Datatilsynet: Drop Dropbox nu!

En afgørelse fra Datatilsynet slår fast, at det ikke er lovligt at bruge Dropbox til at gemme personfølsomme dokumenter uden tilladelse fra tilsynet. Og den tilladelse bliver svær at få.

Personfølsomme oplysninger må ikke gemmes i den populære online-tjeneste Dropbox. Det fremgår af en en afgørelse, som Datatilsynet netop har lagt på sin hjemmeside.

Afgørelsen falder, efter at Datatilsynet har inspiceret en unavngiven persons behandling af følsomme personoplysninger. Undersøgelsen viste, at vedkommende netop brugte Dropbox til at tage backup af sine klientjournaler.

Derfor har tilsynet afgjort, at den dataansvarlige »omgående må stoppe brugen af Dropbox til behandling af personfølsomme oplysninger«.

Problemet med at bruge Dropbox er, at det kan være svært at gennemskue hvor i verden de data, som en bruger lægger i Dropbox, rent fysisk bliver gemt. Derfor vil brugeren med stor sandsynlighed komme karambolage med persondatalovens regler om at overføre personoplysninger til lande uden for EU, hvilket er ulovligt uden særlig tilladelse.

Læs også: Datatilsynet kræver klar besked fra Facebook

Hvis man alligevel vil forsøge sig at få en tilladelse igennem hos Datatilsynet, er det en omstændig affære, man skal igennem. Virksomheden i det pågældende land, som oplysningerne bliver overført til, skal blandt andet være omfattet af en såkaldt ”Safe Habor” ordning, hvilket Dropbox ifølge Datatilsynet ikke er.

Samtidig skal personen med ansvaret for oplysningerne kunne garantere, at Dropbox ikke gør brug af oplysningerne, og at de har en tilstrækkelig teknisk sikkerhed, som personen selv skal have mulighed for at godkende.

Persondataloven gør det dog også muligt at opnå en tilladelse fra Datatilsynet, hvis klienterne selv giver lov til, at oplysningerne må overføres til udlandet. Men for at tilladelsen skal leve op til persondataloven, skal klienten blandt andet oplyses om, hvilke oplysninger der overføres, til hvilken virksomhed, til hvilket land og ud fra hvilket formål.

Desuden skal ansøgeren kunne garantere, at oplysningerne bliver fjernet fra tredjepartslandet, hvis klienten ikke længere ønsker, at de ligger i udlandet. Men man skal stadig ikke regne med, at blive mødt med åbne arme fra Datatilsynet, da det hedder sig i afgørelsen, at man ikke ser en sådan tilladelse som en ”hensigtsmæssig løsning”.

Læs hele afgørelsen..

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (28)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Michael Lykke

"at man ikke ser en sådan tilladelse som en ”hensigtsmæssig løsning”.

Så kunne det måske være interessant hvis Datatilsynet ville komme med et bud på en hensigtsmæssig løsning som ikke involvere at dataene kun kan/må gemmes internt.

Nu bliver Dropbox hængt ud men hvad så med Amazon S3, Microsoft Azure, CrashPlan, Apple's kommende iCloud og de hundredevis af andre eksterne lager og backup løsninger?

Fælles for de fleste cloud løsninger er at det er rigtig svært at gennemskue hvor henne dataene fysisk er placeret.

  • 15
  • 0
Esben Haabendal

Hvis nu man kan garantere, at andre ikke kan gøre brug af oplysningerne gemt i "skyen", mon så ikke resten af problemstillingerne kan ryddes af vejen ?

En pragmatisk holdning til brug af eksterne services kommer jo nok på et tidspunkt, men jeg kan ikke se nogen grund til at man behøver at slække på sikkerhedskravene. Der er jo ikke nogen teknisk grund til at man ikke skulle kunne udbyde en service hvor data bliver krypteret på klienten, og derfor hverken er muligt at få adgang til på vej til og fra skyen, eller for leverandøren at tilgå data.

