DI Digital går nu ud og stempler den såkaldte krigsregel overflødig. Krigsreglen er en særlig regel i persondatalovgivningen, som populært sagt kræver, at hvis personoplysninger er af særlig interesse for fremmede magter, skal man have truffet foranstaltninger, der gør, at man kan slette sine data hos sin databehandlere i tilfælde af krig.
Det fortolkes typisk således, at det er nødvendigt at opbevare sådanne kritiske data på servere i Danmark for at have den fornødne kontrol. Men det mener DI Digital altså er overflødigt:
»Der er ikke belæg for, at en bestemt geografisk placering af data giver større sikkerhed og beslutningskraft over data. Selvom data er fysisk opbevaret i Danmark, er data ikke skærmet fra fremmede landes aktører. DI vil derfor opfodre til, at sikringen af data sker gennem de allerede eksisterende værktøjer som databehandleraftale og it-sikkerhedstiltag fremfor videreførelse af krigs reglen. Og så er der en særregel mindre,« skriver DI Digtal i høringssvaret ifølge en meddelelse.
Udmeldingen kommer fra DI Digital i form af et høringssvar til et nyt forslag til databeskyttelsesloven, som regeringen netop har udsendt i forbindelse med implementeringen af den nye persondataforordning.
ATP fik nej til at overføre til Indien
Krigsreglen har faktisk sat en stopper for at overføre data til udlandet. Eksempelvis spurgte ATP for en del år siden Datatilsynet, om man kunne overføre oplysninger om næsten 4,5 millioner medlemmer og godt 150.000 indbetalende arbejdsgivere, både offentlige og private til databehandlere i Indien og Sydafrika.
Men her mente Datatilsynet, at Det Centrale Personregister samt oplysninger om personers uddannelse og erhverv er eksempler på oplysninger, der antages at være af særlig interesse for fremmede magter og derfor vil være omfattet af bestemmelsen.
»Når der behandles oplysninger, som må anses for omfattet af § 41, stk. 4 (krigsreglen, red.), er der efter Datatilsynets opfattelse ikke hjemmel i bestemmelsen til at overføre de omhandlede oplysninger til databehandlere i Indien og Sydafrika,« konkluderede tilsynet.
Digitaliseringsstyrelsen har været på banen og anbefale, at data, der placeres hos en cloud-leverandør, kan krypteres på en måde, hvor dekrypteringsnøglen opbevares under strenge kontrolforanstaltninger i Danmark med en tilhørende klar procedure for, hvordan denne nøgle kan slettes i tilfælde af krig eller lignende forhold.
Bøder til det offentlige
DI Digital mener i øvrigt i høringssvaret, at der også bør kunne gives bøder til offentlige myndigheder, hvis de overtræder bestemmelserne som følger af Persondataforordningen:
»Naturligvis skal der også være konsekvenser for offentlige myndigheder, der ikke behandler personoplysninger korrekt. Især når offentlige myndigheder udøver erhvervsmæssig aktivitet, skal de sidestilles med virksomheder, men der skal også være passende sanktioner ved overtrædelser i deres øvrige myndighedsudøvelse,« skriver DI Digital