Notat. Notat om love og regler der unødigt vanskeliggør anvendelsen af cloud computing

Transkript

1 Notat Notat om love og regler der unødigt vanskeliggør anvendelsen af cloud computing Indholdsfortegnelse: 1. Indledning Definition af cloud computing og eksempler herpå Sikkerhed i cloud computing Gældende ret om behandling af personoplysninger mv Indledning Anvendelsesområde Tredjelande Behandlingsregler Rettigheder til den registrerede Behandlingssikkerhed mv Behandlingssikkerhed Nærmere om krigsreglen Relevante bestemmelser i sikkerhedsbekendtgørelsen Tilsyn EU-retlige initiativer Datatilsynets udtalelse af 3. februar Regnskabs- og bogføringsloven Arbejdsgruppens vurdering af love og regler der vanskeliggør brugen af cloud computing Indledning Kontrol med autorisationer Beskrivelse af reglen Udfordring Arbejdsgruppens overvejelser Kontrol med afviste adgangsforsøg Beskrivelse af reglen Udfordring Arbejdsgruppens overvejelser Logningskrav Beskrivelse af reglen Udfordring Arbejdsgruppens overvejelser Kontrol med databehandler, instrukskrav mv Beskrivelse af reglerne Udfordring Arbejdsgruppens overvejelser Krav til placering af data Beskrivelse af reglerne Udfordring...31

2 Arbejdsgruppens overvejelser Tilsyn og kontrol af data Beskrivelse af reglerne Udfordring Arbejdsgruppens overvejelser...34 Bilag...34 Side 2 af Indledning Regeringen har i den tværoffentlige digitaliseringsstrategi under fokusområdet digitaliseringsklar lovgivning besluttet at iværksætte et initiativ om tidssvarende regler for cloud computing (initiativ 11.4). Det fastslås, at cloud computing kan åbne nye muligheder for en mere effektiv it-drift og adgang til it-ydelser. Borgernes og virksomhedernes følsomme oplysninger skal beskyttes, men utidssvarende regler bør ikke være en unødig barriere for cloud computing. Målet er om nødvendigt at justere persondataloven og eventuelt andre love, der hindrer brugen af cloud computing. Det beskrives endvidere, at initiativet forankres i en arbejdsgruppe bestående af blandt andet Digitaliseringsstyrelsen og Justitsministeriet, og at arbejdsgruppen udarbejder forslag til eventuelt ændret regulering og andre tiltag, der kan fjerne unødige barrierer for anvendelsen af cloud computing. Initiativet om tidssvarende regler for cloud computing har sin baggrund i behandlingen af beslutningsforslag nr. B 83 af 15. marts 2011 om en national plan for cloud computing. I den forbindelse tilkendegav den daværende videnskabsminister, at regeringen ville nedsætte en tværministeriel arbejdsgruppe, der skulle stille forslag til eventuelle tilpasninger af persondataloven og øvrige relevante love og regler, der unødigt vanskeliggør anvendelsen af cloudteknologier. Der blev i forlængelse heraf nedsat en arbejdsgruppe med repræsentanter for Justitsministeriet, Økonomistyrelsen (nu Digitaliseringsstyrelsen) og IT- og Telestyrelsen (nu Digitaliseringsstyrelsen). På arbejdsgruppens første møde blev det besluttet desuden at anmode Datatilsynet om at deltage i arbejdsgruppen. Baggrunden for nedsættelsen af arbejdsgruppen var bl.a., at det må antages, at cloud computing i fremtiden vil blive mere og mere udbredt. Det er derfor vigtigt at sikre, at de love og regler, der danner det juridiske grundlag for databehandling i Danmark, i fornødent omfang tager højde herfor. Regeringen fandt, at der i den nuværende lovgivning eventuelt kunne være unødige barrierer for øget anvendelse af cloud computing. Det var ønsket at fastholde beskyttelsen af borgernes og virksomhedernes følsomme oplysninger uden, at der sættes unødige barrierer for anvendelsen af cloud-teknologi, som kan

3 give besparelser for dataansvarlige myndigheder og give en mere fleksibel service for borgere og virksomheder. Side 3 af 34 Når man behandler personoplysninger, herunder følsomme personoplysninger, er det selvsagt vigtigt, at dette sker med det fornødne høje sikkerhedsniveau. For offentlige myndigheder gælder det, at de har ansvaret for, at deres behandling af personoplysninger sker inden for de rammer, som følger af lov nr. 429 af 31. maj 2000 om behandling af personoplysninger med senere ændringer (persondataloven) og bestemmelser udstedt med hjemmel heri, jf. herom nærmere under afsnit 4 og nedenfor. Det anførte gælder også, når behandlingen af personoplysninger sker ved hjælp af cloud-teknologier. Det er en væsentlig forudsætning for arbejdsgruppen, at det gældende beskyttelsesniveau bevares, således at der fortsat kan være tillid til, at personoplysninger opbevares og behandles på betryggende vis. Hertil kommer, at det er nødvendigt at sikre, at reglerne om behandling af personoplysninger i Danmark, herunder ved brug af cloud-teknologier, er i overensstemmelse med den relevante EU-lovgivning, herunder navnlig Europa-Parlamentets og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (persondatadirektivet), der i dansk ret er gennemført ved persondataloven. 2. Definition af cloud computing og eksempler herpå Ved cloud computing forstås i almindelighed, at visse it-ydelser bliver leveret som en abonnementsordning, således at man som kunde overlader håndteringen af sine data til en leverandør af cloud computing. Kundens adgang til data og applikationer sker ved cloud computing udelukkende via internettet, og kunden har derfor ikke behov for at drive egne servere. Der er således tale om, at en dataansvarlig via internettet og ved brug af distribuerede og forbundne it-systemer lader en databehandler opbevare og behandle oplysninger, herunder personoplysninger. National Institute for Standards and Technology under Handelsministeriet i USA definerer i en publikation fra september 2011 cloud computing således: "[ ] a model for enabling ubiquitous convenient, on-demand network access to a shared pool of configurable computing resources (e.g., networks, servers, storage, applications, and services) that can be rapidly provisioned and released with minimal management effort or service provider interaction." Denne definition lægges til grund i det følgende. F.eks. udbydes software i en cloud-løsning som en service, der ikke skal installeres eller vedligeholdes på kundens egne systemer, men i stedet ligger hos leverandøren og tilgås via brugerens internetbrowser. Leverandøren vil placere

