[{"data":1,"prerenderedAt":25},["ShallowReactive",2],{"post-data-residency-krav-kontraktstyring":3},{"id":4,"slug":5,"title":6,"excerpt":7,"content":8,"featuredImage":9,"featuredImageAlt":6,"author":10,"publishedAt":13,"modifiedAt":14,"categories":15,"tags":20,"seo":24},11070,"data-residency-krav-kontraktstyring","Data residency-krav i kontrakter efter Schrems II","Få styr på data residency krav kontrakter efter Schrems II med konkrete klausuler om EU-only, fjernadgang, underleverandører og governance.","\u003Cp>\u003C!-- Introduction -->\u003C/p>\n\u003Cdiv class=\"wp-block-group\" style=\"margin-bottom: 50px !important\">\n\u003Cp class=\"wp-block-paragraph\" style=\"font-size: 18px !important;line-height: 1.8 !important;color: #333 !important;margin-bottom: 25px !important\">“Hvor ligger jeres data egentlig?” er ikke længere et teknisk side-spørgsmål, men et fast punkt i kontraktforhandlinger om cloud. Det skyldes ikke, at GDPR generelt kræver, at persondata aldrig forlader EU, men at \u003Cstrong>data residency\u003C/strong> i praksis er blevet et centralt greb til at styre risiko efter Schrems II—særligt når du bruger ikke‑EU‑leverandører, eller når support, fjernadgang og \u003Ca href=\"https://www.clearcontract.dk/da/kontraktstyring-regulatorisk-risiko\" style=\"color: #0073aa !important;text-decoration: none !important;border-bottom: 2px solid #0073aa !important;padding-bottom: 2px !important\">underleverandører\u003C/a> bringer tredjelande i spil. I dette indlæg får du et kontraktnært overblik over, hvad data residency betyder, hvordan Schrems II har ændret spillereglerne, hvornår EU‑only eller DK‑only typisk giver mening, og hvilke konkrete klausuler og governance‑greb der bør være på plads.\u003C/p>\n\u003C/div>\n\u003Cp>\u003C!-- Main Section 1 -->\u003C/p>\n\u003Ch2 id=\"h-data-residency-som-kontraktvaerktoj\" class=\"wp-block-heading\" style=\"font-size: 32px !important;font-weight: 700 !important;color: #1a1a1a !important;margin-top: 50px !important;margin-bottom: 25px !important;line-height: 1.3 !important\">Data residency som kontraktværktøj (ikke som GDPR‑lokaliseringskrav)\u003C/h2>\n\u003Cp class=\"wp-block-paragraph\" style=\"font-size: 18px !important;line-height: 1.8 !important;color: #333 !important;margin-bottom: 25px !important\">Data residency handler om, hvor data lagres og behandles geografisk, og hvorfor det betyder noget for, hvilke nationale regler der kan give myndigheder adgang—inklusive efterretnings- og sikkerhedslovgivning. Det er vigtigt at skelne mellem residency og data‑lokalisering: sidstnævnte er et hårdt lovkrav om, at bestemte data kun må befinde sig i et bestemt land, og GDPR er ikke en sådan lokaliseringslov.\u003C/p>\n\u003Cp class=\"wp-block-paragraph\" style=\"font-size: 18px !important;line-height: 1.8 !important;color: #333 !important;margin-bottom: 25px !important\">GDPR fokuserer i stedet på overførsler til tredjelande og kræver, at beskyttelsesniveauet følger med data. Det kan ske via EU‑Kommissionens adekvansbeslutninger, via Standard Contractual Clauses (\u003Ccode>SCCs\u003C/code>) eller mere sjældent Binding Corporate Rules. Derfor er det afgørende ikke kun, hvor serveren fysisk står, men om data i praksis er beskyttet mod uforholdsmæssig adgang.\u003C/p>\n\u003Cdiv style=\"color: white !important;padding: 30px !important;margin: 40px 0 !important;border-radius: 8px !important;text-align: center !important\">\n\u003Cp style=\"font-size: 24px !important;font-weight: 600 !important;margin: 0 !important;line-height: 1.5 !important\">Når data forbliver i EU, reducerer du typisk antallet af tredjelands-overførsler—og dermed behovet for tunge vurderinger og \u003Ca href=\"https://www.clearcontract.dk/cloud-service-agreement-risk-terms\" style=\"color: #0073aa !important;text-decoration: none !important;border-bottom: 2px solid #0073aa !important;padding-bottom: 2px !important\">supplerende foranstaltninger\u003C/a>.\u003C/p>\n\u003C/div>\n\u003Cp class=\"wp-block-paragraph\" style=\"font-size: 18px !important;line-height: 1.8 !important;color: #333 !important;margin-bottom: 25px !important\">Alligevel ser man “EU‑only” eller “DK‑only” som kontraktkrav, fordi geografi i praksis påvirker både overførselsmekanismer og kompleksiteten i risikovurderinger. Når du kan undgå tredjelands‑elementer, bliver governance enklere, og du bruger færre kræfter på Transfer Impact Assessments, supplerende foranstaltninger og løbende regulatorisk dialog.