10 råd: Sådan undgår du at overtræde persondatalovgivning med din cloudaftale

For både kunder og leverandører er der meget at have styr på, hvis man vil undgå at overtræde persondatalovgivningen, når man benytter datacentre. Overtrædelser straffes nu med bøder på op til trecifrede millionbeløb.

Michael Hopp er advokat og partner i Plesner og har mere end 10 års erfaring med persondatabeskyttelse. Han har netop holdt et oplæg på Version2 Datacenter 2015-konferencen med 10 gode råd til at undgå at overtræde persondatalovgivningen med virksomhedens cloudaftale.

Læs også: Kommuner: Spild af tid at overholde persondataloven

»Det er enormt vigtigt, at virksomheder tager persondataloven seriøst - også af kommercielle grunde. Bøderne kan i fremtiden blive meget høje - op til fem procent af den globale omsætning eller 100 million euro,« siger Michael Hopp.

De højere bødesatser forventes at træde i kraft i 2018, når den nye EU-persondataforordning er færdigforhandlet.

Herunder finder du Michael Hopps ti bud, som han præsenterede på konferencen:

1: Få en skriftlig aftale

Når du benytter et datacenter, er der et lovkrav om indgåelse af en skriftlig aftale. Den skal indeholde en række bestemmelser, bl.a. om:
* Hvad må datacentret bruge data til?
* Hvor længe gælder aftalen?
* Overholdeles compliancekrav og sikkerhedskrav?
* Hvad med opfølgning og auditering?
* Underleverandører?

Bl.a. fik Glostrup og Brøndby Kommune en løftet pegefinger fra Datatilsynet for ikke at holde tilstrækkeligt tilsyn med personoplysninger.

2: Få styr på compliance og sikkerhed

Hvis virksomheden ikke kender kravene til sit eget niveau, kan den ikke vurdere om den kan eller må bruge en databehandler. Og det er et krav, at man foretager en vurdering af compliance og sikkerhed inden man begynder at bruge eksempelvis en cloudtjeneste. Derfor er det vigtigt at få afklaret, om der er styr på forretningen. En start kan være at kigge på ens risikovurdering, bl.a.:
* Complianceprogram: Fx oplysningspligt, behandlingsgrundlag, indsigtsret og slettefrister.
* Sikkerhedsprogram: Ekstern sikkerhed, intern sikkerhed (fx rollestyring).
* Særlige vilkår stillet af Datatilsynet eller af andre myndigheder.

Du skal selv sikre, at leverandøren overholder de danske krav, selv om leverandøren er fra Danmark. Hvis leverandøren er fra udlandet, skal du ud over de danske krav også sikre, at databehandleren overholder sikkerhedskravene i hjemlandet.

3: Cloud er dødt

Du skal kende den præcise beliggenhed, altså adresse, på datacenteret. Et servicecenter er også et datacenter - læseadgang svarer nemlig til opbevaring.

4: Må der bruges en underleverandør?

Det er et krav, at datacenterkunden ved og godkender brugen af underleverandører, og i det mindste godkender, at det kan ske. Pas på underleverandører uden for Danmark; De skal leve op til alle de formelle krav.

5: Bliver dine data i EU?

Hvis dine data skal overføres til lande, der ligger uden for EU eller EØS (Europæisk Økonomisk Samarbejdsområde), kræver det et særligt grundlag. Det er relevant både for data- og servicecentre, men alligevel er der kun få, der har styr på reglerne.

6: Følg op!

Kunden skal løbende følge op på aftalen, både i forhold til compliance og sikkerhed. Kontrakten skal give kunden ret til at sende egne eksperter ind på datacentre, og leverandøren - og underleverandører - skal stille alle relevante oplysninger til rådighed for kunden, så kunden kan overholde sine forpligtelser.

7: Hav styr på myndighedskrav

Undersøg, om data må forlade Danmark og om leverandøren kan slette data, hvis kunden beder om det. Begge dele er komplicerede, og kræver, at du sætter dig ind i reglerne.

8: Er der tale om en koncern?

Mange cloudaftaler indgås af et moderselskab på vegne af hele koncernen. Der er en tendens til at glemme, at danske og udenlandske datterselskaber kan være underlagt andre krav end dem, der gælder for moderselskabet.

