Danske myndigheder bør tænke sig om en ekstra gang, inden de hyrer amerikansk ejede virksomheder til at håndtere personfølsomme oplysninger. For selv om det kan skabe en økonomisk besparelse at udlicitere it-opgaverne, kan der opstå en juridisk meget besværlig situation, hvis de amerikanske myndigheder vil have oplysninger om danskere.
Ifølge Datatilsynet kan virksomheder med amerikanske ejere nemlig risikere at blive fanget imellem amerikanske myndigheder, der har pålagt modervirksomheden at udlevere oplysninger, og den danske persondatalov, der forbyder dem at gøre det.
»Det kan måske spare en masse penge at udlicitere. Men bør tænke den besværlige jura med ind i det fra start af. En virksomhed kan jo virkelig komme i problemer. Hvis de udleverer data, kan de blive straffet i Danmark, og hvis de ikke gør, kan de blive straffet i USA,« siger Jesper Vang, der er specialkonsulent hos datatilsynet, til Version2.
En amerikansk domstol har for nyligt beordret Microsoft til at udlevere personfølsomme oplysninger om en kunde, selvom oplysningerne lå hos et selvstændigt datterselskab i Irland. Og skulle en lignende situation opstå for en amerikansk ejet virksomhed, der håndterer personfølsomme oplysninger for en dansk myndighed, så kan virksomheden ende i et dilemma. Og ifølge flere eksperter, vil det sandsynligvis ikke falde ud til myndighedens fordel.
Professor i it- og teleret, Søren Sandfeld Jacobsen, meldte på bagrund af afgørelsen ud, at danske myndigheder ikke kan føle sig helt sikre på leverandører med amerikanske ejere, og it-jurits Peter Lind Nielsen kaldte det for en “grum situation”.
Og hos datatilsynet kommer man med en lignende vurdering.
»Man kan jo frygte for, hvem virksomheden så lytter til. Der vil jo nok være en risikoafvejning af, hvor konsekvenserne er størst,« siger Jesper Vang til Version2.
Læs også: Eksperter: KMD og CSC kan blive nødt til at udlevere følsomme oplysninger om danskere til USA
Brud vil ramme myndigheden
I Danmark agerer blandt andet amerikansk ejede CSC som databehandler for det offentlige og håndterer eksempelvis cpr-registret og borger.dk. Men hvis det kommer til, at en databehandler efterkommer et amerikansk påbud om at udlevere personfølsomme oplysninger, så er det den danske myndighed, der skal stå til regnskab for det. Det vil have forretningsmæssige konsekvenser for den amerikanske virksomhed, men juridisk vil man gå efter den offentlige myndighed.
»Vi gå efter den dataansvarlige, og det er myndigheden. Dem kan vi ikke give bøder, men vi kan eksempelvis påbyde dem at at opsige kontrakten med en databehandler,« siger Jesper Vang. Han vil ikke ligefrem fraråde myndighederne at bruge leverandører med amerikanske ejere, men oplyser, at de skal være sig deres ansvar bevidste.
»Det er myndighedens ansvar at hyre nogen, der kan sikre, at persondataloven overholdes. Og hvis der kommer sager, hvor amerikanske myndigheder pålægger virksomheder som CSC, Microsoft eller IBM i Danmark at udlevere oplysninger, så er det ikke sikkert at bruge de her virksomheder,« siger Jesper Vang.
Listen over amerikanske selskaber der håndterer store dele af drift og datalagring af danske offentlige myndigheder tæller blandt andet CSC, Microsoft og IBM.
EL: Genovervej amerikansk ejede databehandlere
Både Justitsministeriet og Erhvervs- og vækstministeriet har indtil videre overfor Version2 afvist at kommentere om den nye amerikanske dom giver anledning til at se på, hvordan offentlige data bliver håndteret.
Men ifølge Enhedslistens it-ordfører, Stine Brix, bør man være meget opmærksom på de potentielle konsekvenser for retssikkerheden.
»Hidtil har regeringen desværre lukket øjnene fuldstændigt for dette her, og det er svært at få en reel diskussion om det. Men det er utroligt vigtigt at regeringen tager det alvorligt og kigger på de modsætninger, der er mellem dansk og amerikansk lovgivning på dette her område,« siger Stine Brix.
Version2 følger sagen.
Leave a Reply