Safe Harbor-afløser strammer reglerne for amerikansk dataopbevaring

Amerikanske virksomheder skal kunne bevise, at personfølsomme data på europæere er i sikre hænder.

Amerikanske virksomheder, der vil opbevare europæiske følsomme persondata, f.eks. HR-data, skal fremover fremlægge dokumentation for, at opbevaringen er lige så god, som hvis data lå i Europa.

Det er et af elementerne i afløseren for Safe Harbor-ordningen, der åbner for overførsel af persondata mellem EU og USA. EU og USA har for nylig begge offentliggjort dokumenter, der skal danne grundlag for den nye EU-US Privacy Shield. Ordningen forventes endeligt vedtaget i juni 2016.

Læs også: EU og USA indgår aftale for dataoverførsler kaldet Privacy Shield: uklar fremtid for masseovervågning

Selskaber i USA, der behandler oplysninger om europæere til HR-formål under EU-US Privacy Shield-ordningen, er forpligtet til at overholde retningslinjer fra det relevante europæiske datatilsyn - dvs. at et amerikansk selskab, der behandler oplysninger om danske medarbejdere, skal følge det danske tilsyns praksis, skriver advokatfirmaet Plesner i en nyhed.

Ordningen øger kravene for omfattede selskaber i USA til at beskytte europæiske borgeres personoplysninger, når de overføres til USA.

Amerikanske virksomheder skal fremover certificeres efter en proces, som gennemføres én gang om året. Det amerikanske handelsministerium skal føre tilsyn med de virksomheder, der får certificeringen - og vil opretholde et opdateret register over de virksomheder, der har opnået certificeringen.

Hertil kommer øget håndhævelse af disse krav fra det amerikanske handelsministerium og Federal Trade Commission (FTC ) samt et øget samarbejde med de europæiske databeskyttelsesmyndigheder.

Flere nye krav til amerikanske virksomheder

Set fra et europæisk synspunkt indeholder ordningen flere interessante tiltag. Bl.a. kan europæiske statsborgere, der mistænker, at deres oplysninger er blevet misbrugt, klage direkte til det amerikanske selskab, som har behandlet oplysningerne - og selskabet er forpligtet til at svare inden for 45 dage.

Europæiske statsborgere kan endvidere klage til deres nationale tilsyn, som vil videreformidle klagen til det amerikanske handelsministerium, der så skal tage stilling til klagen indenfor 90 dage. Der skal også være mulighed for at klage til en uafhængig klageinstans udpeget af det amerikanske selskab.

Læs også: Analyse: Safe Harbor-forhandlinger er spil for galleriet, der næppe vil påvirke overvågning

Næste skridt for EU-US Privacy Shield-ordningen er, at de europæiske datatilsyn samlet i Artikel 29-gruppen skal høres over EU-Kommissionens udkast til beslutning.

Artikel 29-gruppen forventer at kunne afgive sin vurdering af udkastet til beslutning og det øvrige materiale efter mødet den 12-13. april 2016. Herefter indhentes en bindende udtalelse fra repræsentanter for medlemsstaterne, og endelig kan beslutningen vedtages af EU-kommissærerne. Det forventes, at processen kan være gennemført i juni 2016.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk

Følg forløbet

Kommentarer (10)

Anne-Marie Krogsbøll

Det lyder vældigt pænt, men vil det i praksis være andet end nogle pæne ord, der skal bane vejen for TTIP?

Jeg har svært ved at tro på, at de pæne ord vil blive håndhævet. Herhjemme har vi jo også mange pæne hensigtserklæringer, som burde sikre vore persondata, men som i stigende grad ikke gør det. Se f.eks. denne historie, som jeg finder helt utrolig og meget foruroligende: http://www.folkeskolen.dk/582818/de-ikke-anonyme-anonyme-trivselsmaalinger . Kan det virkeligt være i overensstemmelse med dansk lovgivning på området, at man lover anonymitet, men helt bevidst ikke overholder det?

Så hvorfor skulle vi tro på, at sådanne love og regler kan håndhæves på tværs af Dammen, når det er så svært at få overholdt bare herhjemme? Jeg ville foretrække, at mine data ikke havner i USA.

Bent Jensen

Alle de E-mail jeg får fra Ammikanske selvskaber jeg ikke kender, skal da have en klage, så jeg ved hvor de har mine data og tilladelse til at bruge dem fra ?

Nu skal der jo svares, og bødestørelsen er jo også på plads med op til 4 % af omsætningen ?

Kasper Sandberg

Og det er ikke kun folkeskolen der er inficeret på samme måde med "anonyme" spørgeskemaer.

Som minium region midjylland har sendt brev ud til folk med "Hvordan har du det?" hvor man stærkt opfordres til at deltage i et "anonymt" spørgeskema online, nåja, hvor man selvfølgelig lige skal logge ind med sine unikke credentials der er i det addresseret brev.

ved konfrontation med dette bliver der bare sagt det er anonymt, trods det tydeligvis ikke er.

