Helene Schleicher er kvindelig IT-topleder i den nordiske koncern Azets. Som en del af den danske topledelse har hun ansvaret for teknologien bag konsulenthusets løn-, regnskab- og HR-løsninger, som understøtter optimeringen af kundernes forretning.
Som CTO er Helene ansvarlig for teknologidivisionen i Azets, der udvikler løn- og HR-systemerne Epos og Azets Perspektiv, samt anvender software-robotter til automatisering og optimering af administrative opgaver, der skal sikre, at det danske selskab er på forkant med den teknologiske udvikling.
Hun kan derfor bidrage med indlæg om automatisering, robotteknologi og datafangst samt optimering af flows inden for lønadministration og HR management
For mange danske virksomheder er globale cloudløsninger fra Microsoft, Google, Facebook, Amazon og Dropbox vigtige værktøjer i deres arbejdsgange. Men langt fra alle ved, at systemerne lagrer deres data uden for EU-området, som ikke er i overensstemmelse med GDPR-lovgivningen. Dermed begår mange danske virksomheder lovbrug hver dag, og det giver udfordringer. Men måske et nyligt dekret fra USA kan lovliggøre danske virksomheders brug af de amerikanske leverandørers cloudløsninger.
Virksomheder har førhen haft fri mulighed for at foretage fri dataoverførsel uden for EU, men udfordringen med denne procedure er, at personfølsomme oplysninger kan havne hos de forkerte. Samtidig har man som virksomhed ikke overblik over, hvilke data der bliver ført ud, eller hvor de havner.
Udfordringen skal tages alvorligt for at sikre EU-borgernes onlinesikkerhed. Derudover er det vigtigt, at virksomheder ved, hvordan de lovligt skal håndtere deres kundedata i de situationer, hvor digitale leverancer indgår.
Schrems II forbyder dataoverførsel ud af EU
Med den såkaldte Schrems II afgørelse, der trådte i kraft sommeren 2020, skal virksomheder handle anderledes, hvad angår personoplysninger. Schrems II afgørelsen forbyder nemlig dataoverførsel ud af EU og kræver, at personoplysninger ikke må føres ud af EU, medmindre landet er godkendt som et sikkert tredjeland via repræsentation i EU.
I tilfælde af, at der overføres data til et usikkert tredjeland, er der en række tiltag, som virksomheden skal være opmærksom på for at sikre beskyttelsesniveauet og overførsel af personoplysninger.
Schrems II afgørelsens bestemmelser for dataoverførsel påvirker et væld af virksomheder, som anvender globale cloudløsninger. Det rammer hårdt, fordi mange virksomheders cloudløsninger som Microsoft, Google, DropBox, Amazon efter lukketid yder support uden for EU.
Hvis man gerne vil sikre, ens virksomhed overholder lovgivningen, er det vigtigt at få et overblik over alle datatransaktioner, hvor tredjelande er involveret. Herudover skal man undersøge, om grundlaget for overførsler overholder EU-Kommissionens krav til beskyttelse af personoplysninger.
Lys i det fjerne
I det fjerne kan man dog skimte lys forude. I marts i år blev den nye erklæring for transatlantisk databeskyttelse (Trans-Atlantic Data Privacy Framework red.) mellem EU og USA, der tager hånd om de nuværende udfordringer, nemlig drøftet.
Aftalen indeholder, at der lovligt skal kunne overføres data mellem EU og amerikanske virksomheder, når disse er bundet til et regelsæt af sikkerhedsforanstaltninger og masseovervågning, så der er kontrol med EU-borgernes personoplysninger.
Senest har USA´s præsident Joe Biden skrevet et præsidentielt dekret, som kan lovliggøre, at danske virksomheder kan bruge amerikanske leverandørers cloudløsninger uden at være på kant med lovgivningen om “tredjelandsoverførsler”. USA´s udspil kommer Schrems II dommen i møde. Det er ikke i sig selv et nyt dataoverførselsgrundlag, men EU-Kommissionen skal vurdere, om der kan skrives et nyt overførselsgrundlag med udgangspunkt i Joe Bidens dekret.
Lang vej før globale cloudløsninger er lovlige
Der er lang vej endnu, før et nyt dataoverførselsgrundlag kan træde i kraft, da det skal godkendes og underskrives i EU-kommissionen og ratificeres af medlemslandene, før det har gyldighed. Indtil det træder i kraft, vil vi hos Azets efterleve den gældende lovgivning og principperne for dataoverførsel, så vores kunder kan føle sig trygge i deres samarbejde med os. Det betyder, at vi kun anvender digitale løsninger og systemer, der lever op til alle kravene for datasikkerhed, og som kan supporteres af et EU-land.