Eksperter: KMD og CSC kan blive nødt til at udlevere følsomme oplysninger om danskere til USA

Illustration: REDPIXEL.PL/Bigstock
Amerikanske datterselskaber kan blive tvunget til at udlevere personfølsomme oplysninger om danske borgere til USA, vurderer flere eksperter på baggrund af ny dom, der tvinger Microsoft til at udlevere data fra en server i Irland. Det kan blive en grum situation, lyder det.

Når danske myndigheder indgår aftaler med amerikansk ejede selskaber om databehandling, så kan de ikke være sikre på, at personfølsomme oplysninger om danske borgere ikke udleveres til amerikanske myndigheder. Virksomhederne kan nemlig blive presset hjemmefra til at udlevere data.

Det konkluderer to danske eksperter i it-ret oven på en amerikansk dom.

En domstol i USA slog i sidste uge fast, at Microsoft skal udlevere en kundes e-mails, kreditkortoplysninger og andet i forbindelse med en igangværende efterforskning. Det ville Microsoft ikke, da kundens data var lagret i Irland hos Microsofts datterselskab – Microsoft Ireland.

Dermed ville en kendelse ikke gælde under normale omstændigheder. Men da virksomheden er ejet af amerikanske Microsoft, og der er tale om såkaldt digitalt indhold, afgjorde retten alligevel, at de private data skulle udleveres.

Og den praksis betyder ifølge professor i it- og teleret ved Aalborg Universitet Søren Sandfeld Jakobsen, at amerikansk ejede selskaber kan blive tvunget til at udlevere de persondata, som de håndterer for de danske myndigheder.

»Der kan være en konflikt mellem regler i Danmark og så de regler, som en given virksomhed er forpligtet til at efterleve i deres eget hjemland. Og så er det jo bare et spørgsmål om, hvem de helst vil lægge sig ud med - den danske stat eller USA,« siger Søren Sandfeld Jakobsen til Version2 og tilføjer, at garantier om, at selskaberne vil overholde dansk ret, ikke er meget værd:

»Du kan få alle de garantier, du vil have, du skal bare være klar over, at til syvende og sidst er det muligt, at den pågældende virksomhed vil overtræde dem. Man kan ikke tjene to herrer i sådan en situation.«

Læs også: Microsoft skal udlevere europæiske kundedata til USA

Lus mellem to negle

Når en dansk myndighed indgår en aftale om databehandling med en privat leverandør, skal myndigheden sikre sig, at leverandøren - amerikansk ejet eller ej - skal overholde sikkerhedsbekendtgørelsen og gældende dansk ret. Og det er myndigheden, der hæfter for mislighold. Men når der er tale om amerikansk ejede selskaber, kan de altså blive tvunget til at bryde dansk lov på grund af pres hjemmefra.

I Danmark håndterer eksempelvis KMD og CSC store mængder data for offentlige myndigheder. Amerikanske CSC driver eksempelvis borger.dk og CPR-registret, og KMD benytter Microsoft som cloud-leverandør til offentlige tjenester. Og selvom der er tale om selvstændige danske datterselskaber, så vil den aktuelle Microsoft-dom gøre det svært for dem at overholde deres danske forpligtelser, hvis deres moderselskaber bliver præsenteret for en dommerkendelse fra USA.

Det mener Peter Lind Nielsen, der er it-advokat med erfaring i persondataret.

»Denne her afgørelse, tror jeg, vil få dem til at ryste lidt. For de kan risikere, at der er en amerikansk domstol, der kræver af deres ejere, at de data skal udleveres. Sat på spidsen kan der komme en alvorlig konflikt mellem den amerikanske ejer, der jo kan risikere bøder og sanktioner fra amerikanske myndigheder, og de danske datterselskaber, der ikke vil forbryde sig mod dansk ret,« siger Peter Lind Nielsen til Version2 og drager en parallel til salget af Dong Energy.

»Det er det samme problem. Goldman Sachs kan jo også risikere at blive præsenteret for en kendelse fra amerikanske myndigheder, der vil have oplysninger om det danske energiforbrug. Det kan blive en grum situation.«

KMD oplyser, at virksomheden under ingen omstændigheder vil udlevere data til amerikanske myndigheder, da det vil være ødelæggende for det danske forretningsgrundlag.

»Det er for os et forretningsmæssigt usandsynligt scenarie at udlevere nogen som helst personfølsomme data til fremmede magter. Det kommer ikke til at ske,« oplyser KMD's kommunikationsdirektør, Morten Langager, i en meddelelse.

Det har ikke været muligt at få en kommentar fra CSC, ligesom Microsofts danske afdeling oplyser, at selskabet ikke må udtale sig til pressen om emnet.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (13)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Ask Holme

For KMD er det måske en lidt søgt konklusion da virksomheden jo ikke har et amerikansk moderselskab (og dermed heller ikke en amerikansk chef).

