Loading…
Tilbage
×

Info

Der findes en nyere version af resourcen her

Cloud computing og de juridiske rammer


En af de største barrierer for brug af cloud computing i den offentlige og private sektor er usikkerhed omkring, hvilke love og regler man skal være opmærksom på, når man implementerer en cloudløsning. Der hersker især uklarhed omkring, hvordan man skal håndtere personoplysninger i en cloudløsning. I vejledningen kan man få svar på, hvilke præcise krav Persondataloven stiller til clodløsninger.

Vejledningen beskriver:

  1. Persondatalovens krav og giver en oversigt over, hvad man skal være opmærksom på, når man ønsker en cloudløsning, hvori der behandles personoplysninger. Persondataloven (samt den tilhørende sikkerhedsbekendtgørelse) sætter grænser for, hvilke oplysninger der frit kan overdrages til en leverandør i forbindelse med en cloudløsning.
  2. Øvrig relevant lovgivning, det er relevant at iagttage, når man ønsker en cloudløsning. I denne del behandles bogføringsloven og regnskabsloven. Disse love kræver, at regnskabsmateriale opbevares i Danmark. Det er således som udgangspunkt ikke tilladt at opbevare regnskabsmateriale på en server, der fysisk er placeret uden for Danmark.
  3. Oversigt over relevante kontraktuelle forhold, man skal være opmærksom på, når man indgår en kontrakt om cloud computing. Denne del af vejledningen giver en enkel oversigt over en række af de kontraktuelle forhold, der kan være relevante at regulere i den konkrete kontrakt med en cloudleverandør.

Vejledningen kaster klarhed over, hvilke regler der gælder, således at både offentlige og private kan komme i gang med at udnytte skyens potentiale.

Deltag i debatten nedenunder!

For mere info kontakt Morten Jørsum, IT- og Telestyrelsen, mojo@itst.dk

Filer og referencer

Titel Type
Cloud computing og de lovgivningsmæssige rammer.pdf pdf
Profilbillede

Persondataloven og brug af Google Analytics?

Kasper Bergholt

Hvordan stiller Digitaliseringsstyrelsen sig over for danske virksomheders brug af Google Analytics, der gemmer personhenførbare informationer (ip-adresser) distribueret på kryds og tværs af fysiske datacentre inden for og uden for EU, herunder USA?

 

Kære Kasper Bergholt

Tak for dit spørgsmål vedrørende Google Analytics forhold til persondataloven.

Digitaliseringsstyrelsen kan desværre ikke give et svar på dit spørgsmål, da det er Datatilsynet, som træffer afgørelser og varetager fortolkningen af den danske persondatalov.

Jeg må derfor henvise dig til at stille spørgsmålet direkte til  Datatilsynet.

Med venlig hilsen

Jacob Voetmann  

 

 

Hej Anders Trolle-Schultz!

Grunden til, jeg spørger hér er, at undergruppen/ressourcen hér handler om de juridiske aspekter, man som dansk virksomhed bør forholde sig til ved valg af udbyder af cloudløsninger.

"Persondatalovens krav og giver en oversigt over, hvad man skal være opmærksom på, når man ønsker en cloudløsning, hvori der behandles personoplysninger."

Google Analytics i min optik en cloudbaseret løsning, hvor data gemmes i skyen (på kryds og tværs af fysiske servere i en række lande inden for og uden for EU).

Jeg ved, at Camilla Fisker, der tidligere arbejdede med cloud computing-området i IT- & Telestyrelsen nu sidder i Digitaliseringsstyrelsen.

Så en række cloudspørgsmål (af juridisk karaktér) hører allerede fra dag ét under den nye styrelse.

Mit specifikke ønske om at få afklaret brug af Google Analytics stammer fra en diskussion i Linkedingruppen om webanalyse, hvor spørgsmålet ikke entydigt kunne besvares. Men den overvejende stemning var, at brug af Google Analytics bestemt ikke var uproblematisik.

Hvad angår ip-adresser blev de defineret som personhenførbare data (selvom man skal igennem en ISP for at foretage korrelation mellem person og ip-adresse).

