DI: Drop krigsregel om at kritiske persondata skal opbevares i Danmark

Data er ikke skærmet fra fremmede magter, selv om de opbevares i Danmark. Og derfor er der ikke grund til at afvise udenlandsk behandling og opbevaring af visse følsomme persondata, lyder det fra DI.
25

DI Digital går nu ud og stempler den såkaldte krigsregel overflødig. Krigsreglen er en særlig regel i persondatalovgivningen, som populært sagt kræver, at hvis personoplysninger er af særlig interesse for fremmede magter, skal man have truffet foranstaltninger, der gør, at man kan slette sine data hos sin databehandlere i tilfælde af krig.

Det fortolkes typisk således, at det er nødvendigt at opbevare sådanne kritiske data på servere i Danmark for at have den fornødne kontrol. Men det mener DI Digital altså er overflødigt:

»Der er ikke belæg for, at en bestemt geografisk placering af data giver større sikkerhed og beslutningskraft over data. Selvom data er fysisk opbevaret i Danmark, er data ikke skærmet fra fremmede landes aktører. DI vil derfor opfodre til, at sikringen af data sker gennem de allerede eksisterende værktøjer som databehandleraftale og it-sikkerhedstiltag fremfor videreførelse af krigs reglen. Og så er der en særregel mindre,« skriver DI Digtal i høringssvaret ifølge en meddelelse.

Udmeldingen kommer fra DI Digital i form af et høringssvar til et nyt forslag til databeskyttelsesloven, som regeringen netop har udsendt i forbindelse med implementeringen af den nye persondataforordning.

ATP fik nej til at overføre til Indien

Krigsreglen har faktisk sat en stopper for at overføre data til udlandet. Eksempelvis spurgte ATP for en del år siden Datatilsynet, om man kunne overføre oplysninger om næsten 4,5 millioner medlemmer og godt 150.000 indbetalende arbejdsgivere, både offentlige og private til databehandlere i Indien og Sydafrika.

Men her mente Datatilsynet, at Det Centrale Personregister samt oplysninger om personers uddannelse og erhverv er eksempler på oplysninger, der antages at være af særlig interesse for fremmede magter og derfor vil være omfattet af bestemmelsen.

»Når der behandles oplysninger, som må anses for omfattet af § 41, stk. 4 (krigsreglen, red.), er der efter Datatilsynets opfattelse ikke hjemmel i bestemmelsen til at overføre de omhandlede oplysninger til databehandlere i Indien og Sydafrika,« konkluderede tilsynet.

Læs også: Ulovligt at gemme data om kunder eller medarbejdere på Google Drive

Digitaliseringsstyrelsen har været på banen og anbefale, at data, der placeres hos en cloud-leverandør, kan krypteres på en måde, hvor dekrypteringsnøglen opbevares under strenge kontrolforanstaltninger i Danmark med en tilhørende klar procedure for, hvordan denne nøgle kan slettes i tilfælde af krig eller lignende forhold.

Bøder til det offentlige

DI Digital mener i øvrigt i høringssvaret, at der også bør kunne gives bøder til offentlige myndigheder, hvis de overtræder bestemmelserne som følger af Persondataforordningen:

»Naturligvis skal der også være konsekvenser for offentlige myndigheder, der ikke behandler personoplysninger korrekt. Især når offentlige myndigheder udøver erhvervsmæssig aktivitet, skal de sidestilles med virksomheder, men der skal også være passende sanktioner ved overtrædelser i deres øvrige myndighedsudøvelse,« skriver DI Digital

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (25)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#2 Anders Lorensen

Digitaliseringsstyrelsen har været på banen og anbefale, at data, der placeres hos en cloud-leverandør, kan krypteres på en måde, hvor dekrypteringsnøglen opbevares under strenge kontrolforanstaltninger i Danmark med en tilhørende klar procedure for, hvordan denne nøgle kan slettes i tilfælde af krig eller lignende forhold.