4 dataene, hvor dette til enhver tid er mest hensigtsmæssigt for leverandøren. I praksis kan dataene altså med mindre andet er aftalt placeres på og flyttes rundt mellem servere i hele verden. Side 4 af 34 Et eksempel på software leveret som en cloudservice er -tjenester som gmail og hotmail. Disse tjenester tilgås af brugeren via en internetbrowser. Ved brug af disse tjenester bliver data ikke gemt på brugerens egen computer, men på en server i det, der populært kaldes skyen (dvs. i et datacenter hos cloudleverandøren). Der udbydes også andre cloud-produkter som f.eks. regnekraft eller lagerkapacitet over internettet. For alle disse it-ydelser sker der normalt betaling baseret på det faktiske forbrug. Med cloud computing er infrastrukturen normalt tilgængelig for alle på markedsvilkår og er ejet af en kommerciel cloud computing-leverandør. Der findes også private skyer, hvor skyen drives for en enkelt organisation (offentlig eller privat). Her kan skyen være ejet af organisationen selv, og den er således ikke tilgængelig for alle på markedsvilkår. Fordelene ved cloud computing er for databehandleren bl.a., at databehandleren ikke skal anvende og vedligeholde eget hardware og software ud over it-udstyr med adgang til internettet. Forretningsmodellen for cloud computing er baseret på skalafordele og standardisering for at sikre produkternes rentabilitet. Udbyderen af cloud computing tilbyder således den samme standardydelse til alle sine kunder og kan derved holde sine omkostninger nede, hvilket afspejler sig i lave priser for kunderne. Den dataansvarlige kan opnå flere fordele ved at anvende cloud computing, herunder: Effektiviseringsgevinster. Cloud er ofte et konkurrencedygtigt alternativ, og hvor det passer ind i services og infrastruktur, kan der spares penge på drift og vedligehold af it, sammenlignet med udgifterne til, at en myndighed eller virksomhed selv opbygger og driver sit eget datacenter. Øget innovation og vækst. Cloud computing skaber helt nye perspektiver for vækst og innovation. Hvor omkostninger ved og adgang til itressourcer, såsom serverkapacitet, ofte er en stor barriere for opstart af nye projekter, kan cloud computing ofte gøre det hurtigere og billigere at komme i gang. Cloud computing adskiller sig fra traditionel outsourcing ved, at ekstern databehandling foregår over internettet, uden at det nødvendigvis er fastlagt på forhånd, hvor data skal eller kan placeres.

5 3. Sikkerhed i cloud computing Side 5 af 34 Sikkerhed omkring miljøer med cloud computing etableres grundlæggende på samme måde som ved traditionel it-drift, herunder gennem etablering af sikkerhedspolitikker, programmer for informationssikkerhed, klassificering af assets, personalesikkerhed, fysisk sikkerhed, adgangskontrol, andre logiske og tekniske kontroller, overvågning samt processer for sikker udvikling. Niveauet af sikkerhed må i praksis antages at variere fra leverandør til leverandør, ligesom det er tilfældet for traditionelle driftsleverandører. Derudover vil trusler og risici variere afhængig af, om man f.eks. benytter en standardiseret softwareløsning som et mail- eller dokumentprogram, eller om man benytter skyen til at drive (hoste) applikationer, som man selv har udviklet og derved selv er ansvarlig for at opbygge og vedligeholde, herunder i forhold til sikkerhed. Det er med andre ord af betydning, hvem der varetager det daglige sikkerhedsarbejde. Det bemærkes i forlængelse heraf, at en dataansvarlig myndighed altid er ansvarlig for, at behandling af oplysninger sker i overensstemmelse med de krav til behandling af personoplysninger, som følger af lovgivningen, også selvom behandlingen foretages af en privat databehandler. Ved en risikobaseret tilgang kan kunden konkret vurdere, om den enkelte løsning med cloud computing lever op til det sikkerhedsniveau, som aktuelt kræves. En dataansvarlig myndighed, der køber et cloud computing-produkt, bør i den forbindelse bl.a. sikre sig, at leverandøren har iværksat de fornødne sikkerhedsforanstaltninger til, at behandlingen af personoplysninger kan ske i overensstemmelse med lovgivningen. Det er herunder vigtigt, at leverandøren har indført de fornødne sikkerhedsprocedurer og kontrolforanstaltninger. Digitaliseringsstyrelsen har peget på, at der i datacentre under cloud computing anvendes teknologien virtualisering til at udnytte kapaciteten på serverne optimalt. I et virtualiseret datacenter skabes sikkerhed i højere grad af logiske kontrolforanstaltninger (såsom mekanismer til sikring mod tab af fortrolighed, integritet og tilgængelighed) frem for fysisk adskillelse. Logiske kontroller fungerer ifølge Digitaliseringsstyrelsen i princippet på samme måde som de mekanismer, der sørger for at én bankkundes data er logisk adskilte fra andre kunders data på bankernes servere, således at andre kunder i den samme bank ikke har mulighed for at tilgå disse oplysninger. Digitaliseringsstyrelsen har udarbejdet nedenstående model til illustration af, hvilke muligheder den dataansvarlige kan have for at kontrollere databehandleren.