\u003C/p>\n\u003Cblockquote class=\"wp-block-quote\" style=\"border-left: 4px solid #0073aa !important;padding-left: 25px !important;margin: 35px 0 !important;font-size: 22px !important;font-style: italic !important;color: #555 !important;line-height: 1.6 !important\">\n\u003Cp style=\"margin: 0 !important\">&#8220;Det er ikke serverens adresse alene, der afgør risikoen—men hvem der kan tilgå data, fra hvilke jurisdiktioner, og på hvilke vilkår.&#8221;\u003C/p>\n\u003C/blockquote>\n\u003Cp>\u003C!-- Main Section 2 -->\u003C/p>\n\u003Ch2 id=\"h-schrems-ii-cloud-fjernadgang\" class=\"wp-block-heading\" style=\"font-size: 32px !important;font-weight: 700 !important;color: #1a1a1a !important;margin-top: 50px !important;margin-bottom: 25px !important;line-height: 1.3 !important\">Schrems II: hvorfor cloud-kontrakter blev mere detaljerede\u003C/h2>\n\u003Cp class=\"wp-block-paragraph\" style=\"font-size: 18px !important;line-height: 1.8 !important;color: #333 !important;margin-bottom: 25px !important\">Schrems II‑dommen fra 2020 ændrede udgangspunktet for internationale overførsler: EU‑US Privacy Shield blev kendt ugyldigt, SCCs forblev et gyldigt værktøj, men kun hvis de reelt kan efterleves, og ansvaret for vurderingen blev flyttet ned på virksomhedsniveau. Det betyder, at hver overførsel skal vurderes konkret, og at \u003Ca href=\"https://www.clearcontract.dk/da/audit-trail-kontrakter-compliance-dokumentation\" style=\"color: #0073aa !important;text-decoration: none !important;border-bottom: 2px solid #0073aa !important;padding-bottom: 2px !important\">dokumentation\u003C/a> ikke længere er en formalitet, men en forventning.\u003C/p>\n\u003Cp class=\"wp-block-paragraph\" style=\"font-size: 18px !important;line-height: 1.8 !important;color: #333 !important;margin-bottom: 25px !important\">I praksis er et “EU‑datacenter” ikke nok, hvis leverandøren samtidig har supportpersonale i tredjelande med adgang til produktionsmiljøer. EDPB har gjort det klart, at fjernadgang fra et tredjeland også kan være en international overførsel, så support, monitoring og incident response er blevet juridiske kernepunkter på linje med hosting‑lokation.\u003C/p>\n\u003Cp class=\"wp-block-paragraph\" style=\"font-size: 18px !important;line-height: 1.8 !important;color: #333 !important;margin-bottom: 25px !important\">Derfor vælger mange EU‑only som risikoreduktion, især ved store mængder persondata, sundhedsoplysninger eller finansielle data, hvor det kan være vanskeligt at dokumentere “essentielt ækvivalent” beskyttelse, hvis data kan tilgås fra lande med vidtgående overvågningsbeføjelser. Samtidig forventer tilsynsmyndigheder, herunder Datatilsynet, ofte mere dokumentation fra offentlige myndigheder og regulerede virksomheder, hvilket også skubber residency‑krav ind i udbud og standardvilkår.\u003C/p>\n\u003Cp class=\"wp-block-paragraph\" style=\"font-size: 18px !important;line-height: 1.8 !important;color: #333 !important;margin-bottom: 25px !important\">Kontraktstyring bliver afgørende, fordi residency‑klausuler sjældent står alene, men hænger sammen med \u003Ca href=\"https://www.clearcontract.dk/da/databehandleraftale-gennemgang-ai-kontraktreview\" style=\"color: #0073aa !important;text-decoration: none !important;border-bottom: 2px solid #0073aa !important;padding-bottom: 2px !important\">databehandleraftaler\u003C/a>, sikkerhedsbilag og governance. Hvis du samler klausuler, SCC‑henvisninger og underleverandørvilkår ét sted, bliver det lettere at reagere, når leverandøren ændrer setup—et typisk fokusområde i ClearContracts modul til \u003Ca href=\"/contract-management/\" style=\"color: #0073aa !important;text-decoration: none !important;border-bottom: 2px solid #0073aa !important;padding-bottom: 2px !important\">kontraktstyring\u003C/a>, hvor metadata kan bruges til at flagge aftaler med tredjelands‑elementer.\u003C/p>\n\u003Cp>\u003C!