Hvad er så formålet med at placere dataene i udlandet, hvis ingen har adgang til at kunne bruge dataene? Var det så ikke smartere at smide dem på et par tapes i et pengeskab?

Så vidt jeg ved er forskningen omkring at regne og arbejde direkte på krypterede data ikke langt nok fremme til at kunne bruges til noget fornuftigt. Og så er det eneste man kan bruge kryptering til, til lagring af backupdata. - Og det er svært at se fordelen ved at sende backupdata til den anden ende af verdenen.

  • 6
  • 0
#3 Jørgen Elgaard Larsen

I stedet for krigsreglen bør der være et privatlivsregel, som siger præcis det samme, bortset fra det med fremmede magter og krig.

Oplysningerne skal naturligvis også kunne tilintetgøres i andre tilfælde, herunder i tilfælde af tvist med databehandleren, mistanke om læk, og alle andre tilfælde.

Jeg forstår iøvrigt ikke, hvorfor Dansk Industri gerne vil have fjernet dene begrænsning. De vil naturligvis kunne outsource en masse til udlandet - men hvor længe tror de der går, før det offentlige så handler direkte med udenlandske selskaber?

  • 20
  • 0
#5 Lars Andersen

Der er vel flere ting i det med krigsreglen.. Ja, data kan hackes næsten uanset hvor det ligger.. men hvis det ligger uden for landets grænser er det jo pludselig ikke dansk lov der gælder... Så hvis Indien eller hvor man nu placerer data vælger at slukke for data til DK .. så kan vi ikke selv bruge den.. Det må da være endnu vigtigere i forhold til krigsreglen at den også beskytter os mod manglende adgang til Data..

  • 10
  • 0
#8 Hans Schou

DI Digital mener i øvrigt i høringssvaret, at der også bør kunne gives bøder til offentlige myndigheder, hvis de overtræder bestemmelserne som følger af Persondataforordningen

Her er det så, at jeg ser frem til, at Skattevæsenet begår et antal overtrædelser, og får en bøde der er så stor at de går konkurs, og så står vi uden et skattevæsen.

Postulat: Man kan ikke give offentlige myndigheder en bøde, fordi de så bare skal have større budgetter næste år, eller tilbyde ringere service.

  • 3
  • 4
#10 Frithiof Andreas Jensen

Postulat: Man kan ikke give offentlige myndigheder en bøde, fordi de så bare skal have større budgetter næste år, eller tilbyde ringere service.

Måske - men:

Kommunernes omfattende "gaming" af sagsbehandlingen for eksempel under udredningen af førtids- og invalidepensioner peger en del i retning af at Intet overgår smerten ved at penge fra kommunekassen skal bruges på andet end "kommunikationsmedarbejdere" og circus-gøgl. Derfor tror jeg at en bøde vil have en stor effekt.

"Dårlig service" ... Man lever jo tydeligvis fint I Dag, med en forvaltningskik der taber 50% af klagesagerne. Altså, så længe man ikke skal betale pensionen med tilbagevirkende kraft eller der er andre konsekvenser ved misregimentet, så er "servicen" underordnet under de gældende regler.

M.A.O: Jeg tvivler på at lidt "back-pressure" vil have negative konsekvenser i forhold til "det er helt op til din samvittighed"-modellen som vi har i dag.

  • 8
  • 1
#11 Anders Ganer

Det ville give mere mening, hvis der i forbindelse med risikovurderingerne omkring et system blev taget konkret stilling til sikkerhedskravene. Og hvis drift og/eller support er outsourcet til eksterne, hvordan skal disse så dokumentere at leve op til kravene.

Ideen med at kryptere data giver ikke rigtigt mening, hvis vedligeholdelse, drift og support er outsourcet til trediepart.

Stil derfor mere nuancerede krav, end der p.t. ses. Teorien om, at "one size fits all" har spillet fallit, men det er jo nemmere at kopiere fra et eller andet paradigma end selv at tage stilling. Juristerne er nødt til at tale med it-teknikerne, og topledelsen bør også ind over, hvis systemet eller data er essentielt for virksomheden eller kunderne/borgerne.

