Datatilsynet: Myndigheder bør tænke sig om, inden de hyrer amerikansk ejede databehandlere

Danske myndigheder kan havne i juridiske problemer, hvis de vælger amerikanske dataleverandører. Det siger Datatilsynet, efter at en dommer i New York har afgjort, at amerikanske selskaber kan tvinges til at udlevere personfølsomme oplysninger fra europæiske datterselskaber.

Danske myndigheder bør tænke sig om en ekstra gang, inden de hyrer amerikansk ejede virksomheder til at håndtere personfølsomme oplysninger. For selv om det kan skabe en økonomisk besparelse at udlicitere it-opgaverne, kan der opstå en juridisk meget besværlig situation, hvis de amerikanske myndigheder vil have oplysninger om danskere.

Ifølge Datatilsynet kan virksomheder med amerikanske ejere nemlig risikere at blive fanget imellem amerikanske myndigheder, der har pålagt modervirksomheden at udlevere oplysninger, og den danske persondatalov, der forbyder dem at gøre det.

»Det kan måske spare en masse penge at udlicitere, men man bør tænke den besværlige jura med ind i det fra start af. En virksomhed kan jo virkelig komme i problemer. Hvis de udleverer data, kan de blive straffet i Danmark, og hvis de ikke gør, kan de blive straffet i USA,« siger Jesper Vang, der er specialkonsulent hos Datatilsynet, til Version2.

En amerikansk domstol har for nylig beordret Microsoft til at udlevere personfølsomme oplysninger om en kunde, selv om oplysningerne lå hos et selvstændigt datterselskab i Irland. Og skulle en lignende situation opstå for en amerikansk ejet virksomhed, der håndterer personfølsomme oplysninger for en dansk myndighed, så kan virksomheden ende i et dilemma. Og ifølge flere eksperter vil det sandsynligvis ikke falde ud til myndighedens fordel.

Professor i it- og teleret Søren Sandfeld Jacobsen meldte på baggrund af afgørelsen ud, at danske myndigheder ikke kan føle sig helt sikre på leverandører med amerikanske ejere, og it-jurist Peter Lind Nielsen kaldte det for en 'grum situation'.

Og hos Datatilsynet kommer man med en lignende vurdering.

»Man kan jo frygte for, hvem virksomheden så lytter til. Der vil jo nok være en risikoafvejning af, hvor konsekvenserne er størst,« siger Jesper Vang til Version2.

Læs også: Eksperter: KMD og CSC kan blive nødt til at udlevere følsomme oplysninger om danskere til USA

Brud vil ramme myndigheden

I Danmark agerer blandt andet amerikansk ejede CSC som databehandler for det offentlige og håndterer eksempelvis CPR-registret og borger.dk. Men hvis det kommer til, at en databehandler efterkommer et amerikansk påbud om at udlevere personfølsomme oplysninger, så er det den danske myndighed, der skal stå til regnskab for det. Det vil have forretningsmæssige konsekvenser for den amerikanske virksomhed, men juridisk vil man gå efter den offentlige myndighed.

»Vi gå efter den dataansvarlige, og det er myndigheden. Dem kan vi ikke give bøder, men vi kan eksempelvis påbyde dem at opsige kontrakten med en databehandler,« siger Jesper Vang.

Han vil ikke ligefrem fraråde myndighederne at bruge leverandører med amerikanske ejere, men oplyser, at de skal være sig deres ansvar bevidst.

»Det er myndighedens ansvar at hyre nogen, der kan sikre, at persondataloven overholdes. Og hvis der kommer sager, hvor amerikanske myndigheder pålægger virksomheder som CSC, Microsoft eller IBM i Danmark at udlevere oplysninger, så er det ikke sikkert at bruge de her virksomheder,« siger Jesper Vang.

Listen over amerikanske selskaber, der håndterer store dele af drift og datalagring af danske offentlige myndigheder, tæller blandt andet CSC, Microsoft og IBM.

EL: Genovervej amerikansk ejede databehandlere

Både Justitsministeriet og Erhvervs- og Vækstministeriet har indtil videre over for Version2 afvist at kommentere, om den nye amerikanske dom giver anledning til at se på, hvordan offentlige data bliver håndteret.

Men ifølge Enhedslistens it-ordfører, Stine Brix, bør man være meget opmærksom på de potentielle konsekvenser for retssikkerheden.

