Datatilsynet: Drop Dropbox nu!

14. juli 2011 kl. 11:1428
En afgørelse fra Datatilsynet slår fast, at det ikke er lovligt at bruge Dropbox til at gemme personfølsomme dokumenter uden tilladelse fra tilsynet. Og den tilladelse bliver svær at få.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Personfølsomme oplysninger må ikke gemmes i den populære online-tjeneste Dropbox. Det fremgår af en en afgørelse, som Datatilsynet netop har lagt på sin hjemmeside.

Afgørelsen falder, efter at Datatilsynet har inspiceret en unavngiven persons behandling af følsomme personoplysninger. Undersøgelsen viste, at vedkommende netop brugte Dropbox til at tage backup af sine klientjournaler.

Derfor har tilsynet afgjort, at den dataansvarlige »omgående må stoppe brugen af Dropbox til behandling af personfølsomme oplysninger«.

Problemet med at bruge Dropbox er, at det kan være svært at gennemskue hvor i verden de data, som en bruger lægger i Dropbox, rent fysisk bliver gemt. Derfor vil brugeren med stor sandsynlighed komme karambolage med persondatalovens regler om at overføre personoplysninger til lande uden for EU, hvilket er ulovligt uden særlig tilladelse.

Artiklen fortsætter efter annoncen

Hvis man alligevel vil forsøge sig at få en tilladelse igennem hos Datatilsynet, er det en omstændig affære, man skal igennem. Virksomheden i det pågældende land, som oplysningerne bliver overført til, skal blandt andet være omfattet af en såkaldt ”Safe Habor” ordning, hvilket Dropbox ifølge Datatilsynet ikke er.

Samtidig skal personen med ansvaret for oplysningerne kunne garantere, at Dropbox ikke gør brug af oplysningerne, og at de har en tilstrækkelig teknisk sikkerhed, som personen selv skal have mulighed for at godkende.

Persondataloven gør det dog også muligt at opnå en tilladelse fra Datatilsynet, hvis klienterne selv giver lov til, at oplysningerne må overføres til udlandet. Men for at tilladelsen skal leve op til persondataloven, skal klienten blandt andet oplyses om, hvilke oplysninger der overføres, til hvilken virksomhed, til hvilket land og ud fra hvilket formål.

Desuden skal ansøgeren kunne garantere, at oplysningerne bliver fjernet fra tredjepartslandet, hvis klienten ikke længere ønsker, at de ligger i udlandet. Men man skal stadig ikke regne med, at blive mødt med åbne arme fra Datatilsynet, da det hedder sig i afgørelsen, at man ikke ser en sådan tilladelse som en ”hensigtsmæssig løsning”.

Artiklen fortsætter efter annoncen

Læs hele afgørelsen..

28 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
32
1. december 2015 kl. 14:18

Hvad anbefaler I vi private bruger? Hvis det skal være nemt, og ikke ligger under for alt for meget overvågning osv? Jeg har en NAS i dag, men vil også gerne spare lidt strøm og nye diske osv, og lægge noget ud i skyen. Men jeg har ikke turde indtil videre.

21
15. juli 2011 kl. 10:21

Dropbox har enorme sikkerhedsproblemer, så det er helt på sin plads at datatilsynet forbyder netop den cloud service.

Blandt andet havde de for få uger siden en fejl, der gjorde at man kunne få adgang til en brugers dropbox bare ved at kende deres mail-adresse, passwordet var ligegyldigt!

Der er også utallige andre sikkerhedsproblemer med deres service, se blandt andet første afsnit af Techsnap her: http://www.jupiterbroadcasting.com/7211/dropbox-flaws-techsnap-1/

Og bare rolig, Techsnap belyser langt værre problemer med Dropbox i senere episoder af deres show.

20
14. juli 2011 kl. 17:17

...Kan dårligt undgå at ryge i samme kategori hos datatilsynet som Dropbox. Her er det vel også kun et spørgsmål om tid/anledning før at de får samme behandling. Nogen som har noget overblik over beskyttelsesmekanismer hos Evernote ?