Sikkerhedskrav koster, men det gør en livsforsikring jo også. Og hvem synes, at sidste års forsikringspræmie var spild af penge...

  • 1
  • 3
#12 Peter Hansen

Postulat: Man kan ikke give offentlige myndigheder en bøde, fordi de så bare skal have større budgetter næste år, eller tilbyde ringere service.

Dit naive postulat kunne måske være korrekt, hvis du vil fastholde, at det er "ringere service", at DR holder op med at

1) Give deres direktører fratrædelsesgodtgørelser på 2 mio. kr. 2) Bruge milliarder på at sende fjernsyn via 6 luftbårne kanaler i en tid, hvor Netflix kan gøre det samme for en tiendedel af udgiften 3) Betale millioner for at transportere heste over atlanten

Dit naive postulat kunne måske også være korrekt, hvis ikke det var fordi

4) SKAT har vist, at det offentlige går glip af milliarder i indtægter ved en forfejlet inddrivelse

Pointen med det ovenstående er at demonstrere over for de selvbestaltede vulgær"eksperter" i offentlig ledelse, at der er MASSER af muligheder for at effektivisere arbejdsgange og driftsbudgetter i det offentlige, hvorfor man sagtens kan give myndighederne bøder for overtrædelse af persondatalovgivningen.

  • 5
  • 4
#13 Peter Hansen

Til downrateren i det ovenstående: Ja sandheden må være ilde hørt. Surt at gå glip af sin fratrædelsesbonus fordi den skal bruges på persondatabøder, hva?

Men bliv endelig ved med at kloge jer på hvor umuligt det er at give offentlige myndigheder bøder, fordi uha uha det kan KUN føre til ringere service i det offentlige.

  • 2
  • 4
#14 Ivo Santos

Når nu ATP og de andre er så glad for at flytte driften til både Indien og Sydafrika fordi at de der kan spare på udgifterne, så burde de vel heller ikke have problemer med at flytte hovedsædet inklusiv bestyrelsen og deres lønninger til enten Indien eller Sydafrika. Men mon ikke det er fordi de pågældende bestyrelser ikke ønsker en reduktion af deres lønninger!!..

  • 12
  • 0
#15 Deleted User

Troede egentligt den regel allerede var afskaffet.

Som jeg husker det driftes NemID da allerede idag fra et datacenter i Norge af dets amerikanske ejere.

Måske ligger selve de følsomme data ikke i Norge, men hele systemet som giver adgang til de data gør og hvis man har "nøglerne" så er det vel lige meget hvor data så opbevares.

  • 6
  • 1
#18 Bjarne Nielsen

Måske ligger selve de følsomme data ikke i Norge, men hele systemet som giver adgang til de data gør og hvis man har "nøglerne" så er det vel lige meget hvor data så opbevares.

Hvis systemerne til at tilgå data (og viden om deres indretning) er i udlandet og kun de følsomme data er blevet tilbage i Danmark, så kan Danmark i en krisesituation godt nok forhindre adgang til data - men det kan udlandet sandelig også.

  • 3
  • 0
#19 Jørgen Elgaard Larsen

Dit naive postulat kunne måske være korrekt, hvis du vil fastholde, at det er "ringere service", at DR holder op med at

Mener du, at DR vil spare på gyldne håndtryk og Skat vil effektivisere inddrivelsen, hvis de får bøder?

Tendensen i DR har længe været mere TV af ringere kvalitet. Og problemerne i Skat skyldes i høj grad, at man har sparet medarbejdere på gulvet væk og forsøgt at effektivisere med defekt IT.

Jeg er alvorligt bange for, at Hans Schou har ret i sit postulat. Hvis ledelsen af en offentlig virksomhed ikke magter at følge persondataloven, kan man ikke være sikker på, at de vil være i stand til at udvælge de rette steder at spare efter en bøde.