»Hidtil har regeringen desværre lukket øjnene fuldstændigt for dette her, og det er svært at få en reel diskussion om det. Men det er utrolig vigtigt, at regeringen tager det alvorligt og kigger på de modsætninger, der er mellem dansk og amerikansk lovgivning på dette her område,« siger Stine Brix.

Version2 følger sagen.

Følg forløbet

Kommentarer (21)

Thomas Watts

Ahr men dengang var det jo kun samtlige eksperter på området, der gentagne gange havde sagt, at det var et katastrofalt problem.

Nu har der været en nyhed i den almindelige presse om det, og så kan man jo tro på det og reagere.

Hvis jeg finder Alladdins lampe ønsker jeg ikke evigt liv eller penge eller noget tilsvarende, men i stedet at verdens beslutningstagere vil begynde at lytte til folk, der ved noget om de emner de udtaler sig om, og som har integritet.

Man skal sigte efter stjernerne, ikke?

Kristian Sørensen

Både Justitsministeriet og Erhvervs- og vækstministeriet har indtil videre overfor Version2 afvist at kommentere om den nye amerikanske dom giver anledning til at se på, hvordan offentlige data bliver håndteret.

Men ifølge Enhedslistens it-ordfører, Stine Brix, bør man være meget opmærksom på de potentielle konsekvenser for retssikkerheden.

Hvorfor er det alene politikere på yderfløjene af oppositionen der ytrer sig i denne sag?

Det ville klæde nogle af de gamle "lov og orden" partier at stå bag en oprydning i denne katastrofale nedbrydning af danskernes retssikkerhed.

Godt nok har de selvsamme "lov og orden" partier stemt det igennem, men nu må de til at vågne op og forholde sig til det store og vedholdende kor af eksperter der fortæller dem det er en katastrofe.

Hvis demokratiet skal have nogen som helst værdi, skal folket såvel som politikerne være oplyste mennesker. Det må vær eder den halter.

Benjamin Krogh

Han vil ikke ligefrem fraråde myndighederne at bruge leverandører med amerikanske ejere, men oplyser, at de skal være sig deres ansvar bevidste.

»Det er myndighedens ansvar at hyre nogen, der kan sikre, at persondataloven overholdes. Og hvis der kommer sager, hvor amerikanske myndigheder pålægger virksomheder som CSC, Microsoft eller IBM i Danmark at udlevere oplysninger, så er det ikke sikkert at bruge de her virksomheder,« siger Jesper Vang.

Kan nogen forklare hvad Jesper mener? Mener han at det først er ulovligt at bruge dem når de er blevet dømt til udlevere data og skaden er sket (Hvilket firmaerne normalt ikke må fortælle, og Jesper derfor ikke finder ud af)?

Ulrik Suhr

Er det ikke muligt for den Amerikanske myndighed at få disse data uden andre ved det?
dvs. firmaet må ikke udtale sig om hvad og hvor meget de udlevere?
Det er sq synd for Danmark at den samlede kompetence højde i folketinget ikke kan gennemskue simple juridiske ting. Jeg er ikke selv medlem at et parti, men hvis partiers spidskandidater(opstillede personer) vitterlige er så...... "morsomme" fristes jeg til at gentage det gamle ordsprog. Hvem er den største idiot? idioten eller den som følger efter?

Mikael Ibsen

at amerikanerne er en kende mindre flinke og naive,end vi er, og at den stærkeres ret er den eneste virkelig effektive internationale jura. Samtidig kan vi hygge os med at tænke på alle de andre medkiggere, som vi endnu ikke kender - eller nogensinde kommer til at kende. Kan vi ikke lide den tanke, er det pergament, gåsefjer og kurerpost igen - med mindre kureren bliver fanget...
Internet og cloud mm. er offentlige områder, som enhver med autorisation - eller evner - kan bevæge sig i efter behag, og sådan ser den verden, vi lever i altså ud i dag.
Løbet er kørt.

Jan Juul Mortensen

De ansvarlige er vel dem der vægter den økonomiske besparelse højere end datasikkerheden, når beslutningen om outsourcing tages.

Derfor bør det nøje overvejes, om det eneste rigtige ikke er, at de offentlige instanser selv er i besiddelse af de kompetencer der er nødvendige og man trækker disse data hjem 'ASAP'.

