289 danske registre med personfølsomme data uden for myndighedernes kontrol

CSC og IBM, der håndterer massive mængder personfølsomme data for danske myndigheder kan reelt ikke leve op til dansk lov, der byder dem at beskytte myndighedernes data. De amerikanske selskaber kan blive tvunget til at udlevere data til USA. EU arbejder på at stramme reglerne.

Hele 289 registre med personfølsomme oplysninger administreres af to amerikanske it-giganter: CSC og IBM. Det viser en gennemgang af Datatil­synets arkiv over anmeldte personfølsomme registre.

Databehandleraftaler forpligter virksomhederne til at overholde dansk lov, men i realiteten er disse data uden for myndighedernes kontrol, påpeger både uafhængige eksperter og de selvsamme myndigheder, der har engageret selskaberne.

En amerikansk dom har nemlig for nylig overtrumfet irsk lovgivning og tvunget Microsoft i USA til at udlevere personfølsomme data fra et irsk datterselskab – og det samme kan ske i Danmark, lyder bekymringen.

Læs også: Microsoft skal udlevere europæiske kundedata til USA

»Du kan få alle de garantier, du vil have. Du skal bare være opmærksom på, at det til syvende og sidst er muligt, at den pågældende virksomhed vil overtræde dem. Man kan ikke tjene to herrer i sådan en situation,« siger Søren Sandfeld Jakobsen, professor på Aalborg Universitet og ekspert i it- og teleret.

Samme vurdering har Michael Steen Hansen, it-chef hos Rigspolitiet, der har CSC som databehandler:

»Man kan ikke gardere sig 100 procent. Så skulle man overvåge alt, hvad der foregår ind og ud af CSC hele tiden, og det er fuldstændig umuligt,« siger han.

Hos Datatilsynet advarer specialkonsulent Jesper Vang myndighederne mod at indgå sådanne kontrakter med amerikanske virksomheder, så længe man ikke kan være sikker på, at kontrakterne bliver overholdt – og det kan man ikke, fordi de amerikanske datterselskaber endda kan blive pålagt at holde udleveringen af data hemmelig:

Læs også: Datatilsynet: Myndigheder bør tænke sig om, inden de hyrer amerikansk ejede databehandlere

»Myndighederne har som data­ansvarlige pligt til at føre kontrol. Og hvis man indgår en kontrakt, som man ikke kan føre kontrol med, er det meget betænkeligt,« siger han.

Advarslerne får dog ikke Rigspolitiet til at genoverveje brugen af amerikansk ejede databehandlere. For selvom man ikke kan kontrollere, om kontrakten overholdes, så vil man – paradoksalt nok – have bevis for, at den brydes, før man vil tage stilling til det.

»Vi har ikke anledning til at tro, at CSC ikke overholder kontrakten. Så indtil det skulle ske, så vil det være spekulationer, som jeg ingen kommentarer har til,« lyder det fra Michael Steen Hansen

Læs også: V: Danske myndigheder skal beskytte databehandlere mod amerikansk pres

I EU arbejdes der på at reformere reglerne for databeskyttelse, og den amerikanske dom understreger, at der er behov for at skærpe reglerne markant, påpeger justitskommissær Viviane Reding via sin tals­kvinde, Mina Andreeva:

»Denne dom rejser spørgsmålet om ekstraterritorial adgang til personlige data i private virksomheder, som ligger uden for USA. Kommissionens standpunkt er, at disse data ikke bør kunne tilgås direkte eller overføres til amerikanske politimyndigheder uden om de formelle samarbejdskanaler,« skriver Mina Andreeva i en e-mail.

Læs også: Kæmpebøder på vej mod datasjusk

Ifølge hende er kommissionens forslag nu skærpet i forhold til det oprindelige, idet det er tilføjet, at data udelukkende kan overgives til amerikanske myndigheder, såfremt de nationale databeskyttelsesmyndigheder har givet grønt lys til det.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (9)
John Vedsegaard

Registre som har kreditkortoplysninger, hører helt klart til i denne gruppe. Det vil så sige at næsten alle hjemmesider som tilbyder køb online, og gemmer oplysningerne til næste logon, er med i gruppen.
Der bør helt klart være forbud imod at opbevare den slags oplysninger, også selv om man skal taste det hele ind igen hver gang.
En sikkerhed i kun 4 cifre, overflødiggør alle de andre cifre på kortene, jeg syntes nu ikke det er en ret høj sikkerhed.

Personligt har jeg en konto, specielt til køb på internettet. Der skal overføres penge før hver enkelt køb og den må ikke overtrækkes med en eneste krone. Det er altså ikke samme konto til lønkonto/pbs.

Rune Larsen

betyder det ikke, at det er forbudt, at disse data håndteres af firmaer, som er underlagt en jurisdiktion, der strider mod de danske regler?

Alle kan jo give forsikringer om hvad som helst. Datatilsynet bliver nødt til at vurdere på faktuelle forhold.

Kjeld Flarup Christensen

Vi må jo lave en lov som siger at det er at betragte som spionage at udlevere danske personfølsomme data til udenlandske magter, og straffes som sådan.

Det vil så i yderste konsekvens betyde at f.eks. Microsofts CEO risikerer dansk fængsel hvis data udleveres. På den baggrund kan en amerikansk domstol få svært ved at gennemtrumfe en sådan udlevering idet de stiller databehandleren i et umuligt valg mellem at komme i amerikansk fængsel eller dansk fængsel.

Ydermere, vil en ansat der tvinges til at udlevere data kunne fængsles og i det tilfælde, vil arbejdsgiveres sandsynligvis kunne gøre erstatningspligtig, en udgift som databehandlere må tage i betragtning hvis de vil håndtere danske data.

Så den sag er såmænd ikke så svær at håndtere. Spørgsmålet er om politikerne har nosser til det.

Log ind eller Opret konto for at kommentere
Pressemeddelelser

Silicom i Søborg har fået stærk vind i sejlene…

Silicom Denmark arbejder med cutting-edge teknologier og er helt fremme hvad angår FPGA teknologien, som har eksisteret i over 20 år.
22. sep 2017

Conference: How AI and Machine Learning can accelerate your business growth

Can Artificial Intelligence (AI) and Machine Learning bring actual value to your business? Will it supercharge growth? How do other businesses leverage AI and Machine Learning?
13. sep 2017

Affecto has the solution and the tools you need

According to GDPR, you are required to be in control of all of your personally identifiable and sensitive data. There are only a few software tools on the market to support this requirement today.
13. sep 2017