Er DropBox GDPR compliant?

Er du ligesom mange andre, i tvivl om filopbevaring services som DropBox, SurveyMonkey, SendGrid, Microsoft, Google – You name it! Er en compliant databehandler? Så læs med her. 

Der er amerikanske databehandlere så langt øjet rækker, men er de hver især en compliant databehandler? Og hvad kan man selv gøre for at undersøge sagen inden man lægger filer til opbevaring på en online service?

 

Compliance er en sjov størrelse.

 

Compliance kan være en sjov og svær størrelse. Den ene dag er man helt med og ”in the clear”, og dagen efter er det om igen.

Det seneste helt store tilbageslag for de amerikanske databehandlere, var da den østriske privacy-aktivist Maximillian Schrems lagde sag an mod Facebook, Schrems vs. Facebook, hvorefter EU-domstolen underkendte Safe Harbour-ordningen, der i årevis havde gjort det lovligt at bruge amerikanske databehandlere.

Det problem blev løst med Privacy Shield-ordningen, hvor man kan slå amerikanske databehandlere op, og se om de er godkendt til brug. Hér kan du holde øje med, om der er et juridisk overførselsgrundlag til den pågældende amerikanske databehandler.

Overførselsgrundlaget er dog ikke nok til at sige, at en databehandler fra USA er god nok til at opbevare filer.

 

Alle de almindelige regler gælder stadig.

Det vil sige, at I stadig skal være sikre på,

 

  • at I har en lovlig og legitim grund til at behandle personoplysningerne eller få en databehandler til det,

 

  • at I selv og at jeres databehandler har et passende sikkerhedsniveau, og

 

  • at I er i stand til at påvise dette, samt at I kan håndtere de registreredes rettigheder, hvad end der er tale om oplysning, indsigt, sletning eller noget helt fjerde.

 

Og det dér med at have ”passende” sikkerhed er ligeledes et begreb, der hele tiden udvikler sig i takt med, at omverdenen ændrer sig og der kommer nye trusler og nye teknologier. Løbende vedligehold af risikovurderingen er en klar forudsætning for at kunne have et passende sikkerhedsniveau.

Hvis du godt kunne bruge et brush-up på, hvordan man laver en brugbar risikovurdering, så tilmeld dig vores online kundedag.

Er du mere til én-til-én fremgangsmåden, så kan du altid få fat i vores jurist, Daniel, som gerne giver råd og vejledning til, hvordan du kan komme videre med amerikanske databehandlere og et passende sikkerhedsniveau.