CIO Tech Eksperten IT-JOB IT-Kurser Events Podcast Søg
Cookie ikon
Artikel top billede

(Foto: Computerworld)

Forviklinger i firmaers it-jura

Har du fuldstændig styr på din it-jura? Få en hjælpende hånd her, når en it-advokat lister nogle af de hyppigste problemstillinger op i blandt andet persondataloven.

16. december 2014 kl. 11.20

Af Jakob D. Lund, Alt om Data

Denne artikel er oprindeligt bragt på Alt om Data. Computerworld overtog i november 2022 Alt om Data. Du kan læse mere om overtagelsen her.

Analysehuset IDC afholdt en it-sikkerhedskonference i september måned. Her handlede ét af oplæggene om nogle af de juridiske forhold, der gælder for de fleste virksomheder og organisationer, men som de færreste føler sig helt skarpe i. Det var advokat og partner i Bird & Bird, Peter Lind Nielsen, der holdt oplægget, og han er ekspert indenfor blandt andet anskaffelse, udvikling, outsourcing, konsulentydelser, cloud computing, open source og licenser.

Salgsbetingelser i IoT

Peter Lind Nielsen indledte med at diskutere det forhold, at der kommer it i flere og flere produkter. I sig selv er det ikke et problem, men det kan det blive, hvis de salgsbetingelser, man som bruger bliver mødt med, og som man som oftest blindt accepterer, vandrer fra softwareverdenen og over i andre dele af konsumentmarkedet.

“Om nogle år skal vi måske underskrive en licensbetingelse, der indeholder en ansvarsfraskrivelse fra producentens side, når vi køber en bil,” sagde Peter Lind Nielsen.

“Det er vi ikke vant til. Det er jo det samme som at sige: ”Her er bilen. Jeg fraskriver mig herefter ethvert ansvar for fejl og mangler. Skulle der være fejl og mangler, retter jeg det ved lejlighed. Måske. Hvis du har tegnet en supportaftale.” Vil man købe en bil på de betingelser?,” spurgte Peter Lind Nielsen retorisk.

e-Boks fraskriver sig ethvert ansvar

Han konstaterede, at måske var eksemplet forsimplet, men han var overbevist om, at vi ville se flere af denne type softwareprægede købsaftaler i fremtiden. Peter Lind Nielsen gjorde i den forbindelse opmærksom på, at per 1. november 2014 skal alle borgere kunne modtage digital post fra det offentlige.

“Jeg ved ikke, hvor mange der egentlig har bidt mærke i de betingelser, man siger ja til for at bruge den elektroniske postkasse, som e-Boks udbyder. Hvis der går noget galt i e-Boks, som vi borgere vel at mærke skal bruge, der er ikke noget alternativ, så bærer man som borger det fulde ansvar. e-Boks har fraskrevet sig ethvert ansvar i oprettelsesbetingelserne.

Hvis man siger nej tak til dem, kan man ikke oprette en elektronisk postkasse. Det her er ikke for at hænge e-Boks ud, men måske skulle det offentlige påtage sig ansvaret i stedet. Man kan jo ikke have et system, hvor den enkelte borger skal påtage sig det fulde ansvar for, at det system, de er tvunget til at bruge, også fungerer,” sagde Peter Lind Nielsen.

Personhenførbare data eller ej

Herefter zoomede it-advokaten ind på et område, som har været meget i medierne gennem længere tid: nemlig persondata og persondataloven. Her pointerede han, at man som virksomhed eller organisation gør klogt i at skabe sig et overblik over, om man overhovedet opbevarer personhenførbare data. Og hvis man gør det, skal man efterfølgende have styr på, hvordan man registrerer og anvender disse data, og hvem der har adgang til dem.

“For at kunne gøre det skal man selvfølgelig vide, hvad personhenførbare oplysninger overhovedet er,” sagde Peter Lind Nielsen.
“Personhenførbare oplysninger er identificerbare oplysninger, som kan føres tilbage til en person. Det gælder også krydsreferencer såsom registreringsnummeret på en bil, et telefonnummer eller et sædenummer i et fly. Det er alle oplysninger, som kan føre tilbage til en bestemt person.”

