DI: Drop krigsregel om at kritiske persondata skal opbevares i Danmark

29. august 2017 kl. 10:4725
Data er ikke skærmet fra fremmede magter, selv om de opbevares i Danmark. Og derfor er der ikke grund til at afvise udenlandsk behandling og opbevaring af visse følsomme persondata, lyder det fra DI.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

DI Digital går nu ud og stempler den såkaldte krigsregel overflødig. Krigsreglen er en særlig regel i persondatalovgivningen, som populært sagt kræver, at hvis personoplysninger er af særlig interesse for fremmede magter, skal man have truffet foranstaltninger, der gør, at man kan slette sine data hos sin databehandlere i tilfælde af krig.

Krigsreglen

Det følger af persondatalovens § 41, stk. 4, at for oplysninger, som behandles for den offentlige forvaltning, og som er af særlig interesse for fremmede magter, skal der træffes foranstaltninger, der muliggør bortskaffelse eller tilintetgørelse i tilfælde af krig eller lignende forhold.

Kilde: Datatilsynet

Det fortolkes typisk således, at det er nødvendigt at opbevare sådanne kritiske data på servere i Danmark for at have den fornødne kontrol. Men det mener DI Digital altså er overflødigt:

»Der er ikke belæg for, at en bestemt geografisk placering af data giver større sikkerhed og beslutningskraft over data. Selvom data er fysisk opbevaret i Danmark, er data ikke skærmet fra fremmede landes aktører. DI vil derfor opfodre til, at sikringen af data sker gennem de allerede eksisterende værktøjer som databehandleraftale og it-sikkerhedstiltag fremfor videreførelse af krigs reglen. Og så er der en særregel mindre,« skriver DI Digtal i høringssvaret ifølge en meddelelse.

Artiklen fortsætter efter annoncen

Udmeldingen kommer fra DI Digital i form af et høringssvar til et nyt forslag til databeskyttelsesloven, som regeringen netop har udsendt i forbindelse med implementeringen af den nye persondataforordning.

ATP fik nej til at overføre til Indien

Krigsreglen har faktisk sat en stopper for at overføre data til udlandet. Eksempelvis spurgte ATP for en del år siden Datatilsynet, om man kunne overføre oplysninger om næsten 4,5 millioner medlemmer og godt 150.000 indbetalende arbejdsgivere, både offentlige og private til databehandlere i Indien og Sydafrika.

Men her mente Datatilsynet, at Det Centrale Personregister samt oplysninger om personers uddannelse og erhverv er eksempler på oplysninger, der antages at være af særlig interesse for fremmede magter og derfor vil være omfattet af bestemmelsen.

»Når der behandles oplysninger, som må anses for omfattet af § 41, stk. 4 (krigsreglen, red.), er der efter Datatilsynets opfattelse ikke hjemmel i bestemmelsen til at overføre de omhandlede oplysninger til databehandlere i Indien og Sydafrika,« konkluderede tilsynet.

Digitaliseringsstyrelsen har været på banen og anbefale, at data, der placeres hos en cloud-leverandør, kan krypteres på en måde, hvor dekrypteringsnøglen opbevares under strenge kontrolforanstaltninger i Danmark med en tilhørende klar procedure for, hvordan denne nøgle kan slettes i tilfælde af krig eller lignende forhold.

Bøder til det offentlige

DI Digital mener i øvrigt i høringssvaret, at der også bør kunne gives bøder til offentlige myndigheder, hvis de overtræder bestemmelserne som følger af Persondataforordningen:

»Naturligvis skal der også være konsekvenser for offentlige myndigheder, der ikke behandler personoplysninger korrekt. Især når offentlige myndigheder udøver erhvervsmæssig aktivitet, skal de sidestilles med virksomheder, men der skal også være passende sanktioner ved overtrædelser i deres øvrige myndighedsudøvelse,« skriver DI Digital

25 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
25
31. august 2017 kl. 13:29

Jørgen Elgaard Larsen skrev:

I stedet for krigsreglen bør der være et privatlivsregel, som siger præcis det samme, bortset fra det med fremmede magter og krig.

