Efter Schrems II: Datatilsynet går i kødet på Region Hovedstaden og Økonomistyrelsens cloud

15. juni kl. 07:1511
Efter Schrems II: Datatilsynet går i kødet på Region Hovedstaden og Økonomistyrelsens cloud
Illustration: Pressefoto/Datatilsynet.
Efter udgivelsen af Datatilsynets vejledninger om overførsler til tredjelande og om brug af cloud fører Datatilsynet nu tilsyn med netop dette i Region Hovedstaden og Økonomistyrelsen. Senere på måneden går tilsynet i gang med at kigge på cloud i private virksomheder.
Artiklen er ældre end 30 dage

Datatilsynet fører nu tilsyn med brugen af cloud hos Region Hovedstaden og Økonomistyrelsen, og i den kommende måned vil Datatilsynet iværksætte tilsyn med samme hos private virksomheder.

Det skriver Datatilsynet i en pressemeddelelse.

Læs også: Dansk Erhverv fremlægger ni visioner for et digitalt Danmark i 2042: Borgere skal eje og kontrollere egne data

Formålet med tilsynene hos Region Hovedstaden og Økonomistyrelsen er at afklare, om myndighederne efterlever reglerne om brug af cloud og overførsler af personoplysninger til tredjelande.

Artiklen fortsætter efter annoncen

»Vi kan som borgere ikke fravælge, at det offentlige behandler vores oplysninger. Derfor undersøger vi nu, om myndighederne benytter ulovlige løsninger, og om vores mest personlige oplysninger kan ende hos en leverandør i et land, der ikke respekterer retten til privatliv og retten til databeskyttelse i samme grad, som vi gør i Europa. Hvis det er tilfældet, har det konsekvenser for både den enkelte borger og for selve tilliden til det digitaliserede samfund,« siger Allan Frank, der er it-sikkerhedsspecialist og jurist i Datatilsynet.

Læs også: Krypto-kæmpe suspenderer udbetalinger: Snakken om en ny »kryptovinter« spreder sig

Tilsynene kommer, efter udgivelsen af Datatilsynets vejledninger om overførsler til tredjelande og om brug af cloud i kølvandet på Schrems II-afgørelsen.

11 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
10
17. juni kl. 06:40

Jeg ved ikke rigtigt, hvad jeg skal svare, for jeg er ikke inde i teknikaliteterne. Men min Bitdefender Antitracker fortæller mig jævnligt, at der bliver lagt noget. Og jeg har nok antaget, at når de kaldes "nødvendige", så følger det, at de bliver lagt.

Men i virkeligheden er min indvending nok, at når man siger ja til de nødvendige cookies, så siger man typisk - i følge de links til cookiens privatlivspolitik, som følger med - ikke bare ja til den funktion, de har på siden, men til et helt hav af andre af BigTechs anvendelser, herunder markedsføring og tracking og profilering. Cookien er muligvis nødvendig, men der følger et hav af privatlivssnagende, for siden helt irrelevante, anvendelser (herunder markedsføring) med, når man giver tilladelse.

Når man giver Microsoft tilladelse til at lægge "Aspnet" på siden, fordi den angiveligt er nødvendig til et eller andet, så giver man (i følge den medfølgende privatlivspolitik) samtidig Microsoft tilladelse til alt muligt helt irrelevant for sidens fungeren.

Så selv de nødvendige cookies bliver bagdøre til tracking i stor stil.

Tilladelsen burde gives til den nødvendige anvendelse, ikke som en bred altmulig-tilladelse.

11
17. juni kl. 06:59
Hov, mit svar 10 var svar til Malthe Høj-Sunesens svar 5.
6
15. juni kl. 20:46

Klavs og Anne-Marie har en pointe - sessionscookies - som fjernes når man forlader sitet - behøver man overhovedet ikke at bede om samtykke om. Så hvad "nødvendige cookies" er, må guderne vide.