Det vil være mere effektivt at gøre ledelsen personligt ansvarlige.

  • 7
  • 1
#20 Peter Hansen

Mener du, at DR vil spare på gyldne håndtryk og Skat vil effektivisere inddrivelsen, hvis de får bøder?

Ja selvfølgelig. Det kan de jo blive nødt til med mindre de lever i et land, hvor et flertal af vælgerne under indflydelse af betonfagforeningsretorik som dig råber "Åh nej åh nej det går virkelig ikke, vi bliver nødt til at give dem flere af vores skattepenge" hver eneste gang en offentlig myndighed opfører sig inkompetent og bliver klippet i rammen som konsekvens heraf.

Det vil være mere effektivt at gøre ledelsen personligt ansvarlige.

Nej.

Jeg er alvorligt bange for, at Hans Schou har ret i sit postulat. Hvis ledelsen af en offentlig virksomhed ikke magter at følge persondataloven, kan man ikke være sikker på, at de vil være i stand til at udvælge de rette steder at spare efter en bøde.

Naivt udsagn taget i betragtning hvor mange kommuner, der hvert år overtræder persondataloven.

  • 0
  • 1
#21 Deleted User

Det vil være mere effektivt at gøre ledelsen personligt ansvarlige.

Det har ALT for længe været totalt ansvarsfrit at skide højt og flot på sit ansvar i det offentlige.

Det har vi set adskillige gange, hvor direkte svineri og sløsethed i den offentlige administration ikke har medført så meget som en fyring.

HVIS man nu lavede det sådan at de ansatte havde forpligtigelser under strafansvar, så ville man nok gøre sig mere umage, eller råbe vagt i gevær, hvis man af ledelsen blev forsøgt tvunget til noget som ikke var ok, men som man selv risikerede at få straffen for.

Jeg er derfor HELT med på at man kunne starte med at sørge for at sløsethed, uduelighed eller lignende i sit job i det offentlige, kunne resultere i reelle sanktioner.

  • 5
  • 1
#23 Finn Christensen

Tendensen i DR har længe været mere TV af ringere kvalitet..

Antallet af genudsendelser på hovedkanalen DR1 er 2014-2016 steget fra 69 % til 75 %.

(NB: Flow TV og konservativt i hele træskolængder) Tag et gennemsnit af dem, der ser DR1, og gns. antal timer pr. dag, brug skærmens gns. effektforbrug (eks. ~70W), og gang forbruget med gns. ~kr. 1,60 (2.00- 20%). Danmarks Radio er medhjælper til unødvendigt miljøgriseri.. ;)

En kontrol(EB) her i uge 33, 2017 viser, samlet sendes 10.052 minutters TV, og kun 1995 minutter af dem – 19,8 % - var "nyheder" eller såkaldte førstegangsudsendelser.

Da de selvsamme "nyheder" i dag pisker ud af samtlige af kongeriets mediesprækker i tide og utide, så er programsættelsen "18:00 Nyheder" vel overoptimistisk, da mindst 50% af indhold opleves som drøvtygget gammelheder.. kopi af kopi af kopi.

  • 0
  • 2
#24 Keld Simonsen

I hvert fald de offentlige personfølsomme data bør være på ofentlige servere og ikke på private eller i udlandet. Vi har set gang på gang hvordan personfølsomme data bliver lækket. Jo færre led der er i kæden, jo færre muligheder er der for læk. Og Statens IT bør være kapable nok til at have ordentlig sikkerhed.

Krig er absolut ikke udelukket nu om dage, og læk af personfølsomme data er absolut også muligt, bare se på hvor meget USA gør for at få fat på personfølsomme data på udenlandske personer. DIs krav er helt hen i vejret.

  • 2
  • 0
#25 Jesper Frimann

Jørgen Elgaard Larsen skrev:

I stedet for krigsreglen bør der være et privatlivsregel, som siger præcis det samme, bortset fra det med fremmede magter og krig.