19
14. juli 2011 kl. 16:28

Datatilsynet anke, udover at det ikke er blevet spurgt først, er placeringen af data som ifølge lovgivningen kun må placeres i EU eller hos firmaer der er "Safe Harbor". Hvis et firma vil ind på markedet kan de jo bare dokumentere at de lever op til kravet. Det er et ret fornuftigt krav at data ligger et sted hvor lovgivningen harmonere med danske krav til håndteringen af persondata.

18
14. juli 2011 kl. 14:54

Jeg har det meget godt med at der findes noget som hedder datatilsynet. Men man kan på den anden side heller ikke helt stoppe en meget logisk udvikling.

For mig at se burde datatilsynet have et ekstra ben. I stedet for kun at sige hvad man ikke må, burde de gå konstruktivt ind i debatten. efter som lagring i skyen er en meget logisk tanke, specielt når man snakker om muligheder for besparelser, så burde det nye ben være at de går konstruktivt ind i debatten og arbejder med løsningsforslag så databeskyttelse kan indpasses i nytænkningen. Dette ville være konstruktivt i stedet for destruktivt.

13
14. juli 2011 kl. 13:27

Datatilsynet afslutter deres brev med:Datatilsynet skal for god ordens skyld oplyse, at dette brev vil blive offentliggjort på tilsynets hjemmeside som led i tilsynets aktiviteter med at informere om persondataloven og tilsynets praksis (retsinformation). I den forbindelse vil dit navn og adresse samt anmeldelsens journalnummer blive udeladt, så det ikke er muligt for udenforstående at vide, hvem sagen vedrører.

En række borgere er blevet krænket, og der er risiko for misbrug af deres følsomme personoplysninger (der står "klientjournaler", så vi er ude over trivielle sager som at privatperson Jensen gemmer sin ex-kæreste liste på Dropbox). Men det kan disse borgere ikke få at vide fordi Datatilsynet ikke vil fortælle os hvem der har overtrådt persondataloven. Hvis hensynet til virksomheden taler mod en offentliggørelse, kunne Datatilsynet i det mindste forlange at virksomheden per brev orienterede hver enkelt borger om krænkelsen og risikoen for misbrug.

16
14. juli 2011 kl. 13:50

Præcis min første tanke. Det er i øvrigt grotesk, at man som læge eller anden betroet behandler kan være så tanketom, at man smider følsomme persondata i Dropbox.

17
14. juli 2011 kl. 13:53

Overskriften kl. 1350 skulle have været: Re: Hvorfor skal de berørte borgere ikke orienteres?

5
14. juli 2011 kl. 11:53

Hvis nu man kan garantere, at andre ikke kan gøre brug af oplysningerne gemt i "skyen", mon så ikke resten af problemstillingerne kan ryddes af vejen ?

En pragmatisk holdning til brug af eksterne services kommer jo nok på et tidspunkt, men jeg kan ikke se nogen grund til at man behøver at slække på sikkerhedskravene. Der er jo ikke nogen teknisk grund til at man ikke skulle kunne udbyde en service hvor data bliver krypteret på klienten, og derfor hverken er muligt at få adgang til på vej til og fra skyen, eller for leverandøren at tilgå data.

Kan det virkelig passe at der ikke findes nogen sum udbyder en Dropbox lignende service, med indbygget kryptering på klient siden?

4
14. juli 2011 kl. 11:52

Gælder afgørelsen også data, der er krypterede via ens egen private nøgle og dermed ubrugelige for andre?

9
14. juli 2011 kl. 12:25

Fordi kryptering kan brydes... Før eller siden, formentligt før...

26
21. august 2012 kl. 13:33

Fordi kryptering kan brydes... Før eller siden, formentligt før...

Jamen den type argument kan man vel bruge overfor stort set alle lagringer - også interne. Al sikkerhed kan brydes og så snart der er tilgang til data fra en eller flere computere med netværk, vil der være en vis sandsynlighed for at data før eller siden kan tilgås af uvedkommende.

