Sådan undgår du at bryde dansk lov med data i skyen

Cloud computing kan give mange it-mæssige fordele, men også juridisk hovedpine. It-revisor forklarer, hvad du skal være opmærksom på, hvis du vil undgå at bryde persondataloven.

Artikel top billede

Læs også:

Det betyder Datatilsynets Office 365-dom for dig

Dansk it-chef: Vi er stadig ikke I mål med Office 365

Det kan godt være, at cloud computing lyder besnærende, og som lige præcis den medicin, der kan mindske økonomidirektørens budget-hovedpine og it-afdelingens overarbejds-pukkel.

Men selvom man kan hente meget ved at udnytte skyens stordriftsfordele, fleksibilitet og skalerbarhed, kan man hurtigt komme ned på jorden igen, når juraen skal tjekkes.

Persondataloven kan nemlig ofte spænde ben for virksomheder, der er på vej ud i skyen.

Problemstillingen har tidligere været oppe at vende, da Odense Kommune ikke kunne få lov til at bruge Google Apps, og senest, da Datatilsynet kom med en længere udtalelse om, hvordan Microsofts Office 365 spiller sammen med den danske data-lovgivning for opbevaring af persondata.

"Udgangspunktet er, at hvis du signer op til sådan en løsning, kan du ikke være sikker på, at du lever op til lovgivningen. Du er nødt til at klassificere data," forklarer it-revisor Martin Brogaard Nielsen fra firmaet REVI-IT, der arbejder med it-revision og it-rådgivning.

"Data bliver klassificeret som persondata, hvis du eksempelvis skriver en mail med et CPR-nummer. Hvis du har den mail liggende hos en cloud-leverandør, så er løsningen underlagt persondataloven," forklarer han.

Det skal du vide om dine data

Microsoft Office 365 er tilsluttet Safe Habor-ordningen, og samtidig kan man som bruger vælge, at ens specifikke løsning skal være underlagt EU's standardkontrakter for overførsel af personoplysninger til en databehandler i et tredjeland.

"Det er et udmærket skridt fra Microsofts side, men udfordringen er stadigvæk, at der ikke bliver logget i den forstand, som persondataloven siger. Jeg bifalder hele tankegangen omkring cloud, men udfordringen er, at man skal overveje, hvilke data, man opererer med. Har man noget, der kan blive omfattet af persondataloven eller bogføringsloven?"

Spørgsmålet er så, om samtlige danske virksomheder, der kører cloud-løsninger - heriblandt mange små og mellemstore virksomheder - har foretaget den klassificering? Og om det overhovedet har nogen konsekvens, hvis man ikke lever op til lovgivningen?

"Konsekvensen er ikke stor, når det kommer til bøderne, og man bliver heller ikke sat i fængsel. Men du kan blive hængt ud på Datatilsynets hjemmeside. Det kan også være nok så skidt, hvis det dukker frem i Google-søgninger, at man som virksomhed ikke har styr på tingene."

Her kan du også komme galt afsted

Der findes efterhånden mange forskellige cloud-tjenester på markedet, og det er ikke kun de rene mail- og kontorpakkeløsninger, der kan give udfordringer i forhold til lovgivningen. 

Eksempelvis findes der i dag en del sikkerhedsløsninger, hvor man kan få antivirus og spam-beskyttelse i skyen, og også her skal man sikre sig, at man ikke bryder loven.

"Der har været meget fokus på de store cloud-løsninger hos Microsoft og Google og Amazon, men udfordringen er principielt den samme, når nogen tilbyder at scanne ens mails."

"Rent lovgivningsmæssigt er leverandørerne at betragte som databehandlere, og hvis de databehandler på nogle servere i Indien, så kan det principielt også være problematisk," siger Martin Brogaard Nielsen.

Hans oplever, at mange danske virksomheder, der går cloud-vejen, har fokus på økonomien og drift-sikkerhed. 

"Det er ikke voldsomt mange, der har fokus på lovgivningen - det er ikke det, man tænker på først."

It-revisorens råd er, at man klassificerer virksomhedens data data for dermed at vide i hvilken grad, man skal beskytte data - og dermed om det er muligt at benytte outsourcede ydelser.

"Man kan godt harcelere over, om lovgivningen er up to date i forhold til it-udviklingen, men selvfølgelig skal man leve op til loven," lyder det fra Martin Brogaard Nielsen.

Læs også:

Det betyder Datatilsynets Office 365-dom for dig

Dansk it-chef: Vi er stadig ikke I mål med Office 365

Læses lige nu

    Annonceindlæg fra HP

    En AI-specialist værdsætter dokumenteret ydeevne og lokal computerkraft

    Forsker og ingeniør inden for AI Robert Luciani arbejder med det nyeste i kunstig intelligens.

    Navnenyt fra it-Danmark

    Immeo har pr. 16. marts 2026 ansat Honey Arora som Senior Manager. Han kommer fra en stilling som Data Product Owner hos Centrica Energy. Nyt job

    Honey Arora

    Immeo

    Renewtech ApS har pr. 1. april 2026 ansat Boris Sudar som Senior IT Specialist. Han skal især beskæftige sig med at sikre, at Renewtech cloudbaseret infrastruktur fortsætter på sit højeste niveau, mens han også skal drive system udvikling. Han kommer fra en stilling som Senior IT Specialist hos Eurowind Energy. Han har tidligere beskæftiget sig med Microsoft 365, Intune og sikker endepunktsstyring for hybrid og cloudbaseret infrastrukturer. Nyt job

    Boris Sudar

    Renewtech ApS

    Netip A/S har pr. 1. april 2026 ansat Claus Berg som Account Manager ved netIP's kontor i Esbjerg. Han kommer fra en stilling som Client Manager hos itm8. Nyt job

    Claus Berg

    Netip A/S

    Elbek & Vejrup A/S har pr. 1. juni 2026 ansat Mikkel Bernt Buchvardt som AI Architect & Product Manager. Han skal især beskæftige sig med udviklingen af AI-Services og AI-Agenter i og omkring Business Central. Han kommer fra en stilling som Lead Data & Analytics hos IBM. Han er uddannet MSc. i softwareudvikling fra ITU. Han har tidligere beskæftiget sig med Data og BI hos KMD og Seges Innovation. Nyt job

    Mikkel Bernt Buchvardt

    Elbek & Vejrup A/S