KMD er ejet af en international kapitalfond og der er vel ikke nogen der rigtigt ved hvor de har placeret den specifikke fondsvirksomhed, der ejer KMD aktierne.

Jens Bech Madsen

For KMD er det måske en lidt søgt konklusion da virksomheden jo ikke har et amerikansk moderselskab (og dermed heller ikke en amerikansk chef).

Men hvis KMD anvender en amerikansk underleverandør, kan denne tvinges til at udlevere data. Artiklen nævner specifikt at KMD bruger Microsoft. Og så kan KMD jo ikke gøre noget. Og deres garantier er heller ikke noget værd.

Jesper Nielsen

For KMD er det måske en lidt søgt konklusion da virksomheden jo ikke har et amerikansk moderselskab (og dermed heller ikke en amerikansk chef).

Vil det ikke være nok hvis der er en amerikaner over dig i systemet? Det vil jeg i hvert tilfælde tro. 100% sikker bliver vi ikke, men er vi tilfredse med at der er 99,xx% sikkerhed for at alle data om danskere ikke bare kan videregives?

Tom Budde Dalsgaard

Er det kunderne hos SCS og KMD der ejer data, eller er det CSC og KMD fordi de ejer serverne (eller bygningerne serverne står i)?
Hvis nu man flyttede data, og servere over i "kundens" varetægt, som SCS og KMD's folk så blot arbejdede på, ville det vel være en anden snak?

Thomas Vestergaard

»Det er det samme problem. Goldman Sachs kan jo også risikere at blive præsenteret for en kendelse fra amerikanske myndigheder, der vil have oplysninger om det danske energiforbrug. Det kan blive en grum situation.«

Ahh, hva - så fordi man har bestyrelsespost/investeret penge i et firma, kan staten i ens hjemland kræve, at man udlevere fortrolige informationer fra firmaet?

I hvor mange led gælder denne regel så? Hvis f.eks. Goldman Sachs (GS) deltager i et konsortium med partnere fra andre lande (end USA), der så investerer i et firma - er kan Den amerikanske stat så stadig på baggrund af GS's hjemstavn i USA, kræve interne fortrolige informationer udleveret fra det sidste firma? (Antaget at konsortiet er oprettet i det samme land.)

Andreas Bach Aaen

Hele problemet skyldes at USA er stor nok til at de tillader sig, at deres juristrktion gælder uden for deres eget lands grænser.

Vil vi i Danmark dømme en dansker der laver en gerning i USA, der er lovlig der men ulovlig at lave i Danmark? Jeg tror det næppe.
Amerikansk lovgivning gælder for alle amerikanere (og selskaber) worldwide.

Jeg har for en del år siden arbejdet med stærk kryptering. Det var vigtigt at ingen amerikanere var bidragydere til projektet, da vi ellers ville være forhindrede i at levere produktet til flest mulige lande.

Allan Astrup Jensen

Nu har politikerne i de senere ikke bestilt andet end at privatisere, udlicitere og frasælge offentlige værdier og infrastruktur for kortsynede økonomiske gevinster. Nu er det på tide at dette ophører og at disse vigtige områder igen bliver overtaget af det offentlige.
Hvis dommen i USA holder og efterleves, bør det forbydes at amerikansk ejede IT-virksomheder inkl. Microsoft, Apple, IBM etc. opererer i Danmark og resten af Europa. Det vil blive et hårdt slag mod globaliseringen, hvis amerikanske domstole er så arrogante og snævertsynede, og hvis Kongressen bakker dem op ved ikke at ændre lovgivningen.

Steen Eugen Poulsen

Jeres historie er jo som om at fordi man har købt en lodsedel så har man automatisk vundet. Der er jo ikke engang tæt på at være en afgørelse i sagen.

PS: Jeg har udtalt på sitet her at jeg mente USA firmaer ikke kan beskytte data ved at de opbevares uden for USA, men det er jo totalt en røver historie at det nu er bevist at min formodning er korrekt.

Der er ikke endnu sager gennemført i det offentlige retssystem der har medført at USA firmaer har hentet data I udlandet.

Der er en intilvidre meget lille chance for at om 10-15 år når anke sagerne er overstået så kan det blive retspraksis at tvinge USA firmaer til at hente data I udlandet.

Kjeld Flarup Christensen

Hvis Morten Langager's amerikanske chef risikerer at havne i fængsel, hvor meget indflydelse tror Morten Langager så at en dansk ansat har?


Chefen kan jo så vælge mellem dansk eller amerikansk fængsel.
Set i lyset af Se og Hør skandalen, så skal der måske strammes op på nogle lovparagraffer her. Vi skal kort og godt kunne kræve lange fængselsstraffe til de ansvarlige for udleveringen af sådanne data, uanset om de bliver presset af en amerikansk domstol.

Så chefen kan sådanset bare henvise til fifth amendment og sige nej.

Log ind eller Opret konto for at kommentere