Notat. Notat om love og regler der unødigt vanskeliggør anvendelsen af cloud computing

Størrelse: px
Starte visningen fra side:

Download "Notat. Notat om love og regler der unødigt vanskeliggør anvendelsen af cloud computing"

Transkript

1 Notat Notat om love og regler der unødigt vanskeliggør anvendelsen af cloud computing Indholdsfortegnelse: 1. Indledning Definition af cloud computing og eksempler herpå Sikkerhed i cloud computing Gældende ret om behandling af personoplysninger mv Indledning Anvendelsesområde Tredjelande Behandlingsregler Rettigheder til den registrerede Behandlingssikkerhed mv Behandlingssikkerhed Nærmere om krigsreglen Relevante bestemmelser i sikkerhedsbekendtgørelsen Tilsyn EU-retlige initiativer Datatilsynets udtalelse af 3. februar Regnskabs- og bogføringsloven Arbejdsgruppens vurdering af love og regler der vanskeliggør brugen af cloud computing Indledning Kontrol med autorisationer Beskrivelse af reglen Udfordring Arbejdsgruppens overvejelser Kontrol med afviste adgangsforsøg Beskrivelse af reglen Udfordring Arbejdsgruppens overvejelser Logningskrav Beskrivelse af reglen Udfordring Arbejdsgruppens overvejelser Kontrol med databehandler, instrukskrav mv Beskrivelse af reglerne Udfordring Arbejdsgruppens overvejelser Krav til placering af data Beskrivelse af reglerne Udfordring...31

2 Arbejdsgruppens overvejelser Tilsyn og kontrol af data Beskrivelse af reglerne Udfordring Arbejdsgruppens overvejelser...34 Bilag...34 Side 2 af Indledning Regeringen har i den tværoffentlige digitaliseringsstrategi under fokusområdet digitaliseringsklar lovgivning besluttet at iværksætte et initiativ om tidssvarende regler for cloud computing (initiativ 11.4). Det fastslås, at cloud computing kan åbne nye muligheder for en mere effektiv it-drift og adgang til it-ydelser. Borgernes og virksomhedernes følsomme oplysninger skal beskyttes, men utidssvarende regler bør ikke være en unødig barriere for cloud computing. Målet er om nødvendigt at justere persondataloven og eventuelt andre love, der hindrer brugen af cloud computing. Det beskrives endvidere, at initiativet forankres i en arbejdsgruppe bestående af blandt andet Digitaliseringsstyrelsen og Justitsministeriet, og at arbejdsgruppen udarbejder forslag til eventuelt ændret regulering og andre tiltag, der kan fjerne unødige barrierer for anvendelsen af cloud computing. Initiativet om tidssvarende regler for cloud computing har sin baggrund i behandlingen af beslutningsforslag nr. B 83 af 15. marts 2011 om en national plan for cloud computing. I den forbindelse tilkendegav den daværende videnskabsminister, at regeringen ville nedsætte en tværministeriel arbejdsgruppe, der skulle stille forslag til eventuelle tilpasninger af persondataloven og øvrige relevante love og regler, der unødigt vanskeliggør anvendelsen af cloudteknologier. Der blev i forlængelse heraf nedsat en arbejdsgruppe med repræsentanter for Justitsministeriet, Økonomistyrelsen (nu Digitaliseringsstyrelsen) og IT- og Telestyrelsen (nu Digitaliseringsstyrelsen). På arbejdsgruppens første møde blev det besluttet desuden at anmode Datatilsynet om at deltage i arbejdsgruppen. Baggrunden for nedsættelsen af arbejdsgruppen var bl.a., at det må antages, at cloud computing i fremtiden vil blive mere og mere udbredt. Det er derfor vigtigt at sikre, at de love og regler, der danner det juridiske grundlag for databehandling i Danmark, i fornødent omfang tager højde herfor. Regeringen fandt, at der i den nuværende lovgivning eventuelt kunne være unødige barrierer for øget anvendelse af cloud computing. Det var ønsket at fastholde beskyttelsen af borgernes og virksomhedernes følsomme oplysninger uden, at der sættes unødige barrierer for anvendelsen af cloud-teknologi, som kan

3 give besparelser for dataansvarlige myndigheder og give en mere fleksibel service for borgere og virksomheder. Side 3 af 34 Når man behandler personoplysninger, herunder følsomme personoplysninger, er det selvsagt vigtigt, at dette sker med det fornødne høje sikkerhedsniveau. For offentlige myndigheder gælder det, at de har ansvaret for, at deres behandling af personoplysninger sker inden for de rammer, som følger af lov nr. 429 af 31. maj 2000 om behandling af personoplysninger med senere ændringer (persondataloven) og bestemmelser udstedt med hjemmel heri, jf. herom nærmere under afsnit 4 og nedenfor. Det anførte gælder også, når behandlingen af personoplysninger sker ved hjælp af cloud-teknologier. Det er en væsentlig forudsætning for arbejdsgruppen, at det gældende beskyttelsesniveau bevares, således at der fortsat kan være tillid til, at personoplysninger opbevares og behandles på betryggende vis. Hertil kommer, at det er nødvendigt at sikre, at reglerne om behandling af personoplysninger i Danmark, herunder ved brug af cloud-teknologier, er i overensstemmelse med den relevante EU-lovgivning, herunder navnlig Europa-Parlamentets og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (persondatadirektivet), der i dansk ret er gennemført ved persondataloven. 2. Definition af cloud computing og eksempler herpå Ved cloud computing forstås i almindelighed, at visse it-ydelser bliver leveret som en abonnementsordning, således at man som kunde overlader håndteringen af sine data til en leverandør af cloud computing. Kundens adgang til data og applikationer sker ved cloud computing udelukkende via internettet, og kunden har derfor ikke behov for at drive egne servere. Der er således tale om, at en dataansvarlig via internettet og ved brug af distribuerede og forbundne it-systemer lader en databehandler opbevare og behandle oplysninger, herunder personoplysninger. National Institute for Standards and Technology under Handelsministeriet i USA definerer i en publikation fra september 2011 cloud computing således: "[ ] a model for enabling ubiquitous convenient, on-demand network access to a shared pool of configurable computing resources (e.g., networks, servers, storage, applications, and services) that can be rapidly provisioned and released with minimal management effort or service provider interaction." Denne definition lægges til grund i det følgende. F.eks. udbydes software i en cloud-løsning som en service, der ikke skal installeres eller vedligeholdes på kundens egne systemer, men i stedet ligger hos leverandøren og tilgås via brugerens internetbrowser. Leverandøren vil placere

4 dataene, hvor dette til enhver tid er mest hensigtsmæssigt for leverandøren. I praksis kan dataene altså med mindre andet er aftalt placeres på og flyttes rundt mellem servere i hele verden. Side 4 af 34 Et eksempel på software leveret som en cloudservice er -tjenester som gmail og hotmail. Disse tjenester tilgås af brugeren via en internetbrowser. Ved brug af disse tjenester bliver data ikke gemt på brugerens egen computer, men på en server i det, der populært kaldes skyen (dvs. i et datacenter hos cloudleverandøren). Der udbydes også andre cloud-produkter som f.eks. regnekraft eller lagerkapacitet over internettet. For alle disse it-ydelser sker der normalt betaling baseret på det faktiske forbrug. Med cloud computing er infrastrukturen normalt tilgængelig for alle på markedsvilkår og er ejet af en kommerciel cloud computing-leverandør. Der findes også private skyer, hvor skyen drives for en enkelt organisation (offentlig eller privat). Her kan skyen være ejet af organisationen selv, og den er således ikke tilgængelig for alle på markedsvilkår. Fordelene ved cloud computing er for databehandleren bl.a., at databehandleren ikke skal anvende og vedligeholde eget hardware og software ud over it-udstyr med adgang til internettet. Forretningsmodellen for cloud computing er baseret på skalafordele og standardisering for at sikre produkternes rentabilitet. Udbyderen af cloud computing tilbyder således den samme standardydelse til alle sine kunder og kan derved holde sine omkostninger nede, hvilket afspejler sig i lave priser for kunderne. Den dataansvarlige kan opnå flere fordele ved at anvende cloud computing, herunder: Effektiviseringsgevinster. Cloud er ofte et konkurrencedygtigt alternativ, og hvor det passer ind i services og infrastruktur, kan der spares penge på drift og vedligehold af it, sammenlignet med udgifterne til, at en myndighed eller virksomhed selv opbygger og driver sit eget datacenter. Øget innovation og vækst. Cloud computing skaber helt nye perspektiver for vækst og innovation. Hvor omkostninger ved og adgang til itressourcer, såsom serverkapacitet, ofte er en stor barriere for opstart af nye projekter, kan cloud computing ofte gøre det hurtigere og billigere at komme i gang. Cloud computing adskiller sig fra traditionel outsourcing ved, at ekstern databehandling foregår over internettet, uden at det nødvendigvis er fastlagt på forhånd, hvor data skal eller kan placeres.

5 3. Sikkerhed i cloud computing Side 5 af 34 Sikkerhed omkring miljøer med cloud computing etableres grundlæggende på samme måde som ved traditionel it-drift, herunder gennem etablering af sikkerhedspolitikker, programmer for informationssikkerhed, klassificering af assets, personalesikkerhed, fysisk sikkerhed, adgangskontrol, andre logiske og tekniske kontroller, overvågning samt processer for sikker udvikling. Niveauet af sikkerhed må i praksis antages at variere fra leverandør til leverandør, ligesom det er tilfældet for traditionelle driftsleverandører. Derudover vil trusler og risici variere afhængig af, om man f.eks. benytter en standardiseret softwareløsning som et mail- eller dokumentprogram, eller om man benytter skyen til at drive (hoste) applikationer, som man selv har udviklet og derved selv er ansvarlig for at opbygge og vedligeholde, herunder i forhold til sikkerhed. Det er med andre ord af betydning, hvem der varetager det daglige sikkerhedsarbejde. Det bemærkes i forlængelse heraf, at en dataansvarlig myndighed altid er ansvarlig for, at behandling af oplysninger sker i overensstemmelse med de krav til behandling af personoplysninger, som følger af lovgivningen, også selvom behandlingen foretages af en privat databehandler. Ved en risikobaseret tilgang kan kunden konkret vurdere, om den enkelte løsning med cloud computing lever op til det sikkerhedsniveau, som aktuelt kræves. En dataansvarlig myndighed, der køber et cloud computing-produkt, bør i den forbindelse bl.a. sikre sig, at leverandøren har iværksat de fornødne sikkerhedsforanstaltninger til, at behandlingen af personoplysninger kan ske i overensstemmelse med lovgivningen. Det er herunder vigtigt, at leverandøren har indført de fornødne sikkerhedsprocedurer og kontrolforanstaltninger. Digitaliseringsstyrelsen har peget på, at der i datacentre under cloud computing anvendes teknologien virtualisering til at udnytte kapaciteten på serverne optimalt. I et virtualiseret datacenter skabes sikkerhed i højere grad af logiske kontrolforanstaltninger (såsom mekanismer til sikring mod tab af fortrolighed, integritet og tilgængelighed) frem for fysisk adskillelse. Logiske kontroller fungerer ifølge Digitaliseringsstyrelsen i princippet på samme måde som de mekanismer, der sørger for at én bankkundes data er logisk adskilte fra andre kunders data på bankernes servere, således at andre kunder i den samme bank ikke har mulighed for at tilgå disse oplysninger. Digitaliseringsstyrelsen har udarbejdet nedenstående model til illustration af, hvilke muligheder den dataansvarlige kan have for at kontrollere databehandleren.

6 Kontrol via revision. Revision foretages af akkrediterede revisorer (eks. SAS70). Side 6 af 34 Kontrol via logdata, autorisationer og andre sikkerhedsforanstaltninger. Revision: Fysisk inspektion på stedet. Sikkerhed (kontroller og procedurer) Fuldt virtualiseret cloud datacenter. Forskellige Kundedata kunders data - klart isolerede af teknikker og kontroller. (Virtualiseret A B cloud datacenter) C D Det er vigtigt, at skallen er hård nok til, at der ikke kan ske brud. Sletning af data. Det er Digitaliseringsstyrelsens vurdering, at det er teknisk muligt at opnå et sikkerhedsniveau i en løsning, hvor der anvendes cloud computing, der fuldt ud modsvarer det sikkerhedsniveau, der kan opnås hos traditionelle outsourcingleverandører, idet en leverandør af cloud computing principielt set kan indføre de samme kontroller i sine datacentre. Som modellen viser, er der ved brug af cloud computing flere muligheder for at føre kontrol med databehandleren. Der er imidlertid på en række punkter tvivl om forholdet mellem på den ene side løsninger med cloud computing og på den anden side persondatalovens (og persondatadirektivets) samt sikkerhedsbekendtgørelsens bestemmelser. Der henvises nærmere til afsnit 6 nedenfor. Det kan efter Digitaliseringsstyrelsens opfattelse anføres, at en dataansvarlig myndighed, der køber en cloud computing-løsning, kan opnå et beskyttelsesniveau, som lever op til kravene efter gældende ret ved bl.a. at: Søge dokumentation for, at kontroller er implementerede og effektive. Få adgang til den it-revision, som leverandøren har fået foretaget.

