Hele 289 registre med personfølsomme oplysninger administreres af to amerikanske it-giganter: CSC og IBM. Det viser en gennemgang af Datatilsynets arkiv over anmeldte personfølsomme registre.
Databehandleraftaler forpligter virksomhederne til at overholde dansk lov, men i realiteten er disse data uden for myndighedernes kontrol, påpeger både uafhængige eksperter og de selvsamme myndigheder, der har engageret selskaberne.
En amerikansk dom har nemlig for nylig overtrumfet irsk lovgivning og tvunget Microsoft i USA til at udlevere personfølsomme data fra et irsk datterselskab – og det samme kan ske i Danmark, lyder bekymringen.
»Du kan få alle de garantier, du vil have. Du skal bare være opmærksom på, at det til syvende og sidst er muligt, at den pågældende virksomhed vil overtræde dem. Man kan ikke tjene to herrer i sådan en situation,« siger Søren Sandfeld Jakobsen, professor på Aalborg Universitet og ekspert i it- og teleret.
Samme vurdering har Michael Steen Hansen, it-chef hos Rigspolitiet, der har CSC som databehandler:
»Man kan ikke gardere sig 100 procent. Så skulle man overvåge alt, hvad der foregår ind og ud af CSC hele tiden, og det er fuldstændig umuligt,« siger han.
Hos Datatilsynet advarer specialkonsulent Jesper Vang myndighederne mod at indgå sådanne kontrakter med amerikanske virksomheder, så længe man ikke kan være sikker på, at kontrakterne bliver overholdt – og det kan man ikke, fordi de amerikanske datterselskaber endda kan blive pålagt at holde udleveringen af data hemmelig:
»Myndighederne har som dataansvarlige pligt til at føre kontrol. Og hvis man indgår en kontrakt, som man ikke kan føre kontrol med, er det meget betænkeligt,« siger han.
Advarslerne får dog ikke Rigspolitiet til at genoverveje brugen af amerikansk ejede databehandlere. For selvom man ikke kan kontrollere, om kontrakten overholdes, så vil man – paradoksalt nok – have bevis for, at den brydes, før man vil tage stilling til det.
»Vi har ikke anledning til at tro, at CSC ikke overholder kontrakten. Så indtil det skulle ske, så vil det være spekulationer, som jeg ingen kommentarer har til,« lyder det fra Michael Steen Hansen
I EU arbejdes der på at reformere reglerne for databeskyttelse, og den amerikanske dom understreger, at der er behov for at skærpe reglerne markant, påpeger justitskommissær Viviane Reding via sin talskvinde, Mina Andreeva:
»Denne dom rejser spørgsmålet om ekstraterritorial adgang til personlige data i private virksomheder, som ligger uden for USA. Kommissionens standpunkt er, at disse data ikke bør kunne tilgås direkte eller overføres til amerikanske politimyndigheder uden om de formelle samarbejdskanaler,« skriver Mina Andreeva i en e-mail.
Ifølge hende er kommissionens forslag nu skærpet i forhold til det oprindelige, idet det er tilføjet, at data udelukkende kan overgives til amerikanske myndigheder, såfremt de nationale databeskyttelsesmyndigheder har givet grønt lys til det.
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