7
16. juni kl. 08:38

sessionscookies - som fjernes når man forlader sitet - behøver man overhovedet ikke at bede om samtykke om

Det kommer da fuldstændigt an på hvilken funktion de sessionscookies har. Det er sikkert rigtigt at de fleste sessionscookies kan sættes uden samtykke, men det er ikke kun fordi de er sessionscookies.

4
15. juni kl. 12:08

Jeg håber at resultatet fra Tilsynet også indeholder hvilke funktioner/tjenester de to myndigheder anvender fra clouden og hvilke de har undersøgt.

3
15. juni kl. 11:44

Og så måske slå nogen oven i hovedet for overhovedet at spørge, når de bare kan nøjes med KUN at have nødvendige cookies - og så behøver man iflg. loven slet ikke spørge :)

9
16. juni kl. 23:36

Det er rigtigt, at man i det tilfælde ikke behøver spørge; men man skal selvfølgelig huske at oplyse — det gælder også for de nødvendige cookies. Så du vil stadig skulle have et (lidt simplere) cookiebanner med en "OK"/"Luk" knap samt en Cookiedeklaration, der beskriver, hvad de nødvendige cookies bruges til, og hvilken type data de indsamler om slutbrugeren og dennes enhed.

2
15. juni kl. 11:31

Noget andet, der bør haves in mente, er brugen af caching leverandører såsom Cloudflare og Fastly, der mig bekendt begge har hovedsæde i USA. Jeg ved ikke med sikkerhed, om de kan udgøre en fare, men jeg tror, at man risikerer at overse deres store (og stigende) betydning.

1
15. juni kl. 11:01

Det lyder godt. Der bliver nok et langvarigt slagsmål.

Kan de ikke også kigge på diverse "Nødvendige" cookies, som ofte giver techgiganterne tilsagn om alt muligt - og som borger kan man ikke sige nej, hvis man vil bruge siden, selv om det er en offentlig side.

I mine øjne er det ikke en "nødvendig" cookie, hvis den skal bruges til f.eks. login på en side, hvor de fleste borgere kan klare sig uden login. Så må man bede om tilsagnet hos dem, som faktisk gerne vil logge ind - ikke hos alle andre. Og man burde finde loginløsninger, som ikke omfatter datasnagende techgiganter.

8
16. juni kl. 23:33

I mine øjne er det ikke en "nødvendig" cookie, hvis den skal bruges til f.eks. login på en side

Hvilket i mine øjne omvendt definerer nøjagtigt, hvad en nødvendig cookie er: En strengt nødvendig cookie, der skal være der for at en hjemmesides grundlæggende funktionalitet fungerer. Her gives ofte eksempler såsom indkøbskurv, loginfunktion, og sessionscookies som strengt nødvendige. Ligeledes er "simpel statistik" strengt nødvendig, eksempelvis performance/load overvågning på serverne.

Yderligere vil jeg argumentere for, at brugerne vil falde endnu mere ind i den faste rytme, der hedder at man bare accepterer per automatik, hvis man skal sige "ok" til hver en lille funktion. Netop consent fatigue er noget, man har italesat ifm. lovforarbejderne. Derfor er det også netop anbefalingen fra (mener jeg) Artikel 29 Gruppen, at man først ser på alle de andre hjemmelsformer, og kun som sidste udvej beder brugeren om et samtykke. Fordi ganske enkelt, hvis man spørger for ofte, så vil brugerne til sidst blive ligeglade. Ligesom vi ser med medarbejdere, der systematisk ændrer et enkelt tegn i sine passwords, fordi de bliver bedt om at skifte hver 90. dag.

Det er en ret udbredt misforståelse med GDPR: Man skal ikke bede om samtykke om hver en lille ting. Faktisk bør den mulighed ses som en sidste udvej grundet de ulemper der netop er ved samtykkeformen.

5
15. juni kl. 20:22

I mine øjne er det ikke en "nødvendig" cookie, hvis den skal bruges til f.eks. login på en side, hvor de fleste borgere kan klare sig uden login.

Har du undersøgt om de sider så faktisk lægger en cookie, eller antager du at fordi de beder om lov til at lægge en cookie så gør de det med det samme?