7 Føre kontrol ved inspektion af log-data. Indhente andre relevante oplysninger om iværksatte kontroller. Side 7 af 34 Selvom en løsning med cloud computing umiddelbart ikke på nogen væsentlig måde adskiller sig fra traditionelle it-hostingmiljøer, er der dog visse forskelle, man som kunde bør være opmærksom på. Det gælder særligt følgende: Deling af fysisk udstyr og infrastruktur. I løsninger med cloud computing deler mange kunder den samme infrastruktur. Det betyder, at det er vigtigt, at den dataansvarlige sikrer sig, at leverandører af cloud computing har implementeret de fornødne kontroller, så det sikres, at forskellige kunders data er klart isolerede, og at gældende ret overholdes. Det bemærkes dog, at deling af fysisk udstyr mellem flere kunder gennem anvendelse af virtualisering i høj grad er udbredt i moderne datacentre for traditionelle driftsleverandører, og at problemstillingen derfor ikke er særlig for cloud computing. Den fysiske kontrol er vanskeligere for en kunde hos en leverandør af cloud computing, fordi serverne er samlet i få meget store datacentre. I mange større cloud computing-løsninger vil data ofte befinde sig i datacentre i flere lande. Dette kan imidlertid efter omstændighederne også gøre sig gældende ved traditionel outsourcing. Ved cloud computing er der i praksis begrænset mulighed for individuel tilpasning af ydelse eller kontrakt. Dette skyldes, at leverandørerne tilbyder det samme standardprodukt til alle deres kunder med henblik på at opnå stordriftsfordele, som gør løsningen billig for kunden. Derfor bør kunden ved indgåelse af kontrakt være opmærksom på, om standardydelsen lever op til kundens sikkerhedskrav og gældende ret. 4. Gældende ret om behandling af personoplysninger mv Indledning Persondatadirektivet har overordnet bl.a. til formål at sikre den enkelte borgers integritet og privatliv ved, at der på fællesskabsniveau opstilles rammer for, hvornår behandling af personoplysninger kan finde sted. Persondatadirektivet er som nævnt under afsnit 1 gennemført i dansk ret med persondataloven. Persondataloven indeholder desuden bestemmelser, som ikke er en følge af direktivet, herunder bestemmelser, som viderefører gældende ret efter lov om offentlige myndigheders registre mv., som var gældende, før persondataloven trådte i kraft Anvendelsesområde Persondataloven finder bl.a. anvendelse på såvel offentlige som på private dataansvarliges behandling af personoplysninger, som helt eller delvis foretages ved hjælp af elektronisk databehandling, og på ikke-elektronisk behandling af

8 personoplysninger, der er eller vil blive indeholdt i et register. Der henvises herved til lovens 1, stk. 1. Side 8 af 34 Ved personoplysninger forstås i persondatalovens forstand enhver form for information om en identificeret eller identificerbar fysisk person (den registrerede), jf. 3, nr. 1. Udtrykket identificerbar person antages at dække enhver situation, hvor en person direkte eller indirekte kan identificeres ved hjælp af oplysningerne, uanset om dette for eksempel forudsætter kendskab til personnummer, registreringsnummer eller lignende særlige identifikationer, og uanset at identifikationsoplysningen ikke er alment kendt eller umiddelbart tilgængelig. Oplysninger om enkeltmandsejede virksomheder er også omfattet af definitionen i persondatalovens 3, nr. 1. Endelig er oplysninger om juridiske personer, som kan henføres til fysiske personer f.eks. oplysninger om aktionærer eller andelshavere omfattet af bestemmelsen. Ved en behandling af en personoplysning forstås i persondataloven enhver operation eller række af operationer med eller uden brug af elektronisk databehandling, som oplysninger gøres til genstand for, jf. 3, nr. 2. Dette omfatter bl.a. indsamling, registrering, opbevaring, brug og videregivelse af en oplysning. Det følger af det anførte, at persondataloven bl.a. gælder, når personoplysninger udveksles over internettet, herunder når en forvaltningsmyndighed f.eks. til brug for behandlingen af en konkret sag henter oplysninger fra myndighedens eget register, som drives i en løsning med cloud computing Tredjelande Persondataloven gælder ifølge lovens 4, stk. 1, for behandling af oplysninger, som udføres for en dataansvarlig, der er etableret i Danmark, hvis aktiviteterne finder sted inden for Det Europæiske Fællesskabs område. Loven gælder desuden efter 4, stk. 3, nr. 1, for en dataansvarlig, som er etableret i et tredjeland, hvis behandlingen af oplysninger sker under benyttelse af hjælpemidler, der befinder sig i Danmark, medmindre hjælpemidlerne kun benyttes med henblik på forsendelse af oplysninger gennem Det Europæiske Fællesskabs område. Loven gælder endvidere efter 4, stk. 3, nr. 2, for en dataansvarlig, som er etableret i et tredjeland, hvis indsamlingen af oplysninger i Danmark sker med henblik på behandling i et tredjeland. Det følger af persondatalovens 27, stk. 1, at der kun må overføres oplysninger til et tredjeland, såfremt dette land sikrer et tilstrækkeligt beskyttelsesniveau. Ved overførelse forstås bl.a. videregivelse af oplysninger til en databehandler. Ved tredjeland forstås ifølge persondatalovens 3, nr. 9, en stat, som ikke indgår i EU, og som ikke har gennemført aftaler, der er indgået med EU, og som indeholder regler svarende til persondatadirektivet. Bestemmelsens krav om, at tredjelandet skal sikre et tilstrækkeligt beskyttelsesniveau indebærer, at der ikke må ske overførelse, hvis det medfører en væsentlig forringelse af den beskyttelse af den registrerede, som persondataloven giver. I det pågældende tredjeland skal behandlingen i det væsentlige være undergivet en regulering som den, der følger af

9 persondataloven. Dette gælder både med hensyn til kravene til behandling af oplysninger, herunder reglerne om den registreredes rettigheder, og med hensyn til tilsyn, behandlingssikkerhed samt adgang til domstolskontrol af overholdelsen af reglerne mv. Datatilsynet fører på sin hjemmeside en fortegnelse over lande, der sikrer et tilstrækkeligt beskyttelsesniveau. Side 9 af 34 Det er i persondatalovens 27, stk. 3, fastsat, at der ud over de i stk. 1 nævnte tilfælde kan overføres oplysninger til et tredjeland i en række tilfælde. Det gælder herunder, hvis den registrerede har givet udtrykkeligt samtykke, hvis overførsel er nødvendig af hensyn til opfyldelsen af en aftale mellem den registrerede og den dataansvarlige eller af hensyn til gennemførelse af foranstaltninger, der træffes på den registreredes anmodning forud for indgåelse af en sådan aftale, hvis overførsel er nødvendig af hensyn til indgåelsen eller udførelsen af en aftale, der i den registreredes interesse er indgået mellem den dataansvarlige og tredjemand, hvis overførsel er nødvendig eller følger af lov eller bestemmelser fastsat i henhold til lov for at beskytte en vigtig samfundsmæssig interesse eller for, at et retskrav kan fastlægges, gøres gældende eller forsvares, hvis overførsel er nødvendig for at beskytte den registreredes vitale interesser, eller hvis overførsel finder sted fra et register, der ifølge lov eller bestemmelser fastsat i henhold til lov er tilgængeligt for offentligheden eller for personer, der kan godtgøre at have en berettiget interesse heri, i det omfang de i lovgivningen fastsatte betingelser for offentlig tilgængelighed er opfyldt i det specifikke tilfælde. Uden for de tilfælde, der er nævnt i 27, stk. 3, kan tilsynsmyndigheden ifølge 27, stk. 4, give tilladelse til, at der overføres oplysninger til tredjelande, som ikke opfylder stk. 1, såfremt den dataansvarlige yder tilstrækkelige garantier for beskyttelse af de registreredes rettigheder. Der kan fastsættes nærmere vilkår for overførslen. Tilsynsmyndigheden underretter Europa-Kommissionen og de øvrige medlemsstater om tilladelser meddelt i henhold til denne bestemmelse. Tilstrækkelige garantier i bestemmelsens forstand vil navnlig foreligge, hvis kontraktbestemmelser indebærer, at det beskyttelsesniveau, som loven tilsigter at sikre, ikke forringes væsentligt. Kontraktbestemmelser, som udarbejdes på baggrund af Kommissionens standardkontrakter vil altid opfylde kravet. Kravet kan imidlertid ifølge Datatilsynets praksis også baseres på virksomhedens egne bindende virksomhedsregler (Binding Corporate Rules). Det følger af persondatalovens 27, stk. 5, at persondataloven (herunder lovens behandlingsregler, jf. afsnit 4.4 nedenfor) i øvrigt finder anvendelse ved overførsel af oplysninger til tredjelande efter 27, stk. 1, 3 eller 4. Bestemmelsen i 27 har sin baggrund i persondatadirektivets artikel 25 og 26. Det må efter arbejdsgruppens opfattelse antages, at hvis personoplysninger som led i behandlingen under en løsning med cloud computing flyttes til en server, som fysisk er placeret i en stat, som ikke indgår i EU, og som ikke har gennemført aftaler, der er indgået med EU, der indeholder regler svarende til persondatadirektivet, vil der foreligge en videregivelse af personoplysninger til

10 tredjeland. Det samme er tilfældet, hvis backup af data eller standby-beredskab, der f.eks. benyttes ved driftsproblemer i det eller de primære datacentre eller ved kapacitetsknaphed, sker i et tredjeland. Side 10 af 34 For så vidt angår løsninger med cloud computing må den danske dataansvarlige via aftalen med udbyderen fastlægge, hvor databehandling kan foregå. Hvis datahandling helt eller delvist vil kunne ske i et tredjeland, må den dataansvarlige via aftalen med udbyderen sikre sig, at der kun sker tredjelandsoverførsel i det omfang, reglerne i persondatalovens 27 er opfyldt. Dette kan f.eks. være ved, at det aftales, at der kun sker behandling hos virksomheder i USA omfattet af den såkaldte Safe Harbour-ordning, eller ved brug af Kommissionens standardkontrakt for overførsel til databehandlere i tredjelande (jf. Kommissionens afgørelse af om standardkontraktbestemmelser for videregivelse af personoplysninger til registerførere etableret i tredjelande i henhold til Europa-Parlamentets og Rådets direktiv 95/46/EF) 1. Opfyldelse af persondatalovens 27 ved brug af Safe Harbour-ordningen fritager ikke den dataansvarlige fra at indgå databehandleraftaler efter persondatalovens 42 og sikkerhedsbekendtgørelsens 7, stk Hvis udbyderen af ydelsen med cloud computing (databehandleren) benytter underleverandører (underdatabehandlere), skal persondatalovens 27 også være iagttaget i forhold til overførslen af oplysninger til disse. Underdatabehandlerne kan f.eks. ligeledes være amerikanske firmaer omfattet af Safe Harbour-ordningen. Hvis man baserer sig på Safe Harbour-ordningen som grundlag for tredjelandsoverførslen, er der ikke krav om tilladelse fra Datatilsynet efter persondatalovens 27. (Private virksomheder skal imidlertid have tilladelse fra tilsynet efter lovens 50, hvis de overfører følsomme personoplysninger.) Hvis behandling af personoplysninger i et tredjeland ikke udelukkende vil ske hos virksomheder i USA omfattet af Safe Harbour-ordningen, er der brug for et andet grundlag for tredjelandsoverførslen. I praksis vil der være behov for indgåelse af en kontrakt svarende til Kommissionens standardkontrakt for overførsel til databehandlere i tredjelande. Efter den gældende regel i persondatalovens 27, stk. 4, skal der i alle tilfælde, hvor tredjelandsoverførslen baseres på Kommissionens standardkontrakt, indhentes tilladelse fra Datatilsynet Jf. U.S.-EU Safe Harbor Privacy Principles, Frequently Asked Questions (FAQs) pkt. 10:

