Om 10 måneder træder den europæiske persondataforordning i kraft og skærper kravene til, hvordan myndigheder og virksomheder må behandle oplysninger om privatpersoner.
Danmark er imidlertid stadigvæk ikke klar med den nye persondatalov, der skal supplere forordningen. Mindre end et år før forordningen træder i kraft, har justitsministeriet endelig sendt et dansk lovforslag i høring.
Computerworld guider dig igennem de vigtigste stridspunkter sammen med it-sikkerhedschef Henning Mortensen, der beskæftiger sig indgående med forordningen og blandt andet står bag et gratis compliance-værktøj til virksomheder.
Må det offentlige få bøder?
Persondataforordningen (GDPR) har fået meget opmærksomhed, fordi private virksomheder, der sjusker med data, kan forvente store bøder. Meget store bøder.
Men mens de private firmaer kan idømmes bøder på op til 20 millioner Euro for sløset omgang med persondata, så er det endnu uklart, om de offentlige myndigheder kan tvinges til at punge ud.
Eksemplerne på datasjusk hos offentlige myndigheder er mange, men i det nye lovforslag adresseres spørgsmålet slet ikke. Justitsministeriet meldte allerede sidste år ud, at man ikke ønsker, at det offentlige skal kunne sanktioneres på lige fod med private.
”Stillingtagen til sanktionsspørgsmålet i forhold til offentlige myndigheder udestår” hedder det i lovforslaget.
Et politisk flertal i Folketinget ønsker imidlertid muligheden for bødestraffe til offentlige myndigheder, og det undrer Henning Mortensen, der er tidligere chefkonsulent i Dansk Industri og i dag er CISO hos Brdr. A&O Johansen, at Justitsministeriet ikke har formuleret en officiel holdning i lovforslaget.
"Det er meget bemærkelsesværdigt, at de ikke har taget stilling til det. Det er næsten som at bede om, at der skal komme problemer med det,” siger han til Computerworld.
Må Datatilsynet udstede bøder?
Danmark adskiller sig fra de resterende EU-lande ved selve håndteringen af bøde-spørgsmålet. Persondataforordningen lægger op til, at Datatilsynene i de enkelte lande skal udstede bøder i forbindelse med lovgivningen, men den danske grundlov forbyder Datatilsynet at agere dømmende magt.
Professor Henrik Udsen vurderede i sidste måned, at tilsynet i stedet burde gives mulighed for at udstede såkaldte bødeforlæg – det er sådan et, man får i hånden af Politiet, hvis man kører over for rødt.
Man kan vælge at betale eller få sagen prøvet ved en domstol.
”Hvis man ikke giver Datatilsynet den mulighed, så skal alle sager videre til anklagemyndigheden. Og det vil kræve flere ressourcer, fordi vi har pligt til at have det samme bødeniveau som alle andre lande. Efter min opfattelse vil det mest fornuftige være at lade Datatilsynet udstede bødeforlæg."
Den anbefaling følger Justitsministeriet, og lovforslaget lægger op til netop den løsning.
Gode tider for cloud-branchen?
Forslaget til den nye persondatalov lover ifølge Henning Mortensen gode tider for den europæiske cloud-branche.
Forslaget lægger op til en afskaffelse af den nuværende lovs såkaldte ”krigsregel” der dikterer, at offentlige myndigheder, skal sikre sig muligheden for at slette visse data hos databehandlere i tilfælde af krig.
Det lægger visse begrænsninger på brugen af cloud-tjenester i udlandet og betyder, at visse data praktisk talt skal opbevares i Danmark. Det nye lovforslag bløder dog noget op på det.
”Man må antage at en sådan dialog vil være yderst beskeden i forhold til, hvad man har antaget, at datatilsynet tidligere har lagt af begrænsninger. Så der er lagt op til en ret pæn brug af cloud tjenester i det offentlige sektor fremover,” siger Henning Mortensen og tilføjer, at det især ser godt ud for europæisk cloud.
”Hvis man bruger cloud tjenester i USA skal man fortsat have dobbelt hjemmel og bruge Privacy-shield som overførselsgrundlag."
Privacy Shield er afløseren til den hedengangne "safe harbour"-aftale mellem Europa og USA og betyder, at amerikanske virksomheder, der modtager data fra Europa, skal leve op til strenge krav og kontrol.
Hvad er følsomme data?
Henning Mortensen peger også på, at det nye lovforslag lader noget tilbage at ønske i forhold til, hvad der kategoriseres som ”følsomme oplysninger”.
Følsomme oplysninger som for eksempel etnicitet eller religiøse tilhørsforhold må som udgangspunkt ikke behandles af det offentlige, medmindre der er en særlig grund til det, som finder hjemmel i loven.
Men det nye lovforslag kategoriserer ikke ”væsentlige sociale problemer” og ”rent private forhold” under følsomme oplysninger. Og det, mener Henning Mortensen, vil give anledning til en del kritik, når organisationer og myndigheder leverer høringssvar tilbage til Justitsministeriet.
”Justitsministeriet skriver, at de rent private forhold må høre under almindelige oplysninger. Det tror jeg ikke, at alle vil tage for gode varer, så det kan man nok godt forvente, at der kommer et mindre slagsmål om.”