Ny persondatalov: Mindre skrankepave - mere cloud

Bruger du en EU-godkendt standardkontrakt, behøver du ikke længere søge Datatilsynets tilladelse til at lægge personfølsomme data i skyen. Cloud-glad kommune ser det som et skridt i den rigtige retning.

Nytårsdag blev det en lille smule lettere for det offentlige i Danmark at springe på cloud-vognen.

Nu behøver virksomheder og offentlige myndigheder nemlig ikke længere sende Datatilsynet en skriftlig ansøgning, før de hiver personfølsomme data ud af deres gamle it-systemer og hælder dem over i nye cloud-løsninger fra amerikanske it-firmaer som Microsoft, Google eller Amazon.

Det er konsekvensen af en ny ændring af persondataloven, der trådte i kraft 1. januar.

Læs også: Dokumentation: En lidt mere cloud-venlig persondatalov

Ændringen betyder langt mindre papirarbejde - både for Datatilsynet og for virksomheder og offentlige myndigheder.

»En del af ændringen af persondataloven handler om at fjerne noget af det arbejde, der godt kan undværes. De standardkontrakter, der ikke ændres i, behøver man ikke længere sende ind til os for at få tilladelse til. Det letter arbejdet for os og for de dataansvarlige virksomheder og myndigheder« siger Lena Andersen, kontorchef i Datatilsynet, til Version2.

Lovændringen er dog kun interessant, skal det bemærkes, hvis aftalen mellem kunde og leverandør overholder EU's standardkontraktbestemmelser for håndtering af personoplysninger i lande uden for EU's grænser.

Standardkontrakterne - de såkaldte model clauses - er sat i verden for at sikre, at offentlige myndigheders personoplysninger håndteres forsvarligt, selvom de flyttes til datacentre uden for EU.

Hvis en kommune gerne vil bruge en cloud-løsning fra Google, og det californiske selskab er klar til at følge standardkontrakterne, er der altså fri bane.

Og det er en interessant ændring af lovgivningen, lyder den umiddelbare vurdering i Odense Kommune.

Kommunen har siden 2010 forsøgt at få Datatilsynets velsignelse til at flytte skolernes elevplaner over i cloud-kontorpakken Google Apps. Elevplanerne ligger lige nu i Skoleintra-løsningen fra danske UNI-C.

Odenses strabadser har hidtil været forgæves, da kommunen ikke har kunnet få Datatilsynet til at acceptere Googles aftalevilkår.

Situationen så ud til at lysne lidt for Odense i december, hvor Google meldte ud, at selskabet nu ville rette ind og følge EU's model clauses.

Læs også: Nu får Odense - måske - endelig lov at bruge Google Apps

Ændringen af persondataloven er derfor endnu et skridt i den rigtige retning:

»Jo længere tid, der går, jo flere sten bliver der fjernet på vejen,« siger it-sikkerhedsvejleder John Bonnerup, Odense Kommune, til Version2.

Han vil dog ikke kommentere lovændringen yderligere, før han har haft mulighed for at snakke med en advokat og Google i Danmark.

Følg forløbet

Kommentarer (13)

Kim Jensen

Wauv - snak om at lade bjerget komme til Muhammed!

At man overhovedet så meget som kan foreslå en sådan lov ændring er mig dybt og inderligt uforståeligt. Da EU's standardkontrakter meget vel kan låse nogle ting, men hvis regeringen i et tredje-parts land vil tvinge anden lovgivning igennem - så er EU reglerne prisgivet.

Patriot Act burde alene være afskrækkende nok til at man afholder sig fra dette.

Sig mig, er kravet til de Danske Politikere ikke at de skal varetage Danske interesser ?

Mvh,
Kim

Christian Nobel

Gøre som Gérard Depardieu - flyt.

Det er ikke en model.

  1. Putins rige er ikke specielt sympatisk.
  2. Depardieus bevæggrunde er forkælede og patetiske.
  3. Hvis alle forlader landet flytter nissen bare med.

Og iøvrigt betyder opt-out ikke nødvendigvis at melde sig (helt) ud af samfundet, men en mulighed for at sige nej tak til at personlige oplysninger ligger et sted men ikke ønsker det.

Kim Jensen

Det er ikke en model.

Nej, det er ikke en model - men den sidste nødløsning! Problemet er at når det først er skrevet ind i Dansk lov, og denne er ratificeret, så er løbet kørt. Når data så ligger udenfor grænserne, så er spillet tabt. Intet kan garantere at data der er ført væk også kan føres tilbage, da man aldrig kan garantere at der ikke findes backups eller kopier andre steder!