15
14. juli 2011 kl. 13:42

Det eneste du skal gøre er jo netop at tage kontrol med hans maskine. Hvis du først har kompromitteret lægens maskine én gang, er forskellen at med Dropboxen kan du fortsætte med at læse/kopiere alle nye data uanset hvad lægen gør ved maskinen. Så længe han ikke ændrer nøglen har du 27/7/365 adgang til hans data - også efter klinikken er brændt ned til grunden...

3
14. juli 2011 kl. 11:37

"at man ikke ser en sådan tilladelse som en ”hensigtsmæssig løsning”.

Så kunne det måske være interessant hvis Datatilsynet ville komme med et bud på en hensigtsmæssig løsning som ikke involvere at dataene kun kan/må gemmes internt.

Nu bliver Dropbox hængt ud men hvad så med Amazon S3, Microsoft Azure, CrashPlan, Apple's kommende iCloud og de hundredevis af andre eksterne lager og backup løsninger?

Fælles for de fleste cloud løsninger er at det er rigtig svært at gennemskue hvor henne dataene fysisk er placeret.

22
15. juli 2011 kl. 16:08

Nu bliver Dropbox hængt ud men hvad så med Amazon S3, Microsoft Azure, CrashPlan, Apple's kommende iCloud og de hundredevis af andre eksterne lager og backup løsninger?

Med Amazon S3 kan man vælge at få sine data lagret inden for EU (at dømme efter http://aws.amazon.com/s3/faqs/#Where_is_my_data_stored gælder det også backupkopier). På den måde kommer man ikke konflikt med den regel, der omtales i artiklen.

Jeg ved ikke, om andre EU-lande har tilsvarende lovgivning. Det er ikke utænkeligt, så mon ikke der vil være et stort nok marked i EU til, at andre cloud-udbydere også vil etablere datacentre her.

23
15. juli 2011 kl. 16:23

Med Amazon S3 kan man vælge at få sine data lagret inden for EU (at dømme efter <a href="http://aws.amazon.com/s3/faqs/#Where_is_my_data_stored">http://aws.amaz…; gælder det også backupkopier). På den måde kommer man ikke konflikt med den regel, der omtales i artiklen.

Det er jeg ikke overbevist om. Amazon er en amerikansk virksomhed, som er omfattet af The Patriot Act, og hvis man skal tro Microsoft's udtalelser i denne ComON artikel gælder "Patriot Act" bagdøren også for data med fysisk placering i EU datacentre (når cloud udbyderen er amerikansk)http://comon.dk/nyheder/usa-har-adgang-til-europ-iske-cloud-data-1.474501.html

Hvis alle klient-side krypterede inden de smed "deres" data i cloud, kunne vi undgå denne diskussion om hvem der har adgang til data (berettiget eller uberettiget).

24
15. juli 2011 kl. 16:43

Det er jeg ikke overbevist om. Amazon er en amerikansk virksomhed, som er omfattet af The Patriot Act,

Det er jo pudsigt, at ét lands lov kan pålægge en virksomhed at bryde et andet lands love. Hvis Danmark vil opretholde bestemmelsen, har vi vel ikke andet valg end helt at forbyde amerikanske firmaer at behandle persondata (og ditto med firmaer underlagt tilsvarende lovgivning fra andre lande).

Et drastisk skridt, og næppe særlig realistisk når man tænker på Folketingets generelle holdning til at sikre borgeres privatliv over for vestlige efterretningstjenester. Så er det nok en mere farbar vej, at EU kan finde en mindelig ordning med USA, hvor man mødes "på midten", ligesom det for nylig lykkedes med aftalen om udveksling af bankoplysninger:http://news.softpedia.com/news/SWIFT-Data-Transfer-Agreement-with-US-Passes-European-Parliament-146985.shtml

29
23. september 2012 kl. 14:35

Det er jo pudsigt, at ét lands lov kan pålægge en virksomhed at bryde et andet lands love. Hvis Danmark vil opretholde bestemmelsen, har vi vel ikke andet valg end helt at forbyde amerikanske firmaer at behandle persondata (og ditto med firmaer underlagt tilsvarende lovgivning fra andre lande).

Eller man kunne opretholde dansk lov og kræve at data lagres sporbart i Danmark...

