Cloud-løsninger giver nordisk mediehus udfordringer med GDPR

Illustration: MI grafik
Kombinationen af nye europæiske persondataregler og udenlandske cloududbydere har givet it-direktøren hos det nordiske mediehus Aller Media grå hår i hovedet. Som de første i Europa har mediehuset fået en model clause med Dropbox om udveksling af persondata.

Persondata fra kunder og medarbejdere, der gemmes i skyen, og forskellige nordiske fortolkninger af GDPR-direktivet giver det nordiske mediehus Aller Media nok at bestille. Huset udgiver en lang række ugeblade og magasiner, har et rejsebureau, driver et socialt medie i Finland og laver desuden marketing.

»Vi er 2.000 medarbejdere spredt ud over Danmark, Sverige, Norge og Finland. Selvom ugeblade og magasiner fortsat er vores væsentligste forretningsområde, så er vi ikke bare er et traditionelt mediehus længere. Vi er et rejsebureau, et socialt medie i Finland med en million ugentlige brugere, og vi genererer nye forretningssegmenter med anonyme data fra vores brugere. Vi håndterer dagligt rigtigt store mængder persondata fra både kunder og medarbejdere,« siger Michael Enk, koncern-it-direktør i Aller Media.

Han fortæller, at Aller Media har været i gang med at sikre sig overensstemmelse med EU's nye persondataforordning igennem en længere periode.

»Vi kører GDPR-programmer i alle lande, da vi ikke er en samordnet koncern. Vi har praktisk talt alle typer hardware, du kan drømme om, ligesom der er store kulturforskelle. Samtidig er der rigtigt meget juridisk papirarbejde forbundet med persondataforordningen. Selve forordningen er på sølle 87 sider og er til at læse, men fortolkningen alene i Danmark er på omkring 1.000 sider. Sverige, Norge, Finland har også deres tolkning,« siger Michael Enk.

Først med Dropbox-aftale

I samme periode, som Aller Media har forberedt sig på de nye persondataregler, har koncernen samtidig flyttet stort set alle sine data op i skyen. Og den kombination har vist sig ikke at være helt uproblematisk.

»Stort set ingen af de store cloud-services er europæiske, og derfor har vi skullet indgå en lang række aftaler, model clauses, med vores leverandører, når vores data bliver flyttet uden for EU. Vi var den første europæiske virksomhed, der har indgået en aftale med Dropbox om persondataforordningen,« siger Michael Enk.

Det skete fordi den nye Privacy Shield-ordning, der regulerer overførslen af data mellem EU og USA, endnu ikke varimplementeret og forgængeren Safe Harbour heller ikke kunne anvendes på det tidspunkt.

Mens stort set hele Aller Medias printproduktion kører over Amazons AWS-service, er de digitale udgivelser spredt ud over Google, Dropbox, Azure og Avendio.

Det har dog givet anledning til en vis mængde grå hår og bekymrede miner hos Aller Media at indgå den nye type aftaler med leverandørerne, fortæller han.

»Vi har skullet vænnet os til nye discipliner med vores leverandørsamarbejde, og vi har sagt farvel til flere leverandører undervejs. Vi har oplevet, at især de store selskaber vil udskrive ekstra store regninger for at overholde de europæiske lovkrav,« siger Michael Enk.

Han understreger dog, at Aller Media er ikke imod mere beskyttelse af persondata, ligesom de samlet set også opnår fordele ved at overgå til cloud-løsninger.

» Vi synes, det er en god ide at beskytte både vores kunders og medarbejderes data bedre. Vi arbejder dagligt med en masse interne data, som vi har skullet strukturere. Eksempelvis har vores journalister alle mulige lister over fødselsdage. Det skal forvaltes og gentænkes på en anden måde, ligesom der er mange mennesker, der afleverer data til os via abonnementer. Cloud-løsningen giver mange fordele, også selvom det kræver et større aftaler med cloud-udbyderne,« fortæller Michael Enk.