Kan det virkelig passe at der ikke findes nogen sum udbyder en Dropbox lignende service, med indbygget kryptering på klient siden?

  • 3
  • 0
David Rechnagel Udsen

Nu bliver Dropbox hængt ud men hvad så med Amazon S3, Microsoft Azure, CrashPlan, Apple's kommende iCloud og de hundredevis af andre eksterne lager og backup løsninger?

Ak ja, desværre er det jo tradition hos det offentlige at man kun fokuserer på de enkle produkter fremfor definitionssager indtil det går over gevind. Det offentlige er jo mest kendt for at være bagude når det gælder hvad der foregår i omverdenen (og noget tyder i senere tid at dette sågar også gælder international politik).

Derfor er det jo klart at Datatilsynet kun har fået øjnene op for Dropbox, da dette er under lup. Eftersom Datatilsynet endnu ikke har haft henvendelser fra de andre udbydelser, så har de ikke gjort dem den tanke at udstille et dekret om deres håndtering.

Embedsmænd får jo penge så længe de arbejder. Og hvis de arbejder effektivt, så er der mindre arbejde. Og Danmark er et embedsmandsland, så ineffektive har og vil vi altid være.

  • 8
  • 14
Søren Breddam

Embedsmænd får jo penge så længe de arbejder. Og hvis de arbejder effektivt, så er der mindre arbejde. Og Danmark er et embedsmandsland, så ineffektive har og vil vi altid være.


Sikke en gang fordomsfuldt, forvrøvlet sludder!
Er det nemmere for dig at udtale dig uden at være belastet af nogen som helst form for indsigt?
Har du brug for at forenkle din begrebsverden ved at skære alle over én kam?

  • 17
  • 3
David Rechnagel Udsen

Sikke en gang fordomsfuldt, forvrøvlet sludder! Er det nemmere for dig at udtale dig uden at være belastet af nogen som helst form for indsigt? Har du brug for at forenkle din begrebsverden ved at skære alle over én kam?

I så fald glæder jeg mig til at de ikke udstiller sig selv som så lette ofre til at kunne skære under én kam. Det er nu ikke fordi de danske embedsmænd ikke kan når det gælder, men på vise områder - især teknologi - der halter de bagefter.

  • 3
  • 9
Jesper Lund

Datatilsynet afslutter deres brev med:
Datatilsynet skal for god ordens skyld oplyse, at dette brev vil blive offentliggjort på tilsynets hjemmeside som led i tilsynets aktiviteter med at informere om persondataloven og tilsynets praksis (retsinformation). I den forbindelse vil dit navn og adresse samt anmeldelsens journalnummer blive udeladt, så det ikke er muligt for udenforstående at vide, hvem sagen vedrører.

En række borgere er blevet krænket, og der er risiko for misbrug af deres følsomme personoplysninger (der står "klientjournaler", så vi er ude over trivielle sager som at privatperson Jensen gemmer sin ex-kæreste liste på Dropbox). Men det kan disse borgere ikke få at vide fordi Datatilsynet ikke vil fortælle os hvem der har overtrådt persondataloven. Hvis hensynet til virksomheden taler mod en offentliggørelse, kunne Datatilsynet i det mindste forlange at virksomheden per brev orienterede hver enkelt borger om krænkelsen og risikoen for misbrug.

  • 11
  • 0
Tore Green

Det brev som artiklen handler om er jo en konkret sag om en som ikke har givet korrekte oplysninger til tilsynet og som ikke lader til at have sat sig ind i hvordan personoplysninger skal behandles. På den baggrund synes jeg egentlig de er ret grundige med at forklare hvad problemet er og hvilke regler der skal overholdes.

Det ville selvfølgelig være dejlig nemt med konkrete vejledninger for hver udbyder, men det er vel ikke rigtig en myndighedsopgave at specificere løsningerne, og det ville vel nærmest være på kant med rollen som tilsyn.

