Schrems II anbefalingerne er klare. Det er slut med sky-drift af IT-løsninger, som indeholder personfølsomme GDPR-data. Både af hensyn til risiko for udlevering af data til tredjelande og for aflytning af dataforbindelserne. Hidtil har opfattelsen været, at kryptering kunne være nøglen til, at data alligevel trygt kan opbevares ”usikre” steder, men med anbefalingerne fra Databeskyttelsesrådet, der udtaler, at de er “ude af stand til at forestille sig en effektiv teknisk foranstaltning til at forhindre, at adgangen krænker den registreredes rettigheder”, er dommen helt klar.

Med Schrems II bliver vi nødt til både at se på, hvor data rent fysisk opbevares, og hvilke datakabler der benyttes til transmission af de data, der opbevares.” siger Mads Hedegaard, adm. direktør i Edora.

Langt de fleste af de IT-løsninger Edora drifter er offentlige IT-løsninger inden for beskæftigelses-, social- og sundhedsområdet. En fællesnævner for dem alle er, at de indeholder strengt fortrolige persondata, som borgerne skal kunne regne med, er i sikre hænder.

Alle løsningerne gennemgår løbende en konkret risikovurdering. Det er klart, at når fx FE lader USA tappe Danmarks internationale datakabler, så skal vi jo faktisk også beskytte os mod os selv”. Fortæller Mads Hedegaard og fortsætter: ”Med Schrems II dropper vi vores cloud-strategi, når det gælder data, som er underlagt GDPR. Det betyder også, at vi alene vil drifte i Danmark, hvor vi kan kontrollere, hvordan data transporteres til og fra brugerne og mellem de systemer, der integreres med.

Edora og Interxion har derfor indgået aftale om udvidelse af Edoras datacenter til også at omfatte CPH1. Med aftalen udvides Edoras datacenter til både at være repræsenteret i CPH1 og CPH2. I praksis bliver det et distribueret datacenter, som er forbundet med dedikerede fiberforbindelser, der har en kapacitet på op til 10 Gb. Datacentret kommer til at stå klart til foråret 2022, og er 100 % CO2-neutralt.

Ingen kæde er stærkere end det svageste led. Det kan jo ikke hjælpe noget, hvis de løsninger Edora drifter udveksler personfølsomme oplysninger med systemer, som driftes i skyen, i tredjelande eller hvor der ikke er styr på, hvilke datakabler der anvendes. Vi opfordrer derfor vores kunder, som jo er dataansvarlige til at undersøge, hvor deres øvrige leverandører opbevarer GDPR-data.” slutter Mads Hedegaard.

Edora har allerede indgået driftsaftaler med flere leverandører af fagsystemer til det offentlige, og er klar til at hjælpe flere.

Læs mere om Schrems II i denne artikel: https://pro.ing.dk/compliancetech/article/de-endelige-schrems-ii-anbefalinger-er-klar-og-det-ser-sort-ud-amerikansk?fbclid=IwAR0MuACzNj4t-ZhKeq8nFVZCUmEaKaiHPnw310aStFbOZe60udYCXBFhsoY