-- Main Section 3 -->\u003C/p>\n\u003Ch2 id=\"h-hvornaar-eu-dk-only-og-kontraktpunkter\" class=\"wp-block-heading\" style=\"font-size: 32px !important;font-weight: 700 !important;color: #1a1a1a !important;margin-top: 50px !important;margin-bottom: 25px !important;line-height: 1.3 !important\">Hvornår EU/DK-only giver mening—og hvad du bør regulere\u003C/h2>\n\u003Cp class=\"wp-block-paragraph\" style=\"font-size: 18px !important;line-height: 1.8 !important;color: #333 !important;margin-bottom: 25px !important\">EU‑ eller DK‑residency er sjældent et absolut krav, men ofte et klogt valg, når datatypen er følsom, når leverandøren er underlagt tredjelandslovgivning med vidtgående adgangsbeføjelser, eller når din organisation er underlagt skærpet tilsyn. Derudover kan residency reducere den løbende compliance‑byrde, fordi hver international overførsel ellers kræver vurdering, dokumentation og opfølgning.\u003C/p>\n\u003Cp class=\"wp-block-paragraph\" style=\"font-size: 18px !important;line-height: 1.8 !important;color: #333 !important;margin-bottom: 25px !important\">Kontraktkrav skal formuleres præcist: “data lagres i EU” er typisk for uklart, hvis du ikke også dækker produktion, test, backup og disaster recovery. Derudover bør du tage stilling til, om leverandøren må flytte data til andre regioner, og hvilke betingelser der gælder, hvis flytning bliver nødvendig af tekniske eller forretningsmæssige årsager.\u003C/p>\n\u003Cp class=\"wp-block-paragraph\" style=\"font-size: 18px !important;line-height: 1.8 !important;color: #333 !important;margin-bottom: 25px !important\">Fjernadgang er ofte det punkt, der “knækker” et EU‑only setup. Hvis residency er centralt, bør kontrakten enten forbyde fjernadgang fra tredjelande eller stille skrappe krav, for eksempel stærk kryptering, begrænset tidsadgang og fuld logning, så du kan dokumentere, hvem der havde adgang, hvornår og fra hvilken jurisdiktion.\u003C/p>\n\u003Cp class=\"wp-block-paragraph\" style=\"font-size: 18px !important;line-height: 1.8 !important;color: #333 !important;margin-bottom: 25px !important\">Underleverandører er tilsvarende en skjult risiko i cloud, fordi sub‑processorer kan bruges til hosting, support og drift. Uden ret til at godkende eller gøre indsigelse mod nye underleverandører—og uden et klart flow‑down af residency‑ og overførselskrav—kan data i praksis forlade EU, selv om hovedaftalen siger det modsatte.\u003C/p>\n\u003Cul class=\"wp-block-list\" style=\"padding-left: 30px !important;margin: 30px 0 !important;list-style-type: disc !important\">\n\u003Cli style=\"margin-bottom: 12px !important;font-size: 18px !important;line-height: 1.7 !important;color: #333 !important\">Datacenter‑lokation og miljøer, inklusive produktion, test, backup og disaster recovery\u003C/li>\n\u003Cli style=\"margin-bottom: 12px !important;font-size: 18px !important;line-height: 1.7 !important;color: #333 !important\">Regler for fjernadgang og support fra tredjelande, med krav til kontrol og logning\u003C/li>\n\u003Cli style=\"margin-bottom: 12px !important;font-size: 18px !important;line-height: 1.7 !important;color: #333 !important\">Indarbejdelse af \u003Ccode>SCCs\u003C/code> og pligt til løbende Transfer Impact Assessments\u003C/li>\n\u003Cli style=\"margin-bottom: 12px !important;font-size: 18px !important;line-height: 1.7 !important;color: #333 !important\">Krav til underleverandører og flow‑down af forpligtelser i hele kæden\u003C/li>\n\u003Cli style=\"margin-bottom: 12px !important;font-size: 18px !important;line-height: 1.7 !important;color: #333 !important\">Konsekvenser ved manglende overholdelse, herunder suspension og ansvar, samt håndtering når rammerne ændrer sig\u003C/li>\n\u003C/ul>\n\u003Cdiv style=\"background: #f0f7ff !important;border-left: 4px solid #2196F3 !important;padding: 25px !important;margin: 35px 0 !important;border-radius: 4px !important\">\n\u003Cp style=\"margin: 0 !important;font-size: 17px !important;line-height: 1.7 !important;color: #1565c0 !important\">\u003Cstrong>Pro Tip:\u003C/strong> Brug interne gatekeepers, så ændringer i leverandørsetup (nye regioner, nye sub‑processorer, ny supportmodel) automatisk udløser vurdering og godkendelse—ofte lettere at operationalisere med \u003Ca href=\"/workflows/\" style=\"color: #0073aa !important;text-decoration: none !important;border-bottom: 2px solid #0073aa !important;padding-bottom: 2px !important\">automatiserede kontraktworkflows\u003C/a>.