Ulige konkurrence

Set med mere globale øjne frygter Michael Enk, at de kommende europæiske regler bliver en sten i skoen på mange europæiske virksomheder.

»GDPR risikerer at skabe ulig global konkurrence, fordi USA og Asien arbejder med helt andre indsatser. Det bliver nemmere for dem at lave digitale produkter, og vi oplever ikke en stor efterspørgsel fra forbrugerne på det her område. Vores kunder elsker sociale medier, som alle er amerikanske, og det giver os en masse data, som vi ikke kan udnytte på samme måde, som amerikanske virksomheder kan,« siger Michael Enk.

Selvom Aller Media forventer at være i overensstemmelse med persondataforordningen, når den træder i kraft 25. maj, så giver nye teknologier anledning til nye spørgsmål.

»Nye teknologier som augmented reality, virtual reality og Internet of Things giver os nye udfordringer. Hvad gør vi med de passivt lyttende enheder som Alexa, eller når Ikea får kunderne til at uploade billeder i deres augmented reality-app? Der kommer kun flere forskellige typer enheder i hjemmet. Det kommer vi også til at arbejde med i fremtiden,« siger Michael Enk.

Vil du eller din virksomhed dele jeres erfaringer fra arbejdet med GDPR? Så hører vi meget gerne fra dig på tip@version2.dk

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (21)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Simon Mikkelsen

GDPR gælder alle som driver forretning inden for EU uanset hvor de ellers har hovedkvarter.

Ja, det skulle gerne ende med at Google, Facebook mfl. får nogle gigantiske bøder, så de kan begynde at rette ind. Her og nu after de nok og ser om der overhovedet bliver en håndhævelse, så der er en hård periode for de europæske virksomheder - og så må vi håbe at myndighederne vil håndhæve reglerne.

Pernille Tranberg

Interessant at se hvordan Aller har valgt at betjene sig af værktøjer som Dropbox, Amazon, Google mv.
Måske europæiske virksomheder skulle kigge sig om efter europæiske værktøjer - ikke kun fordi de sandsynligvis nemmere efterlever GDPR men også fordi vi skal sikre vækst i Europa. Her er en liste over dataetiske værktøjer til virksomheder http://dataethics.eu/tools/

Lars Petersen

Har du ikke læst artiklen eller fulgt med i debatten?

"Selve forordningen er på sølle 87 sider og er til at læse, men fortolkningen alene i Danmark er på omkring 1.000 sider. Sverige, Norge, Finland har også deres tolkning"

GDPR er én ting, men hvert land har deres egen fortolkning og krav.

Mikkel Planck

Jeg det ville give mening, men problemet med en fordning/direktiv, er at det skal implementeres i national lovgivning. Det giver desværre mulighed for lokal "fortolkning". DK er kendt for gerne at over-implementere.

"Men overordnet er der stadig tale om en forordning, så uagtet hvordan politikerne i Danmark tror det skal fortolkes, så må det da være forordningen der gælder."

Lokal lovgivning skal flugte med direktivet, men det er stadigvæk dansk lovgivning der gælder - Det giver ikke meget mening, men sådan er det :-)

Jesper Lund

..vi genererer nye forretningssegmenter med anonyme data fra vores brugere.

Allerede her går det galt med GDPR compliance. Der menes formentlig data om brugerne af deres online tjenester, som indsamles ved systematisk overvågning af apps og websider. Cookies og den slags ting og sager.

Det er altså ikke anonyme data!!!!!!

At man ikke bare kan overføre persondata til et usikkert 3. land som USA eller Indien gælder allerede i dag under de nationale persondatalove og databeskyttelsesdirektivet 95/46. GDPR åbner faktisk for flere mulige retlige grundlag for at overføre persondata sammenlignet med 1995-direktivet.