Der er nogle gode input i afgørelsen og kommentarerne omkring "safe harbour" og hvilken rolle kryptering spiller, jeg håber at version2 eller en blogger vil bore lidt og forklare nærmere ;-).

  • 7
  • 0
Jens Henriksen

Det eneste du skal gøre er jo netop at tage kontrol med hans maskine. Hvis du først har kompromitteret lægens maskine én gang, er forskellen at med Dropboxen kan du fortsætte med at læse/kopiere alle nye data uanset hvad lægen gør ved maskinen. Så længe han ikke ændrer nøglen har du 27/7/365 adgang til hans data - også efter klinikken er brændt ned til grunden...

  • 0
  • 2
Gert Agerholm

Jeg har det meget godt med at der findes noget som hedder datatilsynet. Men man kan på den anden side heller ikke helt stoppe en meget logisk udvikling.

For mig at se burde datatilsynet have et ekstra ben. I stedet for kun at sige hvad man ikke må, burde de gå konstruktivt ind i debatten. efter som lagring i skyen er en meget logisk tanke, specielt når man snakker om muligheder for besparelser, så burde det nye ben være at de går konstruktivt ind i debatten og arbejder med løsningsforslag så databeskyttelse kan indpasses i nytænkningen. Dette ville være konstruktivt i stedet for destruktivt.

  • 0
  • 0
Jan Friberg

Datatilsynet anke, udover at det ikke er blevet spurgt først, er placeringen af data som ifølge lovgivningen kun må placeres i EU eller hos firmaer der er "Safe Harbor". Hvis et firma vil ind på markedet kan de jo bare dokumentere at de lever op til kravet. Det er et ret fornuftigt krav at data ligger et sted hvor lovgivningen harmonere med danske krav til håndteringen af persondata.

  • 6
  • 0
Jon Linde

...Kan dårligt undgå at ryge i samme kategori hos datatilsynet som Dropbox.
Her er det vel også kun et spørgsmål om tid/anledning før at de får samme behandling.
Nogen som har noget overblik over beskyttelsesmekanismer hos Evernote ?

  • 0
  • 0
Martin Pedersen

Dropbox har enorme sikkerhedsproblemer, så det er helt på sin plads at datatilsynet forbyder netop den cloud service.

Blandt andet havde de for få uger siden en fejl, der gjorde at man kunne få adgang til en brugers dropbox bare ved at kende deres mail-adresse, passwordet var ligegyldigt!

Der er også utallige andre sikkerhedsproblemer med deres service, se blandt andet første afsnit af Techsnap her: http://www.jupiterbroadcasting.com/7211/dropbox-flaws-techsnap-1/

Og bare rolig, Techsnap belyser langt værre problemer med Dropbox i senere episoder af deres show.

  • 1
  • 0
Christian Schmidt

Nu bliver Dropbox hængt ud men hvad så med Amazon S3, Microsoft Azure, CrashPlan, Apple's kommende iCloud og de hundredevis af andre eksterne lager og backup løsninger?


Med Amazon S3 kan man vælge at få sine data lagret inden for EU (at dømme efter http://aws.amazon.com/s3/faqs/#Where_is_my_data_stored gælder det også backupkopier). På den måde kommer man ikke konflikt med den regel, der omtales i artiklen.

Jeg ved ikke, om andre EU-lande har tilsvarende lovgivning. Det er ikke utænkeligt, så mon ikke der vil være et stort nok marked i EU til, at andre cloud-udbydere også vil etablere datacentre her.

  • 0
  • 0
Jesper Lund

Med Amazon S3 kan man vælge at få sine data lagret inden for EU (at dømme efter http://aws.amazon.com/s3/faqs/#Where_is_my_data_stored gælder det også backupkopier). På den måde kommer man ikke konflikt med den regel, der omtales i artiklen.

