GDPR (General Data Protection Regulation) definerer hva som kan være lovlig grunnlag for å overføre persondata ut av EU/EØS. Bruk av skytjenester fra store skyleverandører i USA er svært vanlig, og var ansett som lovlig frem til den såkalte Schrems-II-dommen av 16. juli 2020. Denne dommen fastlo at avtalen mellom EU og USA kalt Privacy Shield ikke lenger var gyldig fordi amerikanske myndigheter kan kreve lovlig tilgang til data fra amerikanske selskaper i henhold til FISA (Foreign Intelligence Surveillance Act) avsnitt 702, samt Executive Order 12333. I prinsippet er det altså ulovlig å bruke f.eks. Office 365 i Microsoft Azure for behandling av personlige data, men likevel stopper ingen slekskaper å bruke Office 365 eller lignende SaaS-løsninger, samtidig som Datatilsynet velger å ikke gi bøter. Dette er en spesiell situasjon der det ikke fins noen klare svar. Oppgaven går ut på å utrede mulige skystrategier som er i samsvar med GDPR og Schrems-II-dommen, samtidig som de ikke hindrer smidig forretningsutvikling.
Prosjektet kan også gjøres som en "kort" oppgave med 30 studiepoeng.