9: Andre forhold

Der er en lang række andre forhold, du skal overveje. Der er tekniske forhold, forhandling af kontrakten, service levels, ophørsassistance og hvad man gør, hvis udbyderen går konkurs.

Dansk IT og Danske IT Advokater har udgivet en vejledning om juridiske, kommercielle og tekniske forhold i aftaler om cloud computing - den er et godt sted at starte.

10: Tal med din advokat

Der er mange fordele ved cloud, men det er juridisk og teknisk meget mere komplekst end at have jeres egen server i bygningen. Derfor bør I søge råd hos en it-kyndig advokat.

Version2 Datacenter 2015 afholdes i dag i Radisson BLU Falconer Hotel & Conference Center.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (11)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Christian Rutrecht

Er det kun mig der mener at Cloud og Hosting/IT Outsourcing er blandet fejlagtigt sammen i de 10 gode råd?

F.eks. hvad der fremgår af punkt 6: "Kunden skal have en skriftlig aftale om at sende egne eksperter ind i et cloud datacenter". Det ville i en cloudløsning være et umuligt krav og kunden ville aldrig få adgang til cloud-udbyderens datacenter. Hvorimod i en hosted løsning ville dette være et krav man kunne stille.

Hvis man vælger at skulle opbevare sine personfølsommedata i skyen, ville jeg da klart anbefale at arbejde sammen med en It-sikkerheds virksomhed parallelt med advokaten, da der er lang vej fra juridisk indsigt til relevant teknisk implementering.

  • 1
  • 0
#2 Hans Henrik Jakobsen

Hvad med de virksomheder der har hosted email/dokuments hos en underleverandør?

F.eks. Office365?

Hvordan er medarbejdere sikret mod at underleverandør ikke har adgang til personfølsomt data, e.g PDR samtaler, skrivelser til HR, eller leder?

For mig virker det meget farligt at ligge data i skyen hvis der ikke er fuldkommen kryptering af løsningen.

  • 1
  • 0
#3 Peter Jensen

Kryptering er ikke nødvendigvis nok. Man skal huske på at alle de data man sender til/via fx USA bliver gemt for evigt i NSAs datacentre. Det kræver kun at man anskaffer sig den private nøgle og så kan man dekryptere det hele.

Nej det er desværre nødvendigt at vigtige og følsomme data overhovedet ikke opbevares eller transmitteres uden for Danmark. De må forblive under streng national fysisk kontrol. Kryptering er selvfølgelig også lige så vigtigt.

  • 1
  • 0
#4 Bent Jensen

Kryptering er ikke nødvendigvis nok. Man skal huske på at alle de data man sender til/via fx USA bliver gemt for evigt i NSAs datacentre. Det kræver kun at man anskaffer sig den private nøgle og så kan man dekryptere det hele.

Hummme, "Kun" at anskaffer sig den private nøgle. Hvis man så skal stjæle hele harddisk og pc, så er den nøgle ikke nødvendig. Krypteret data er at opfatte som hvidt støj, du bør ikke kunne se forskel på det og data. Hvis du mener at det er gemt til evig tid, så læg et 1 bit til for hver 1.5 år mere du gerne vil have det glemt. Med extra 128 bit får du næsten 200 år, Så er det meste, også dine helt private data forældet, og ingen går op i din og konens nøgenbileder.

  • 0
  • 1
#5 Michael Hopp

Kære Christian.

Der er ikke blandet noget sammen - pointen i punkt 3 er netop, at du skal vide hvor dine data er. Cloud er dødt, alt er nu hosting.

Læs hos Datatilsynet i 365-udtalelsen (http://goo.gl/MzlDAf) blandt andet følgende: "Datatilsynet har på denne baggrund umiddelbart ingen indvendinger imod en model, hvor danske dataansvarliges kontrol som udgangspunkt sker ved brug af revisionserklæringer fra en uafhængig tredjepart. Datatilsynet har i den forbindelse noteret sig, at Microsoft har oplyst at ville samarbejde med kunder, hvis særlige behov ikke er blevet imødekommet i forbindelse med den årlige audit, og at kunder i særlige situationer selv vil kunne foretage kontrol."