Men IMHO er der forskel på problematikken vdr. 'krigsreglen' og så borgernes privatliv generelt. Og derfor så løser en privatlivs løsning ikke nødvendigvis det med 'fremmede magter og krig'. Der er ingen tvivl om, at 'krigsreglen' er forældet. Den stammer fra en tid hvor data lå lokalt på få fysiske maskiner, der var i et aflåst rack hos en af de store databehandle, som så med høj sandsynlighed var offentlig ejet (KMD/DataCentralen). Men i dag (og har haft i lang tid) har man bla. også en anden dimension, nemlig hele 'CyberWar' vinklen. Ud over det, er der hele multi-sourcing misk masket, som man måske ikke lige har ordentlig styr på i det offentlige. Og endelig er mængden af data er eksploderet. både fordi man opsamler flere data, men også fordi ting, som før i tiden var på papir, f.eks. patient journaler, i dag i høj grad er elektroniske.

Men det ændrer stadig ikke på at 'fremmede magter' ikke skal have let spil.

Oplysningerne skal naturligvis også kunne tilintetgøres i andre tilfælde, herunder i tilfælde af tvist med databehandleren, mistanke om læk, og alle andre tilfælde.

Jo, men igen er der forskel. En af ideerne med krigsreglen er total destruktion af data, vi snakker Jægersoldat med fosfor granat ind i racket, således at backupen også ryger. Og det er måske lidt drastisk at gøre ved et 'databreach' hos en databehandler.

Jeg forstår iøvrigt ikke, hvorfor Dansk Industri gerne vil have fjernet dene begrænsning. De vil naturligvis kunne outsource en masse til udlandet

IT delen af Dansk Industri er jo i høj grad internationale firmaer, for hvem Danmark bare er et salgsterritorie, endda et territorie hvor timepriser, skat og afgifter er meget høje (de ting som beancounters typisk hænger sig i). Derfor ønsker man at høste i Danmark (og resten af Nordeuropa), men ikke at 'så' der. Desuden så forstår man jo godt i IT delen af Dansk Industri, at defacto har man allerede afskaffet krigsreglen. Igen når du har udenlandske (ikke EU) underleverandører, med udenlandske statsborgere (ikke EU), der har administrator adgang eller for den sags skyld fysisk adgang til systemerne. Så er det jo lidt lige meget.

</p>
<ul><li>men hvor længe tror de der går, før det offentlige så handler direkte med udenlandske selskaber?

Forhåbentlig er der en eller anden bare semi-vidende embedsmand, der får den tanke at når man i Danmark får 70-80% af lønningerne tilbage form af skatter og afgifter (når man ser på direkte og indirekte skatter og afgifter) at så er det en rigtig rigtig dårlig forretning at outsource offentlig IT, for slet ikke at tale om hvad det gør ved BNP (som man jo er meget fokuserede på i finansministeriet). Men jeg frygter desværre, at du har ret.

Det man mangler IMHO med offentlige data er, at klassificere dem rigtigt. Person henførbar/ ikke person henførbar er en alt alt for primitiv måde at gøre dette på, når det kommer til sikkerhed . Når har klassificeret offentlige data ordentligt, kan man også bedre bestemme, hvad der skal omfattes af en ny og uptodate 'krigsregel'.

// Jesper

24
30. august 2017 kl. 20:29

I hvert fald de offentlige personfølsomme data bør være på ofentlige servere og ikke på private eller i udlandet. Vi har set gang på gang hvordan personfølsomme data bliver lækket. Jo færre led der er i kæden, jo færre muligheder er der for læk. Og Statens IT bør være kapable nok til at have ordentlig sikkerhed.

Krig er absolut ikke udelukket nu om dage, og læk af personfølsomme data er absolut også muligt, bare se på hvor meget USA gør for at få fat på personfølsomme data på udenlandske personer. DIs krav er helt hen i vejret.

23
30. august 2017 kl. 20:05

Tendensen i DR har længe været mere TV af ringere kvalitet..