11 Tilladelseskravet efter persondatalovens 27, stk. 4, gælder for overførsler af såvel følsomme som ikke følsomme personoplysninger og for såvel offentlige myndigheder som private virksomheder mv. Side 11 af Behandlingsregler Persondatalovens kapitel 4 ( 5-14), der i det væsentlige svarer til persondatadirektivets artikel 6-8, stiller nærmere krav til behandlingen af personoplysninger omfattet af loven, herunder til behandling af personoplysninger i løsninger med cloud computing. I persondatalovens 5 der må antages at svare til, hvad der følger af de forvaltningsretlige grundsætninger om saglighed og proportionalitet for almindelig forvaltningsvirksomhed er der fastsat nogle grundlæggende principper for behandling af oplysninger efter persondataloven. I 5 er det bl.a. fastsat, at enhver behandling skal være i overensstemmelse med god databehandlingsskik, hvorved i praksis navnlig forstås, at behandlingen skal være rimelig og lovlig. Indsamling af oplysninger skal ske til udtrykkeligt angivne og saglige formål, og senere behandling af oplysningerne må ikke være uforenelig med disse formål. Behandlingen skal tilrettelægges således, at der foretages fornøden ajourføring af oplysningerne, og der skal foretages den fornødne kontrol for at sikre, at der ikke behandles urigtige eller vildledende oplysninger. Oplysninger, der viser sig urigtige eller vildledende, skal snarest muligt slettes eller berigtiges. Endelig må de indsamlede oplysninger ikke opbevares på en måde, der giver mulighed for at identificere den registrerede i et længere tidsrum end det, der er nødvendigt af hensyn til de formål, hvortil oplysningerne behandles. Behandling af følsomme personoplysninger er reguleret i persondatalovens 7 om oplysninger, der ifølge persondatadirektivet angår særligt følsomme forhold (oplysninger om racemæssig eller etnisk baggrund, politisk, religiøs eller filosofisk overbevisning, fagforeningsmæssige tilhørsforhold samt oplysninger om helbredsmæssige og seksuelle forhold), og i 8 om oplysninger om rent private forhold, som efter den danske persondatalov også skal anses for følsomme personoplysninger (oplysninger om strafbare forhold, væsentlige sociale problemer og andre rent private forhold end dem, der er nævnt i 7). Behandling af oplysninger af den omhandlede karakter må alene finde sted inden for rammerne af de (snævre) undtagelser, der findes i 7 og 8. Persondatalovens 6, stk. 1, fastsætter krav til behandlingen af ikke-fortrolige oplysninger og almindeligt fortrolige personoplysninger (det vil sige personoplysninger, der må betragtes som fortrolige uden at være følsomme og dermed omfattet af persondatalovens 7 eller 8). Hertil kommer, at der kan være tale om en særlig form for behandling af oplysninger, som falder ind under de særlige bestemmelser i persondatalovens 9-13.

12 4.5. Rettigheder til den registrerede Persondatalovens kapitel 8-10 ( 28-40) indeholder en række rettigheder for personer, som der hos offentlige myndigheder mv. er registreret oplysninger om. Det drejer sig bl.a. om oplysningspligt over for den registrerede, den registreredes indsigtsret og den registreredes ret til at gøre indsigelse mod behandlingen af personoplysninger. Side 12 af 34 Det er desuden i 37, stk. 1, fastsat, at den dataansvarlige skal berigtige, slette eller blokere oplysninger, der viser sig urigtige eller vildledende eller på lignende måde er behandlet i strid med lov eller bestemmelser udstedt i medfør af lov, hvis en registreret person anmoder herom. I 37, stk. 2, er det endvidere fastsat, at den dataansvarlige skal underrette den tredjemand, hvortil oplysningerne er videregivet, om, at de videregivne oplysninger er berigtiget, slettet eller blokeret i henhold til stk. 1, hvis en registreret person anmoder herom. Dette gælder dog ikke, hvis underretningen viser sig umulig eller er uforholdsmæssigt vanskelig. Med persondatalovens 37 implementeres persondatadirektivets artikel 12, litra b og c Behandlingssikkerhed mv Behandlingssikkerhed Persondatalovens kapitel 11 ( 41-42) indeholder regler om behandlingssikkerhed. De pågældende bestemmelser har følgende ordlyd: 41. Personer, virksomheder m.v., der udfører arbejde under den dataansvarlige eller databehandleren, og som får adgang til oplysninger, må kun behandle disse efter instruks fra den dataansvarlige, medmindre andet følger af lov eller bestemmelser fastsat i henhold til lov. Stk. 2. Den i stk. 1 nævnte instruks må ikke begrænse den journalistiske frihed eller være til hinder for tilvejebringelsen af et kunstnerisk eller litterært produkt. Stk. 3. Den dataansvarlige skal træffe de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med loven. Tilsvarende gælder for databehandlere. Stk. 4. For oplysninger, som behandles for den offentlige forvaltning, og som er af særlig interesse for fremmede magter, skal der træffes foranstaltninger, der muliggør bortskaffelse eller tilintetgørelse i tilfælde af krig eller lignende forhold. Stk. 5. Justitsministeren kan fastsætte nærmere regler om de i stk. 3 anførte sikkerhedsforanstaltninger. 42. Når en dataansvarlig overlader en behandling af oplysninger til en databehandler, skal den dataansvarlige sikre sig, at databehandleren kan træffe de i 41, stk. 3-5, nævnte tekniske og organisatoriske sikkerhedsforanstaltninger, og påse, at dette sker. Stk. 2. Gennemførelse af en behandling ved en databehandler skal ske i henhold til en skriftlig aftale parterne imellem. Af aftalen skal det fremgå, at databehandleren alene handler efter instruks fra den dataansvarlige, og at reglerne i 41, stk. 3-5, ligeledes gælder for behandlingen ved databehandleren. Hvis databehandleren er etableret i en anden medlemsstat, skal det fremgå af aftalen, at de bestemmelser om sikkerhedsforanstaltninger, som er fastsat i lovgivningen i den medlemsstat, hvor databehandleren er etableret, gælder for denne. Persondatalovens 41 og 42 udspringer i det væsentlige af persondatadirektivets artikel 16 og 17.

13 Nærmere om krigsreglen Den såkaldte krigsregel i 41, stk. 4, følger ikke af direktivet, men svarer til, hvad der fulgte af 12, stk. 3, i lov om offentlige myndigheders registre. Bestemmelsen i 41, stk. 4, indebærer, at der lovligt vil kunne træffes beslutning om destruktion af de omfattede registre, når betingelserne i bestemmelsen er opfyldt. Side 13 af 34 Bestemmelsen omfatter behandlinger af oplysninger, som en besættelsesmagt vil have særlig interesse i, bl.a. for derved hurtigt og effektivt at kunne overtage den almindelige administration. Det antages, at bestemmelsen navnlig omfatter de større landsdækkende systemer som f.eks. Det Centrale Kriminalregister. Ifølge forarbejderne til bestemmelsen er også centrale skattesystemer samt visse specialregistre, som kan benyttes til at finde frem til bestemte personer, som en fremmed magt f.eks. på grund af den pågældendes særlige uddannelse ønsker at disponere over. 41, stk. 4, indebærer ikke, at oplysninger i registrene nødvendigvis skal bortskaffes eller destrueres i tilfælde af krig mv. Bestemmelsen sikrer ifølge dens forarbejder blot, at der lovligt vil kunne træffes beslutning om destruktion mv., hvis det skulle vise sig nødvendigt. Det påhviler ifølge forarbejder den dataansvarlige at træffe de foranstaltninger, som muliggør destruktion mv. Som en konsekvens af bestemmelsen i 41, stk. 4, vil de omfattede registre ikke kunne føres uden for Danmarks grænser. Dette har været en forudsætning i forbindelse med Folketingets behandling af forslag til persondataloven, jf. herved bl.a. Justitsministeriets samlede besvarelse af spørgsmål nr. 25, 27, 64 og 69 vedrørende lovforslag L 44 (FT ), der svarer til lovforslag L 429 (FT ), som førte til vedtagelsen af persondataloven. De nævnte spørgsmål angik bl.a., om ministeren havde overvejet at indsætte en bestemmelse om, at særligt følsomme registre, f.eks. kriminalregistret, skal føres af en offentlig myndighed og fysisk skal føres i Danmark. I Justitsministeriets besvarelse af de fire spørgsmål er der bl.a. anført følgende: Lovforslaget bygger på den ordning, at en dataansvarlig myndighed selv afgør, om det bør overlades til en databehandler (edb-servicebureau) at behandle personoplysninger, herunder personfølsomme oplysninger på myndighedens vegne. Hvis den dataansvarlige myndighed beslutter, at behandlingen af personoplysninger skal foretages af et edb-servicebureau, vil det pågældende edb-servicebureau som udgangspunkt kunne lade opgaven udføre i et andet EU-land. Det gælder dog ikke, hvis behandlingen f.eks. vedrører oplysninger af særlig interesse for fremmede magter, og hvis der såfremt behandlingen finder sted i et andet EU-land ikke kan træffes foranstaltninger, der gør det muligt at bortskaffe eller tilintetgøre oplysningerne i tilfælde af krig eller lignende forhold, jf. lovforslagets 41, stk. 2 [som svarer til den gældende bestemmelse i 41, stk. 4]. Bestemmelsen i lovforslagets 41, stk. 2 [ 41, stk. 4] indebærer efter Justitsministeriets opfattelse, at det Centrale Kriminalregister ikke må føres i udlandet. [ ]

14 På den baggrund findes Justitsministeriet ikke, at der er grund til at indsætte en udtrykkelig bestemmelse i lovforslaget om, at visse følsomme registre ikke må føres i udlandet Side 14 af 34 Hvis en udførelse af en behandling ved en databehandler, der er etableret i et andet land, indebærer, at dette ikke kan iagttages, vil behandlingen ikke kunne overlades til den pågældende. Det anførte gælder også, hvis databehandleren er placeret i et andet EU-land. Arbejdsgruppen har i den forbindelse overvejet, om bestemmelsen kunne udgøre et EU-retligt problem i forhold til den fri bevægelighed af cloud computingydelser, jf. princippet om fri bevægelighed for tjenesteydelser (EUF-Traktatens artikel 56, stk. 1.). Det er arbejdsgruppens vurdering, at bestemmelsen ikke strider mod EU-retten. Det bemærkes, at CPR-registeret også er et af de registre, som vil være omfattet af persondatalovens 41, stk. 4. Det er imidlertid desuden i 55 i Lov om Det Centrale Personregister (CPR-loven), jf. lovbekendtgørelse nr. 878 af 14. september 2009, udtrykkeligt fastsat, at Indenrigsministeriet træffer foranstaltninger, der muliggør bortskaffelse eller tilintetgørelse af CPR-registeret i tilfælde af krig eller lignende forhold. Bestemmelsen blev indsat i CPR-loven ved lov nr. 426 af 31. maj 2000 om Det Centrale Personregister og fandtes ikke i den tidligere gældende lov om folkeregistrering Relevante bestemmelser i sikkerhedsbekendtgørelsen Med hjemmel i persondatalovens 41, stk. 5, har Justitsministeriet udstedt bekendtgørelse nr. 528 af 15. juni 2000 om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning, som ændret ved bekendtgørelse nr. 201 af 22. marts 2001 (sikkerhedsbekendtgørelsen). Bekendtgørelsen indeholder bl.a. følgende bestemmelser: 3. Den dataansvarlige myndighed skal træffe de fornødne tekniske og organisatoriske foranstaltninger mod, at personoplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med lov om behandling af personoplysninger. Stk. 2. For personoplysninger, som er af særlig interesse for fremmede magter, skal der træffes foranstaltninger, der muliggør bortskaffelse eller tilintetgørelse i tilfælde af krig eller lignende forhold. [ ] 7. Hvis behandling af personoplysninger foretages af en databehandler på den dataansvarliges vegne, skal der foreligge en skriftlig aftale, hvoraf det fremgår, at reglerne i denne bekendtgørelse ligeledes gælder for behandlingen ved databehandleren. Hvis databehandleren er etableret i en anden medlemsstat, skal det fremgå af aftalen, at de bestemmelser om sikkerhedsforanstaltninger, som er fastsat i lovgivningen i den medlemsstat, hvor databehandleren er etableret, gælder for denne. Stk. 2. Hvis behandling af personoplysninger finder sted på en pc-arbejdsplads uden for den dataansvarlige myndigheds lokaliteter, skal myndigheden fastsætte særlige retningslinier herfor, således at det sikres, at bestemmelserne om sikkerhedsforanstaltninger iagttages. 8. På steder, hvor der foretages behandling af personoplysninger, skal der træffes forholdsregler med henblik på at forhindre uvedkommendes adgang til oplysningerne.