Anne-Marie Krogsbøll

Det lyder grimt, Kasper Sandberg. Det virker som om, der er en omsiggribende samvittighedsløshed i "systemet" mht. at overholde basale regler for persondata. Der kunne jeg da føle mig fristet til at bede om aktindsigt de bagvedliggende papirer.

Fremgår det nogen steder, hvad formålet med undersøgelsen er, og hvem der står for den?

Anne-Marie Krogsbøll

Som opfølgning på Kasper Sandbergs oplysning om Region Midtjylland, der sender spørgeskemaundersøgelser ud, som angiveligt besvares "anonymt", men som ikke er anonyme, kan jeg henvise til denne kommentar fra ugeskriftet.dk om udkastet til den nye vejledning om persondatahåndtering i sundhedsvæsnet.
http://ugeskriftet.dk/nyhed/vi-kan-ikke-bruge-taagede-regler-om-patientdata

I den henvises til både "anonyme" og "fuldt anonymiserede" data. Kunne det være denne skelnen, der gør, at Region Midtjylland mener sig berettiget til at bilde borgerne ind, at besvarelserne er "anonyme", mens man fra myndighedernes side i det skjulte henholder sig til, at de ikke er "fuldt anonymiserede", og derfor i et vist omfang kan anvendes i personhenførbar form?

Og kunne det være den samme kunstige skelnen, der gør, at myndighederne mener sig berettigede til at bilde skolebørn ind, at deres besvarelser i trivselsundersøgelsen (se kommentar ovenfor) er "anonyme", når de ikke er det (i almindelig sprogbrug)?

I givet fald så er man godt nok langt ude i forsøg på bevidst at vildlede befolkningen på persondataområdet.

Jesper Nielsen

Og det er ikke kun folkeskolen der er inficeret på samme måde med "anonyme" spørgeskemaer.

Som minium region midjylland har sendt brev ud til folk med "Hvordan har du det?" hvor man stærkt opfordres til at deltage i et "anonymt" spørgeskema online, nåja, hvor man selvfølgelig lige skal logge ind med sine unikke credentials der er i det addresseret brev.

ved konfrontation med dette bliver der bare sagt det er anonymt, trods det tydeligvis ikke er.

Man kan vel godt logge ind og bekræfte sin identitet, uden at specifikke svar kan kædes sammen med de enkelte brugere?

På min arbejdsplads bruger vi fx Defgo til bl.a. APV og medarbejderundersøgelser. Vi vil naturligvis kun have medarbejdere til at besvare spørgeskemaet, og derfor får hver medarbejder en unik indgang til spørgeskemaet. Vi kan dog ikke se medarbejdernes individuelle svar alligevel, da der ikke oprettes kæde mellem svar og bruger.

Anne-Marie Krogsbøll

Vigtig indvending, Jesper Nielsen. Er der nogen måde, hvorpå man som bruger kan tjekke, om der faktisk ER tale om anonymitet? Når man ser på undersøgelsen i skolerne, som omtales på folkeskolen.dk i linket ovenfor, så bliver man jo noget mistroisk på det punkt.

Anne-Marie Krogsbøll

Bekendtgørelsen bag trivselsundersøgelsen i folkeskolen afslører, at følgende skal gemmes sammen med levens besvarelse:
4) Følgende stamdata fra Styrelsen for It og Lærings UNI-Login-infotjeneste og metadata skal gemmes sammen med elevens besvarelse af spørgeskemaet:
– Elevens UNI-Login brugernavn
– Elevens cpr-nummer
– Elevens klassetrin
– Klassebetegnelse
– Skolens institutionsnummer (såfremt skolen er en afdeling under en hovedskole, skal det være afdelingens institutionsnummer)
– Kommunenummer
– Tidspunkt og dato for start af besvarelse
– Tidspunkt og dato for afslutning af besvarelse
– Gennemførelsesstatus (fuldstændig eller afbrudt besvarelse)

Såååå.... det er en lidt mærkelig måde at definere anonymitet på.

Mht. "Hvordan har du det"- undersøgelsen i Midjylland (den er landsdækkende) , så angives det i invitationsbrevet, at besvarelsen behandles "fortroligt" - men ikke, at den er anonym.

Et andet sted i brevet fremgår:
"Nummeret øverst på side 28 er med, for at vi kan holde rede på, hvem der har svaret. "
Dette vil jo nok af mange opfattes som udtryk for, at besvarelsen er anonym - det kan i hvert fald misforstås.

Det fremgår også, at man til hver en tid kan tilbagekalde sit samtykke - det forudsætter vel at ens besvarelse kan identificeres?

Samtykket lyder:
"Det er naturligvis frivilligt at deltage. Ved at udfylde og indsende skemaet giver du dit sam-tykke til at deltage i undersøgelsen. "

Jeg synes, at det er temmeligt uklart, hvad samtykket dækker. Og jeg får også indtryk af, at man gør sig meget umage for IKKE at gøre det klart, at besvarelserne faktisk ikke er anonyme - men blot "fortrolige".

For mig at se lyder det som et af de samtykker, der kan misbruges til at udvide "ejerkredsen" til alle mulige forskere, og som kan medføre samkøring med andre registre henad vejen.

Log ind eller opret en konto for at skrive kommentarer