Det er jeg ikke overbevist om. Amazon er en amerikansk virksomhed, som er omfattet af The Patriot Act, og hvis man skal tro Microsoft's udtalelser i denne ComON artikel gælder "Patriot Act" bagdøren også for data med fysisk placering i EU datacentre (når cloud udbyderen er amerikansk)
http://comon.dk/nyheder/usa-har-adgang-til-europ-iske-cloud-data-1.47450...

Hvis alle klient-side krypterede inden de smed "deres" data i cloud, kunne vi undgå denne diskussion om hvem der har adgang til data (berettiget eller uberettiget).

  • 0
  • 0
Christian Schmidt

Det er jeg ikke overbevist om. Amazon er en amerikansk virksomhed, som er omfattet af The Patriot Act,


Det er jo pudsigt, at ét lands lov kan pålægge en virksomhed at bryde et andet lands love. Hvis Danmark vil opretholde bestemmelsen, har vi vel ikke andet valg end helt at forbyde amerikanske firmaer at behandle persondata (og ditto med firmaer underlagt tilsvarende lovgivning fra andre lande).

Et drastisk skridt, og næppe særlig realistisk når man tænker på Folketingets generelle holdning til at sikre borgeres privatliv over for vestlige efterretningstjenester. Så er det nok en mere farbar vej, at EU kan finde en mindelig ordning med USA, hvor man mødes "på midten", ligesom det for nylig lykkedes med aftalen om udveksling af bankoplysninger:
http://news.softpedia.com/news/SWIFT-Data-Transfer-Agreement-with-US-Pas...

  • 4
  • 0
Nils Bøjden

Så er det nok en mere farbar vej, at EU kan finde en mindelig ordning med USA, hvor man mødes "på midten",

Man er overhovedet ikke mødtes på midten. Prøv at spørge om Europæiske efterretningstjenester har adgang til Amerikanske bankdata. Først når sidstnævnte er et faktum, er det tale om at mødes på midten. Indtil da er der ren kapitulation fra EU-kommisionens side. Bend over, Please!

  • 6
  • 0
Jens Peter Jensen
  • 3
  • 0
Jakob Damkjær

Det er jo pudsigt, at ét lands lov kan pålægge en virksomhed at bryde et andet lands love. Hvis Danmark vil opretholde bestemmelsen, har vi vel ikke andet valg end helt at forbyde amerikanske firmaer at behandle persondata (og ditto med firmaer underlagt tilsvarende lovgivning fra andre lande).

Eller man kunne opretholde dansk lov og kræve at data lagres sporbart i Danmark...

Sådan et produkt er der flere leverandøre til og om et danske selskab har en amerikansk ejer (som der sikkert også er flere danske firmaer på fondsbørsen har) skal det stadig leve op til dansk lov. Ligsom Google Danmark også kunne byde ind på den opgave hvis de havde et datacenter i Danmark men de kan ikke sikre det bliver i Danmark så derfor er de stemt hjem...

  • 0
  • 2
Jesper Lund

Eller man kunne opretholde dansk lov og kræve at data lagres sporbart i Danmark...

Det gør sådan set ingen forskel hvis data administreres af et amerikansk datterselskab. De kommer også ind under Patriot loven.

Firmaet vil dog ikke kunne udlevere danske data i Danmark efter Patriot uden at overtræde dansk lov. Det er vigtigt at slå fast.

Men samtidig kan firmaet ikke nægte at udlevere data til den amerikanske regering efter Patriot uden at overtræde amerikansk lov.

Hvad der sker i en sådan situation er uklart, men et af elementerne i Patriot loven er at man ikke må orientere de berørte (hvis data udleveres), så hvis der var nogle sager af denne type, ville vi formentlig slet ikke høre om dem.

  • 5
  • 0
Michael Jensen

Hvad anbefaler I vi private bruger?
Hvis det skal være nemt, og ikke ligger under for alt for meget overvågning osv?
Jeg har en NAS i dag, men vil også gerne spare lidt strøm og nye diske osv, og lægge noget ud i skyen. Men jeg har ikke turde indtil videre.

  • 0
  • 0
Log ind eller Opret konto for at kommentere