6 Kontrol via revision. Revision foretages af akkrediterede revisorer (eks. SAS70). Side 6 af 34 Kontrol via logdata, autorisationer og andre sikkerhedsforanstaltninger. Revision: Fysisk inspektion på stedet. Sikkerhed (kontroller og procedurer) Fuldt virtualiseret cloud datacenter. Forskellige Kundedata kunders data - klart isolerede af teknikker og kontroller. (Virtualiseret A B cloud datacenter) C D Det er vigtigt, at skallen er hård nok til, at der ikke kan ske brud. Sletning af data. Det er Digitaliseringsstyrelsens vurdering, at det er teknisk muligt at opnå et sikkerhedsniveau i en løsning, hvor der anvendes cloud computing, der fuldt ud modsvarer det sikkerhedsniveau, der kan opnås hos traditionelle outsourcingleverandører, idet en leverandør af cloud computing principielt set kan indføre de samme kontroller i sine datacentre. Som modellen viser, er der ved brug af cloud computing flere muligheder for at føre kontrol med databehandleren. Der er imidlertid på en række punkter tvivl om forholdet mellem på den ene side løsninger med cloud computing og på den anden side persondatalovens (og persondatadirektivets) samt sikkerhedsbekendtgørelsens bestemmelser. Der henvises nærmere til afsnit 6 nedenfor. Det kan efter Digitaliseringsstyrelsens opfattelse anføres, at en dataansvarlig myndighed, der køber en cloud computing-løsning, kan opnå et beskyttelsesniveau, som lever op til kravene efter gældende ret ved bl.a. at: Søge dokumentation for, at kontroller er implementerede og effektive. Få adgang til den it-revision, som leverandøren har fået foretaget.

7 Føre kontrol ved inspektion af log-data. Indhente andre relevante oplysninger om iværksatte kontroller. Side 7 af 34 Selvom en løsning med cloud computing umiddelbart ikke på nogen væsentlig måde adskiller sig fra traditionelle it-hostingmiljøer, er der dog visse forskelle, man som kunde bør være opmærksom på. Det gælder særligt følgende: Deling af fysisk udstyr og infrastruktur. I løsninger med cloud computing deler mange kunder den samme infrastruktur. Det betyder, at det er vigtigt, at den dataansvarlige sikrer sig, at leverandører af cloud computing har implementeret de fornødne kontroller, så det sikres, at forskellige kunders data er klart isolerede, og at gældende ret overholdes. Det bemærkes dog, at deling af fysisk udstyr mellem flere kunder gennem anvendelse af virtualisering i høj grad er udbredt i moderne datacentre for traditionelle driftsleverandører, og at problemstillingen derfor ikke er særlig for cloud computing. Den fysiske kontrol er vanskeligere for en kunde hos en leverandør af cloud computing, fordi serverne er samlet i få meget store datacentre. I mange større cloud computing-løsninger vil data ofte befinde sig i datacentre i flere lande. Dette kan imidlertid efter omstændighederne også gøre sig gældende ved traditionel outsourcing. Ved cloud computing er der i praksis begrænset mulighed for individuel tilpasning af ydelse eller kontrakt. Dette skyldes, at leverandørerne tilbyder det samme standardprodukt til alle deres kunder med henblik på at opnå stordriftsfordele, som gør løsningen billig for kunden. Derfor bør kunden ved indgåelse af kontrakt være opmærksom på, om standardydelsen lever op til kundens sikkerhedskrav og gældende ret. 4. Gældende ret om behandling af personoplysninger mv Indledning Persondatadirektivet har overordnet bl.a. til formål at sikre den enkelte borgers integritet og privatliv ved, at der på fællesskabsniveau opstilles rammer for, hvornår behandling af personoplysninger kan finde sted. Persondatadirektivet er som nævnt under afsnit 1 gennemført i dansk ret med persondataloven. Persondataloven indeholder desuden bestemmelser, som ikke er en følge af direktivet, herunder bestemmelser, som viderefører gældende ret efter lov om offentlige myndigheders registre mv., som var gældende, før persondataloven trådte i kraft Anvendelsesområde Persondataloven finder bl.a. anvendelse på såvel offentlige som på private dataansvarliges behandling af personoplysninger, som helt eller delvis foretages ved hjælp af elektronisk databehandling, og på ikke-elektronisk behandling af

8 personoplysninger, der er eller vil blive indeholdt i et register. Der henvises herved til lovens 1, stk. 1. Side 8 af 34 Ved personoplysninger forstås i persondatalovens forstand enhver form for information om en identificeret eller identificerbar fysisk person (den registrerede), jf. 3, nr. 1. Udtrykket identificerbar person antages at dække enhver situation, hvor en person direkte eller indirekte kan identificeres ved hjælp af oplysningerne, uanset om dette for eksempel forudsætter kendskab til personnummer, registreringsnummer eller lignende særlige identifikationer, og uanset at identifikationsoplysningen ikke er alment kendt eller umiddelbart tilgængelig. Oplysninger om enkeltmandsejede virksomheder er også omfattet af definitionen i persondatalovens 3, nr. 1. Endelig er oplysninger om juridiske personer, som kan henføres til fysiske personer f.eks. oplysninger om aktionærer eller andelshavere omfattet af bestemmelsen. Ved en behandling af en personoplysning forstås i persondataloven enhver operation eller række af operationer med eller uden brug af elektronisk databehandling, som oplysninger gøres til genstand for, jf. 3, nr. 2. Dette omfatter bl.a. indsamling, registrering, opbevaring, brug og videregivelse af en oplysning. Det følger af det anførte, at persondataloven bl.a. gælder, når personoplysninger udveksles over internettet, herunder når en forvaltningsmyndighed f.eks. til brug for behandlingen af en konkret sag henter oplysninger fra myndighedens eget register, som drives i en løsning med cloud computing Tredjelande Persondataloven gælder ifølge lovens 4, stk. 1, for behandling af oplysninger, som udføres for en dataansvarlig, der er etableret i Danmark, hvis aktiviteterne finder sted inden for Det Europæiske Fællesskabs område. Loven gælder desuden efter 4, stk. 3, nr. 1, for en dataansvarlig, som er etableret i et tredjeland, hvis behandlingen af oplysninger sker under benyttelse af hjælpemidler, der befinder sig i Danmark, medmindre hjælpemidlerne kun benyttes med henblik på forsendelse af oplysninger gennem Det Europæiske Fællesskabs område. Loven gælder endvidere efter 4, stk. 3, nr. 2, for en dataansvarlig, som er etableret i et tredjeland, hvis indsamlingen af oplysninger i Danmark sker med henblik på behandling i et tredjeland. Det følger af persondatalovens 27, stk. 1, at der kun må overføres oplysninger til et tredjeland, såfremt dette land sikrer et tilstrækkeligt beskyttelsesniveau. Ved overførelse forstås bl.a. videregivelse af oplysninger til en databehandler. Ved tredjeland forstås ifølge persondatalovens 3, nr. 9, en stat, som ikke indgår i EU, og som ikke har gennemført aftaler, der er indgået med EU, og som indeholder regler svarende til persondatadirektivet. Bestemmelsens krav om, at tredjelandet skal sikre et tilstrækkeligt beskyttelsesniveau indebærer, at der ikke må ske overførelse, hvis det medfører en væsentlig forringelse af den beskyttelse af den registrerede, som persondataloven giver. I det pågældende tredjeland skal behandlingen i det væsentlige være undergivet en regulering som den, der følger af

