Safe Harbour ordningen er en certificeringsordning, der kom i stand i 2000 for at sikre, at EU-borgeres data blev behandlet forsvarligt, selvom de blev overført til lande med svagere beskyttelsesregler end EU. Ordningen var et forsøg på at imødegå risici ved udveksling af data.
Ordningen har fungeret på den måde, at EU accepterede overførsel af data til f.eks. USA, hvis overførslen skete til et ”Safe Harbour-certificeret” firma. Selve certificeringen er sket ved, at firmaer i USA har ladet sig registrere hos det amerikanske handelsministerium, og i den forbindelse erklæret at overholde EU’s databeskyttelsesregler. Så langt så godt.
Du har nok hørt om Edward Snowden. Takket være ham blev det afsløret, hvordan USA’s efterretningstjeneste havde uhindret adgang til at spionere i de data, som f.eks. Facebook og andre lignende virksomheder gemmer i deres databaser om dets brugere.
EU-domstolen har den 6. oktober 2015 fastlagt, at ”Safe Harbour-ordningen” ikke længere yder tilstrækkelig beskyttelse af EU-borgernes data, når der sker overførsel til USA. Med EU-dommen blev ”Safe Harbour-ordningen” med andre ord erklæret ugyldig. De grundlæggende persondataretlige regler var blevet krænket, og de registrerede personer havde ikke mulighed for at få adgang til deres oplysninger, eller kræve dem slettet eller berigtiget.
Med andre ord kan man sige, at det der var udgangspunktet om databeskyttelse ved indgåelse af ordningen, ikke har haft den effekt, eller ydet den beskyttelse, som man havde ønsket.
Har dommen overhovedet nogen betydning for dig eller din virksomhed? I høj grad. Uden at du måske er bevidst om det, er de data du har placeret i ”skyen” blevet udvekslet til USA, og derfra ved du ikke, hvem der har fået adgang til dine data. Får EU-dommen konsekvenser? Ja det gør den. I hvilket omfang er endnu uvist, men allerede nu er der varslet nye datacentre inden for Europas grænser for at imødegå EU-dommen.
Jeg anbefaler at din virksomhed straks får gennemgået, om den har data liggende på en cloud-løsning, hvor der potentielt sker overførsel af data til USA. Det kan f.eks. være hos Microsoft, Facebook, Google eller Dropbox. Der er mange flere eksempler.
Hvis du står overfor at skulle indgå en aftale om en cloud-løsning, uanset det er med en europæisk leverandør, vil jeg anbefale dig at følge med i den kommende tid her på siden, hvor jeg vil give dig mine 10 gode råd ved indgåelse af IT-aftaler. Indtil da bør du særligt være opmærksom på, hvor dine data befinder sig, og hvilket lands regler der finder anvendelse på aftalen.
Hvis du er i tvivl om din virksomhed er tilstrækkelig sikret, bør du søge hjælpe fra en professionel rådgiver.