15 Side 15 af 34 [ ] 11. Kun de personer, som autoriseres hertil, må have adgang til de personoplysninger, der behandles. Stk. 2. Der må kun autoriseres personer, der er beskæftiget med de formål, hvortil personoplysningerne behandles. De enkelte brugere må ikke autoriseres til anvendelser, som de ikke har behov for. Stk. 3. Der må endvidere autoriseres personer, for hvem adgang til oplysninger er nødvendig med henblik på revision eller drifts- og systemtekniske opgaver. 12. Der skal træffes foranstaltninger for at sikre, at kun autoriserede brugere kan få adgang, og at disse kun kan få adgang til de personoplysninger og anvendelser, som de er autoriserede til. [ ] 14. Der må kun etableres eksterne kommunikationsforbindelser, hvis der træffes særlige foranstaltninger for at sikre, at uvedkommende ikke gennem disse forbindelser kan få adgang til personoplysninger. [ ] 17 Det skal sikres, at de autoriserede personer fortsat opfylder betingelserne i 11, stk. 2 og 3, og 16. Stk. 2. Kontrol heraf skal foretages mindst en gang hvert halve år. [ ] 18. Der skal foretages registrering af alle afviste adgangsforsøg. Hvis der inden for en fastsat periode er registreret et nærmere fastsat antal på hinanden følgende afviste adgangsforsøg fra samme arbejdsstation eller med samme brugeridentifikation, skal der blokeres for yderligere forsøg. Der skal løbende ske opfølgning i myndigheden. [ ] 19. Der skal foretages maskinel registrering (logning) af alle anvendelser af personoplysninger. Registreringen skal mindst indeholde oplysning om tidspunkt, bruger, type af anvendelse og angivelse af den person, de anvendte oplysninger vedrørte, eller det anvendte søgekriterium. Loggen skal opbevares i 6 måneder, hvorefter den skal slettes. Myndigheder med et særligt behov kan opbevare loggen i op til 5 år. Stk. 2. Bestemmelsen i stk. 1 finder ikke anvendelse for personoplysninger, som indgår i tekstbehandlingsdokumenter og lignende, der ikke foreligger i endelig form. Det samme gælder sådanne dokumenter, som foreligger i endelig form, hvis der sker sletning inden for en af den dataansvarlige myndighed nærmere fastsat kortere frist. Stk. 3. Bestemmelsen i stk. 1 finder ikke anvendelse, hvis behandlingen af personoplysninger udelukkende sker ved afvikling af programmer, som foretager en forud defineret massebehandling af personoplysninger (»batch»-kørsler). Der skal dog foretages maskinel logning af bruger og tidspunkt for behandlingen. Stk. 4. Bestemmelsen i stk. 1 finder endvidere ikke anvendelse, hvis behandlingen af personoplysningerne udelukkende sker med henblik på statistiske eller videnskabelige undersøgelser, og identifikationsoplysningerne forinden enten er krypteret eller erstattet med et kodenummer eller lignende. Der skal dog foretages maskinel logning af bruger og tidspunkt for behandlingen. Stk. 5. Bestemmelsen i stk. 1 finder endelig ikke anvendelse for personoplysninger, som i form af måle- eller analyseresultater automatisk lagres i medicoteknisk udstyr. Undtagelsen omfatter tillige personoplysninger, som manuelt registreres i medicoteknisk udstyr til supplering af automatisk lagrede oplysninger. Datatilsynet har udstedt vejledning nr. 37 af 2. april 2001, som omhandler sikkerhedsbekendtgørelsen.

16 4.7. Tilsyn Persondatadirektivets artikel 28, stk. 1, stiller krav om, at hver medlemsstat skal oprette en eller flere offentlige myndigheder, som skal påse overholdelsen af de nationale regler, der gennemfører direktivet, og at disse myndigheder udøver deres funktioner i fuld uafhængighed. Artikel 28, stk. 2-7, indeholder forskellige regler og krav vedrørende tilsynsmyndighedens opgaver, beføjelser og pligter. Side 16 af 34 Persondatalovens kapitel 16 ( 55-66) indeholder på denne baggrund regler om tilsyn ved Datatilsynet. Datatilsynet er således den centrale uafhængige statslige myndighed, der fører tilsyn med, at reglerne i persondataloven overholdes i Danmark, jf. persondatalovens 55. I forhold til domstolene ligger kompetencen dog hos Domstolsstyrelsen, jf. 67, stk. 1. Det fremgår af persondataloven, at Datatilsynet består af et råd og et sekretariat, der ledes af en direktør. Det pågældende råd benævnt Datarådet består af en formand, der skal være dommer, og yderligere 6 medlemmer. Datatilsynet udøver sine funktioner i fuld uafhængighed, jf. persondatalovens 56. Datatilsynet har en finanslovsmæssig og personalemæssig tilknytning til Justitsministeriet, men er funktionelt uafhængigt. Justitsministeriet eller andre myndigheder har således ingen instruktionsbeføjelser over for Datatilsynet. Datatilsynet er tillagt en række beføjelser i forbindelse med udøvelsen af sit tilsyn. Datatilsynet kan herunder kræve enhver oplysning, der er af betydning for dets virksomhed, herunder til afgørelse af, om et forhold falder ind under lovens bestemmelser, jf. persondatalovens 62, stk. 1. Tilsynets medlemmer og personale har desuden til enhver tid mod behørig legitimation uden retskendelse adgang til alle lokaler, hvorfra en behandling, som foretages for den offentlige forvaltning, administreres, eller hvorfra der er adgang til de oplysninger, som behandles, samt til lokaler, hvor oplysningerne eller tekniske hjælpemidler opbevares eller anvendes, jf. 62, stk EU-retlige initiativer Datatilsynet og Digitaliseringsstyrelsen har oplyst, at der i forhold til anvendelse af cloud computing i andre EU-lande (hvor anvendelsen også skal ske inden for rammerne af persondatadirektivet) findes eksempler fra Sverige og Norge, hvor myndigheder har taget cloud computing-tjenester i brug. Datatilsynene i de to lande har ikke foretaget endelige vurderinger af, om anvendelsen af de pågældende tjenester lever op til gældende regler. I Sverige har en kommune taget en online kontorpakke i brug med , kalender og dokumenthåndtering. Det svenske datatilsyn har indtil videre udtalt, at brugen af denne kontorpakke ikke lever op til gældende regler, og at det særligt er den kontrakt, som kommunen har indgået med tjenesteyderen, der er mangelfuld. 3 Tilsynet har bedt kommunen om at rette op på en række forhold, som beskrives i udtalelsen. Kommunen har efter 3 Datainspektionens udtalelse af 28. september 2011:

17 arbejdsgruppens oplysninger endnu ikke adresseret disse forhold overfor det svenske datatilsyn. Side 17 af 34 Det bemærkes, at der i EU er igangsat et arbejde med en revision af fællesskabsrettens persondataregler. Europa-Kommissionen har således den 25. januar 2012 fremlagt to forslag om nye regler om databeskyttelse i EU. Det ene forslag er et forordningsforslag, der tilsigter generelt at regulere behandlingen af personoplysninger i den private og offentlige sektor. Dette forslag har til formål at afløse det gældende persondatadirektiv fra 1995, der er gennemført i dansk ret ved persondataloven. Det andet forslag er et direktivforslag, der tilsigter at regulere den behandling af personoplysninger, som finder sted hos medlemsstaternes politi og anklagemyndigheder. Dette forslag har til formål at afløse en rammeafgørelse fra 2008 om beskyttelse af personoplysninger i forbindelse med politisamarbejde og retligt samarbejde i kriminalsager. Det må antages, at den endelige forordning, som måtte blive vedtaget på baggrund af det nævnte forslag, vil indeholde elementer, som vil have betydning for muligheden for at etablere løsninger med cloud computing. Spørgsmål vedrørende cloud computing er således også udførligt adresseret i Kommissionens arbejdspapirer vedrørende forslaget til en ny forordning. I et såkaldt fact sheet til brug for præsentationen af forslaget har kommissionen anført følgende: In particular, cloud computing where individuals access computer resources remotely, rather than owning them locally poses new challenges for data protection authorities, as data can and does move from one jurisdiction to another, including outside the EU, in an instant. In order to ensure a continuity of data protection, the rules need to be brought in line with technological developments. Når en sådan forordning måtte blive vedtaget, vil det samme regelsæt desuden gælde fuldt ud i hele EU, hvilket må antages at indebære, at det vil blive attraktivt for udbydere af løsninger med cloud computing at udforme standardkontrakter, som opfylder forordningens krav, og dermed gøre det billigere for danske myndigheder mv. at finde udbydere af løsninger med cloud computing, som ligger inden for rammerne af gældende ret. Det må imidlertid forventes, at der vil gå adskillige år, før forhandlingerne om forordningsforslaget er afsluttet, og nye regler kan træde i kraft. Der er derfor fortsat behov for at overveje, om der i den mellemliggende periode bør ske en ændring af de nationale regler, som vurderes unødigt at vanskeliggøre anvendelsen af cloud computing. Derudover har Kommissionen som led i arbejdet med en digital dagsorden afholdt en høring om, hvordan man bedst udnytter cloud computing i Europa. Resultaterne af høringen skal bidrage til en egentlig EU-strategi for cloud

18 computing, som Kommissionen vil fremlægge i Målet for strategien er bl.a. at skabe klare retlige vilkår for udbredelse af cloud computing i Europa. Side 18 af 34 Den såkaldte artikel 29-gruppe ses i denne forbindelse ikke at have behandlet spørgsmålet om datasikkerhed ved cloud computing særskilt, men har i en pressemeddelelse af 20. oktober i forbindelse med revisionen af persondatadirektivet understreget, at en ensartet anvendelse af databeskyttelsesreglerne i Europa kun kan sikres ved en ensartet regulering af området Datatilsynets udtalelse af 3. februar 2011 Datatilsynet har efter forelæggelse for Datarådet den 3. februar 2011 afgivet en foreløbig udtalelse om en kommunes anvendelse af en løsning med cloud computing. Der var tale om anvendelse af en online kontorpakke med kalender og dokumenthåndtering for kommunens lærere bl.a. til at registrere oplysninger om planlægning og evaluering af undervisningen og de enkelte elevers faglige udvikling. Desuden skulle lærerne gøre notater om klassers og elevers samarbejde og udarbejde skrivelser til forældre mv. Datatilsynet rejser i den foreløbige udtalelse en række spørgsmål i forhold til, om anvendelsen af den omhandlede løsning er i overensstemmelse med persondataloven og sikkerhedsbekendtgørelsen. Datatilsynet tilkendegiver i udtalelsen, at tilsynet gerne modtager sagen til fornyet udtalelse. Sagen beror på, at kommunen vender tilbage til Datatilsynet med en fornyet anmeldelse. Nedenfor under afsnit 6 redegøres der bl.a. på baggrund af Datatilsynets foreløbige udtalelse i den nævnte sag nærmere for arbejdsgruppens vurdering af love og regler, der vanskeliggør brugen af cloud computing. 5. Regnskabs- og bogføringsloven Det følger af bogføringsloven og regnskabsloven, at regnskabsmateriale fra private virksomheder og offentlige myndigheder skal opbevares på betryggende vis i 5 år fra udgangen af det regnskabsår, materialet vedrører. Dette indebærer efter reglerne bl.a., at regnskabsmateriale som udgangspunkt skal opbevares i Danmark, jf. bogføringslovens 12 og regnskabsbekendtgørelsens 45. Udgangspunktet efter de nævnte bestemmelser er, at alt regnskabsmateriale skal opbevares i Danmark eller de nordiske lande. Der er imidlertid ikke noget til hinder for at opbevare regnskabsmaterialet i udlandet, såfremt der som minimum 4