Sammen konklusion nåede Omnitures juridiske chef Meme Rasmussen i forbindelse et Analytics-seminar, jeg var til i London.

Så Googles brug af cookies -- og opbevaring af ip-adresser (i og uden for EU-lande) kan meget vel have store juridiske implikationer for danske virksomheder.

Alt godt,

Kasper

@Jacob -- tak for svaret. Jeg hører Datatilsynet ad -- evt via Web Analytics Circle Copenhagen.

Men så længe, der er Google Analytics på digitaliser.dk, følger jeg mig nogenlunde tryg ;)

 

@Anders --

Dér, hvor det for alvor bli'r grimt er, når/hvis Google sælger dine brugeres adfærd -- fx søgetermer + klikpriser, bouncerater, produktviews, køb, osv. til tredjepart -- fx din konkurrent.

Og det er jo det, der defacto foregår med AdWords/Display-netværket som mellemland.

Har blogget om det her:
http://mediebevaegelsen.dk/google-analytics

Dog ud fra en forretningsmæssig vinkel, ikke en juridisk.

Og så kan jeg oplyse, at Nordeas datajuridiske team har vurderet bankens brug af webanalysesoftware, og man bruger derfor ikke Google Analytics, men en anden analyse-suite.

Jeg kan se, at EU-kommissionen også stiller sig kritisk over for cloudløsninger generelt.
http://europa.eu/rapid/pressReleasesAction.do?reference=MEMO/11/762&format=HTML&aged=0&language=EN&guiLanguage=en

Tænk også fx på SalesForce, hvor kontonumre, cpr-numre, e-mail-adresser og telefonnumre ligger på Amazons AWS-platform med point of presence i US West el. US East.

Eller danske Podio, ved dog ikke hvor deres point of presence er. Måske Irland.

Eller CloudFlare som mange danske hjemmesider anvender. Her får man gratis loadtidsoptimering, men skal pege sin DNS over på CloudFlares dns-servere (i US), hvorfra optimerede indholdsvarianter serveres.

Der var en sag for et par måneder siden om, at de -- godt nok ved en fejl -- var kommet til at smække kommissionsudløsende links på udgående links.

Det vil sige, du tror du får en gratis tjeneste, men ender med at være produktet.

Alle de her spørgsmål synes jeg da, at Digitaliseringsstyrelsen burde være de helt rigtige til at undersøge og rådgive om. Særligt, når man har et personer med speciale i cloud-teknologi, implementeringsfarer, brug, deling af personhenførbare og personfølsomme datasæt.

Men jeg kan forstå, at du slet ikke deler min bekymring?

Alt godt,

Kasper

@Anders Trolle:

Google bruger en 1. parts cookie til tracking af din adfærd, ligesom alle andre seriøse Web analystics løsninger gør. En første parts cookie afvises kun hvis du ikke har java installeret eller blokerer for alle cookies. ¨Dker for ca. 2% af alle besøg.

Hvis du har 1. parts CookieID: 1234abcd5678efgh så vil du for hver interaktion på dit website lave en linje i en logfil. I denne logfil står der alt om din interaktion samt dit CookieId. Der står hvilken side du har besøgt, hvilket produkter du har købt, hvor meget det kostede, hvilke produkter du har haft i kurven, hvor mange gange du har gjort hvad, osv.

Dette opsamler Google, gennem Google Analytics. Det er der for så vidt ikke så meget galt i. Hvis du går ind i en almindelig butik, kræver du jo heller ikke at alle ekspedienter eller salgsassistenter holder sig for øjnene og du kræver vel heller ikke at din bankrådgiver bliver slået oven i hovedet med en hammer efter du har mødtes med ham så han glemmer hvad I snakkede om. Det må vel betragtes som OK at en virksomhed følger med i hvad du laver på deres digitale ejendom og forsøger at forbedre denne ejendom. Hvis du ikke kan lide ekspedienterne i FONA, går du forhåbentligvis også over i Ekspert eller en anden butik. Selve Cookie problematikken er i mine øjne tåbelig. Det er hvad man må bruge data til som der burde lovgives om.