9 persondataloven. Dette gælder både med hensyn til kravene til behandling af oplysninger, herunder reglerne om den registreredes rettigheder, og med hensyn til tilsyn, behandlingssikkerhed samt adgang til domstolskontrol af overholdelsen af reglerne mv. Datatilsynet fører på sin hjemmeside en fortegnelse over lande, der sikrer et tilstrækkeligt beskyttelsesniveau. Side 9 af 34 Det er i persondatalovens 27, stk. 3, fastsat, at der ud over de i stk. 1 nævnte tilfælde kan overføres oplysninger til et tredjeland i en række tilfælde. Det gælder herunder, hvis den registrerede har givet udtrykkeligt samtykke, hvis overførsel er nødvendig af hensyn til opfyldelsen af en aftale mellem den registrerede og den dataansvarlige eller af hensyn til gennemførelse af foranstaltninger, der træffes på den registreredes anmodning forud for indgåelse af en sådan aftale, hvis overførsel er nødvendig af hensyn til indgåelsen eller udførelsen af en aftale, der i den registreredes interesse er indgået mellem den dataansvarlige og tredjemand, hvis overførsel er nødvendig eller følger af lov eller bestemmelser fastsat i henhold til lov for at beskytte en vigtig samfundsmæssig interesse eller for, at et retskrav kan fastlægges, gøres gældende eller forsvares, hvis overførsel er nødvendig for at beskytte den registreredes vitale interesser, eller hvis overførsel finder sted fra et register, der ifølge lov eller bestemmelser fastsat i henhold til lov er tilgængeligt for offentligheden eller for personer, der kan godtgøre at have en berettiget interesse heri, i det omfang de i lovgivningen fastsatte betingelser for offentlig tilgængelighed er opfyldt i det specifikke tilfælde. Uden for de tilfælde, der er nævnt i 27, stk. 3, kan tilsynsmyndigheden ifølge 27, stk. 4, give tilladelse til, at der overføres oplysninger til tredjelande, som ikke opfylder stk. 1, såfremt den dataansvarlige yder tilstrækkelige garantier for beskyttelse af de registreredes rettigheder. Der kan fastsættes nærmere vilkår for overførslen. Tilsynsmyndigheden underretter Europa-Kommissionen og de øvrige medlemsstater om tilladelser meddelt i henhold til denne bestemmelse. Tilstrækkelige garantier i bestemmelsens forstand vil navnlig foreligge, hvis kontraktbestemmelser indebærer, at det beskyttelsesniveau, som loven tilsigter at sikre, ikke forringes væsentligt. Kontraktbestemmelser, som udarbejdes på baggrund af Kommissionens standardkontrakter vil altid opfylde kravet. Kravet kan imidlertid ifølge Datatilsynets praksis også baseres på virksomhedens egne bindende virksomhedsregler (Binding Corporate Rules). Det følger af persondatalovens 27, stk. 5, at persondataloven (herunder lovens behandlingsregler, jf. afsnit 4.4 nedenfor) i øvrigt finder anvendelse ved overførsel af oplysninger til tredjelande efter 27, stk. 1, 3 eller 4. Bestemmelsen i 27 har sin baggrund i persondatadirektivets artikel 25 og 26. Det må efter arbejdsgruppens opfattelse antages, at hvis personoplysninger som led i behandlingen under en løsning med cloud computing flyttes til en server, som fysisk er placeret i en stat, som ikke indgår i EU, og som ikke har gennemført aftaler, der er indgået med EU, der indeholder regler svarende til persondatadirektivet, vil der foreligge en videregivelse af personoplysninger til

