Dansk IT efter Odenses droppede cloud-planer: Persondataloven skal revideres

Dansk IT ærgrer sig over, at Odense sætter Google Apps-planerne på pause. Persondataloven trænger til et eftersyn, mener interesseorganisationen.

Det er ærgerligt, at Odense Kommune efter lang tids tovtrækkeri med Datatilsynet nu vælger at lægge sine cloud-planer på hylden.

Det mener direktør i interesseorganisationen Dansk IT (DIT) Tony Franke, der ser sagen som en anledning til at give persondataloven herhjemme et tiltrængt serviceeftersyn.

Som tidligere beskrevet på Version2 dropper Odense nu at bruge cloud-tjenesten Google Apps til elevplanerne på kommunens skoler.

Læs også: Odense opgiver Google Apps-planer efter mere end to års tovtrækkeri

Det sker efter et forløb på over to år, hvor Odense ad fire omgange har sendt ansøgninger ind til Datatilsynet for at få blåstemplet brugen af Google Apps til personfølsomme oplysninger.

Det er ikke sket, blandt andet fordi Odense og Google ikke har kunnet opfylde kravet om, at datas fysiske placering skal kunne udpeges i datacenteret. Og derfor vælger Odense ikke at søge en femte gang hos Datatilsynet i denne omgang.

»Tanken med løsningen var, at den skulle være billigere og bedre end det, Odense har i forvejen. Det synes vi er en god ambition, og derfor er det ærgerligt, at de nu dropper Google Apps,« siger Tony Franke til Version2.

Han slår fast, at Dansk IT ikke er ude med riven over for Datatilsynet. De gør blot deres arbejde, lyder det.

Men sagen kan alligevel være en god anledning til, at der bliver kigget nærmere på den danske lovgivning, mener direktøren.

»Der er rigtig meget lovgivning, som er tænkt i en analog tidsalder. Når en kommune gerne vil have en løsning, som vurderes at være billigere og bedre, så bør man prøve at se på, om lovgivningen er digitalt parat. Det kunne jeg godt frygte, at den ikke er,« siger Tony Franke til Version2.

Han mener, at blikket bør rettes mod politikerne.

»Jeg prøver ikke at give svaret. Men hvis ikke vi sætter os ned og prøver at tænke det her igennem, så lader vi bare en lovgivning, der er tænkt i en anden tidsalder, køre videre ukritisk,« siger direktøren.

Den nuværende persondatalov er fra 2000 og baserer sig på et EU-direktiv fra 1995.

Version2 ville gerne have haft Digitaliseringsstyrelsen kommentar til sagen. Styrelsen har ikke ønsket at kommentere den konkrete sag over for Version2.

Opdateret 17/08 klokken 10.45: 'Brancheorganisation' rettet til 'interesseorganisation'.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (16)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Poul-Henning Kamp Blogger

Overvej lige en cloud-løsning der bliver offer for en konfiskation som vi har set det i "Kim DotCom" sagen: Hvor står Odense kommune hvis FBI kommer og konfiskere deres cloud-udbyders udstyr ?

Hvor står borgernes privatliv, hvis deres data pludselig er en del af bevismaterialet i en sag om pengevask eller skatteunddragelse i USA ?

Dansk IT's eneste motiv her er a flere offentlige IT kontrakter og det motiv kan aldrig nogensinde blive vigtigere end datasikkerhed.

Tip med hatten til Datatilsynet for at sætte hælene i.

  • 29
  • 0
Keld Simonsen

Jeg synes der er behov for en opstramning af reglerne i persondataloven, i lyset af den langt mere udbredte brug af IT i forbindelse med personfølsomme data i det offentlige. Det er synd at Odense kommune skal spilde deres tid med at undersøge hvordan de kan spare nogen kroner ved at omgå fundamentale krav i et retssamfund.

Dette bør gøres helt eksplicit i regelsættet at sikkerheden omkring de personfølsomme data er altafgørende.

Det gælder også hvem man kan overlade behandlingen af sine personfølsomme data til. Fremmede magter kan have lovgivning eller anden praksis, der forpligter et firma til at udlevere alle data på forlangende til staten. Det er fx gældende i USA med deres "Patriots' act", men det kan sagtens gælde også for andre landes firmaer.

En revision af regelsættet bør derfor også omfatte et forbud mod at benytte firmaer fra lande der forpligter deres firmaer at udlevere personfølsomme data, også når det sker i Danmark.

Keld Simonsen

  • 8
  • 0
Jens Peter Jensen

Her er jeg umiddelbart ening med PHK. Beskyttelse af de personlige oplysninger er klart første prioritet.

Er der nogen der ved, om en realistisk løsning ville være, at staten anskaffede sig sin egen sky, og brugte den til diverse statslige og kommunale tjenester? Her ville der i det mindste ikke være risikoen for, at data kommer i hænderne på andre end staten selv.

  • 8
  • 0
Keld Simonsen

En dansk statslig cloud er en god idé. Undtagen hvis den driftes eller på anden måde serviceres af udenlandske firmaer, der af deres hjemlands stat er forpligtede at udlevere alle data de kan komme i nærheden af til deres statslige myndigheder. Et firma som det amerikanske CSC bør altså undgås, da USA via deres Patriots' Act har sådan lovgivning.