19 hver måned downloades eller tages en fysisk kopi af al materialet, som placeres på en server i Danmark eller placeres i Danmark i papirbaseret form. Side 19 af 34 Hensigten med reglerne er blandt andet at sikre, at de relevante kontrolmyndigheder altid kan få adgang til regnskabsmaterialet. På baggrund af det anførte er det arbejdsgruppens vurdering, at reglerne ikke kan siges unødigt at vanskeliggøre cloud computing, fordi det efter reglerne er tilladt, at opbevare regnskabsmateriale i udlandet. 6. Arbejdsgruppens vurdering af love og regler der vanskeliggør brugen af cloud computing 6.1. Indledning I afsnit redegøres der for en række regler, der efter arbejdsgruppens umiddelbare opfattelse vanskeliggør brugen af cloud computing. Det vurderes i den forbindelse, om de pågældende regler eventuelt er unødige i forhold til cloud computing. Hvor dette vurderes at være tilfældet, overvejes det, hvordan de pågældende regler kan tilpasses løsninger med cloud computing. I lyset af Datatilsynets særlige uafhængighed, jf. afsnit 4.7 ovenfor, har arbejdsgruppen dog fundet det rigtigst, at Datatilsynets medlem af arbejdsgruppen ikke medvirker til at fremkomme med indstillinger til eventuelle ændringer af gældende ret. Det bemærkes, at der er visse regler i dansk ret, som kan siges at vanskeliggøre anvendelsen af cloud computing, men som følger af persondatadirektivet, jf. afsnit 4 ovenfor. Eventuelle barrierer, der følger af sådan direktivbestemte regler, kan ikke betegnes som unødige og vil ikke blive behandlet i det følgende. I forhold til de danske regler, som følger af direktivet, er det arbejdsgruppens overordnede indstilling, at Danmark bør afvente de initiativer i EU, der er omtalt under afsnit 4.8 ovenfor. Arbejdsgruppen finder det i den forbindelse hensigtsmæssigt, hvis der ved udformningen af den ny persondataregulering så vidt muligt tages højde for, at det i praksis bliver muligt at anvende løsninger med cloud computing i videre omfang end i dag. Det bemærkes desuden, at en vurdering af bl.a. persondatalovens regler om retten til indsigt og retten til sletning, jf. afsnit 4.5 ovenfor, efter arbejdsgruppens opfattelse bør afvente afslutningen af den sag, der som nævnt under afsnit 4.9 for tiden verserer hos Datatilsynet. Da der i øvrigt er tale om regler, der følger af persondatadirektivet, der således som nævnt umiddelbart overfor ikke kan karakteriseres som unødige, finder arbejdsgruppen, at spørgsmål om forholdet til disse regler i forbindelse med cloud computing må håndteres i aftalen mellem den

20 dataansvarlige myndighed og leverandøren af en ordning med cloud computing. Disse regler omtales således ikke yderligere i det følgende. Side 20 af 34 Ligeledes er det arbejdsgruppens opfattelse, at kravene i persondatalovens 27 om overførelse af oplysninger til et tredjeland, jf. afsnit 4.3 ovenfor, efter gældende ret må håndteres på baggrund af en aftale (f.eks. Kommissionens standardkontrakt) med databehandleren, ved brug af Safe harbour-ordningen eller ved, at der alene sker overførsel til tredjelande, der sikrer et tilstrækkeligt beskyttelsesniveau. Disse regler omtales således heller ikke yderligere i det følgende. Endelig bemærker arbejdsgruppen særskilt, at det er den dataansvarlige myndigheds ansvar, at følsomme personoplysninger omfattet af persondatalovens 7 og 8, jf. afsnit 4.4 ovenfor, håndteres i overensstemmelse med de regler, der gælder herfor, også når behandlingen sker for den dataansvarlige i en løsning med cloud computing. Disse regler er også berørt i den udtalelse fra Datatilsynet, der er omtalt under afsnit 4.8. Arbejdsgruppen har på denne baggrund heller ikke fundet anledning til i øvrigt at omtale disse regler nærmere. I de følgende afsnit behandles de regler, som arbejdsgruppen har vurderet udgør en unødig barriere for brugen af cloud computing, og som ikke følger direkte af direktivet og derfor kan ændres i dansk ret Kontrol med autorisationer Beskrivelse af reglen Det følger af sikkerhedsbekendtgørelsens 17, stk. 2, at det mindst en gang hvert halve år skal sikres, at personer, der er autoriserede til at behandle persondata, fortsat opfylder betingelserne for den opnåede autorisation, jf. afsnit 4.6 ovenfor. Hensigten med bestemmelsen er at tilvejebringe sikkerhed i dataopbevaring og databehandling, konkret ved f.eks. at sikre, at der ikke er udstedte autorisationer, som ikke anvendes, og som derfor bør inddrages, jf. Datatilsynets vejledning til sikkerhedsbekendtgørelsen Udfordring Arbejdsgruppen er bekendt med, at sikkerhedsbekendtgørelsen kan stille højere krav til kontrol med autorisationer (stille krav om hyppigere kontrol) end de interne sikkerhedsprocedurer fastsat hos en leverandør af en ydelse med cloud computing. En sådan leverandør må antages ofte at have fastlagt faste interne sikkerhedsprocedurer baseret på deres forretningsmodel med en høj grad af standardisering. Kravene i lovgivningen til intervallerne for sådanne kontroller kan imidlertid ofte variere fra land til land, hvilket gør det vanskeligt for cloud-

Forsikring & Pension Philip Heymans Allé 1 2900 Hellerup

Forsikring & Pension Philip Heymans Allé 1 2900 Hellerup Forsikring & Pension Philip Heymans Allé 1 2900 Hellerup 14. maj 2012 Orientering om nye regler om private dataansvarliges anmeldelsespligt Datatilsynet Borgergade 28, 5. 1300 København K CVR-nr. 11-88-37-29

Læs mere

Sikkerhed i cloud computing

Sikkerhed i cloud computing Sikkerhed i cloud computing Databeskyttelsesdagen 2012 Morten Jørsum Center for Digitalisering Digitaliseringsstyrelsen mjrsm@digst.dk Hvad er cloud computing It som en service: Leveres og betales efter

Læs mere

Michael Teschl Etik Portalerne ApS Lotusvej 58 2300 København S. Sendt til: mt@etikportalen.dk

Michael Teschl Etik Portalerne ApS Lotusvej 58 2300 København S. Sendt til: mt@etikportalen.dk Michael Teschl Etik Portalerne ApS Lotusvej 58 2300 København S Sendt til: mt@etikportalen.dk 14. marts 2013 Vedrørende behandling af personoplysninger hos Etik Portalerne ApS Datatilsynet Borgergade 28,

Læs mere

Cloud jura hvilke regler gælder I skyen? IT Driftskonferencen, 29. januar 2014

Cloud jura hvilke regler gælder I skyen? IT Driftskonferencen, 29. januar 2014 Cloud jura hvilke regler gælder I skyen? IT Driftskonferencen, 29. januar 2014 Hvorfor vælger vi Cloud? No cloud (On-Premise) Infrastructure (as a Service) Platform (as a Service) Software (as a Service)

Læs mere

Persondataloven og sundhedsvidenskabelige forskningsprojekter

Persondataloven og sundhedsvidenskabelige forskningsprojekter Persondataloven og sundhedsvidenskabelige forskningsprojekter Fuldmægtig Signe Astrid Bruun Fuldmægtig Martin Nybye-Petersen Datatilsynet 9. januar 2014 Dagens Program Datatilsynets struktur og arbejdsopgaver

Læs mere

Cloud jura hvilke regler gælder I skyen? DeiC konferencen, 1. oktober 2014 Pia Ullum, Legal Director, CSC Danmark A/S

Cloud jura hvilke regler gælder I skyen? DeiC konferencen, 1. oktober 2014 Pia Ullum, Legal Director, CSC Danmark A/S Cloud jura hvilke regler gælder I skyen? DeiC konferencen, 1. oktober 2014 Pia Ullum, Legal Director, CSC Danmark A/S Customer Managed Hvorfor vælger man som kunde Cloud? Customer Customer No cloud (On-Premise)

Læs mere

Databehandleraftale. Der er indgået denne Databehandlingsaftale ("Aftale") mellem

Databehandleraftale. Der er indgået denne Databehandlingsaftale (Aftale) mellem Oktober 2014 Sagsnr. 013928-0190 cen/dla Databehandleraftale Der er indgået denne Databehandlingsaftale ("Aftale") mellem Fredericia Kommune Gothersgade 20 7000 Frdericia CVR-nr.: 69116418 ("Kommunen")

Læs mere

Persondataloven kort fortalt

Persondataloven kort fortalt Persondataloven kort fortalt Den 27. februar 2013 Indhold Indledning... 2 Lov om behandling af personoplysninger... 3 På hvilke områder gælder loven?... 3 Hvilke typer behandling?... 3 Undtagelser fra

Læs mere

(Fremtidens) Regulering af cloud computing

(Fremtidens) Regulering af cloud computing (Fremtidens) Regulering af cloud computing Dansk Automationsselskab 2012 Jacob Voetmann Kont. for it-arkitektur og standardisering Digitaliseringsstyrelsen javoe@digst.dk Digitaliseringsstyrelsen og cloud

Læs mere

Lov om behandling af personoplysninger 1)

Lov om behandling af personoplysninger 1) Lov om behandling af personoplysninger 1) VI MARGRETHE DEN ANDEN, af Guds Nåde Danmarks Dronning, gør vitterligt: Folketinget har vedtaget og Vi ved Vort samtykke stadfæstet følgende lov: Afsnit I Indledende

Læs mere

lov nr. 429 af 31/05/2000 med senere ændringer om behandling af personoplysninger (Persondataloven).

lov nr. 429 af 31/05/2000 med senere ændringer om behandling af personoplysninger (Persondataloven). Bilag 6 Databehandleraftale og databehandlerinstruks 1. Leverandøren overholder de til enhver tid gældende regler og forskrifter for behandling af personoplysninger under Kontrakten, herunder: lov nr.

Læs mere

Datatilsynet er den centrale uafhængige myndighed, der fører tilsyn med, at reglerne i persondataloven overholdes. Kort om Datatilsynet.

Datatilsynet er den centrale uafhængige myndighed, der fører tilsyn med, at reglerne i persondataloven overholdes. Kort om Datatilsynet. Cloud og persondataloven Forskningsnetkonferencen 2011 Klarskovgaard Datatilsynet er den centrale uafhængige myndighed, der fører tilsyn med, at reglerne i persondataloven overholdes. Sten Hansen IT-chef

Læs mere

Oversigt (indholdsfortegnelse)

Oversigt (indholdsfortegnelse) Oversigt (indholdsfortegnelse) Kapitel 1 - Almindelige bestemmelser Kapitel 2 - Generelle sikkerhedsbestemmelser Kapitel 3 - Supplerende sikkerhedsforanstaltninger for anmeldelsespligtige behandlinger

Læs mere

Datatilsynet har besluttet at undersøge sagen af egen drift.

Datatilsynet har besluttet at undersøge sagen af egen drift. KL Weidekampsgade 10 2300 København S Sendt pr. brev samt på mail til MIH@kl.dk 15. april 2011 Vedrørende sikkerhedsbrist som følge af KL s overførsel af køreprøvebooking system til en cloud-løsning Datatilsynet

Læs mere

Loven indebærer ændringer i både persondataloven 4 og tv-overvågningsloven

Loven indebærer ændringer i både persondataloven 4 og tv-overvågningsloven Til samtlige kommuner, regioner og ministerier (underliggende myndigheder og institutioner bedes venligst orienteret) 28. juni 2007 Orientering til offentlige myndigheder om de nye regler i persondataloven

Læs mere

Publikationen er gratis. Publikationen kan hentes på: digitaliser.dk. Udgivet af: IT- & Telestyrelsen. ISBN (internet): 978-87-92572-47-9

Publikationen er gratis. Publikationen kan hentes på: digitaliser.dk. Udgivet af: IT- & Telestyrelsen. ISBN (internet): 978-87-92572-47-9 2 > Publikationen er gratis. Udgivet af: IT- & Telestyrelsen IT- & Telestyrelsen Holsteinsgade 63 2100 København Ø Publikationen kan hentes på: digitaliser.dk ISBN (internet): 978-87-92572-47-9 Telefon:

Læs mere

Persondataretlige aspekter ved cloud computing

Persondataretlige aspekter ved cloud computing Persondataretlige aspekter ved cloud computing Anne Ermose, advokat, Microsoft Danmark Michael Hopp, partner, Plesner Dansk Forum for IT-ret, 28. november 2012 1 28 November 2012 Oversigt 1. Introduktion

Læs mere

Uanmodede henvendelser. Uanmodede henvendelser. Uanmodede henvendelser

Uanmodede henvendelser. Uanmodede henvendelser. Uanmodede henvendelser Uanmodede henvendelser Anmodede henvendelser (samtykke) HNG-sagen (1998.83H) Ikke betydning for beslutningen Begreberne opt in og opt out Uanmodede personlige henvendelser Forbrugeraftalelovens 6 Bopæl,

Læs mere

HØRING OVER UDKAST TIL FORSLAG TIL LOV OM CENTER FOR CYBERSIKKERHED SAMT EVALUERING AF GOVCERT-LOVEN

HØRING OVER UDKAST TIL FORSLAG TIL LOV OM CENTER FOR CYBERSIKKERHED SAMT EVALUERING AF GOVCERT-LOVEN Forsvarsministeriet fmn@fmn.dk pah@fmn.dk hvs@govcert.dk WILDERS PLADS 8K 1403 KØBENHAVN K TELEFON 3269 8888 DIREKTE 3269 8805 RFJ@HUMANRIGHTS.DK MENNESKERET.DK J. NR. 540.10/30403/RFJ/MAF HØRING OVER

Læs mere

Datatilsynets udtalelse af 15. oktober 2009 vedhæftes.