10 tredjeland. Det samme er tilfældet, hvis backup af data eller standby-beredskab, der f.eks. benyttes ved driftsproblemer i det eller de primære datacentre eller ved kapacitetsknaphed, sker i et tredjeland. Side 10 af 34 For så vidt angår løsninger med cloud computing må den danske dataansvarlige via aftalen med udbyderen fastlægge, hvor databehandling kan foregå. Hvis datahandling helt eller delvist vil kunne ske i et tredjeland, må den dataansvarlige via aftalen med udbyderen sikre sig, at der kun sker tredjelandsoverførsel i det omfang, reglerne i persondatalovens 27 er opfyldt. Dette kan f.eks. være ved, at det aftales, at der kun sker behandling hos virksomheder i USA omfattet af den såkaldte Safe Harbour-ordning, eller ved brug af Kommissionens standardkontrakt for overførsel til databehandlere i tredjelande (jf. Kommissionens afgørelse af om standardkontraktbestemmelser for videregivelse af personoplysninger til registerførere etableret i tredjelande i henhold til Europa-Parlamentets og Rådets direktiv 95/46/EF) 1. Opfyldelse af persondatalovens 27 ved brug af Safe Harbour-ordningen fritager ikke den dataansvarlige fra at indgå databehandleraftaler efter persondatalovens 42 og sikkerhedsbekendtgørelsens 7, stk Hvis udbyderen af ydelsen med cloud computing (databehandleren) benytter underleverandører (underdatabehandlere), skal persondatalovens 27 også være iagttaget i forhold til overførslen af oplysninger til disse. Underdatabehandlerne kan f.eks. ligeledes være amerikanske firmaer omfattet af Safe Harbour-ordningen. Hvis man baserer sig på Safe Harbour-ordningen som grundlag for tredjelandsoverførslen, er der ikke krav om tilladelse fra Datatilsynet efter persondatalovens 27. (Private virksomheder skal imidlertid have tilladelse fra tilsynet efter lovens 50, hvis de overfører følsomme personoplysninger.) Hvis behandling af personoplysninger i et tredjeland ikke udelukkende vil ske hos virksomheder i USA omfattet af Safe Harbour-ordningen, er der brug for et andet grundlag for tredjelandsoverførslen. I praksis vil der være behov for indgåelse af en kontrakt svarende til Kommissionens standardkontrakt for overførsel til databehandlere i tredjelande. Efter den gældende regel i persondatalovens 27, stk. 4, skal der i alle tilfælde, hvor tredjelandsoverførslen baseres på Kommissionens standardkontrakt, indhentes tilladelse fra Datatilsynet Jf. U.S.-EU Safe Harbor Privacy Principles, Frequently Asked Questions (FAQs) pkt. 10:

11 Tilladelseskravet efter persondatalovens 27, stk. 4, gælder for overførsler af såvel følsomme som ikke følsomme personoplysninger og for såvel offentlige myndigheder som private virksomheder mv. Side 11 af Behandlingsregler Persondatalovens kapitel 4 ( 5-14), der i det væsentlige svarer til persondatadirektivets artikel 6-8, stiller nærmere krav til behandlingen af personoplysninger omfattet af loven, herunder til behandling af personoplysninger i løsninger med cloud computing. I persondatalovens 5 der må antages at svare til, hvad der følger af de forvaltningsretlige grundsætninger om saglighed og proportionalitet for almindelig forvaltningsvirksomhed er der fastsat nogle grundlæggende principper for behandling af oplysninger efter persondataloven. I 5 er det bl.a. fastsat, at enhver behandling skal være i overensstemmelse med god databehandlingsskik, hvorved i praksis navnlig forstås, at behandlingen skal være rimelig og lovlig. Indsamling af oplysninger skal ske til udtrykkeligt angivne og saglige formål, og senere behandling af oplysningerne må ikke være uforenelig med disse formål. Behandlingen skal tilrettelægges således, at der foretages fornøden ajourføring af oplysningerne, og der skal foretages den fornødne kontrol for at sikre, at der ikke behandles urigtige eller vildledende oplysninger. Oplysninger, der viser sig urigtige eller vildledende, skal snarest muligt slettes eller berigtiges. Endelig må de indsamlede oplysninger ikke opbevares på en måde, der giver mulighed for at identificere den registrerede i et længere tidsrum end det, der er nødvendigt af hensyn til de formål, hvortil oplysningerne behandles. Behandling af følsomme personoplysninger er reguleret i persondatalovens 7 om oplysninger, der ifølge persondatadirektivet angår særligt følsomme forhold (oplysninger om racemæssig eller etnisk baggrund, politisk, religiøs eller filosofisk overbevisning, fagforeningsmæssige tilhørsforhold samt oplysninger om helbredsmæssige og seksuelle forhold), og i 8 om oplysninger om rent private forhold, som efter den danske persondatalov også skal anses for følsomme personoplysninger (oplysninger om strafbare forhold, væsentlige sociale problemer og andre rent private forhold end dem, der er nævnt i 7). Behandling af oplysninger af den omhandlede karakter må alene finde sted inden for rammerne af de (snævre) undtagelser, der findes i 7 og 8. Persondatalovens 6, stk. 1, fastsætter krav til behandlingen af ikke-fortrolige oplysninger og almindeligt fortrolige personoplysninger (det vil sige personoplysninger, der må betragtes som fortrolige uden at være følsomme og dermed omfattet af persondatalovens 7 eller 8). Hertil kommer, at der kan være tale om en særlig form for behandling af oplysninger, som falder ind under de særlige bestemmelser i persondatalovens 9-13.