Mht "ulig konkurrence" fra virksomheder uden for EU, må GDPR være at betragte som en forbedring i forhold til retstilstanden i dag. Virksomheder uden for EU vil også være omfattet af GDPR, hvis de tilbyder varer eller services til personer i EU, eller hvis de overvåger personer, der befinder sig i EU. Det er de ikke i dag.

For en virksomhed med operationer i flere EU-lande burde det være en stor fordel, at man fra 25. maj kun skal forholde sig til ét regelsæt med en fælleseuropæisk fortolkning, der koordineres mellem datatilsynsmyndighederne i Det Europæiske Databeskyttelsesråd, frem for nationale persondatalove, der kan være forskellige og have forskellige fortolkninger, uanset at de alle er baseret på det samme direktiv.

Det forudsætter selvfølgelig, at de enkelte EU-lande ikke går helt amok med at udnytte deres såkaldte "nationale råderum" for besynderlige særpræg. Danmark er et eksempel på dette, hvor Justitsministeriet prøver at opretholde alle mulige nationale særbestemmelser, også i forhold til den private sektor. Foruden naturligvis den store ladeport af undtagelser til den offentlige sektor, så vores data bare kan flyde frit og misbruges Facebook-style uden at offentlige myndigheder skal fortælle os om det (mere præcist: databeskyttelsesloven L 68 § 5, stk. 3 og § 23).

Jesper Lund
Formand, IT-Politisk Forening

Christian Nobel

Jeg det ville give mening, men problemet med en fordning/direktiv, er at det skal implementeres i national lovgivning.

Du skal skelne meget kraftigt mellem en forordning og et direktiv.

Direktivet må godt implementeres stort set efter de nationale politikeres forgodtbefindende, mens en forordning er en EU retsakt, som er direkte anvendelig i medlemsstaterne.

Og hele ideen bag GDPR er at det skal fungere for alle stater i EU.

Mikkel Planck

Jeg er udmærket klar over forskellen på en forordning og et direktiv, men det ændrer ikke en tøddel på at de begge kan implementeres efter forgodtbefindende, indtil der kommer nogen og siger fy...fy.

Hele svagheden ved GDPR i EU, er at der ikke er/kan sikres 100% ens implementering, hvilke iøvrigt gør sig gældende på mange områder. Du skal huske på, at EU-lovgivning ikke har direkte retsvirkning på nationalt plan!

Havde det været ens implementering, så havde det været fantastisk, og til at forholde sig til, men som også Aller har erfaret, så er det ikke tilfældet:-)

Marek Poulsen

Du skal huske på, at EU-lovgivning ikke har direkte retsvirkning på nationalt plan!

Det er ikke korrekt.

Et direktiv har ganske rigtigt ingen direkte national retsvirkning, da et direktiv per definition "blot" fastsætter et mål, som alle EU''s medlemslandene er juridisk forpligtede til at opnå. Det er dog op til de enkelte lande at beslutte, hvordan de vil opnå dette mål.

En forordning, derimod, er gældende lovgivning i alle EU-lande fra det øjeblik, forordningen træder i kraft.

Mikkel Planck

Jeg forsimplede det kraftigt ovenfor:-)

Undtagelsen ved et direktiv er, at ministeren for resort-området kan udstede en bekendtgørelse, og du derfor ikke behøver at ophæve forordning til lov - Men der er ikke direkte retsvirkning på forordninger heller.

Det ændrer dog ikke på, at der er plads til fortolkninger, og forskellige måder at implementere det på.

Jan Svarrer Sølvsten

Som Jesper lund nævner, så ER der allerede en lovgivning, der regulerer området. Min påstand er, at persondataloven fra 1995 er den mest overtrådte lov i Danmark - også mere end færdselsloven.

GDPR levner ikke meget til national fortolkning, men åbner for at nationale oplysninger (som f.eks. CPR nr. i DK) bliver håndteret af national lovgivning.

Så kom nu ind i kampen og få rettet op - det er godt nok en elefant der skal spises lige nu - men bagefter - bliver det rigtig godt.

Log ind eller Opret konto for at kommentere