Man kan af ovenstående klart læse, at en forsikring om, at leverandøren vil overholde f. eks. persondataloven, ikke er nogen garanti gyldig garanti for den offentlige myndighed, idet det fortsat er denne der har data ansvaret. En sådan garanti er altså mindre værd end det den er skrevet på.

EF er ved, at lovgive om netop persondata, således der vil blive en fælles lovgivning på området. Som forbruger skal man have adgang til, at kunne se hvad data der ligger lagret om en, og man skal kunne få disse slettet. Men man skal selv holde styr på, hvem der måtte ligge inde med sådanne oplysninger, man skal derfor være opmærksom på hvilken oplysninger man giver fra sig til hvem, hvis de er personfølsomme. Men hvad hjælper det, hvis de offentlige myndigheder smider rundt om sig med disse oplysninger uden den enkelte persons accept.
Derfor bør lovgivningen tage højde for dette evt. ved, at hvis personfølsomme oplysninger lagres mere end 60 dage, skal personen oplyses om dette samt, hvilken oplysninger der lagres/gemmes, og denne skal give sin accept til dette, ellers skal sådanne data slettes!

Tore Green

Dette blev debatteret en del op til salget af Nets.
Men ugens begivenheder har vist at Nets' data allerede var i hænderne på IBM længe inden salget, så den amerikanske dom ville vel have betydning selv hvis Nets var danskejet?

En del af de statslige løsninger er mainframe-baserede og typisk driftet af CSC, KMD eller IBM. Hvad er egentlig de ikke-amerikanske alternativer til denne type løsning? Tata, Informatica, eller?

Rasmus Nielsen

Er forskellen på USA og mange andre lande ikke blot lejlighedsvis åbenhed mht. at kræve data udleveret? Er der virkelig nogen, der tror at man er bedre stillet ved at fravælge et amerikansk selskab og i stedet vælge f.eks. et kinesisk eller russisk selskab?
Efter min mening kunne Datatilsynet med fordel have erstattet "amerikansk ejede" med "udenlandsk ejede" i deres meddelelse. Det gælder selvfølgelig ikke, hvis man primært ser dette som et juridisk problem og er ligeglad med hvor dataene ender, men jeg tillader mig at antage at Datatilsynets fokus er på dataene.

Kasper Hovgaard

Er forskellen på USA og mange andre lande ikke blot lejlighedsvis åbenhed mht. at kræve data udleveret? Er der virkelig nogen, der tror at man er bedre stillet ved at fravælge et amerikansk selskab og i stedet vælge f.eks. et kinesisk eller russisk selskab?

Datatilsynets udtalelse skal ses på baggrund af den helt konkrete dom, som fastslår, at USA mener, at amerikansk lov står over alle andre landes lovgivning, selv når det handler om disse selvstændige landes egne borgeres personlige oplysninger (i min optik en galopperende vanvittig betragtning).
Men hvis der findes lignende "Patriot Act"s i andre lande, bør man selvfølgelig udtale det samme om disse. Men er det tilfældet?

Simon Nielsen

Problemet er langt fra begrænset til offentlige myndigheder. Det drejer sig i høj grad også om alle de private virksomheder der håndterer personfølsomme data ( f.eks Nets, og alle de øvrige private finansielle virksomheder.

Finn Christensen

Man skal sigte efter stjernerne, ikke?

Som første step, så kan vi fint nøjes med at sigte efter hædelighed.

Ethvert snakkehovede ansat eller selvbestaltet ævler løs om en offentlig hemmelighed, og ansvarlige står i kø ved håndvasken eller påstår de ved ingenting.

Har man blot det ringeste kendskat til it, databehandling samt sikkerhed - så er det her kun toppen af isbjerget.

It-anfalbetisme hos snorksovende politiker + en uendelig grædighed hos finanssektoren + underbemandet Datatilsyn har skabt et monster.

Den flok tilsammen mener at stikprøver nogle simple log samt paragraffer og bogstaver i love og nogle underskrifter virker ifm. med elektronisk databehandling - naive fjollerikker.

Denne øjenåbner, adgangen i vores CPR, de utallige store og små 'smutter' før i dag samt Edward Snowden læk af NSA informatio burde allerede for et år side have aktiveret øget sikkerhedsniveau på alle registre med følsomme oplysninger.