Antallet af genudsendelser på hovedkanalen DR1 er 2014-2016 steget fra 69 % til 75 %.

(NB: Flow TV og konservativt i hele træskolængder) Tag et gennemsnit af dem, der ser DR1, og gns. antal timer pr. dag, brug skærmens gns. effektforbrug (eks. ~70W), og gang forbruget med gns. ~kr. 1,60 (2.00- 20%). Danmarks Radio er medhjælper til unødvendigt miljøgriseri.. ;)

En kontrol(EB) her i uge 33, 2017 viser, samlet sendes 10.052 minutters TV, og kun 1995 minutter af dem – 19,8 % - var "nyheder" eller såkaldte førstegangsudsendelser.

Da de selvsamme "nyheder" i dag pisker ud af samtlige af kongeriets mediesprækker i tide og utide, så er programsættelsen "18:00 Nyheder" vel overoptimistisk, da mindst 50% af indhold opleves som drøvtygget gammelheder.. kopi af kopi af kopi.

21
30. august 2017 kl. 13:38

Det vil være mere effektivt at gøre ledelsen personligt ansvarlige.

Det har ALT for længe været totalt ansvarsfrit at skide højt og flot på sit ansvar i det offentlige.

Det har vi set adskillige gange, hvor direkte svineri og sløsethed i den offentlige administration ikke har medført så meget som en fyring.

HVIS man nu lavede det sådan at de ansatte havde forpligtigelser under strafansvar, så ville man nok gøre sig mere umage, eller råbe vagt i gevær, hvis man af ledelsen blev forsøgt tvunget til noget som ikke var ok, men som man selv risikerede at få straffen for.

Jeg er derfor HELT med på at man kunne starte med at sørge for at sløsethed, uduelighed eller lignende i sit job i det offentlige, kunne resultere i reelle sanktioner.

20
30. august 2017 kl. 12:09

Mener du, at DR vil spare på gyldne håndtryk og Skat vil effektivisere inddrivelsen, hvis de får bøder?

Ja selvfølgelig. Det kan de jo blive nødt til med mindre de lever i et land, hvor et flertal af vælgerne under indflydelse af betonfagforeningsretorik som dig råber "Åh nej åh nej det går virkelig ikke, vi bliver nødt til at give dem flere af vores skattepenge" hver eneste gang en offentlig myndighed opfører sig inkompetent og bliver klippet i rammen som konsekvens heraf.

Det vil være mere effektivt at gøre ledelsen personligt ansvarlige.

Nej.

Jeg er alvorligt bange for, at Hans Schou har ret i sit postulat. Hvis ledelsen af en offentlig virksomhed ikke magter at følge persondataloven, kan man ikke være sikker på, at de vil være i stand til at udvælge de rette steder at spare efter en bøde.

Naivt udsagn taget i betragtning hvor mange kommuner, der hvert år overtræder persondataloven.

19
30. august 2017 kl. 12:03

Dit naive postulat kunne måske være korrekt, hvis du vil fastholde, at det er "ringere service", at DR holder op med at

Mener du, at DR vil spare på gyldne håndtryk og Skat vil effektivisere inddrivelsen, hvis de får bøder?

Tendensen i DR har længe været mere TV af ringere kvalitet. Og problemerne i Skat skyldes i høj grad, at man har sparet medarbejdere på gulvet væk og forsøgt at effektivisere med defekt IT.

Jeg er alvorligt bange for, at Hans Schou har ret i sit postulat. Hvis ledelsen af en offentlig virksomhed ikke magter at følge persondataloven, kan man ikke være sikker på, at de vil være i stand til at udvælge de rette steder at spare efter en bøde.

Det vil være mere effektivt at gøre ledelsen personligt ansvarlige.

18
30. august 2017 kl. 09:00

Måske ligger selve de følsomme data ikke i Norge, men hele systemet som giver adgang til de data gør og hvis man har "nøglerne" så er det vel lige meget hvor data så opbevares.

