænkt brugeradministration, pseudonymisering og stærk kryptering ind i aftalen.
De to store cloud leverandører på markedet
AWS (Amazon Web Services) og Azure (Microsoft Azure) er cloud computing-platforme, der tilbyder en række forskellige cloud-baserede tjenester, herunder hosting af applikationer og dataopbevaring. Mens disse platforme i sig selv ikke er i konflikt med GDPR, kan der være udfordringer, når det kommer til at bruge disse platforme til at understøtte velfærdsteknologi i kommunerne.
En af udfordringerne ved at bruge disse cloud-platforme til at understøtte velfærdsteknologi er, at de kan omfatte overførsler af persondata til lande uden for EU/EØS. Som nævnt i Schrems II-dommen skal overførsler af persondata til tredjelande være baseret på passende garantier og beskyttelsesmekanismer for at overholde GDPR-reglerne. Selvom AWS og Azure tilbyder en række mekanismer til at hjælpe med at overholde GDPR-reglerne, kan det stadig være vanskeligt at garantere fuld overholdelse, især når det kommer til overførsler af persondata til lande uden for EU/EØS.
Derudover kan der også være udfordringer i forhold til at garantere fuld kontrol over data og adgang til data, når man bruger disse cloud-platforme. For eksempel kan det være vanskeligt at spore, hvem der har adgang til data, og hvor dataene opbevares. Dette kan skabe risici for overtrædelser af GDPR-reglerne og tab af persondata.
I lyset af disse udfordringer kan det være nødvendigt for kommunerne at træffe yderligere foranstaltninger, når de bruger AWS eller Azure til at understøtte velfærdsteknologi, for at sikre overholdelse af GDPR-reglerne. Dette kan omfatte implementering af yderligere sikkerhedskontroller og garantier eller brug af andre cloud-platforme, der tilbyder mere direkte overholdelse af GDPR-reglerne.
Hvorfor er det vigtigt med en databehandleraftale?
KL (Kommunernes Landsforening) har udarbejdet en databehandleraftale, som er en standardaftale, der skal anvendes mellem kommuner og deres databehandlere i forbindelse med behandling af persondata. Aftalen er udarbejdet for at sikre overholdelse af GDPR-reglerne og at beskytte persondata.
Databehandleraftalen fastsætter de vilkår og betingelser, som databehandleren skal overholde, når de behandler persondata på vegne af kommunen. Aftalen indeholder blandt andet krav til databehandlerens sikkerhedsforanstaltninger, fortrolighed, rapportering af sikkerhedsbrud og videregivelse af data til tredjeparter.
Det er vigtigt for kommunerne at sikre, at de har en gyldig databehandleraftale på plads med deres databehandlere for at overholde GDPR-reglerne. KL’s standardaftale kan give kommunerne en god start på at oprette en sådan aftale med deres databehandlere og hjælpe med at sikre, at de overholder GDPR-reglerne i forbindelse med behandling af persondata, men mange kommuner har selv udarbejdet deres egen databehandleraftale med de krav som de vil have, at databehandleren skal acceptere inden en aftale kan indgås.
Find KLs databehandleraftale her
Udfordringen som vi ser den
Nogle kommuner kan blive tvunget til at afvise brugen af velfærdsteknologi, fordi de store cloud-leverandører som AWS og Azure ikke garanterer overholdelse af GDPR-reglerne. Kommunerne skal sikre sig, at deres databehandleraftale overholder reglerne, og at deres velfærdsteknologi lever op til standarderne for beskyttelse af persondata, ellers risikerer de at blive pålagt store bøder og sanktioner fra myndighederne. Det er derfor vigtigt at finde alternative løsninger og teknologier, der kan garantere overholdelse af GDPR-reglerne, mens man stadig kan udnytte fordelene ved velfærdsteknologi.
Derfor kan brugerne og medarbejderne gå glip af værdifuld og nytænkende velfærdsteknologi, der kunne have hjulpet med mange ting, fordi at virksomhederne ikke lever 100% op til GDPR reglerne.
Derfor håber vi – for teknologierne, de små startups og ikke mindst for kommunerne – at der bliver taget en politisk beslutning omkring de store cloudleverandører, så vi kan få mere teknologi ud til borgerne.
Har du input til emnet omkring GDPR, CLOUD og databehandleraftaler, så kan du altid skrive til os på kontakt@simsim.dk