“Her har BIG Data rejst nogle nye problemer, fordi man ved at sammenkæde data i én database med data i en anden database i princippet kan gøre data i begge databaser personhenførbare, og så skal man sørge for at overholde persondataloven. Og persondataloven gælder altid. Uanset, om en virksomhed skriver, at det gør den ikke.”

Få styr på underleverandørerne

Peter Lind Nielsen gik herefter dybere ind i begreberne dataansvarlig og databehandler.

“Hvis man har outsourcet noget af sin it-drift, skal man være opmærksom på, hvordan databehandleren opererer. Jeg har set eksempler på store koncerner, hvor man har troet, at man havde fuldstændig styr på sin databehandler.

Da vi begyndte at grave, viste det sig, at databehandleren havde en underdatabehandler, som den dataansvarlige ikke kendte til. Ifølge persondataloven er man som dataansvarlig også ansvarlig for databehandlere og eventuelle underdatabehandlere. Den type forhold ser vi flere og flere af i disse cloud-tider,” sagde Peter Lind Nielsen og opfordrede kraftigt til, at man skabte sig et overblik over sin databehandleraftale.

Indsamling skal have et formål

Peter Lind Nielsen forklarede også, at man som dataansvarlig ifølge persondataloven har pligt til at beskrive, hvad et givent formål med at indhente persondata er. Det formål skal oplyses, og det må ikke være hentet ud af den blå luft, men skal begrundes sagligt.

“Her spiller BIG Data endnu engang ind, for med BIG Data kan indsamlingen jo pludselig ændre formål. Men der skal man altså være opmærksom på, at hvis man bearbejder data til noget andet end det oprindelige formål, man indhentede dem for, skal man i princippet have et nyt samtykke til at anvende data til det nye formål,” sagde Peter Lind Nielsen.

Anonymisering gælder ikke

Det har længe heddet sig, at man kunne smyge sig udenom persondataloven ved at anonymisere sine data, så de ikke længere var personhenførbare. Men her havde Peter Lind Nielsen endnu et par væsentlige pointer.
“Der er kommet udtalelser fra EU, som definerer, hvad det overhovedet vil sige at anonymisere data. At anonymisere data betyder, at et originalt datasæt helt skal slettes.

Så længe det originale datasæt eksisterer, kan man jo føre oplysninger tilbage, og så bliver data igen personhenførbare ifølge persondataloven. Det samme gælder for kryptering. Hvis man dekrypterer data, bliver de igen personhenførbare. Og så er det lige meget, om det vil tage 100 ingeniører 100 år at bryde koden,” sagde Peter Lind Nielsen.

Bøder i millionklassen

Han afsluttede sit oplæg med oplysningen om, at et brud på persondataloven med en kommende EU-forordning kan betyde, at der for alvor falder brænde ned.

“Det gælder også inden for det offentlige, som før er gået fri. I forordningen er der et krav om, at hvis man har et vist antal personer ansat, skal man have en Data Security Officer ansat. Og bøderne får en helt anden størrelse, end vi er vant til at se,” sagde Peter Lind Nielsen.

EU-landenes nationale datatilsyn, i Danmarks tilfælde Datatilsynet, vil få ret til at udstede bøder på op til en mio. euro eller op til to procent af en koncerns årlige omsætning, hvis persondataloven brydes, når forordningen træder i kraft.

“Det vil også blive indført, at hvis man har haft et alvorligt sikkerhedsbrud, skal man både underrette Datatilsynet og de potentielt berørte. Det bliver nok ikke særlig rart at skulle skrive til kunder, at man har haft et stort sikkerhedsindbrud, og at deres data kan være blevet kompromitteret. Hvis man som kunde får den melding for fjerde gang, kan det godt være, at man finder en anden leverandør,” sluttede Peter Lind Nielsen.