Datatilsynets udtalelse af 15. oktober 2009 vedhæftes. Region Syddanmark Damhaven 12 7100 Vejle Sendt til kontakt@regionsyddanmark.dk 4. februar 2013 Vedrørende sikkerhedsbrist i Region Syddanmark Datatilsynet Borgergade 28, 5. 1300 København K CVR-nr. 11-88-37-29

Læs mere

Forsvarets videregivelse af personaleoplysninger til brug for markedsføring

Forsvarets videregivelse af personaleoplysninger til brug for markedsføring Forsvarets videregivelse af personaleoplysninger til brug for markedsføring Brevdato: 19.08.08 Journalnummer: 2008-632-0034 Datatilsynet vender hermed tilbage til sagen, hvor Forsvarets Personeltjeneste

Læs mere

Artikel 29-gruppen vedrørende databeskyttelse

Artikel 29-gruppen vedrørende databeskyttelse Artikel 29-gruppen vedrørende databeskyttelse 00065/2010/DA WP 174 Udtalelse nr. 4/2010 om FEDMA's europæiske adfærdskodeks for brug af personoplysninger i forbindelse med direkte markedsføring vedtaget

Læs mere

Formål Urimelige kontraktvilkår Tvivl om fortolkningen Retsvirkninger Implementering

Formål Urimelige kontraktvilkår Tvivl om fortolkningen Retsvirkninger Implementering Jan Trzaskowski!"#$%&!'($) %**) + Direktivet om urimelige kontraktvilkår (Direktiv 93/13/EØF af 5. april 1993) Fjernsalgsdirektivet (Direktiv 97/7/EF af 20. maj 1997) Forbrugerkøbsdirektivet (Direktiv

Læs mere

Johnson Controls' Binding Corporate Rules (bindende virksomhedsregler)

Johnson Controls' Binding Corporate Rules (bindende virksomhedsregler) Johnson Controls' Binding Corporate Rules (bindende virksomhedsregler) Indhold 1. Introduktion 2. Område og anvendelse 3. Gennemsigtighed og underretning 4. Rimelig behandling og afgrænsning af formål

Læs mere

NSP Servicevilkå r for Indirekte GW LEVERANDØR

NSP Servicevilkå r for Indirekte GW LEVERANDØR NSP Servicevilkå r for Indirekte GW LEVERANDØR Parter Denne aftale om at anvende den Nationale Serviceplatform (NSP) er indgået mellem Statens Serum Institut (SSI) v/national Sundheds-it (NSI) som systemansvarlig

Læs mere

Direkte markedsføring. Uanmodede henvendelser. Uanmodede henvendelser

Direkte markedsføring. Uanmodede henvendelser. Uanmodede henvendelser Direkte markedsføring Jan Trzaskowski Associate Professor, Ph.D. Copenhagen Business School This presentation is made in OpenOffice.org 1 Uanmodede henvendelser Anmodede henvendelser (samtykke) HNG-sagen

Læs mere

Europaudvalget 2010 KOM (2010) 0609 Bilag 1 Offentligt

Europaudvalget 2010 KOM (2010) 0609 Bilag 1 Offentligt Europaudvalget 2010 KOM (2010) 0609 Bilag 1 Offentligt Lovafdelingen Dato: 15. november 2010 Kontor: Statsretskontoret Sagsnr.: 2010-7614-0030 Dok.: OTE40148 G R U N D - O G N Æ R H E D S N O T A T vedrørende

Læs mere

Europaudvalget 2011 Rådsmøde 3096 - RIA Bilag 3 Offentligt

Europaudvalget 2011 Rådsmøde 3096 - RIA Bilag 3 Offentligt Europaudvalget 2011 Rådsmøde 3096 - RIA Bilag 3 Offentligt Civil- og Politiafdelingen Supplerende samlenotat vedrørende de sager inden for Justitsministeriets ansvarsområde, der forventes behandlet på

Læs mere

Revisionsregulativ. for. Københavns Kommune

Revisionsregulativ. for. Københavns Kommune Revisionsregulativ for Københavns Kommune I medfør af 5, stk. 3, i Bekendtgørelse nr. 392 af 2. maj 2006 om kommunernes budget- og regnskabsvæsen, revision m.v. fastsættes: Kapitel 1 Indledning 1. Revisor

Læs mere

EU-FORORDNING OM PERSONDATA I UDKAST

EU-FORORDNING OM PERSONDATA I UDKAST Indsæt billede: et billede skal du skifte til placeringen: PowerPointBilleder (L:), hvor alle Bech-Bruun billederne er gemt og Skift billede: Du skifter til et andet billede, ved at slette det eksisterende

Læs mere

Der søges samtidig om Datatilsynets tilladelse. 1.Dataansvarlig Navn* (projektleder) Stilling*

Der søges samtidig om Datatilsynets tilladelse. 1.Dataansvarlig Navn* (projektleder) Stilling* Blankettype: Privat forskning Datatilsynet Borgergade 28 1300 København K Anmeldelse af behandlinger af oplysninger om rent private forhold der foreta- ges for en privat dataansvarlig, og som udelukkende

Læs mere

Nyt om persondata. Birgitte Toxværd, advokat

Nyt om persondata. Birgitte Toxværd, advokat Nyt om persondata Birgitte Toxværd, advokat 1 C-468-10 ASNEF og C-469/10 FECEMD 2 Oplysningskategorier Personnummer 11 Racemæssig el. etnisk baggrund, politisk, religiøs el. filosofisk overbevisning, fagforening,

Læs mere

Datasikkerhedspolitik

Datasikkerhedspolitik Datasikkerhedspolitik Godkendt i Byrådet den 10.november 2008 1 Datasikkerhedspolitik Indhold 1. Indledning 2. Organisation og ansvarsfordeling 2.1 Ansvarsorganisation for datasikkerhed 2.2 Øverste og

Læs mere

Vejledning til skabelonen Databehandleraftale_feb2015

Vejledning til skabelonen Databehandleraftale_feb2015 Regionshuset Viborg Regionssekretariatet Skottenborg 26 Postboks 21 DK-8800 Viborg Tel. +45 8728 5000 kontakt@rm.dk www.rm.dk Vejledning til skabelonen Databehandleraftale_feb2015 Skabelonen Databehandleraftale_feb2015

Læs mere

It-sikkerhedstekst ST2

It-sikkerhedstekst ST2 It-sikkerhedstekst ST2 Overvejelser om sikring mod, at personoplysninger kommer til uvedkommendes kendskab i forbindelse med Denne tekst må kopieres i sin helhed med kildeangivelse. Dokumentnavn: ST2 Version

Læs mere

Du har søgt om aktindsigt i en sag om A Banks redegørelse om køb og salg af egne aktier sendt til Finanstilsynet i oktober 2007.

Du har søgt om aktindsigt i en sag om A Banks redegørelse om køb og salg af egne aktier sendt til Finanstilsynet i oktober 2007. Kendelse af 13. oktober 2009 (J.nr. 2009-0019579) Anmodning om aktindsigt ikke imødekommet. Lov om finansiel virksomhed 354 og 355 samt offentlighedslovens 14. (Niels Bolt Jørgensen, Anders Hjulmand og

Læs mere

Lovtidende A. Bekendtgørelse om systemrevisionens gennemførelse i fælles datacentraler

Lovtidende A. Bekendtgørelse om systemrevisionens gennemførelse i fælles datacentraler Lovtidende A Bekendtgørelse om systemrevisionens gennemførelse i fælles datacentraler I medfør af 199, stk. 12, og 373, stk. 4, i lov om finansiel virksomhed, jf. lovbekendtgørelse nr. 911 af 4. august

Læs mere

1. Indledning. Retsplejelovens 114 har følgende ordlyd:

1. Indledning. Retsplejelovens 114 har følgende ordlyd: Civil- og Politiafdelingen Dato: 10. juli 2009 Kontor: Politikontoret Sagsnr.: 2009-945-1384 Dok.: LMD41023 Vejledning om politiets samarbejde med de sociale myndigheder og psykiatrien som led i indsatsen

Læs mere

It-sikkerhedstekst ST4

It-sikkerhedstekst ST4 It-sikkerhedstekst ST4 Datatransmission af personoplysninger på åbne net Denne tekst må kopieres i sin helhed med kildeangivelse. Dokumentnavn: ST4 Version 1 Oktober 2014 Datatransmission af personoplysninger

Læs mere

Hvilke love gælder for tv-overvågning?

Hvilke love gælder for tv-overvågning? Hvilke love gælder for tv-overvågning? Tv-overvågningsloven Tv-overvågningsloven regulerer hvilke områder private virksomheder og private borgere må tvovervåge. Hvem må overvåge? - Hvad må de overvåge?

Læs mere

ANMELDELSE VEDRØRENDE OVERFØRSEL AF PERSONOPLYSNINGER TIL UDLANDET

ANMELDELSE VEDRØRENDE OVERFØRSEL AF PERSONOPLYSNINGER TIL UDLANDET ANMELDELSE VEDRØRENDE OVERFØRSEL AF PERSONOPLYSNINGER TIL UDLANDET Udfyld venligst formular på skærmen og send den til Dátueftirlitið ved at trykke på knappen Submit form. 1. DATAANSVARLIG Offentlig institution

Læs mere

Retsudvalget 2013-14 REU Alm.del endeligt svar på spørgsmål 1434 Offentligt

Retsudvalget 2013-14 REU Alm.del endeligt svar på spørgsmål 1434 Offentligt Retsudvalget 2013-14 REU Alm.del endeligt svar på spørgsmål 1434 Offentligt Folketinget Retsudvalget Christiansborg 1240 København K Lovafdelingen Dato: 14. november 2014 Kontor: Forvaltningsretskontoret

Læs mere

IT driftsaftale Bilag 7: IT-sikkerhedsbestemmelser

IT driftsaftale Bilag 7: IT-sikkerhedsbestemmelser IT driftsaftale Bilag 7: IT-sikkerhedsbestemmelser INDHOLDSFORTEGNELSE 1. Baggrund og formål... 2 2. Ansvarsfordeling... 2 2.1 Jobcenterchefens ansvar... 2 2.2 Gensidig informationspligt... 3 3. Krav til

Læs mere

Har I styr på reglerne? Forsyningsselskabers behandling af persondata

Har I styr på reglerne? Forsyningsselskabers behandling af persondata Har I styr på reglerne? Forsyningsselskabers behandling af persondata Langt de fleste virksomheder vil i forbindelse med deres virke få adgang til persondata af den ene eller anden slags. En forsyningsvirksomhed

Læs mere

Cloud Computing De juridiske aspekter

Cloud Computing De juridiske aspekter Cloud Computing De juridiske aspekter Forskningsnet Konference 2010 Middelfart Advokat Nis Peter Dall Hvad er Cloud? IaaS (Infrastructure as a Service) - Computerkraft, lagerplads mv. stilles til rådighed

Læs mere

X. REGLERNE OM VIDEREGIVELSE AF OPLYSNINGER TIL EN ANDEN FORVALTNINGSMYNDIGHED M.V. 174. Bestemmelserne i forvaltningslovens 28-32 indeholder nærmere

X. REGLERNE OM VIDEREGIVELSE AF OPLYSNINGER TIL EN ANDEN FORVALTNINGSMYNDIGHED M.V. 174. Bestemmelserne i forvaltningslovens 28-32 indeholder nærmere X. REGLERNE OM VIDEREGIVELSE AF OPLYSNINGER TIL EN ANDEN FORVALTNINGSMYNDIGHED M.V. 174. Bestemmelserne i forvaltningslovens 28-32 indeholder nærmere regler om, i hvilke tilfælde en forvaltningsmyndighed