Grunden til at jeg nævnte Depardieu, var primært fordi han med sin handling fik medie omtale, en masse dårlig vel at mærke, men nok til at man også fik rejst spørgsmålet om begrundelsen, og dennes berigtigelse.

Dette er hvad jeg mener med min forrige kommentar. Desværre vil det næppe hjælpe hvis du flytter (jeg bor allerede i udlandet), men hvis de rigtige personer gør det kan det forhåbentligt generere nok presse.

/Kim

Christian Nobel

men hvis de rigtige personer gør det kan det forhåbentligt generere nok presse.

Problemet er bare at "de rigtige personer" i dette spil er dem, der er højt profilerede typisk i noget der har med penge at gøre, og jeg har ringe tiltro til deres forståelse af denne slags problemer - men selvfølgelig når deres penge bliver konfiskeret af de amerikanske myndigheder med begrundelse i et-eller-andet-terrorrelateret, så vågner de måske op.

Umiddelbart ser det bare skræmmende sort ud.

Henrik Høyer

Datatilsynet siger jo helt klart "du skal have en EU-godkendt standardkontrakt", og det har Google IKKE.

Google kan ikke lave en sådan kontrakt, da de ikke kan overholde amerikansk og europætisk lov på samme tid. det kræver separate datacentre, organisationer og meget andet.

Altså: Intet nyt. Datatilsynet siger at de ikke gider bruge mere tid på henvendelser fra kommunerne. kommunerne kan så prøve at få google til at lave godkendte kontrakter, held og lykke med det :-)

Peter Binderup

Altså: Intet nyt. Datatilsynet siger at de ikke gider bruge mere tid på henvendelser fra kommunerne. kommunerne kan så prøve at få google til at lave godkendte kontrakter, held og lykke med det :-)

Har du læst artiklen? Der står at Google vil rette ind: "Situationen så ud til at lysne lidt for Odense i december, hvor Google meldte ud, at selskabet nu ville rette ind og følge EU's model clauses." Altså at man, så snart de gør det, må benytte deres tjenester også i offentlig regi.

Henrik Høyer

@Peter Binderup

Ja jeg har læst artiklen. Googles udtalelse fra December er ikke en officiel udtalelse som kan bruges til noget.

Denne artikel handler om at datatilsynet ikke gider bruge mere tid på at behandle enkelt ansægninger. At Version 2 har valgt en dårlig indledning på artiklen (der bygger på gamle oplysninger) er jo deres valg

Jesper Lund

Google kan ikke lave en sådan kontrakt, da de ikke kan overholde amerikansk og europætisk lov på samme tid. det kræver separate datacentre, organisationer og meget andet.

Hvis Patriot loven bringes i anvendelse, er der ingen amerikansk virksomhed i Europa som kan overholde både amerikansk lov og europæisk lov. I den situation bliver de nødt til at vælge om de vil lægge sig ud med en europæisk regering eller med den amerikanske regering.

Formentlig et meget nemt valg hvis det kommer dertil.

Gert Madsen

Denne artikel handler om at datatilsynet ikke gider bruge mere tid på at behandle enkelt ansægninger.

Det handler først og fremmest om at det er gjort nemt for embedsmændene at slippe for ansvaret:
"Vi har jo lavet kontrakten som foreskrevet, så vi kan ikke bebrejdes noget. Vi kan sandelig ikke gøre for at vores leverandør S.C.A.M. fra Umfufustan har solgt danskernes oplysninger til Blaapiller.nu"

Log ind eller opret en konto for at skrive kommentarer

JobfinderJob i it-branchen

TDC skifter koncernchef efter faldende mobilomsætning

Jesper Stein Sandal Mobil og tele 14. aug 2015

Nyeste job

KurserStyrk dine evner med et kursus

Den balancerede servicemedarbejder

Hvornår: Hvor: Storkøbenhavn Pris: kr. Efter aftale

Advanced Integration Services

Hvornår: Hvor: Efter aftale Pris: kr. Efter aftale

Sundhedsøkonomi - organisering og styring

Hvornår: 2015-11-18 Hvor: Fyn Pris: kr. 10500.00

MCP 10964 kursus: Cloud & Datacenter Monitoring with System Center Operations Manager

Hvornår: 2015-09-28 Hvor: Storkøbenhavn Pris: kr. 18750.00

MIKE URBAN WATER DISTRIBUTION Sverige

Hvornår: 2015-11-25 Hvor: Efter aftale Pris: kr. 7800.00