12 4.5. Rettigheder til den registrerede Persondatalovens kapitel 8-10 ( 28-40) indeholder en række rettigheder for personer, som der hos offentlige myndigheder mv. er registreret oplysninger om. Det drejer sig bl.a. om oplysningspligt over for den registrerede, den registreredes indsigtsret og den registreredes ret til at gøre indsigelse mod behandlingen af personoplysninger. Side 12 af 34 Det er desuden i 37, stk. 1, fastsat, at den dataansvarlige skal berigtige, slette eller blokere oplysninger, der viser sig urigtige eller vildledende eller på lignende måde er behandlet i strid med lov eller bestemmelser udstedt i medfør af lov, hvis en registreret person anmoder herom. I 37, stk. 2, er det endvidere fastsat, at den dataansvarlige skal underrette den tredjemand, hvortil oplysningerne er videregivet, om, at de videregivne oplysninger er berigtiget, slettet eller blokeret i henhold til stk. 1, hvis en registreret person anmoder herom. Dette gælder dog ikke, hvis underretningen viser sig umulig eller er uforholdsmæssigt vanskelig. Med persondatalovens 37 implementeres persondatadirektivets artikel 12, litra b og c Behandlingssikkerhed mv Behandlingssikkerhed Persondatalovens kapitel 11 ( 41-42) indeholder regler om behandlingssikkerhed. De pågældende bestemmelser har følgende ordlyd: 41. Personer, virksomheder m.v., der udfører arbejde under den dataansvarlige eller databehandleren, og som får adgang til oplysninger, må kun behandle disse efter instruks fra den dataansvarlige, medmindre andet følger af lov eller bestemmelser fastsat i henhold til lov. Stk. 2. Den i stk. 1 nævnte instruks må ikke begrænse den journalistiske frihed eller være til hinder for tilvejebringelsen af et kunstnerisk eller litterært produkt. Stk. 3. Den dataansvarlige skal træffe de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med loven. Tilsvarende gælder for databehandlere. Stk. 4. For oplysninger, som behandles for den offentlige forvaltning, og som er af særlig interesse for fremmede magter, skal der træffes foranstaltninger, der muliggør bortskaffelse eller tilintetgørelse i tilfælde af krig eller lignende forhold. Stk. 5. Justitsministeren kan fastsætte nærmere regler om de i stk. 3 anførte sikkerhedsforanstaltninger. 42. Når en dataansvarlig overlader en behandling af oplysninger til en databehandler, skal den dataansvarlige sikre sig, at databehandleren kan træffe de i 41, stk. 3-5, nævnte tekniske og organisatoriske sikkerhedsforanstaltninger, og påse, at dette sker. Stk. 2. Gennemførelse af en behandling ved en databehandler skal ske i henhold til en skriftlig aftale parterne imellem. Af aftalen skal det fremgå, at databehandleren alene handler efter instruks fra den dataansvarlige, og at reglerne i 41, stk. 3-5, ligeledes gælder for behandlingen ved databehandleren. Hvis databehandleren er etableret i en anden medlemsstat, skal det fremgå af aftalen, at de bestemmelser om sikkerhedsforanstaltninger, som er fastsat i lovgivningen i den medlemsstat, hvor databehandleren er etableret, gælder for denne. Persondatalovens 41 og 42 udspringer i det væsentlige af persondatadirektivets artikel 16 og 17.

13 Nærmere om krigsreglen Den såkaldte krigsregel i 41, stk. 4, følger ikke af direktivet, men svarer til, hvad der fulgte af 12, stk. 3, i lov om offentlige myndigheders registre. Bestemmelsen i 41, stk. 4, indebærer, at der lovligt vil kunne træffes beslutning om destruktion af de omfattede registre, når betingelserne i bestemmelsen er opfyldt. Side 13 af 34 Bestemmelsen omfatter behandlinger af oplysninger, som en besættelsesmagt vil have særlig interesse i, bl.a. for derved hurtigt og effektivt at kunne overtage den almindelige administration. Det antages, at bestemmelsen navnlig omfatter de større landsdækkende systemer som f.eks. Det Centrale Kriminalregister. Ifølge forarbejderne til bestemmelsen er også centrale skattesystemer samt visse specialregistre, som kan benyttes til at finde frem til bestemte personer, som en fremmed magt f.eks. på grund af den pågældendes særlige uddannelse ønsker at disponere over. 41, stk. 4, indebærer ikke, at oplysninger i registrene nødvendigvis skal bortskaffes eller destrueres i tilfælde af krig mv. Bestemmelsen sikrer ifølge dens forarbejder blot, at der lovligt vil kunne træffes beslutning om destruktion mv., hvis det skulle vise sig nødvendigt. Det påhviler ifølge forarbejder den dataansvarlige at træffe de foranstaltninger, som muliggør destruktion mv. Som en konsekvens af bestemmelsen i 41, stk. 4, vil de omfattede registre ikke kunne føres uden for Danmarks grænser. Dette har været en forudsætning i forbindelse med Folketingets behandling af forslag til persondataloven, jf. herved bl.a. Justitsministeriets samlede besvarelse af spørgsmål nr. 25, 27, 64 og 69 vedrørende lovforslag L 44 (FT ), der svarer til lovforslag L 429 (FT ), som førte til vedtagelsen af persondataloven. De nævnte spørgsmål angik bl.a., om ministeren havde overvejet at indsætte en bestemmelse om, at særligt følsomme registre, f.eks. kriminalregistret, skal føres af en offentlig myndighed og fysisk skal føres i Danmark. I Justitsministeriets besvarelse af de fire spørgsmål er der bl.a. anført følgende: Lovforslaget bygger på den ordning, at en dataansvarlig myndighed selv afgør, om det bør overlades til en databehandler (edb-servicebureau) at behandle personoplysninger, herunder personfølsomme oplysninger på myndighedens vegne. Hvis den dataansvarlige myndighed beslutter, at behandlingen af personoplysninger skal foretages af et edb-servicebureau, vil det pågældende edb-servicebureau som udgangspunkt kunne lade opgaven udføre i et andet EU-land. Det gælder dog ikke, hvis behandlingen f.eks. vedrører oplysninger af særlig interesse for fremmede magter, og hvis der såfremt behandlingen finder sted i et andet EU-land ikke kan træffes foranstaltninger, der gør det muligt at bortskaffe eller tilintetgøre oplysningerne i tilfælde af krig eller lignende forhold, jf. lovforslagets 41, stk. 2 [som svarer til den gældende bestemmelse i 41, stk. 4]. Bestemmelsen i lovforslagets 41, stk. 2 [ 41, stk. 4] indebærer efter Justitsministeriets opfattelse, at det Centrale Kriminalregister ikke må føres i udlandet. [ ]