Læs mere

Borgernes rettigheder ved anvendelse af video

Borgernes rettigheder ved anvendelse af video Borgernes rettigheder ved anvendelse af video I løbet af de seneste år er anvendelsen af video og tv blevet stadig mere udbredt på de danske veje. Video og tv anvendes i en række sammenhænge: Trafikinformation

Læs mere

Bilag 2. Udkast til anmeldelse til Datatilsynet

Bilag 2. Udkast til anmeldelse til Datatilsynet Side 1 af 6 DATATILSYNET Borgergade 28, 5. 1300 København K Telefon 3319 3200 Bilag 2. Udkast til anmeldelse til Datatilsynet Anmeldelse af behandlinger der foretages for den offentlige forvaltning 1.Dataansvarlig

Læs mere

Bekendtgørelse om kvalitetskontrol og Revisortilsynets virksomhed

Bekendtgørelse om kvalitetskontrol og Revisortilsynets virksomhed Bekendtgørelse om kvalitetskontrol og Revisortilsynets virksomhed I medfør af 34, stk. 3, og 54, stk. 2, i lov nr. 468 af 17. juni 2008 om godkendte revisorer og revisionsvirksomheder (revisorloven), som

Læs mere

Bank & Finans IP & Technology

Bank & Finans IP & Technology Den 7. november 2013 Nyhedsbrev Bank & Finans IP & Technology Forslag til obligatoriske interne whistleblowerordninger i finansielle virksomheder Finanstilsynet sendte den 15. august 2013 forslag til lov

Læs mere

Retningslinier. for. Video-overvågning i Faxe Kommune

Retningslinier. for. Video-overvågning i Faxe Kommune Retningslinier for Video-overvågning i Faxe Kommune Formål Formålet med i Faxe Kommune er at beskytte kommunens ejendomme og værdier mod kriminelle handlinger samt tilføre tryghed for ansatte i kommunen

Læs mere

Bekendtgørelse om udbud af online væddemål

Bekendtgørelse om udbud af online væddemål Bekendtgørelse om udbud af online væddemål I medfør af 11, stk. 4, 36, stk. 2, 41, stk. 1, og 60 i lov nr. 848 af 1. juli 2010 om spil fastsættes: Kapitel 1 Anvendelsesområde 1. Bekendtgørelsen finder

Læs mere

Persondataforordningen & kommuner. Vejle, 5. maj 2015 Advokat, partner Nis Peter Dall. Baseret på persondatadirektivet (fra 1995)

Persondataforordningen & kommuner. Vejle, 5. maj 2015 Advokat, partner Nis Peter Dall. Baseret på persondatadirektivet (fra 1995) Persondataforordningen & kommuner Vejle, 5. maj 2015 Advokat, partner Nis Peter Dall Forordningen I dag Persondataloven (fra 2000) Baseret på persondatadirektivet (fra 1995) Forskelle i implementering

Læs mere

Sag 61828-mho Udkast 06.05.2015. Cookiepolitik. 1. Politik for brug af HC Containers onlinetjenester

Sag 61828-mho Udkast 06.05.2015. Cookiepolitik. 1. Politik for brug af HC Containers onlinetjenester Sag 61828-mho Udkast 06.05.2015 Cookiepolitik 1. Politik for brug af HC Containers onlinetjenester På denne side oplyses om de nærmere vilkår for brugen af www.hccontainer.dk og eventuelle andre hjemmesider,

Læs mere

Konsekvensanalyse/Data Protection Impact Assessment (DIA)

Konsekvensanalyse/Data Protection Impact Assessment (DIA) /Data Protection Impact Assessment (DIA) Nye instrumenter i persondataretten Janne Glæsel (Gorrissen Federspiel) Max Sørensen () Oversigt 01 Kort om konsekvensanalyse/data Protection Impact Assessment

Læs mere

Anmeldelse af behandling af data

Anmeldelse af behandling af data - 1. Skema udfyldt af: Dato: Anmeldelse af behandling af data 2. Databehandlingen er omfattet af Region Hovedstadens paraplyanmeldelse vedr.: OBS: kun 1 X 2007-58-0006 Patientbehandling 2012-58-0023 Kliniske

Læs mere

Databeskyttelse og cyber risk-forsikringer

Databeskyttelse og cyber risk-forsikringer Databeskyttelse og cyber risk-forsikringer v/ partner Anne Buhl Bjelke & Den offentlige uddannelsesdag 2014 persondataspecialist Charlotte Bagger Tranberg Persondataretlige aspekter Personoplysninger kun

Læs mere

Arbejdsgruppen under Akademisk Råd vedr. named person. Named person ordning på HUM. Vedr.: Sagsbehandler: Inge-Lise Damberg

Arbejdsgruppen under Akademisk Råd vedr. named person. Named person ordning på HUM. Vedr.: Sagsbehandler: Inge-Lise Damberg DET HUMANISTISKE FAKULTET KØBENHAVNS UNIVERSITET Arbejdsgruppen under Akademisk Råd vedr. named person SAGSNOTAT 31. OKTOBER 2013 Vedr.: Named person ordning på HUM HR- OG PERSONALEAFDELINGEN Sagsbehandler:

Læs mere

Domstolsstyrelsens årsberetning 2005 om persondataloven

Domstolsstyrelsens årsberetning 2005 om persondataloven Domstolsstyrelsen Administrationskontoret KFJ12188/Sagsbeh. KFJ J.nr. 2205-2006-1.2 11. januar 2006 Domstolsstyrelsens årsberetning 2005 om persondataloven Indhold: Domstolsstyrelsens tilsynsopgave s.

Læs mere

Årlig redegørelse fra tilsynsudvalget vedrørende politiets og forsvarets efterretningstjenesters behandling af personoplysninger (Wamberg-udvalget)

Årlig redegørelse fra tilsynsudvalget vedrørende politiets og forsvarets efterretningstjenesters behandling af personoplysninger (Wamberg-udvalget) Oluf Engell Årlig redegørelse fra tilsynsudvalget vedrørende politiets og forsvarets efterretningstjenesters behandling af personoplysninger (Wamberg-udvalget) Partner Tlf 33 34 50 00 oe@bruunhjejle.dk

Læs mere

Brug af webcam på offentligt tilgængelige steder

Brug af webcam på offentligt tilgængelige steder Jan Trzaskowski - www.legalriskmanagement.com - Brug af webcam på offentligt tilgængelige steder Jan Trzaskowski Copenhagen Business School 1 Et webcam er et TV-kamera, som kan tilsluttes en computer med

Læs mere

Anvendelse af billeder, video og digitale medier

Anvendelse af billeder, video og digitale medier Anvendelse af billeder, video og digitale medier Dagtilbud og skoler, Varde Kommune Indhold Fotos og videoer defineres som personoplysninger...3 Er det et situationsbillede eller portrætbillede?...3 Skriftligt

Læs mere

Finansrådet og Børsmæglerforeningens bemærkninger til udkast til bekendtgørelse om organisatoriske krav

Finansrådet og Børsmæglerforeningens bemærkninger til udkast til bekendtgørelse om organisatoriske krav Finanstilsynet Mai-Brit Campos Nielsen Finansrådet og Børsmæglerforeningens bemærkninger til udkast til bekendtgørelse om organisatoriske krav Finansrådet og Børsmæglerforeningen har modtaget Finanstilsynets

Læs mere

Erfaringer med tv-overvågning foretaget af boligorganisationer og idrætsanlæg

Erfaringer med tv-overvågning foretaget af boligorganisationer og idrætsanlæg Retsudvalget 2013-14 REU Alm.del Bilag 176 Offentligt Folketinget Retsudvalget Christiansborg 1240 København K Lovafdelingen Dato: 18. marts 2014 Kontor: Forvaltningsretskontoret Sagsbeh: Sultana Baig

Læs mere

Ved skrivelse af 16. marts 1999 har klageren indbragt afgørelsen for Erhvervsankenævnet, idet klageren bl.a. har anført:

Ved skrivelse af 16. marts 1999 har klageren indbragt afgørelsen for Erhvervsankenævnet, idet klageren bl.a. har anført: Kendelse af 12. oktober 1999. 99-67.906 Aktindsigt nægtet Realkreditlovens 98 (Peter Erling Nielsen, Connie Leth og Vagn Joensen) Advokat K har ved skrivelse af 16. marts 1999 klaget over, at Finanstilsynet

Læs mere

WHISTLEBLOWERORDNINGER - IKKE KUN ET NØDVENDIGT ONDE Ved advokat Susanne Stougaard og. persondataspecialist, ph.d. Charlotte Bagger Tranberg

WHISTLEBLOWERORDNINGER - IKKE KUN ET NØDVENDIGT ONDE Ved advokat Susanne Stougaard og. persondataspecialist, ph.d. Charlotte Bagger Tranberg WHISTLEBLOWERORDNINGER - IKKE KUN ET NØDVENDIGT ONDE Ved advokat Susanne Stougaard og persondataspecialist, ph.d. Charlotte Bagger Tranberg HVAD ER WHISTLEBLOWING? Whistleblowing = angiveri Sikre at oplysninger

Læs mere

ADFÆRDSKODEKS FOR GOD FORVALTNINGSSKIK

ADFÆRDSKODEKS FOR GOD FORVALTNINGSSKIK ADFÆRDSKODEKS FOR GOD FORVALTNINGSSKIK OVERSÆTTELSESCENTRET FOR DEN EUROPÆISKE UNIONS ORGANER AFGØRELSE AF 10. februar 2000 OM EN ADFÆRDSKODEKS FOR GOD FORVALTNINGSSKIK OVERSÆTTELSESCENTRET FOR DEN EUROPÆISKE

Læs mere

It-sikkerhedstekst ST5

It-sikkerhedstekst ST5 It-sikkerhedstekst ST5 Identificering af en fysisk person med henblik på udstedelse af faktorer til et personligt login Denne tekst må kopieres i sin helhed med kildeangivelse. Dokumentnavn: ST5 Version

Læs mere

Medlemsfastholdelse når medlemsdata, services og kommunikation spiller sammen. - IT-advokatens syn på informationshåndtering i organisationer

Medlemsfastholdelse når medlemsdata, services og kommunikation spiller sammen. - IT-advokatens syn på informationshåndtering i organisationer Advokat Per Mejer ActaAdvokater Medlemsfastholdelse når medlemsdata, services og kommunikation spiller sammen - IT-advokatens syn på informationshåndtering i organisationer 29. oktober 2013 IDA Konferencecenter

Læs mere

TOLDKODEKSUDVALGET. Toldkodeksudvalgets forretningsorden, som vedtaget af. Gruppen for Almindelige Toldforskrifter. under Toldkodeksudvalget

TOLDKODEKSUDVALGET. Toldkodeksudvalgets forretningsorden, som vedtaget af. Gruppen for Almindelige Toldforskrifter. under Toldkodeksudvalget EUROPA-KOMMISSIONEN GENERALDIREKTORATET FOR BESKATNING OG TOLDUNIONEN TOLDPOLITIK B1 Generelle toldlovgivningsspørgsmål og toldprocedurer af økonomisk betydning Bruxelles, den 5. december 2001 TAXUD/741/2001

Læs mere

Databehandleraftale 2013

Databehandleraftale 2013 Databehandleraftale 2013 For kunder, som anvender hostede/saas INNOMATE HR løsninger 1, forpligter INNOMATE a/s sig på følgende Databehandleraftale: 1. I overensstemmelse med Persondataloven, er INNOMATE

Læs mere

Lov om ændring af lov om valg til Folketinget og lov om valg af danske medlemmer til Europa-Parlamentet

Lov om ændring af lov om valg til Folketinget og lov om valg af danske medlemmer til Europa-Parlamentet Forslag til Lov om ændring af lov om valg til Folketinget og lov om valg af danske medlemmer til Europa-Parlamentet (Digitalisering af proceduren for indsamling af vælgererklæringer) 1 I lov om valg til

Læs mere

Udvalget om Borgernes Rettigheder og Retlige og Indre Anliggender ARBEJDSDOKUMENT

Udvalget om Borgernes Rettigheder og Retlige og Indre Anliggender ARBEJDSDOKUMENT EUROPA-PARLAMENTET 2009-2014 Udvalget om Borgernes Rettigheder og Retlige og Indre Anliggender 06.07.2012 ARBEJDSDOKUMENT om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger

Læs mere

Nr. 1 16. juli 2014. Vegleiðing til kunngerð um útveiting av týðandi virkisøkjum

Nr. 1 16. juli 2014. Vegleiðing til kunngerð um útveiting av týðandi virkisøkjum Nr. 1 16. juli 2014 Vegleiðing til kunngerð um útveiting av týðandi virkisøkjum (Vejledning til bekendtgørelse om outsourcing af væsentlige aktivitetsområder) 1. Indledning 1.1. Kunngerð nr. 1 frá 16.