Hvis systemerne til at tilgå data (og viden om deres indretning) er i udlandet og kun de følsomme data er blevet tilbage i Danmark, så kan Danmark i en krisesituation godt nok forhindre adgang til data - men det kan udlandet sandelig også.

15
30. august 2017 kl. 07:02

Troede egentligt den regel allerede var afskaffet.

Som jeg husker det driftes NemID da allerede idag fra et datacenter i Norge af dets amerikanske ejere.

Måske ligger selve de følsomme data ikke i Norge, men hele systemet som giver adgang til de data gør og hvis man har "nøglerne" så er det vel lige meget hvor data så opbevares.

14
29. august 2017 kl. 22:58

Når nu ATP og de andre er så glad for at flytte driften til både Indien og Sydafrika fordi at de der kan spare på udgifterne, så burde de vel heller ikke have problemer med at flytte hovedsædet inklusiv bestyrelsen og deres lønninger til enten Indien eller Sydafrika. Men mon ikke det er fordi de pågældende bestyrelser ikke ønsker en reduktion af deres lønninger!!..

13
29. august 2017 kl. 22:23

Til downrateren i det ovenstående: Ja sandheden må være ilde hørt. Surt at gå glip af sin fratrædelsesbonus fordi den skal bruges på persondatabøder, hva?

Men bliv endelig ved med at kloge jer på hvor umuligt det er at give offentlige myndigheder bøder, fordi uha uha det kan KUN føre til ringere service i det offentlige.

12
29. august 2017 kl. 21:13

Postulat: Man kan ikke give offentlige myndigheder en bøde, fordi de så bare skal have større budgetter næste år, eller tilbyde ringere service.

Dit naive postulat kunne måske være korrekt, hvis du vil fastholde, at det er "ringere service", at DR holder op med at

  1. Give deres direktører fratrædelsesgodtgørelser på 2 mio. kr.
  2. Bruge milliarder på at sende fjernsyn via 6 luftbårne kanaler i en tid, hvor Netflix kan gøre det samme for en tiendedel af udgiften
  3. Betale millioner for at transportere heste over atlanten

Dit naive postulat kunne måske også være korrekt, hvis ikke det var fordi

  1. SKAT har vist, at det offentlige går glip af milliarder i indtægter ved en forfejlet inddrivelse

Pointen med det ovenstående er at demonstrere over for de selvbestaltede vulgær"eksperter" i offentlig ledelse, at der er MASSER af muligheder for at effektivisere arbejdsgange og driftsbudgetter i det offentlige, hvorfor man sagtens kan give myndighederne bøder for overtrædelse af persondatalovgivningen.

11
29. august 2017 kl. 20:57

Det ville give mere mening, hvis der i forbindelse med risikovurderingerne omkring et system blev taget konkret stilling til sikkerhedskravene. Og hvis drift og/eller support er outsourcet til eksterne, hvordan skal disse så dokumentere at leve op til kravene.

Ideen med at kryptere data giver ikke rigtigt mening, hvis vedligeholdelse, drift og support er outsourcet til trediepart.

Stil derfor mere nuancerede krav, end der p.t. ses. Teorien om, at "one size fits all" har spillet fallit, men det er jo nemmere at kopiere fra et eller andet paradigma end selv at tage stilling. Juristerne er nødt til at tale med it-teknikerne, og topledelsen bør også ind over, hvis systemet eller data er essentielt for virksomheden eller kunderne/borgerne.

Sikkerhedskrav koster, men det gør en livsforsikring jo også. Og hvem synes, at sidste års forsikringspræmie var spild af penge...

10
29. august 2017 kl. 20:44

Postulat: Man kan ikke give offentlige myndigheder en bøde, fordi de så bare skal have større budgetter næste år, eller tilbyde ringere service.

Måske - men:

Kommunernes omfattende "gaming" af sagsbehandlingen for eksempel under udredningen af førtids- og invalidepensioner peger en del i retning af at Intet overgår smerten ved at penge fra kommunekassen skal bruges på andet end "kommunikationsmedarbejdere" og circus-gøgl. Derfor tror jeg at en bøde vil have en stor effekt.

