Artikel top billede

Sådan kan USA tvinge danske firmaer til at udlevere dine data

Amerikansk og dansk lovgivning støder sammen, når USA's efterretningstjenester leder efter terrorister i Danmark.

Amerikanske efterretningstjenester kan få adgang til data om danskere og danske virksomheder, selv om det er ulovligt efter dansk lovgivning.

Det vurderer to danske it-jurister som reaktion på en række svar fra amerikanske it-giganter, om de kan garantere danske kunder, at data ikke ender hos de amerikanske efterretningstjenester.

"Fra en dansk synsvinkel er det interessant, at de alle sammen svarer, at de overholder national lovgivning. Det er et fint standardsvar. De overholder altså lovgivningen i Danmark, men det betyder også, at de overholder lovgivningen i USA," siger it-jurist Martin von Haller Grønbæk.

"Men problemstilingen er, om amerikanske myndigheder kan få lov til at se indhold, korrespondance og kommunikation, der tilhører europæiske virksomheder eller privatpersoner. Hvis man kan det, så overholder de amerikansk lovgivning. Og så giver de amerikanerne lov til det her. Så man er ikke bedre hjulpet om, hvor man står som europæisk virksomhed eller som privatperson, end før man fik de her svar," siger han.

"Det er ikke så mærkeligt, at man som amerikansk virksomhed ikke har lyst til at udstede garantier for noget som helst."

Ingen af selskaberne giver garanti

Han hæfter sig desuden ved, at ingen af de amerikanske it-selskaber vover sig ud i en direkte garanti for, at danske kunders data ikke ender i USA.

"Det er ikke så mærkeligt, at man som amerikansk virksomhed ikke har lyst til at udstede garantier for noget som helst. Men det, man som dansk virksomhed skal være opmærksom på, er, at de ganske enkelt siger, at hvis de efter amerikanske regler er forpligtet til at udlevere noget, så ser de stort på, hvilke rettigheder vi måtte have efter national dansk lovgivning," siger Martin von Haller Grønbæk.

Han bakkes op af juraprofessor Henrik Udsen fra Københavns Universitet. Han peger på, at amerikansk lovgivning som eksempelvis terrorlovgivningen i Patriot Act omfatter forhold, som ligger uden for USA's territorium. Så en amerikansk domstol kan altså kræve, at en amerikansk virksomhed udleverer danske data, selvom data opbevares på dansk grund.

"Hvis du skal overholde amerikansk lovgivning, som den bliver håndhævet i USA, så overtræder du i nogle tilfælde europæisk lovgivning"

"Amerikansk lovgivning indebærer, at amerikanske firmaer i nogle tilfælde kan blive forpligtet til at udlevere data, som er i Danmark, til de amerikanske myndigheder. Det er lige præcis her, at skismaet ligger. Hvis du skal overholde amerikansk lovgivning, som den bliver håndhævet i USA, så overtræder du i nogle tilfælde europæisk lovgivning og omvendt," siger Henrik Udsen.

Han fortæller, at man i EU lige nu arbejder på et udkast til nye regler for persondatahåndtering. Men efter hans vurdering løser det foreløbige udkast til nye EU-regler ikke problemet.

Jurist: Danske virksomheder skal tænke sig om
Ifølge Martin von Haller Grønbæk betyder det reelt, at danske borgere ikke har nogen sikkerhed for, at et firma som eksempelvis CSC efter amerikansk lovgivning kan blive tvunget til at udlevere persondata, selvom det er lodret ulovligt efter dansk lov.

Men han opfordrer også danske virksomheder til at tænke sig om, før de lægger data hos en amerikansk ejet udbyder.

"Det spørgsmål bliver endnu mere relevant, når man får de her svar tilbage. For de siger, at de opfører sig lovligt. Men det vil primært sige, at man opfører sig lovligt i USA. Og hvis man i USA bliver forpligtet at udlevere de data, man har, uanset hvor de hidrører fra - inklusiv data, der i CSCs tilfælde vedrører danske borgere. Når man udtaler sig så vævende, må man som dansk privat bruger eller dansk virksomhed bare se i øjnene, at det her er realiteterne," siger Martin von Haller Grønbæk.

Læs også:

Er dine danske data sikre hos IBM, Google, Apple, CSC eller Microsoft?

Aflytningsskandale kan give dansk konkurrencefordel




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
TIETOEVRY DENMARK A/S
Udvikler, sælger og implementerer software til ESDH, CRM og portaler. Fokus på detailhandel, bygge- og anlæg, energi og finans.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
NIS2 - Sådan forbereder du din virksomhed til den store dag med ny EU-lovgivning om cybersikkerhed

NIS2 er et nyt EU-direktiv, som pålægger medlemslandene at sikre, at udbydere af kritisk infrastruktur og tjenester har passende sikkerhedsforanstaltninger på plads til at styre cyberrisici og opretholde modstandsdygtighed i tilfælde af en hændelse. Du skal være klar fra dag et – ellers vanker der bøder.

26. september 2023 | Læs mere


Er der en vej uden om usikker, kostbar og kompleks clouddrift?

Få indsigt i konklusionerne fra en nylig, storstilet undersøgelse fra Computerworld og Veritas med svar fra mere end 100 danske IT-topchefer i detaljer om deres erfaringer med de seneste års bevægelse mod cloudbaserede platforme og services. Derudover får du bud på, hvordan man som virksomhed både høster fordelene ved øget clouddrift og et stigende antal leverandører. Vel at mærke samtidig med, at man får det overblik, som gør det muligt at drive infrastrukturen sikkert og effektivt.

05. oktober 2023 | Læs mere


OT-sikkerhed i produktionsmiljøer - hvor kommer truslerne fra og hvordan opnår I optimal modstandsdygtighed overfor cyberangreb?

Til trods for den intense fokus på cybersikkerhed og NIS2 er mange produktionsvirksomheder og organisationer stadig usikre på, hvad de konkret skal gøre for at sikre, at de lever op til direktivets nye skærpede krav, når det gælder risikostyring, dokumentation og indberetning samt kravene om at garantere sikkerheden igennem hele forsyningskæden – og det ansvar, der følger med.

10. oktober 2023 | Læs mere