Eksperter: KMD og CSC kan blive nødt til at udlevere følsomme oplysninger om danskere til USA

30. april 2014 kl. 06:0813
Amerikanske datterselskaber kan blive tvunget til at udlevere personfølsomme oplysninger om danske borgere til USA, vurderer flere eksperter på baggrund af ny dom, der tvinger Microsoft til at udlevere data fra en server i Irland. Det kan blive en grum situation, lyder det.
Artiklen er ældre end 30 dage

Når danske myndigheder indgår aftaler med amerikansk ejede selskaber om databehandling, så kan de ikke være sikre på, at personfølsomme oplysninger om danske borgere ikke udleveres til amerikanske myndigheder. Virksomhederne kan nemlig blive presset hjemmefra til at udlevere data.

Det konkluderer to danske eksperter i it-ret oven på en amerikansk dom.

En domstol i USA slog i sidste uge fast, at Microsoft skal udlevere en kundes e-mails, kreditkortoplysninger og andet i forbindelse med en igangværende efterforskning. Det ville Microsoft ikke, da kundens data var lagret i Irland hos Microsofts datterselskab – Microsoft Ireland.

Dermed ville en kendelse ikke gælde under normale omstændigheder. Men da virksomheden er ejet af amerikanske Microsoft, og der er tale om såkaldt digitalt indhold, afgjorde retten alligevel, at de private data skulle udleveres.

Artiklen fortsætter efter annoncen

Og den praksis betyder ifølge professor i it- og teleret ved Aalborg Universitet Søren Sandfeld Jakobsen, at amerikansk ejede selskaber kan blive tvunget til at udlevere de persondata, som de håndterer for de danske myndigheder.

»Der kan være en konflikt mellem regler i Danmark og så de regler, som en given virksomhed er forpligtet til at efterleve i deres eget hjemland. Og så er det jo bare et spørgsmål om, hvem de helst vil lægge sig ud med - den danske stat eller USA,« siger Søren Sandfeld Jakobsen til Version2 og tilføjer, at garantier om, at selskaberne vil overholde dansk ret, ikke er meget værd:

»Du kan få alle de garantier, du vil have, du skal bare være klar over, at til syvende og sidst er det muligt, at den pågældende virksomhed vil overtræde dem. Man kan ikke tjene to herrer i sådan en situation.«

Lus mellem to negle

Når en dansk myndighed indgår en aftale om databehandling med en privat leverandør, skal myndigheden sikre sig, at leverandøren - amerikansk ejet eller ej - skal overholde sikkerhedsbekendtgørelsen og gældende dansk ret. Og det er myndigheden, der hæfter for mislighold. Men når der er tale om amerikansk ejede selskaber, kan de altså blive tvunget til at bryde dansk lov på grund af pres hjemmefra.

I Danmark håndterer eksempelvis KMD og CSC store mængder data for offentlige myndigheder. Amerikanske CSC driver eksempelvis borger.dk og CPR-registret, og KMD benytter Microsoft som cloud-leverandør til offentlige tjenester. Og selvom der er tale om selvstændige danske datterselskaber, så vil den aktuelle Microsoft-dom gøre det svært for dem at overholde deres danske forpligtelser, hvis deres moderselskaber bliver præsenteret for en dommerkendelse fra USA.

Det mener Peter Lind Nielsen, der er it-advokat med erfaring i persondataret.

»Denne her afgørelse, tror jeg, vil få dem til at ryste lidt. For de kan risikere, at der er en amerikansk domstol, der kræver af deres ejere, at de data skal udleveres. Sat på spidsen kan der komme en alvorlig konflikt mellem den amerikanske ejer, der jo kan risikere bøder og sanktioner fra amerikanske myndigheder, og de danske datterselskaber, der ikke vil forbryde sig mod dansk ret,« siger Peter Lind Nielsen til Version2 og drager en parallel til salget af Dong Energy.

»Det er det samme problem. Goldman Sachs kan jo også risikere at blive præsenteret for en kendelse fra amerikanske myndigheder, der vil have oplysninger om det danske energiforbrug. Det kan blive en grum situation.«

KMD oplyser, at virksomheden under ingen omstændigheder vil udlevere data til amerikanske myndigheder, da det vil være ødelæggende for det danske forretningsgrundlag.

»Det er for os et forretningsmæssigt usandsynligt scenarie at udlevere nogen som helst personfølsomme data til fremmede magter. Det kommer ikke til at ske,« oplyser KMD's kommunikationsdirektør, Morten Langager, i en meddelelse.

Det har ikke været muligt at få en kommentar fra CSC, ligesom Microsofts danske afdeling oplyser, at selskabet ikke må udtale sig til pressen om emnet.