  • 8
  • 0
Flemming Nielsen

@phk:
Helt enig. Persondataloven er indrettet med omtanke, og det danske retssystems muligheder for at efterforske, rejse anklageskrift, føre bevis og nå frem til en evt. domfældelse i sager om krænkelser af registerforpligtelserne ift. privatpersoner/medarbejdere bliver fuldstændig umuliggjort, hvis bevismaterialet ligger udenfor retssystemets rækkevidde og jurisdiktion.
Måske er der nærmere brug for at få uddannet og kompetenceudviklet nogle flere IT-arkitekter i den danske IT industri/branche, så man ikke blot pr. automatik læner sig op ad off-the-shelf international cloud arkitektur, når man kravsspecificerer og vælger løsning som kunde.
En ditto uddannelsesindsats og kompetenceudvikling ift. IT-arkitektur kunne evt. også være hensigtsmæssig hos visse leverandører.

  • 3
  • 0
Morten Fordsmand

Et firma som det amerikanske CSC bør altså undgås, da USA via deres Patriots' Act har sådan lovgivning.

Helt så simpelt er det jo ikke engang hed det vi i DK kalder CSC for DataCentralen! Og lur mig om ikke NNIT eller KMD en dag skal sælges til det store udland?
Så en leverandør skal nok bindes på en anden måde, end bare en debil køb-dansk holdning.
ps. dette er min holdning som dansk borger, og kan ikke sammenkædes med mit ansættelsesforhold.

  • 1
  • 0
Keld Simonsen

Ja, det er klart at et firma som CSC eller KMD kan sælges, og fx sælges til et udenlandsk firma. Derfor er det også sikrest at det er staten selv der står for den samfundskritiske infrastruktur. Dette på linje med at militær og politi er statslige opgaver, og at skat også er en heloffentlig opgave.

Jeg er slet ikke imod cloud eller udenlandske firmaer, når blot det ikke kompromitterer samfundets sikkerhed.

  • 6
  • 0
Flemming Nielsen

Glem diskussionen om, at staten evt. skulle overtage drift og systemejerskab til infrastruktur - det er ikke det som sagen handler om, og en sådan dikussion er blot at side tracke debatten ind i en blindgyde.

Sagen er ganske simpelt, at den pågældende cloud løsning ikke var tilstrækkeligt markedsmodnet ift. det marked den skulle fungere i - så simpelt er det.

Og det kan vel egentlig ikke undre jer, at man kommer ud for sådan noget, når begrebet "cloud" er så relativt nyt og jomfrueligt, som det jo reelt er - der skal yderligere "produktmodning" til, før det er klart til det pågældende marked/niche/segment.

  • 2
  • 1
Josef Assad

Undskyld, Poul-Henning, men kan du ikke lige forklare, hvad du mener med, at DANSK IT's eneste motiv er flere offentlige it-kontrakter?

Hvad ellers er formålet med en brancheforening? Der er intet galt med at en brancheforening vil skabe mere forretning for sine medlemmer.

Der er derimod meget galt med at der er en kommerciel aktør som synes de skulle være med til at bestemme hvordan en af menneskets vigtigste rettigheder (privacy) behandles juridisk.

  • 8
  • 1
Anders Sparre

Ja, det er fint nok for en brancheforening. Men DANSK IT er ikke en brancheforening (selv om vi ofte fejlagtigt bliver kaldt det) men en non-profit interesse- og netværksorganisation for it-professionelle og andre med interesse for it. Det er altså enkeltpersoner, der er medlemmer af DANSK IT. Det tror jeg også godt, Poul-Henning ved.

  • 0
  • 4
Johnny Lüchau Blogger

Det er godt nyt at Odense Kommune nu vil lytte til sagkundskaben og ikke sælgerne. Det kunne man dog have valgt at gøre for flere år siden - dette er ikke et nyt problem.

Som jeg sagde i går her på Version2's blog, så kunne udbyderne have brugt de seneste par år eller tre på at tilpasse deres produkter til EU/dansk lovgivning. Såvidt jeg ved, er man istand til at købe amerikanske biler i England med rattet i den "forkerte" side og tilpassede burgere kan sandelig købes i lande hvor man ikke havde ventet at se dem..

Jeg bliver en anelse forarget når Dansk IT og danske firmaer der videresælger disse løsninger, kommer ud og siger "vi må ændre lovgivningen". Hvordan tjener Dansk IT f.eks. sine medlemmer ved at arbejde for at vores personfølsomme data ligger og flyder rundt i fremmede lande?

Hvis nu Dansk It og danske It firmaer var loyale over for danske borgere og danske kunder, så medvirkede de til at lægge pres på cloud-leverandørerne så deres produkter blev tilpasset EU/dansk lovgivning - ikke omvendt.

  • 5
  • 0
Lars F. Jensen

Det burde være indlysende at persondata ikke kan og aldrig bør placeres udenfor de ansvarliges både fysiske og logiske kontrol.

Men placeres disse date i en absolut privat 'sky' er det noget andet.

Det er helt fint, at dette projekt opgives - det skulle aldrig have været påbegyndt. Alle argumenter af typen 'det ville være så smart' burde i denne sammenhæng nok nærmest være strafbart.

Lars :)

  • 1
  • 0
Log ind eller Opret konto for at kommentere