14 På den baggrund findes Justitsministeriet ikke, at der er grund til at indsætte en udtrykkelig bestemmelse i lovforslaget om, at visse følsomme registre ikke må føres i udlandet Side 14 af 34 Hvis en udførelse af en behandling ved en databehandler, der er etableret i et andet land, indebærer, at dette ikke kan iagttages, vil behandlingen ikke kunne overlades til den pågældende. Det anførte gælder også, hvis databehandleren er placeret i et andet EU-land. Arbejdsgruppen har i den forbindelse overvejet, om bestemmelsen kunne udgøre et EU-retligt problem i forhold til den fri bevægelighed af cloud computingydelser, jf. princippet om fri bevægelighed for tjenesteydelser (EUF-Traktatens artikel 56, stk. 1.). Det er arbejdsgruppens vurdering, at bestemmelsen ikke strider mod EU-retten. Det bemærkes, at CPR-registeret også er et af de registre, som vil være omfattet af persondatalovens 41, stk. 4. Det er imidlertid desuden i 55 i Lov om Det Centrale Personregister (CPR-loven), jf. lovbekendtgørelse nr. 878 af 14. september 2009, udtrykkeligt fastsat, at Indenrigsministeriet træffer foranstaltninger, der muliggør bortskaffelse eller tilintetgørelse af CPR-registeret i tilfælde af krig eller lignende forhold. Bestemmelsen blev indsat i CPR-loven ved lov nr. 426 af 31. maj 2000 om Det Centrale Personregister og fandtes ikke i den tidligere gældende lov om folkeregistrering Relevante bestemmelser i sikkerhedsbekendtgørelsen Med hjemmel i persondatalovens 41, stk. 5, har Justitsministeriet udstedt bekendtgørelse nr. 528 af 15. juni 2000 om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning, som ændret ved bekendtgørelse nr. 201 af 22. marts 2001 (sikkerhedsbekendtgørelsen). Bekendtgørelsen indeholder bl.a. følgende bestemmelser: 3. Den dataansvarlige myndighed skal træffe de fornødne tekniske og organisatoriske foranstaltninger mod, at personoplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med lov om behandling af personoplysninger. Stk. 2. For personoplysninger, som er af særlig interesse for fremmede magter, skal der træffes foranstaltninger, der muliggør bortskaffelse eller tilintetgørelse i tilfælde af krig eller lignende forhold. [ ] 7. Hvis behandling af personoplysninger foretages af en databehandler på den dataansvarliges vegne, skal der foreligge en skriftlig aftale, hvoraf det fremgår, at reglerne i denne bekendtgørelse ligeledes gælder for behandlingen ved databehandleren. Hvis databehandleren er etableret i en anden medlemsstat, skal det fremgå af aftalen, at de bestemmelser om sikkerhedsforanstaltninger, som er fastsat i lovgivningen i den medlemsstat, hvor databehandleren er etableret, gælder for denne. Stk. 2. Hvis behandling af personoplysninger finder sted på en pc-arbejdsplads uden for den dataansvarlige myndigheds lokaliteter, skal myndigheden fastsætte særlige retningslinier herfor, således at det sikres, at bestemmelserne om sikkerhedsforanstaltninger iagttages. 8. På steder, hvor der foretages behandling af personoplysninger, skal der træffes forholdsregler med henblik på at forhindre uvedkommendes adgang til oplysningerne.

15 Side 15 af 34 [ ] 11. Kun de personer, som autoriseres hertil, må have adgang til de personoplysninger, der behandles. Stk. 2. Der må kun autoriseres personer, der er beskæftiget med de formål, hvortil personoplysningerne behandles. De enkelte brugere må ikke autoriseres til anvendelser, som de ikke har behov for. Stk. 3. Der må endvidere autoriseres personer, for hvem adgang til oplysninger er nødvendig med henblik på revision eller drifts- og systemtekniske opgaver. 12. Der skal træffes foranstaltninger for at sikre, at kun autoriserede brugere kan få adgang, og at disse kun kan få adgang til de personoplysninger og anvendelser, som de er autoriserede til. [ ] 14. Der må kun etableres eksterne kommunikationsforbindelser, hvis der træffes særlige foranstaltninger for at sikre, at uvedkommende ikke gennem disse forbindelser kan få adgang til personoplysninger. [ ] 17 Det skal sikres, at de autoriserede personer fortsat opfylder betingelserne i 11, stk. 2 og 3, og 16. Stk. 2. Kontrol heraf skal foretages mindst en gang hvert halve år. [ ] 18. Der skal foretages registrering af alle afviste adgangsforsøg. Hvis der inden for en fastsat periode er registreret et nærmere fastsat antal på hinanden følgende afviste adgangsforsøg fra samme arbejdsstation eller med samme brugeridentifikation, skal der blokeres for yderligere forsøg. Der skal løbende ske opfølgning i myndigheden. [ ] 19. Der skal foretages maskinel registrering (logning) af alle anvendelser af personoplysninger. Registreringen skal mindst indeholde oplysning om tidspunkt, bruger, type af anvendelse og angivelse af den person, de anvendte oplysninger vedrørte, eller det anvendte søgekriterium. Loggen skal opbevares i 6 måneder, hvorefter den skal slettes. Myndigheder med et særligt behov kan opbevare loggen i op til 5 år. Stk. 2. Bestemmelsen i stk. 1 finder ikke anvendelse for personoplysninger, som indgår i tekstbehandlingsdokumenter og lignende, der ikke foreligger i endelig form. Det samme gælder sådanne dokumenter, som foreligger i endelig form, hvis der sker sletning inden for en af den dataansvarlige myndighed nærmere fastsat kortere frist. Stk. 3. Bestemmelsen i stk. 1 finder ikke anvendelse, hvis behandlingen af personoplysninger udelukkende sker ved afvikling af programmer, som foretager en forud defineret massebehandling af personoplysninger (»batch»-kørsler). Der skal dog foretages maskinel logning af bruger og tidspunkt for behandlingen. Stk. 4. Bestemmelsen i stk. 1 finder endvidere ikke anvendelse, hvis behandlingen af personoplysningerne udelukkende sker med henblik på statistiske eller videnskabelige undersøgelser, og identifikationsoplysningerne forinden enten er krypteret eller erstattet med et kodenummer eller lignende. Der skal dog foretages maskinel logning af bruger og tidspunkt for behandlingen. Stk. 5. Bestemmelsen i stk. 1 finder endelig ikke anvendelse for personoplysninger, som i form af måle- eller analyseresultater automatisk lagres i medicoteknisk udstyr. Undtagelsen omfatter tillige personoplysninger, som manuelt registreres i medicoteknisk udstyr til supplering af automatisk lagrede oplysninger. Datatilsynet har udstedt vejledning nr. 37 af 2. april 2001, som omhandler sikkerhedsbekendtgørelsen.