13 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
11
30. april 2014 kl. 14:16

Jeres historie er jo som om at fordi man har købt en lodsedel så har man automatisk vundet. Der er jo ikke engang tæt på at være en afgørelse i sagen.

PS: Jeg har udtalt på sitet her at jeg mente USA firmaer ikke kan beskytte data ved at de opbevares uden for USA, men det er jo totalt en røver historie at det nu er bevist at min formodning er korrekt.

Der er ikke endnu sager gennemført i det offentlige retssystem der har medført at USA firmaer har hentet data I udlandet.

Der er en intilvidre meget lille chance for at om 10-15 år når anke sagerne er overstået så kan det blive retspraksis at tvinge USA firmaer til at hente data I udlandet.

10
30. april 2014 kl. 13:35

Nu har politikerne i de senere ikke bestilt andet end at privatisere, udlicitere og frasælge offentlige værdier og infrastruktur for kortsynede økonomiske gevinster. Nu er det på tide at dette ophører og at disse vigtige områder igen bliver overtaget af det offentlige. Hvis dommen i USA holder og efterleves, bør det forbydes at amerikansk ejede IT-virksomheder inkl. Microsoft, Apple, IBM etc. opererer i Danmark og resten af Europa. Det vil blive et hårdt slag mod globaliseringen, hvis amerikanske domstole er så arrogante og snævertsynede, og hvis Kongressen bakker dem op ved ikke at ændre lovgivningen.

9
30. april 2014 kl. 13:09

Hele problemet skyldes at USA er stor nok til at de tillader sig, at deres juristrktion gælder uden for deres eget lands grænser.

Vil vi i Danmark dømme en dansker der laver en gerning i USA, der er lovlig der men ulovlig at lave i Danmark? Jeg tror det næppe. Amerikansk lovgivning gælder for alle amerikanere (og selskaber) worldwide.

Jeg har for en del år siden arbejdet med stærk kryptering. Det var vigtigt at ingen amerikanere var bidragydere til projektet, da vi ellers ville være forhindrede i at levere produktet til flest mulige lande.

8
30. april 2014 kl. 13:05

»Det er det samme problem. Goldman Sachs kan jo også risikere at blive præsenteret for en kendelse fra amerikanske myndigheder, der vil have oplysninger om det danske energiforbrug. Det kan blive en grum situation.«

Ahh, hva - så fordi man har bestyrelsespost/investeret penge i et firma, kan staten i ens hjemland kræve, at man udlevere fortrolige informationer fra firmaet?

I hvor mange led gælder denne regel så? Hvis f.eks. Goldman Sachs (GS) deltager i et konsortium med partnere fra andre lande (end USA), der så investerer i et firma - er kan Den amerikanske stat så stadig på baggrund af GS's hjemstavn i USA, kræve interne fortrolige informationer udleveret fra det sidste firma? (Antaget at konsortiet er oprettet i det samme land.)

7
30. april 2014 kl. 11:37

Er det kunderne hos SCS og KMD der ejer data, eller er det CSC og KMD fordi de ejer serverne (eller bygningerne serverne står i)? Hvis nu man flyttede data, og servere over i "kundens" varetægt, som SCS og KMD's folk så blot arbejdede på, ville det vel være en anden snak?

5
30. april 2014 kl. 10:09

it doesn't matter.... the danish company will give information to america without telling anybody. and by the way america knows the whole thing

3
30. april 2014 kl. 08:56

før Snowden Dengang tog de bare selv ;-)

2
30. april 2014 kl. 08:39

For KMD er det måske en lidt søgt konklusion da virksomheden jo ikke har et amerikansk moderselskab (og dermed heller ikke en amerikansk chef).

KMD er ejet af en international kapitalfond og der er vel ikke nogen der rigtigt ved hvor de har placeret den specifikke fondsvirksomhed, der ejer KMD aktierne.

1
30. april 2014 kl. 07:10

Hvis Morten Langager's amerikanske chef risikerer at havne i fængsel, hvor meget indflydelse tror Morten Langager så at en dansk ansat har?

Som det også siges i artiklen er den slags garantier ikke noget værd.

13
30. april 2014 kl. 15:41

Hvis Morten Langager's amerikanske chef risikerer at havne i fængsel, hvor meget indflydelse tror Morten Langager så at en dansk ansat har?

Chefen kan jo så vælge mellem dansk eller amerikansk fængsel. Set i lyset af Se og Hør skandalen, så skal der måske strammes op på nogle lovparagraffer her. Vi skal kort og godt kunne kræve lange fængselsstraffe til de ansvarlige for udleveringen af sådanne data, uanset om de bliver presset af en amerikansk domstol.

Så chefen kan sådanset bare henvise til fifth amendment og sige nej.