Læs mere

DI og DI ITEKs vejledning om beskyttelse mod elektronisk industrispionage fra udlandet

DI og DI ITEKs vejledning om beskyttelse mod elektronisk industrispionage fra udlandet DI og DI ITEKs vejledning om beskyttelse mod elektronisk industrispionage fra udlandet Sammenfatning Denne vejledning adresserer risikoen for industrispionage fra statssponserede aktører i udlandet mod

Læs mere

Computershare Aktionær e-mails

Computershare Aktionær e-mails Computershare Aktionær e-mails Introduktion Agenda De praktiske muligheder Hvilke regler er i spil? Hvor går grænsen? 1. De praktiske muligheder De praktiske muligheder Oplysningerne -Navn/ virksomhed

Læs mere

Persondataloven. Foto: Ulrik Janzten - Layout: Katrine Dahlerup, FFD - Tryk: Dystan - Oplag: 500

Persondataloven. Foto: Ulrik Janzten - Layout: Katrine Dahlerup, FFD - Tryk: Dystan - Oplag: 500 Persondataloven 1 Persondataloven - er den centrale lov for, hvornår og hvordan persondata må behandles. Loven gælder både for offentlige myndigheder, private virksomheder, foreninger m.v. Frie skoler

Læs mere

Overvågningen og beskyttelsen af den amerikanske ambassade

Overvågningen og beskyttelsen af den amerikanske ambassade Dato: 16. november 2010 Overvågningen og beskyttelsen af den amerikanske ambassade 1. Indledning I den seneste tid har der været omtale i medierne af, at amerikanske repræsentationer foretager overvågning

Læs mere

WHOIS-politik for.eu-domænenavne

WHOIS-politik for.eu-domænenavne WHOIS-politik for.eu-domænenavne 1/7 DEFINITIONER Termer, der er defineret i Vilkårene og/eller.eu-konfliktløsningsreglerne, skrives med stort begyndelsesbogstav heri. 1. POLITIK TIL BESKYTTELSE AF PRIVATLIVETS

Læs mere

Persondataretligt Forum

Persondataretligt Forum Persondataretligt Forum Persondataretten har ikke nydt større opmærksomhed i såvel den brede offentlighed som i juridiske kredse end netop nu. Med stor hastighed udvikles nye muligheder for at indsamle,

Læs mere

Lov om Hav- og Fiskerifonden 1)

Lov om Hav- og Fiskerifonden 1) (Gældende) Udskriftsdato: 19. januar 2015 Ministerium: Fødevareministeriet Journalnummer: Fødevaremin., j.nr. 13-8343-000001 Senere ændringer til forskriften Ingen Lov om Hav- og Fiskerifonden 1) VI MARGRETHE

Læs mere

Forbundet af It-professionelle. Persondataloven. - en vejledning for it-folk

Forbundet af It-professionelle. Persondataloven. - en vejledning for it-folk Forbundet af It-professionelle Persondataloven - en vejledning for it-folk København marts 2006 Steffen Stripp Forbundet af It-professionelle prosa.dk Telefon: 3336 4141 Fax: 3391 9044 prosa@prosa.dk formand@prosa.dk

Læs mere

Forslag til. Vordingborg Kommunes. Overordnede bestemmelser. IT- informationssikkerhed

Forslag til. Vordingborg Kommunes. Overordnede bestemmelser. IT- informationssikkerhed Forslag til Vordingborg Kommunes Overordnede bestemmelser om IT- informationssikkerhed Rev. 12. januar 2015 Hvad der er markeret med rød skrift er tilføjelser til den vedtagne politik af 24. februar 2011.

Læs mere

Henkel Norden AB ("Henkel") er en del af Henkel Corporation, og i henhold til DPA, er Jörg Heine, den dataansvarlige: schwarzkopf.dk@henkel.

Henkel Norden AB (Henkel) er en del af Henkel Corporation, og i henhold til DPA, er Jörg Heine, den dataansvarlige: schwarzkopf.dk@henkel. HENKEL FORTROLIGHEDSPOLITIK Vi, hos Henkel, tager vores forpligtelser i henhold til dansk lov om databeskyttelse (persondataloven) alvorligt og er forpligtet til at beskytte dit privatliv. Denne fortrolighedserklæring

Læs mere

Europaudvalget 2004 KOM (2004) 0730 Bilag 1 Offentligt

Europaudvalget 2004 KOM (2004) 0730 Bilag 1 Offentligt Europaudvalget 2004 KOM (2004) 0730 Bilag 1 Offentligt Medlemmerne af Folketingets Europaudvalg og deres stedfortrædere Bilag Journalnummer Kontor 1 400.C.2-0 EUK 3. december 2004 Til underretning for

Læs mere

Europaudvalget 2008 KOM (2008) 0704 Bilag 2 Offentligt

Europaudvalget 2008 KOM (2008) 0704 Bilag 2 Offentligt Europaudvalget 2008 KOM (2008) 0704 Bilag 2 Offentligt GRUNDNOTAT TIL FOLKETINGETS EUROPAUDVALG 5. december 2008 Forslag til Europa-Parlamentets og Rådets forordning om kreditvurderingsbureauer. KOM(2008)704

Læs mere

13-09-2004 2004-69-0010. Notat om. tv-overvågning - Datatilsynets praksis og konkrete problemstillinger i forhold til gældende regulering på området

13-09-2004 2004-69-0010. Notat om. tv-overvågning - Datatilsynets praksis og konkrete problemstillinger i forhold til gældende regulering på området 13-09-2004 2004-69-0010 Notat om tv-overvågning - Datatilsynets praksis og konkrete problemstillinger i forhold til gældende regulering på området I afsnit 1 gennemgås Datatilsynets praksis og konsekvenserne

Læs mere

SIKRING AF BORGERNES PERSONOPLYSNINGER ENDELIG RAPPORT

SIKRING AF BORGERNES PERSONOPLYSNINGER ENDELIG RAPPORT SIKRING AF BORGERNES PERSONOPLYSNINGER ENDELIG RAPPORT BORGERRÅDGIVERENS EGEN DRIFT-UNDERSØGELSER INDHOLDSFORTEGNELSE 1. INDLEDNING 3 2. KONKLUSION OG SAMMENFATNING 4 3. KONSEKVENSER 6 4. FORSLAG, HENSTILLINGER

Læs mere

K har endvidere ved skrivelse af 13. november 2000 anmodet om at indtræde i ankenævnssagen "A Danmark A/S mod Finanstilsynet".

K har endvidere ved skrivelse af 13. november 2000 anmodet om at indtræde i ankenævnssagen A Danmark A/S mod Finanstilsynet. Kendelse af 8. marts 2001. 00-177.318. Aktindsigt nægtet. Der var ikke grundlag for at lade klageren indtræde i en verserende sag, der vedrørte hans pensionsforhold. Lov om forsikringsvirksomhed 66 a og

Læs mere

Kontrakt vedr. sprogteknologi (ver. 191213)

Kontrakt vedr. sprogteknologi (ver. 191213) Kontrakt vedr. sprogteknologi (ver. 191213) Mellem [Kommunens navn] [Adresse] [Postnr. og by] CVR. nr. (herefter benævnt Samarbejdsparten ) og CBS - Dept. of International Business Communication IBC DanCAST

Læs mere

Forskrift G - Diskretionspolitik og procedurer omkring datasikkerhed

Forskrift G - Diskretionspolitik og procedurer omkring datasikkerhed Forskrift G - Diskretionspolitik og procedurer omkring datasikkerhed December 2007 Rev. 1 Nov. 2006 Nov. 2006 Jan. 2007 Jan. 2007 DATE LEG BCM/MRP LEG LSO NAME Nov. 2006 DATE HEP/LEG NAME REV. DESCRIPTION

Læs mere

Rigsrevisionen, digitalisering og dokumentation Statens Arkiver den 5. november 2014 v/rigsrevisor Lone Strøm

Rigsrevisionen, digitalisering og dokumentation Statens Arkiver den 5. november 2014 v/rigsrevisor Lone Strøm Rigsrevisionen, digitalisering og dokumentation Statens Arkiver den 5. november 2014 v/rigsrevisor Lone Strøm Offentlig revision Folketinget Finansudvalget Øvrige politiske udvalg De af Folketinget valgte

Læs mere

Europaudvalget 2008 KOM (2008) 0194 Bilag 1 Offentligt

Europaudvalget 2008 KOM (2008) 0194 Bilag 1 Offentligt Europaudvalget 2008 KOM (2008) 0194 Bilag 1 Offentligt GRUNDNOTAT TIL FOLKETINGETS EUROPAUDVALG 30. maj 2008 Forslag til Europa-Parlamentets og Rådets direktiv om ændring af Rådets direktiv 68/151/EØF

Læs mere

Syddjurs Kommunalbestyrelse Hovedgaden 77 8410 Rønde. Vedrørende lovlig valgt revisor i Syddjurs Kommune.

Syddjurs Kommunalbestyrelse Hovedgaden 77 8410 Rønde. Vedrørende lovlig valgt revisor i Syddjurs Kommune. Syddjurs Kommunalbestyrelse Hovedgaden 77 8410 Rønde 27-09- 2010 TILSYNET Vedrørende lovlig valgt revisor i Syddjurs Kommune. Statsforvaltningen Midtjylland godkendte ved brev af 16. april 2007, at Syddjurs

Læs mere

UDKAST TIL BETÆNKNING

UDKAST TIL BETÆNKNING EUROPA-PARLAMENTET 2009-2014 Udvalget om det Indre Marked og Forbrugerbeskyttelse 10.5.2012 2012/2037(INI) UDKAST TIL BETÆNKNING om gennemførelsen af direktiv 2008/48/EF om forbrugerkreditaftaler (2012/2037(INI))

Læs mere

Vejledning om arbejdsgivers indhentelse af oplysninger i forbindelse med lønmodtagerens sygdom

Vejledning om arbejdsgivers indhentelse af oplysninger i forbindelse med lønmodtagerens sygdom Vejledning om arbejdsgivers indhentelse af oplysninger i forbindelse med lønmodtagerens sygdom Denne Vejledning Et vigtigt element i indsatsen for at nedbringe sygefraværet på det danske arbejdsmarked

Læs mere

Afdelingen for Uddannelsesstøtte Kontor for Voksenuddannelsesstøtte

Afdelingen for Uddannelsesstøtte Kontor for Voksenuddannelsesstøtte Afdelingen for Uddannelsesstøtte Kontor for Voksenuddannelsesstøtte Vester Voldgade 123, 1. 1552 København V Tlf. 3392 6005 Fax 3392 5666 Mail sustyrelsen@su.dk www.udst.dk Vejledning vedrørende fuldmagt

Læs mere

SAMARBEJDSAFTALE OM ADMINISTRATIVE OG TEKNISKE STØTTEFUNKTIONER MELLEM DE 12 GYMNASIER I GYMNASIEFÆLLESSKABET

SAMARBEJDSAFTALE OM ADMINISTRATIVE OG TEKNISKE STØTTEFUNKTIONER MELLEM DE 12 GYMNASIER I GYMNASIEFÆLLESSKABET SAMARBEJDSAFTALE SAMARBEJDSAFTALE OM ADMINISTRATIVE OG TEKNISKE STØTTEFUNKTIONER MELLEM DE 12 GYMNASIER I GYMNASIEFÆLLESSKABET GYMNASIEFÆLLESSKABET Skolegade 3 4000 Roskilde Telefon 4633 2040 www.gymnasiefaellesskabet.dk

Læs mere

TAVSHEDSPLIGT OG VIDEREGIVELSE AF OPLYSNINGER

TAVSHEDSPLIGT OG VIDEREGIVELSE AF OPLYSNINGER TAVSHEDSPLIGT OG VIDEREGIVELSE AF OPLYSNINGER Reglerne om tavshedspligt og videregivelse af fortrolige oplysninger har stor praktisk betydning, da vi som medarbejdere i kommunen behandler mange personfølsomme

Læs mere