\u003C/p>\n\u003C/div>\n\u003Cp class=\"wp-block-paragraph\" style=\"font-size: 18px !important;line-height: 1.8 !important;color: #333 !important;margin-bottom: 25px !important\">Endelig bør du koble kontrakten til governance i praksis, så residency‑krav hænger sammen med fortegnelser, risikovurderinger og tekniske kontroller. Mange organisationer mister overblikket, når cloud‑leverandører løbende ændrer arkitektur og supportmodeller, og her kan \u003Ca href=\"/ai-contract-review/\" style=\"color: #0073aa !important;text-decoration: none !important;border-bottom: 2px solid #0073aa !important;padding-bottom: 2px !important\">AI‑drevet kontraktgennemgang\u003C/a> hjælpe med at identificere klausuler om overførsel, residency og underleverandører på tværs af porteføljen.\u003C/p>\n\u003Cp class=\"wp-block-paragraph\" style=\"font-size: 18px !important;line-height: 1.8 !important;color: #333 !important;margin-bottom: 25px !important\">Når ledelse eller compliance beder om status—hvor mange aftaler indebærer tredjelands‑overførsler, og hvor er risiciene—bliver strukturerede data centrale. Med løbende \u003Ca href=\"/reports/\" style=\"color: #0073aa !important;text-decoration: none !important;border-bottom: 2px solid #0073aa !important;padding-bottom: 2px !important\">rapportfunktioner\u003C/a> kan du dokumentere udviklingen og stå stærkere i dialog med kunder og tilsyn.\u003C/p>\n\u003Cp>\u003C!-- Conclusion/Key Takeaways -->\u003C/p>\n\u003Ch2 id=\"h-key-takeaways\" class=\"wp-block-heading\" style=\"font-size: 32px !important;font-weight: 700 !important;color: #1a1a1a !important;margin-top: 50px !important;margin-bottom: 25px !important;line-height: 1.3 !important\">Key Takeaways\u003C/h2>\n\u003Cp class=\"wp-block-paragraph\" style=\"font-size: 18px !important;line-height: 1.8 !important;color: #333 !important;margin-bottom: 25px !important\">For det første er \u003Cstrong>data residency‑krav i kontrakter\u003C/strong> primært et risikostyringsværktøj efter Schrems II, ikke et generelt GDPR‑krav om at holde data i EU. For det andet er fjernadgang og underleverandører ofte vigtigere end “EU‑datacenter” som enkeltstående løfte, fordi adgang fra tredjelande kan udgøre en overførsel. For det tredje bør kontrakter beskrive miljøer, adgangsmodeller, SCC‑forpligtelser og konsekvenser ved ændrede risici, så du kan handle hurtigt, hvis beskyttelsesniveauet ikke længere er acceptabelt. Næste skridt er at gennemgå jeres cloud‑aftaler for tredjelands‑elementer og sikre, at governance kan følge leverandørens ændringer; hvis I vil se, hvordan det kan understøttes i praksis, kan I overveje at booke en demo eller teste platformen i jeres egne workflows.\u003C/p>\n\u003Cdiv style=\"background: #fafafa !important;border: 2px solid #e0e0e0 !important;padding: 25px !important;margin: 40px 0 !important;border-radius: 6px !important\">\n\u003Ch4 style=\"margin-top: 0 !important;margin-bottom: 15px !important;color: #333 !important;font-size: 20px !important;font-weight: 600 !important\">Related Reading\u003C/h4>\n\u003Cp style=\"margin: 0 !important;font-size: 17px !important;line-height: 1.6 !important\">Få mere praktisk struktur til opfølgning og ændringshåndtering i \u003Ca href=\"/contract-management/\" style=\"color: #0073aa !important;text-decoration: none !important;border-bottom: 1px solid #0073aa !important\">kontraktstyring\u003C/a> og se, hvordan \u003Ca href=\"/workflows/\" style=\"color: #0073aa !important;text-decoration: none !important;border-bottom: 1px solid #0073aa !important\">workflows\u003C/a> kan gøre compliance mere driftssikker.\u003C/p>\n\u003C/div>\n","https://wp.clearcontract.dk/wp-content/uploads/2026/06/cover-image-11070.jpeg",{"name":11,"avatar":12},"Jørgen Højlund Wibe","https://secure.gravatar.com/avatar/908a507ec3e8ae3e12e5c1183e4d890fa236c23a240c426d12b93e31eab13aea?s=96&d=retro&r=g","2026-06-23T08:12:29","2026-06-23T08:13:02",[16],{"id":17,"slug":18,"name":19,"description":-1,"count":-1},29,"blog","Blog",[21,22,23],"compliance","da","risk management",{"metaTitle":6,"metaDescription":7,"ogImage":9},1782609458896]