Men IMHO er der forskel på problematikken vdr. 'krigsreglen' og så borgernes privatliv generelt. Og derfor så løser en privatlivs løsning ikke nødvendigvis det med 'fremmede magter og krig'. Der er ingen tvivl om, at 'krigsreglen' er forældet. Den stammer fra en tid hvor data lå lokalt på få fysiske maskiner, der var i et aflåst rack hos en af de store databehandle, som så med høj sandsynlighed var offentlig ejet (KMD/DataCentralen). Men i dag (og har haft i lang tid) har man bla. også en anden dimension, nemlig hele 'CyberWar' vinklen. Ud over det, er der hele multi-sourcing misk masket, som man måske ikke lige har ordentlig styr på i det offentlige. Og endelig er mængden af data er eksploderet. både fordi man opsamler flere data, men også fordi ting, som før i tiden var på papir, f.eks. patient journaler, i dag i høj grad er elektroniske.

Men det ændrer stadig ikke på at 'fremmede magter' ikke skal have let spil.

Oplysningerne skal naturligvis også kunne tilintetgøres i andre tilfælde, herunder i tilfælde af tvist med databehandleren, mistanke om læk, og alle andre tilfælde.

Jo, men igen er der forskel. En af ideerne med krigsreglen er total destruktion af data, vi snakker Jægersoldat med fosfor granat ind i racket, således at backupen også ryger. Og det er måske lidt drastisk at gøre ved et 'databreach' hos en databehandler.

Jeg forstår iøvrigt ikke, hvorfor Dansk Industri gerne vil have fjernet dene begrænsning. De vil naturligvis kunne outsource en masse til udlandet

IT delen af Dansk Industri er jo i høj grad internationale firmaer, for hvem Danmark bare er et salgsterritorie, endda et territorie hvor timepriser, skat og afgifter er meget høje (de ting som beancounters typisk hænger sig i). Derfor ønsker man at høste i Danmark (og resten af Nordeuropa), men ikke at 'så' der. Desuden så forstår man jo godt i IT delen af Dansk Industri, at defacto har man allerede afskaffet krigsreglen. Igen når du har udenlandske (ikke EU) underleverandører, med udenlandske statsborgere (ikke EU), der har administrator adgang eller for den sags skyld fysisk adgang til systemerne. Så er det jo lidt lige meget.

Forhåbentlig er der en eller anden bare semi-vidende embedsmand, der får den tanke at når man i Danmark får 70-80% af lønningerne tilbage form af skatter og afgifter (når man ser på direkte og indirekte skatter og afgifter) at så er det en rigtig rigtig dårlig forretning at outsource offentlig IT, for slet ikke at tale om hvad det gør ved BNP (som man jo er meget fokuserede på i finansministeriet). Men jeg frygter desværre, at du har ret.

Det man mangler IMHO med offentlige data er, at klassificere dem rigtigt. Person henførbar/ ikke person henførbar er en alt alt for primitiv måde at gøre dette på, når det kommer til sikkerhed . Når har klassificeret offentlige data ordentligt, kan man også bedre bestemme, hvad der skal omfattes af en ny og uptodate 'krigsregel'.

// Jesper

  • 1
  • 0
Log ind eller Opret konto for at kommentere

Google anker milliardbøde fra franske myndigheder

0

Apple vil lade appudviklere sælge direkte til kunder

3

Noyb slår ned på cookies med massesøgsmål: Flere danske virksomheder iblandt

19
Job fra Jobfinder
Webinars and Whitepapersopen_in_new
Webinar
Webinar
Version2 Online Briefing: Få styr på din kerne infrastruktur og få mere værdi ud af dine ustrukturerede data
Webinar
Webinar
Forstå de seneste anbefalinger i Schrems II-sagen
Se flereopen_in_new
Jobfinder Logo
Upload dit CV
Få nye job via e-mail
Upload din jobannonce
Job fra Jobfinder