"Dårlig service" ... Man lever jo tydeligvis fint I Dag, med en forvaltningskik der taber 50% af klagesagerne. Altså, så længe man ikke skal betale pensionen med tilbagevirkende kraft eller der er andre konsekvenser ved misregimentet, så er "servicen" underordnet under de gældende regler.

M.A.O: Jeg tvivler på at lidt "back-pressure" vil have negative konsekvenser i forhold til "det er helt op til din samvittighed"-modellen som vi har i dag.

8
29. august 2017 kl. 18:44

DI Digital mener i øvrigt i høringssvaret, at der også bør kunne gives bøder til offentlige myndigheder, hvis de overtræder bestemmelserne som følger af Persondataforordningen

Her er det så, at jeg ser frem til, at Skattevæsenet begår et antal overtrædelser, og får en bøde der er så stor at de går konkurs, og så står vi uden et skattevæsen.

Postulat: Man kan ikke give offentlige myndigheder en bøde, fordi de så bare skal have større budgetter næste år, eller tilbyde ringere service.
7
29. august 2017 kl. 18:10

Det kan vel ikke undre..

DI Digital = Dansk Industri = Købmænd.

Når DI gerne vil sælge godtkøbskram beliggende i Langtbortistan, så har vi allerede været der, har vi allerede prøvet det, og ved at sikkerhed + troværdighed + kulturen ikke..

Ansæt nu nogle mennesker i DI med både visioner og evner, og sluk for alle pladespillerne.

6
29. august 2017 kl. 17:45

Krig kommer altid ubelejligende, men det er ikke fordi der ikke er noget i gærer, tænk bare på krim og Nordkorea.

Kan disse to føre til krig der påvirker Danmark?

5
29. august 2017 kl. 17:09

Der er vel flere ting i det med krigsreglen.. Ja, data kan hackes næsten uanset hvor det ligger.. men hvis det ligger uden for landets grænser er det jo pludselig ikke dansk lov der gælder... Så hvis Indien eller hvor man nu placerer data vælger at slukke for data til DK .. så kan vi ikke selv bruge den.. Det må da være endnu vigtigere i forhold til krigsreglen at den også beskytter os mod manglende adgang til Data..

4
29. august 2017 kl. 13:44

kan vi så være sikre på at et privat udenlandsk firma vil være åbne hvis de hackes? det vil betyde en kæmpe bøde og muligvis mistet kunde. spørg ceo'en hvad der er første prioritet: bundlinjen eller vores data?

3
29. august 2017 kl. 13:36

I stedet for krigsreglen bør der være et privatlivsregel, som siger præcis det samme, bortset fra det med fremmede magter og krig.

Oplysningerne skal naturligvis også kunne tilintetgøres i andre tilfælde, herunder i tilfælde af tvist med databehandleren, mistanke om læk, og alle andre tilfælde.

Jeg forstår iøvrigt ikke, hvorfor Dansk Industri gerne vil have fjernet dene begrænsning. De vil naturligvis kunne outsource en masse til udlandet - men hvor længe tror de der går, før det offentlige så handler direkte med udenlandske selskaber?

2
29. august 2017 kl. 13:32

Digitaliseringsstyrelsen har været på banen og anbefale, at data, der placeres hos en cloud-leverandør, kan krypteres på en måde, hvor dekrypteringsnøglen opbevares under strenge kontrolforanstaltninger i Danmark med en tilhørende klar procedure for, hvordan denne nøgle kan slettes i tilfælde af krig eller lignende forhold.

Hvad er så formålet med at placere dataene i udlandet, hvis ingen har adgang til at kunne bruge dataene? Var det så ikke smartere at smide dem på et par tapes i et pengeskab?

Så vidt jeg ved er forskningen omkring at regne og arbejde direkte på krypterede data ikke langt nok fremme til at kunne bruges til noget fornuftigt. Og så er det eneste man kan bruge kryptering til, til lagring af backupdata. - Og det er svært at se fordelen ved at sende backupdata til den anden ende af verdenen.