Prøv at læse hele udtalelsen fra Datatilsynet. Udtalelsen er gammel, men ikke bredt kendt.

mvh Michael

  • 1
  • 1
#6 René Løhde

"Cloud er dødt, alt er nu hosting" ...tror ikke jeg forstår hvad du mener med det? ...og hvis du med "du skal vide hvor dine data er" mener at i tilfældet O365, så er data helt sikkert i Irland og Holland og muligvis USA, Canada eller Bulgarien, så har du ret :-)

Mht inspektionenskravet så giver den sætning fra Datatilsynet, som du refererer til, vel netop Christian ret!? Du kan ikke selv lave inspektion, men må foranlede dig på 3.parts audit og compliance rapporter. Ja, der er en 'escape clause': "...kunder i særlige situationer selv vil kunne foretage kontrol", men helt ærligt lad os lige kort kigge på det scenarie hvis f.eks 100.000 kunder årligt skal inspicere og lad os bare for sjov skyld sige at alle datacentre + support organisationer var åbne for inspektion 24/7/365...så... well you do the math, og bedøm selv om du mener egen inspektion er realistisk.

  • 1
  • 1
#7 Michael Hopp

Hej Rene

Reglerne siger ikke, at alle kunder skal inspicere, men at kunderne skal have muligheden.

Kernen i kravet er, at kunderne ikke kan undskylde sig over for Datatilsynet med, at de bruger en cloud leverandør, og derfor ikke har praktisk mulighed for at kontrollere, om sikkerheden er i orden.

Kunden har i forhold til datasikkerhed juridisk set de samme pligter, som hvis man brugte kundens egen server hjemme i kælderen. I praksis vil de fleste kunder kunne nøjes med at acceptere de erklæringer, som leverandørerne afgiver, men i nogen tilfælde vil det ikke være nok til, at kunden kan siges at have tilsikret et tilstrækkeligt sikkerhedsniveau. I de tilfælde må kunden sætte sin sikkerhedsrådgiver på opgaven, indledningsvist ved at se på uddybende materiale fra leverandøren, og ultimativt ved at foretage egen inspektion (i praksis vel at sende sikkerhedsrådgiveren ind).

Det er mit indtryk, at mange virksomheder glemmer, både ved aftalens indgåelse og mens aftalen løber, at en del af den direkte besparelse skal bruges til at løse nye opgaver med contract management i bred forstand, herunder med leverandørens sikkerhed. Hvis man som kunde ikke gør det, så har man med en cloud løsning ikke bare mistet den fysiske kontrol over sine data, men også den organisatoriske kontrol - og risikerer at overtræde persondataloven (og persondataforordningen, når den kommer).

Mvh Michael

  • 0
  • 0
#8 Ulrik Suhr

Reglerne siger ikke, at alle kunder skal inspicere, men at kunderne skal have muligheden.

Så skåret ud i pap. Der skal mindst være 2 ansvars fraskrivelser i kontrakten. 1. En 3 part har mulighed for skyld. 2. Ikke mulighed for inspektion på det pågældende tidspunkt hvor det er krævet.

Set i lyset af CSC så tegner der sig et grumt billede af total sikkerheds formørkelse.

Alle de punkter du kommer med mangler den lille detalje.....

Hvad med distribuering/kopiering af data? 3 part adgang til data etc.?

Jeg er da bedøvende ligeglad med hvor meget sikkerhed og advokater der skal til for at holde ET eksemplar af data i skabet. Alle andre læser lystigt med ved gadehjørnet...

Gab sikke et niveau af kompetence der florer i datatilsynet.

Hvem har lavet den aftale? Advokater eller teknikere?