Det er ikke usædvanligt med en ekstern revision i nogle tilfælde og i nogle brancher. Har Datatilsynet fast udstationerede og placeret personer hos alle, der driver store registre med følsomme oplysninger - NOT.

Hvorfor ikke ?

Når man nu ved - både menneskeligt og historisk - at alle data blive misbrugt, hvis det er muligt og hvis der ikke er både tidstro og on-line audit, via 24/7 overvågning og konsekvens i form af politianmeldelse samt en tilstrækkelig afskrækkende straf.

Bankerne skulle jo også dereguleres... indtil det tog penge fra folks pengepung herhjemme, så fik piben en anden lyd.

Nu er det data tys.. tys.. som helt lydløst og helt usynligt kopieres og spredes til hvem, der bestiller og vil betale.

Sker der en bedring efter nuværende pind til ligkisten. Antagelig ikke, da den nuværende flok på tinge end ikke har fattet, 'it-lobbyen' har trukket dem rundt ved næsen i de seneste 8-10 år - desværre.

Finn Christensen

...alle de private virksomheder der håndterer personfølsomme data ( f.eks Nets..

Korrekt og næste 'skandale' bliver endnu mere grum.

Bemærk at tilsynet med finanssektoren - Banktilsynet, også var både snorksovende, neddroslet og underbemandet da finanskrisen ramte os - og så var det for sent.

Her ser vi jo den næste i rækken - Datatilsynet - det her er deres job, de er betalt for det - Yes, men Datatilsynet har som hin støvede Banktilsyn i 0'erne slet ikke muskler til at løfte opgaven.

Jo mere databehandling, jo flere koncentration af enorme datamængder - registre + sammenkørte informationer, jo flere personer/kontrollanter/stikprøver/audit/logs skal der bruges og betales for - indtil nu blev det sør'm lige glemt.

Og bankerne har forlængst solgt og indkasserer gevinsten for Nets - ak ja. Det kan man jo kalde rettidig omhu :)

En maskine er dum og kan ikke selv fortælle den bliver misbrugt, og kan kan heller ikke selv lave en liste over uautoriseret adfærd. Kun dumme fanges i en log, og selv en halvstuderet røver kan finde ud af at undgå/pusle med loggen.

Rasmus Nielsen

Men hvis der findes lignende "Patriot Act"s i andre lande, bør man selvfølgelig udtale det samme om disse. Men er det tilfældet?


Min pointe er at selv om det ikke er nedskrevet kan virksomheder i praksis og i det skjulte sagtens påtvinges lignende krav i andre lande. Det er klart at Datatilsynet rent principielt må reagere på en sådan afgørelse i USA og at der er et juridisk problem, men spørgsmålet er om det i forhold til databeskyttelsen ikke bør ses som en lille fordel at vi overhovedet får kendskab til dette.

Michael Wörffel Intile

Er KMD ikke store nok til at håndtere Nem-ID og CPR-registret? Hvorfor ligge og rode med udlicitering, når det drejer sig om national sikkerhed - staten plejer jo at sætte sin klamme hånd på alt andet, hvorfor så ikke her, hvor der vil være en hvis logik i det.

Arghh, rettelse - jeg kan se nu at KMD også ejes af Advent International..................så er det hele jo li'som lige meget.

Log ind eller opret en konto for at skrive kommentarer

JobfinderJob i it-branchen

TDC skifter koncernchef efter faldende mobilomsætning

Jesper Stein Sandal Mobil og tele 14. aug 2015

Nyeste job

KurserStyrk dine evner med et kursus

CERT 70-412 Configuring Advanced Windows Server 2012 Services

Hvornår: 2015-12-10 Hvor: Østjylland Pris: kr. 4950.00

MCP 10774 kursus: Querying Microsoft SQL Server 2012

Hvornår: 2015-12-07 Hvor: Storkøbenhavn Pris: kr. 18750.00

Delivering Continuous Value with Visual Studio 2012 Application Lifecycle Management [20498]

Hvornår: 2015-09-28 Hvor: Storkøbenhavn Pris: kr. 7900.00

Fra specialist til leder

Hvornår: 2015-10-05 Hvor: Storkøbenhavn Pris: kr. 11400.00

Forhandlingsteknik

Hvornår: 2015-10-22 Hvor: Storkøbenhavn Pris: kr. 11400.00