Sådan et produkt er der flere leverandøre til og om et danske selskab har en amerikansk ejer (som der sikkert også er flere danske firmaer på fondsbørsen har) skal det stadig leve op til dansk lov. Ligsom Google Danmark også kunne byde ind på den opgave hvis de havde et datacenter i Danmark men de kan ikke sikre det bliver i Danmark så derfor er de stemt hjem...

30
23. september 2012 kl. 14:59

Eller man kunne opretholde dansk lov og kræve at data lagres sporbart i Danmark...

Det gør sådan set ingen forskel hvis data administreres af et amerikansk datterselskab. De kommer også ind under Patriot loven.

Firmaet vil dog ikke kunne udlevere danske data i Danmark efter Patriot uden at overtræde dansk lov. Det er vigtigt at slå fast.

Men samtidig kan firmaet ikke nægte at udlevere data til den amerikanske regering efter Patriot uden at overtræde amerikansk lov.

Hvad der sker i en sådan situation er uklart, men et af elementerne i Patriot loven er at man ikke må orientere de berørte (hvis data udleveres), så hvis der var nogle sager af denne type, ville vi formentlig slet ikke høre om dem.

28
23. september 2012 kl. 13:56

Det er jo pudsigt, at ét lands lov kan pålægge en virksomhed at bryde et andet lands love. Hvis Danmark vil opretholde bestemmelsen, har vi vel ikke andet valg end helt at forbyde amerikanske firmaer at behandle persondata (og ditto med firmaer underlagt tilsvarende lovgivning fra andre lande).

Ja, en åbenlys konsekvens af Patriot Act er, at det skal være forbudt for amerikanske firmaer at behandle danske persondata. Så kan de mærke på deres pengepung, at de har lavet en tåbelig lovgivning.

6
14. juli 2011 kl. 12:11

Nu bliver Dropbox hængt ud men hvad så med Amazon S3, Microsoft Azure, CrashPlan, Apple's kommende iCloud og de hundredevis af andre eksterne lager og backup løsninger?

Ak ja, desværre er det jo tradition hos det offentlige at man kun fokuserer på de enkle produkter fremfor definitionssager indtil det går over gevind. Det offentlige er jo mest kendt for at være bagude når det gælder hvad der foregår i omverdenen (og noget tyder i senere tid at dette sågar også gælder international politik).

Derfor er det jo klart at Datatilsynet kun har fået øjnene op for Dropbox, da dette er under lup. Eftersom Datatilsynet endnu ikke har haft henvendelser fra de andre udbydelser, så har de ikke gjort dem den tanke at udstille et dekret om deres håndtering.

Embedsmænd får jo penge så længe de arbejder. Og hvis de arbejder effektivt, så er der mindre arbejde. Og Danmark er et embedsmandsland, så ineffektive har og vil vi altid være.

14
14. juli 2011 kl. 13:34

Det brev som artiklen handler om er jo en konkret sag om en som ikke har givet korrekte oplysninger til tilsynet og som ikke lader til at have sat sig ind i hvordan personoplysninger skal behandles. På den baggrund synes jeg egentlig de er ret grundige med at forklare hvad problemet er og hvilke regler der skal overholdes.

Det ville selvfølgelig være dejlig nemt med konkrete vejledninger for hver udbyder, men det er vel ikke rigtig en myndighedsopgave at specificere løsningerne, og det ville vel nærmest være på kant med rollen som tilsyn.

Der er nogle gode input i afgørelsen og kommentarerne omkring "safe harbour" og hvilken rolle kryptering spiller, jeg håber at version2 eller en blogger vil bore lidt og forklare nærmere ;-).

12
14. juli 2011 kl. 13:02

Sikke en gang fordomsfuldt, forvrøvlet sludder! Er det nemmere for dig at udtale dig uden at være belastet af nogen som helst form for indsigt? Har du brug for at forenkle din begrebsverden ved at skære alle over én kam?

I så fald glæder jeg mig til at de ikke udstiller sig selv som så lette ofre til at kunne skære under én kam. Det er nu ikke fordi de danske embedsmænd ikke kan når det gælder, men på vise områder - især teknologi - der halter de bagefter.