Der hvor det bliver problematisk er at Google ejer den data som en virksomhed samler op om din adfærd. Altså de logfiler som bekriver din adfærd. Det er IKKe virksomedens data. Den data sælger de så videre i form af målrettet annoncering i Google AdWords og Display Ads, til andre virksomheder som gerne vil vide hvad du render og laver på internettet. Din adfærd bliver altså pludselig et produkt på nettet og ikke blot information til en virksomhed om deres kunders interesser. For med dit Cookie ID, så giver Google andre virksomheder lov til at målrette annoncering baseret på din adfærd på andre end den givne virksomheds site. De ser at du som 1234abcd5678efgh har udvist interesse i en flyrejse til Mallorca hos Cimber.dk og svup, nu kan alle annoncere imod flyrejser til Mallorca overfor dig.

Og for at kompensere virksomhederne for dette (læs overbevise dem om at bruge Google Analytics), som iøvrigt ofte ikke indser at de forærer deres konkurrenter kundedata, giver de virksomhederne Google Analytics gratis. Det i sig selv er vel en smule konkurrenceforvridende, men lad det nu ligge. 

Da Google er verdens største reklame bureau og Google analytics er det mest anvendte værktøj til analytics (fordi det er graits). så kan Google sælge data om din adfærd på over halvdelen af alle websites i verden til andre virksomheder.

Det er i mine øjne en interessant problemstilling.

@ Kasper  

Har du fået et svar på dit spørgsmål fra datatilsynet?

@Søren -- Nej, intet svar fra Datatilsynet endnu. Jeg hæfter mig ved, at Deducta i deres gennemgang af de nye cookieregler gentagne gange refererer til Google Analaytics, fx

"De cookies du bruger på din hjemmeside er du ansvarlig for. Det gælder også tredjepartscookies som fx Google Analytics. Her skal du altså være sikker på, at de virksomheder der har adgang til at sætte cookies på dine besøgendes computer, overholder lovgivningen."

&

"Få styr på om og hvilke af dine cookies kan undtages for reglerne (fremgår af bekendtgørelsen) – Google Analytics er ikke undtaget."

Kilde: Deductas fortolkning af de nye cookieregler

@Søren -- så er der nyt fra Datatilsynet, som bl.a. skriver:

"Datatilsynet har mange sager til behandling, og din henvendelse vil blive behandlet så hurtigt som muligt. Den gennemsnitlige sagsbehandlingstid for forespørgsler er p.t. ca. 3 måneder, men kan efter omstændighederne være kortere eller længere. Kan Datatilsynet ikke besvare din forespørgsel inden 3 måneder, vil tilsynet orientere dig om, hvornår din henvendelse kan forventes besvaret."

Så det er fortsat et uafklaret spørgsmål.

Så er der kommet svar fra Datatilsynet, og det kan læses her:
Google Analytics: Lovligt eller ulovligt, svar fra Datatilsynet.

 

Ovenpå høringssvaret, der er linket til ovenfor, har jeg lanceret et lille social media-/demokratiprojekt med det formål at skabe øget gennemsigtighed, hvad angår tredjepartsværktøjer som Google Analytics til tracking af besøgsadfærd.

GA er for mig at se problematisk, fordi man deler datasæt med verdens største reklamebureau, Google.

Projektet kan følges her: Danske partiers brug af Google Analytics.

Indtil videre har bl.a. jeg modtaget en interesseret mail fra Dorte Toft (som afdækkede IT-factory-skandalen) og fået at vide, at Socialdemokraterne ikke længere bruger Google Analytics efter at have anvendt det i en årrække.

Ved godt, at tråden er lidt gammel, men det norske og det danske Datatilsyn er kommet frem til, at IP-adresser faktisk er personlige oplysninger, og at de som følge heraf er omfattet af Persondataloven.

Mere info her: Datatilsynet: IP-adresser er at regne for personlige oplysninger.