Læs også:
Her er Datatilsynets dom over Microsofts Office 365
Datatilsynets netop offentliggjorte udtalelse om Office 365 vækker glæde hos Peter Lunding Smith, der er cloud-ansvarlig hos Microsoft-partneren Proactive, jurist og aktiv deltager i debatten om cloud computing og de lovgivningsmæssige udfordringer.
Datatilsynet kalder ikke selv udtalelsen for en blåstempling, men Peter Lunding Smith er ikke bange for at drage den konklusionen, efter at have set nærmere på det ni sider lange dokument.
"Jeg opfatter Datatilynets udtalelse som en blåstempling af Microsofts Cloud Services med de forbehold, der nu er for, at Microsoft og kunderne til enhver tid forsat skal overholde reglerne i persondataloven og sikkerhedsbekendtgørelsen med mere," udtaler Peter Lunding Smith.
Hvad siger du nu til en dansk it-chef, der er i tvivl om, hvorvidt man kan anvende Microsofts cloud til personoplysninger?
"Jeg vil umiddelbart sige, at it-chefen må sætte sig ned sammen med en god rådgiver og vurdere, om registrering af personoplysninger kan være i konflikt med kravet om logning, jævnfør sikkerhedsbekendtgørelsens paragraf 19."
"Der er ikke i udtalelsen lagt op til, at danske virksomheder og myndigheder ikke må anvende cloud til at opbevare eller håndtere personoplysninger, men omvendt er der et krav om, at søgninger på personoplysninger - i visse tilfælde - skal kunne logges."
Ingen logningsfunktion
I udtalelsen kan man netop læse, at Office 365 ikke indeholder logningsfunktion som krævet efter sikkerhedsbekendtgørelsen, og at man som dataansvarlig skal sikre sig, "at der ikke sker en registrering i løsningen, som udløser krav om logning."
Hvordan skal man som it-chef forholde sig til sådan en formulering?
"Jeg vil ikke blive alt for bekymret over den formulering. Formålet med vor datalovgivning og kravet om logning i sikkerhedsbekendtgørelsens paragraf 19 er jo at beskytte borgerne imod, at uvedkommende, uhindret og uden at blive registreret, kan søge efter personfølsomme data."
Det kan ifølge Peter Lunding Smith eksempelvis være, hvis en butik tjekker din kreditværdighed i Debitorregistret
"Så er det jo rart, at det bliver logget, så du kan se, hvem der har hentet oplysninger om dig," forklarer han.
Brug af Office 365 som persondataregister
"Når vi taler om at bruge Office 365, så er der sjældent tale om at bruge det som et egentligt persondataregister, og sædvanligvis bruges Office 365 mest til mail og dokumenthåndtering."
"At der kan indgå et personnummer i en mail eller et dokument, mener jeg ikke bør udløse krav om logning, da en standard mail- og dokumentservice jo ikke er indrettet til at uvedkommende kan søge efter personfølsomme data."
Derfor kræver det ikke logning
Peter Lunding Smith peger på, at man, medmindre man allerede kender en persons personnummer eller andre følsomme data, vil få svært at søge det frem, og at det er under alle omstændigheder ikke er almindelig brug af mail og dokumentlagring, som paragraf 19 skal beskytte.
"Det fremgår faktisk indirekte af paragraf 19, stk. to, hvor det fremgår, at personoplysninger, der er indeholdt i et tekstbehandlingsdokument, ikke kræver logning, førend det foreligger i en endelig form."
Ved "endelig form" skal ifølge Peter Lunding Smith forstås, at oplysningerne lagres i en sådan form og i et sådan register, at de er egnede til at søge efter og potentielt kan misbruges.
Kan du forstå, hvis der stadig er it-chefer, der har svært ved at hitte ud af, hvad de må, og hvad de ikke må, når det kommer til cloud computing?
"Ja, det er jo ikke helt let for ikke-jurister at fortolke Datatilsynets udtalelse, og det kunne være ønskeligt med for eksempel en egentlig mærkningsordning overfor forskellige cloud-leverandører og cloud services."
"Men efterhånden bliver der vel indført nogle mere tidssvarende regler samt udarbejdet nogle pjecer, kontrolskemaer eller lignende, der kan gøre det lettere at komme i gang," lyder det fra Peter Lunding Smith.
Læs også:
