Kort om persondata og US Patriot Act

authorimage
BLOGS
Af: Nikolaj Stenberg
12. jul 2011
Personfølsomme informationer er som navnet frembyder en personlig sag. Derfor har alle som der findes informationer om en naturlig interesse i, at disse behandles på en passende og redelig måde – og i henhold til de regler der gælder. Ligeledes har ejeren af informationer en tilsvarende interesse, da et brud på netop informationssikkerheden uvægerligt skader ens gode omdømme.

Informationer af denne type skal i Danmark behandles i overensstemmelse med persondatareglerne, der har sine rødder i EU-retten. Den teknologiske udvikling har imidlertid presset dette regelsæt til sit yderste og i visse tilfælde sprængt det i stykker. Jeg tænker på cloud computing.

Cloud computing går grundlæggende ud på, at en virksomheds datakapacitet outsources således, at data og programmer ikke længere befinder sig på lokale servere, men på serverfarme et eller andet sted i verden. En række softwarehuse tilbyder sådanne cloud-løsninger. Google er i øjeblikket i færd med en heftig markedsføring af sit Google Apps-produkt, mens Microsoft tilbyder sine kunder et decideret cloud-operativsystem (Microsoft Azure), som der kan udvikles og afvikles programmer på. Alt sammen er det meget spændende; men hvor godt er ens informationer beskyttet?

For at illustrere en dataindsamlings- og -formidlingsrække kan man forestille sig følgende: En virksomhed opnå i forbindelse med sine transaktioner med en kunde en vis vidne om personen og de informationer, der er grundlaget for denne viden, skal behandles i overensstemmelse med persondatareglerne. I den henseende er virksomheden ”dataansvarlig”. Fordi den dataansvarlige benytter sig af en cloud-løsning lagrer han ikke selv informationerne: Informationerne lagres direkte på en server hos en cloud-leverandør, der retligt set betegnes som en ”databehandler”.

Både den dataansvarlige og databehandleren er forpligtet til at handle i overensstemmelse med persondatareglerne. Alligevel er det den dataansvarliges ansvar, som er tunges, idet han har en pligt til at bevare kontrollen med informationerne. Men denne kontrolpligt kan blive næsten uoverkommelig, hvis der i formidlingsrækkefølgen indgår underdatabehandlere i måske indtil flere led.

Særligt skal den dataansvarlige sikre sig, at der ikke uden tilsagn sker en overførsel af informationer, f.eks. til servere i ”usikre” stater udenfor EU/EØS. Overføres informationerne til servere i en ”sikker” stat udenfor EU/EØS, skal databehandleren informere den dataansvarlige om, at der er sket en sådan overførelse.

Det er ved disse informationsoverførelser, at persondataregelsættet sprænges. For hvis databehandleren er en virksomhed med hjemsted i USA, har de amerikanske myndigheder, med hjemmel i den amerikanske Patriot Act, hjemmel til at kræve informationerne udleveret – også selvom informationerne ikke befinder sig på servere i USA og måske endda aldrig har gjort det. Tilmed, kan et sådan udleveringsordre forsynes med et retligt påbud til databehandleren om ikke at oplyse den dataansvarlige om udleveringen.

Det er åbenlyst i strid med de europæiske persondataregler ikke at oplyse om den form for udleveringer, men fordi virksomhederne er omfattet af reglerne i deres hjemland, må de ikke overholde de europæiske regler. Microsoft er, så vidt vides, den eneste større cloud-leverandør, der har været åbne omkring de situationer, hvori man ikke må overholde europæisk og dansk ret.

Europa-Parlamentet har allerede kastet sig over problemet, men spørgsmålet er hvor effektiv ny regulering kan være – og hvor langt man egentlig kan gå, før end cloud-løsningerne bliver nyttesløse.
Profil
Nikolaj Stenberg authorimage Nikolaj blogger om de danske og europæiske retsstaters gode og dårlige sider, den politik der føres og de konsekvenser dén har for erhvervslivet og borgernes rettigheder. Det er emner, som Nikolaj er velbevandret i både fagligt og praktisk, og som han har været præmieret til Danmarks bedste blogger for at skrive om.

Nikolaj arbejder i en statslig myndighed. Alt hvad han skriver her på bloggen er i eget navn og for egen regning.

Kontakt Nikolaj

Twitter

Tidligere bloggere på borsen.dk