Sådan undgår du at bryde dansk lov med data i skyen

Cloud computing kan give mange it-mæssige fordele, men også juridisk hovedpine. It-revisor forklarer, hvad du skal være opmærksom på, hvis du vil undgå at bryde persondataloven.

Artikel top billede

Læs også:

Det betyder Datatilsynets Office 365-dom for dig

Dansk it-chef: Vi er stadig ikke I mål med Office 365

Det kan godt være, at cloud computing lyder besnærende, og som lige præcis den medicin, der kan mindske økonomidirektørens budget-hovedpine og it-afdelingens overarbejds-pukkel.

Men selvom man kan hente meget ved at udnytte skyens stordriftsfordele, fleksibilitet og skalerbarhed, kan man hurtigt komme ned på jorden igen, når juraen skal tjekkes.

Persondataloven kan nemlig ofte spænde ben for virksomheder, der er på vej ud i skyen.

Problemstillingen har tidligere været oppe at vende, da Odense Kommune ikke kunne få lov til at bruge Google Apps, og senest, da Datatilsynet kom med en længere udtalelse om, hvordan Microsofts Office 365 spiller sammen med den danske data-lovgivning for opbevaring af persondata.

"Udgangspunktet er, at hvis du signer op til sådan en løsning, kan du ikke være sikker på, at du lever op til lovgivningen. Du er nødt til at klassificere data," forklarer it-revisor Martin Brogaard Nielsen fra firmaet REVI-IT, der arbejder med it-revision og it-rådgivning.

"Data bliver klassificeret som persondata, hvis du eksempelvis skriver en mail med et CPR-nummer. Hvis du har den mail liggende hos en cloud-leverandør, så er løsningen underlagt persondataloven," forklarer han.

Det skal du vide om dine data

Microsoft Office 365 er tilsluttet Safe Habor-ordningen, og samtidig kan man som bruger vælge, at ens specifikke løsning skal være underlagt EU's standardkontrakter for overførsel af personoplysninger til en databehandler i et tredjeland.

"Det er et udmærket skridt fra Microsofts side, men udfordringen er stadigvæk, at der ikke bliver logget i den forstand, som persondataloven siger. Jeg bifalder hele tankegangen omkring cloud, men udfordringen er, at man skal overveje, hvilke data, man opererer med. Har man noget, der kan blive omfattet af persondataloven eller bogføringsloven?"

Spørgsmålet er så, om samtlige danske virksomheder, der kører cloud-løsninger - heriblandt mange små og mellemstore virksomheder - har foretaget den klassificering? Og om det overhovedet har nogen konsekvens, hvis man ikke lever op til lovgivningen?

"Konsekvensen er ikke stor, når det kommer til bøderne, og man bliver heller ikke sat i fængsel. Men du kan blive hængt ud på Datatilsynets hjemmeside. Det kan også være nok så skidt, hvis det dukker frem i Google-søgninger, at man som virksomhed ikke har styr på tingene."

Her kan du også komme galt afsted

Der findes efterhånden mange forskellige cloud-tjenester på markedet, og det er ikke kun de rene mail- og kontorpakkeløsninger, der kan give udfordringer i forhold til lovgivningen. 

Eksempelvis findes der i dag en del sikkerhedsløsninger, hvor man kan få antivirus og spam-beskyttelse i skyen, og også her skal man sikre sig, at man ikke bryder loven.

"Der har været meget fokus på de store cloud-løsninger hos Microsoft og Google og Amazon, men udfordringen er principielt den samme, når nogen tilbyder at scanne ens mails."

"Rent lovgivningsmæssigt er leverandørerne at betragte som databehandlere, og hvis de databehandler på nogle servere i Indien, så kan det principielt også være problematisk," siger Martin Brogaard Nielsen.

Hans oplever, at mange danske virksomheder, der går cloud-vejen, har fokus på økonomien og drift-sikkerhed. 

"Det er ikke voldsomt mange, der har fokus på lovgivningen - det er ikke det, man tænker på først."

It-revisorens råd er, at man klassificerer virksomhedens data data for dermed at vide i hvilken grad, man skal beskytte data - og dermed om det er muligt at benytte outsourcede ydelser.

"Man kan godt harcelere over, om lovgivningen er up to date i forhold til it-udviklingen, men selvfølgelig skal man leve op til loven," lyder det fra Martin Brogaard Nielsen.

Læs også:

Det betyder Datatilsynets Office 365-dom for dig

Dansk it-chef: Vi er stadig ikke I mål med Office 365

Læses lige nu

    Annonceindlæg fra Netic

    Open Source skal give det offentlige kontrollen tilbage

    Digital suverænitet er rykket højt op på den offentlige sektors agenda.

    Navnenyt fra it-Danmark

    SAP SuccessFactors Partner Pentos har pr. 1. marts 2026 ansat Plamena Cherneva som Seniorkonsulent indenfor SuccessFactors HCM. Hun skal især beskæftige sig med konfiguration og opsætning af SuccessFactors suiten, samt udvikle smarte løsninger til mellemstore danske virksomheder. Hun kommer fra en stilling som løsningsarkitekt indenfor HR IT hos LEO Pharma. Hun har tidligere beskæftiget sig med HR procesdesign, stamdata og onboarding. Nyt job

    Plamena Cherneva

    SAP SuccessFactors Partner Pentos

    Netip A/S har pr. 1. maj 2026 ansat Ida Hyllested Friis som Key Account Manager ved netIP's kontor i Thisted. Hun kommer fra en stilling som Key Account Manager hos Københavns erhvervshus. Nyt job
    IFS Danmark A/S har pr. 1. juni 2026 ansat Lasse Hounsgaard som AI Account Executive. Lasse skal især beskæftige sig med udrulning af IFS.ai Logistics i Norden. Lasse kommer fra en stilling som Manufacturing Account Executive hos Autodesk ApS. Lasse er uddannet cand.merc. i International Virksomhedsøkonomi. Lasse har tidligere beskæftiget sig med digitalisering af danske og nordiske virksomheder. Nyt job

    Lasse Hounsgaard

    IFS Danmark A/S

    Pinksky ApS har pr. 1. maj 2026 ansat Jeppe Spanggaard, 29 år,  som Rådgivende konsulent, Partner. Han skal især beskæftige sig med Digitalisering med Microsoft-platformen. Han kommer fra en stilling som Microsoft 365 & SharePoint Specialist hos Evobis ApS. Nyt job

    Jeppe Spanggaard

    Pinksky ApS