"edit" Du er slået hjem. Ryk brikken tilbage til start."edit off"

"ironi on" Med de "krav" er vi efterhånden bedre stillet ved at indgå et samarbejde med NSA og benytte deres lager. 1. De står nok med et højre krav til sikkerhed end de fleste leverandører. 2. Indsamlingen af data sker om man vil det eller ej. 3. De indsamler også krypteret indhold som de kan omgås. 4. Der er allerede sammenkørt data til terrorbekæmpelse og skat! 5. Der er ingen forældelsesfrist, men her kunne man lave en aftale 6. Det er op til politikerne at lave aftaler bag lukkede døre så offentligheden ikke ved hvad de foretager sig. "ironi off"

  • 2
  • 0
#9 Jakub Nielsen

Hej Mikkel,

 Har du kikket nærmere på krigsreglen? På den ene side så skal man bare være   

i stand til at fjerne forbindelsen fra support centret i Indien hvis en krigssituation opstår, på den anden side så er gerningsøjeblikket hvor fjenden opdager hvem han skal slå ihjel, bombe, ... i en krigssituation, lang tid før en krigssituation opstår. Hvordan skal man forholde sig til den regel i forhold til at indgå cloud aftaler?

  • 0
  • 0
#10 Michael Hopp

Hej Jakub

Krigsreglen gælder jo kun for oplysninger, som behandles for offentlige myndigheder, og som er af særlig interesse for fremmede magter. Reglen hører egentlig ikke hjemme i persondataloven, da den jo har til formål at beskytte den nationale sikkerhed, og altså ikke at beskytte individer. Reglen er af Datatilsynet nærmest blevet fortolket som et eksportforbud, men efter sin ordlyd - og hvis man fortolker den med hensyntagen til EU-retten, sådan som man skal - så er det en særlig sikkerhedsregel. Hvis der er tale om et support center (som alene har fjernadgang til data, der opbevares på servere i Danmark), så er krigsreglen formentlig altid overholdt, da oplysningerne jo "bortskaffes" ved at man blokerer adgangen for supportcentret. Hvis vi taler om opbevaring af oplysninger omfattet af krigsreglen, på servere uden for Danmark, så skal du foretage en meget finmasket analyse af dine sikkerhedsforanstaltninger, og sammenholde dem med det formål (national sikkerhed), som krigsreglen er sat i verden til at varetage.

Mvh Michael

  • 0
  • 0
#11 Laila Jasmin Pedersen

Nu kan data jo ikke alene residere i EU (ikke EØS), men også hos virksomheder under "Safe Harbor"-ordningen, som ikke nødvendigvis er placeret indenfor EU's grænser.

Selvom data alene skulle være fysisk placeret indenfor EU, så vil cloud-virksomhederne alligevel være istand til at tilbyde cloud-storage - for det er jo det, som det meste af denne diskussion går på. En virksomhed, som f.eks. Microsoft har etableret cloud-centre i mere end et EU-land, og vil derfor kunne tilbyde cloud indenfor EU (Irland og Holland). Men det er ofte kunden selv, der bestemmer hvilken grad af "cloud", man ønsker - det er et spørgsmål om økonomi. Oftest anvender virksomheder/myndigheder ofte cloud for at indhente besparelser i driften, og så kan man jo nok forestille sig, at der vælges den billigste cloud-løsning, der tilbydes, hvilket oftest ikke er reel cloud, men hosting.

Udfordringen for virksomheder som Microsoft er, at de samtidig er underlagt amerikansk lovgivning, hvor de amerikanske efterretningstjenester kan kræve data udleveret uden, at kunden oplyses om dette. Som det sikkert er mange bekendt, så foregår der pt. en retssag, hvor Microsoft forsøger at undgå, at deres europæiske cloud-data også er underlagt denne amerikanske lovgivning. Men vi overser måske det faktum, at også danske efterretningstjeneste får udleveret data fra hosting- og cloud-leverandører enten til egen brug eller i forbindelse med efterretningssamarbejde med andre lande.

Så et er, hvordan man skriver og håndhæver det juridiske i en kontrakt, noget andet er hvordan virkeligheden er. Det ender desværre ofte med at det handler om at man kan pege på punkter i en kontrakt og forvente at cloud-leverandøren lever op til indholdet. Noget andet er at sikre sig, at leverandøren lever op til det kontraktuelle - man må ikke være blå-øjet og alene forholde sig til det nedskrevne - Hvem kender ikke de berømte ord udtalt af den engelske statsminister Neville Chamberlain "Peace in our time!"...

  • 2
  • 0
Log ind eller Opret konto for at kommentere