Computerworld ... grobund for markante meninger om it
Har du en holdning? Del din viden på Computerworld »
Jonathan Løw
Jonathan Løw
Jeanette Carlsson
Jeanette Carlsson
David Guldager
David Guldager
Jacqueline Johnson
Jacqueline Johnson
Andreas Holbak Espersen
Andreas Holbak Espersen
Erik David Johnson
Erik David Johnson
Mogens Nørgaard
Mogens Nørgaard
Laura Klitgaard
Laura Klitgaard
opinion
Jonathan Løw
Jonathan Løw
Når virksomheder bytter ledere – en fremtidig it-ledelsestrend?
Læs indlæg
Artikel teaser billede

Jeanette Carlsson

Vores perspektiv i debatten om diversitet er alt for binær - for det handler om meget mere end køn

Artikel teaser billede

David Guldager

Guldager: Jeg har bare tre enkle ønsker til min næste bil

Artikel teaser billede

Jacqueline Johnson

Dansk IT: Hvad du som CIO bør vide om AI Act

Artikel teaser billede

Andreas Holbak Espersen

Derfor er den nye digitale taskforce det helt rigtige initiativ

Mest læste klummer og blogs
Nørgaard: Bedst som man troede, at det ikke kunne blive værre end Ejendomsvurderingen dukkede AI op
Klumme: ChatGPT opfører sig som en høflig og tålmodig, amerikansk DJØF'er, og den vil SÅ gerne please os. Der er stadig brug for os.
Af: Mogens Nørgaard
Generativ AI i praksis: To vigtige begreber bag nutidens AI-modeller - og hvorfor de ikke kan blive til AGI'er lige nu
Klumme: Nutidens AI-modeller aner ikke, hvad det vil sige at være et menneske eller en menneskelig samtalepartner, men udnytter blot de dybe mønstre, som de har fundet i sproget. Faktisk vil jeg argumentere for, at man skal til at designe fremtidens AI helt anderledes, end man gør i dag
Af: Erik David Johnson
Dansk IT: Hvad du som CIO bør vide om AI Act
Klumme: I marts blev EU’s forordning om AI endeligt besluttet. Dele af den træder i kraft til efteråret og resten i løbet af 2026. Men det betaler sig at have en grundig forståelse af de mest betydningsfulde dele allerede nu. Her er fire områder, hvor I bør være ekstra opmærksomme.
Af: Jacqueline Johnson
David Guldager
opinion
David Guldager
Guldager: Jeg har bare tre enkle ønsker til min næste bil
opinion Erik David Johnson
Generativ AI i praksis: To vigtige begreber bag nutidens AI-modeller - og hvorfor de ikke kan blive til AGI'er lige nu
Læs indlæg

Premium
Teaser billede
Her er de 10 bedste arbejdspladser i den danske it-branche
Læs mere »
Sådan har Novo sat AI i arbejde: Læs Computerworlds store temanummer om AI i forretningen
Tidligere Chr. Hansen-CIO Jens Rasmussen løfter sløret efter exit: Her er mit næste skridt i karrieren
Politiet forventer at antallet af ransomware-angreb fortsætter med at stige
Se alle »
Computerworld
Teaser billede
Du bør vente med at købe ny bærbar: En pc-revolution vil ramme allerede til sommer
Læs mere »
Test af ny generation af video-overvågning: Her tilbydes de bedste features – nu til en skarpere pris
Får du den løn, du fortjener? Få overblikket over hvor meget dine kolleger tjener hver måned
Guldager: Jeg har bare tre enkle ønsker til min næste bil
Se alle »
CIO
Teaser billede
Aldrende SAP-konsulenter er et kæmpe problem i markedet: Virksomheder tør ikke uddanne nye
Læs mere »
Kæmpe prisstigninger på vej fra Microsoft: Dynamics 365 bliver op til 16 procent dyrere
Stort angreb skyller ind over en lang række VPN-tjenester: Løsninger fra Cisco, Fortinet og andre ramt
Danske CloudNordic går konkurs efter stort ransomware-angreb
Se alle »
Job & Karriere
Teaser billede
NNIT flytter til det centrale København: Her er selskabets nye hovedkvarter
Læs mere »
Får havudsigt: IBM Danmarks 700 medarbejdere flytter til nyt hovedkvarter om få dage
Knap 40 procent af disse it-folk tjener tjener mindst 57.000 kroner om måneden
Fujitsu Danmark fyrer medarbejdere og udfaser al nysalg af cloud
Se alle »
White paper
Teaser billede
Vejen væk fra WAN: Sådan skifter du til en moderne infrastruktur
Læs mere »
SASE: Træf det rette valg – første gang
Opdag fordelene ved cloud-baseret backup og recovery
Guide: Sådan udvikler du en moderne netværksstrategi
Se alle »

Events
Flere events »
White papers
Flere white papers »
IT-Kurser
Se alle vores it-kurser »