16 4.7. Tilsyn Persondatadirektivets artikel 28, stk. 1, stiller krav om, at hver medlemsstat skal oprette en eller flere offentlige myndigheder, som skal påse overholdelsen af de nationale regler, der gennemfører direktivet, og at disse myndigheder udøver deres funktioner i fuld uafhængighed. Artikel 28, stk. 2-7, indeholder forskellige regler og krav vedrørende tilsynsmyndighedens opgaver, beføjelser og pligter. Side 16 af 34 Persondatalovens kapitel 16 ( 55-66) indeholder på denne baggrund regler om tilsyn ved Datatilsynet. Datatilsynet er således den centrale uafhængige statslige myndighed, der fører tilsyn med, at reglerne i persondataloven overholdes i Danmark, jf. persondatalovens 55. I forhold til domstolene ligger kompetencen dog hos Domstolsstyrelsen, jf. 67, stk. 1. Det fremgår af persondataloven, at Datatilsynet består af et råd og et sekretariat, der ledes af en direktør. Det pågældende råd benævnt Datarådet består af en formand, der skal være dommer, og yderligere 6 medlemmer. Datatilsynet udøver sine funktioner i fuld uafhængighed, jf. persondatalovens 56. Datatilsynet har en finanslovsmæssig og personalemæssig tilknytning til Justitsministeriet, men er funktionelt uafhængigt. Justitsministeriet eller andre myndigheder har således ingen instruktionsbeføjelser over for Datatilsynet. Datatilsynet er tillagt en række beføjelser i forbindelse med udøvelsen af sit tilsyn. Datatilsynet kan herunder kræve enhver oplysning, der er af betydning for dets virksomhed, herunder til afgørelse af, om et forhold falder ind under lovens bestemmelser, jf. persondatalovens 62, stk. 1. Tilsynets medlemmer og personale har desuden til enhver tid mod behørig legitimation uden retskendelse adgang til alle lokaler, hvorfra en behandling, som foretages for den offentlige forvaltning, administreres, eller hvorfra der er adgang til de oplysninger, som behandles, samt til lokaler, hvor oplysningerne eller tekniske hjælpemidler opbevares eller anvendes, jf. 62, stk EU-retlige initiativer Datatilsynet og Digitaliseringsstyrelsen har oplyst, at der i forhold til anvendelse af cloud computing i andre EU-lande (hvor anvendelsen også skal ske inden for rammerne af persondatadirektivet) findes eksempler fra Sverige og Norge, hvor myndigheder har taget cloud computing-tjenester i brug. Datatilsynene i de to lande har ikke foretaget endelige vurderinger af, om anvendelsen af de pågældende tjenester lever op til gældende regler. I Sverige har en kommune taget en online kontorpakke i brug med , kalender og dokumenthåndtering. Det svenske datatilsyn har indtil videre udtalt, at brugen af denne kontorpakke ikke lever op til gældende regler, og at det særligt er den kontrakt, som kommunen har indgået med tjenesteyderen, der er mangelfuld. 3 Tilsynet har bedt kommunen om at rette op på en række forhold, som beskrives i udtalelsen. Kommunen har efter 3 Datainspektionens udtalelse af 28. september 2011:

17 arbejdsgruppens oplysninger endnu ikke adresseret disse forhold overfor det svenske datatilsyn. Side 17 af 34 Det bemærkes, at der i EU er igangsat et arbejde med en revision af fællesskabsrettens persondataregler. Europa-Kommissionen har således den 25. januar 2012 fremlagt to forslag om nye regler om databeskyttelse i EU. Det ene forslag er et forordningsforslag, der tilsigter generelt at regulere behandlingen af personoplysninger i den private og offentlige sektor. Dette forslag har til formål at afløse det gældende persondatadirektiv fra 1995, der er gennemført i dansk ret ved persondataloven. Det andet forslag er et direktivforslag, der tilsigter at regulere den behandling af personoplysninger, som finder sted hos medlemsstaternes politi og anklagemyndigheder. Dette forslag har til formål at afløse en rammeafgørelse fra 2008 om beskyttelse af personoplysninger i forbindelse med politisamarbejde og retligt samarbejde i kriminalsager. Det må antages, at den endelige forordning, som måtte blive vedtaget på baggrund af det nævnte forslag, vil indeholde elementer, som vil have betydning for muligheden for at etablere løsninger med cloud computing. Spørgsmål vedrørende cloud computing er således også udførligt adresseret i Kommissionens arbejdspapirer vedrørende forslaget til en ny forordning. I et såkaldt fact sheet til brug for præsentationen af forslaget har kommissionen anført følgende: In particular, cloud computing where individuals access computer resources remotely, rather than owning them locally poses new challenges for data protection authorities, as data can and does move from one jurisdiction to another, including outside the EU, in an instant. In order to ensure a continuity of data protection, the rules need to be brought in line with technological developments. Når en sådan forordning måtte blive vedtaget, vil det samme regelsæt desuden gælde fuldt ud i hele EU, hvilket må antages at indebære, at det vil blive attraktivt for udbydere af løsninger med cloud computing at udforme standardkontrakter, som opfylder forordningens krav, og dermed gøre det billigere for danske myndigheder mv. at finde udbydere af løsninger med cloud computing, som ligger inden for rammerne af gældende ret. Det må imidlertid forventes, at der vil gå adskillige år, før forhandlingerne om forordningsforslaget er afsluttet, og nye regler kan træde i kraft. Der er derfor fortsat behov for at overveje, om der i den mellemliggende periode bør ske en ændring af de nationale regler, som vurderes unødigt at vanskeliggøre anvendelsen af cloud computing. Derudover har Kommissionen som led i arbejdet med en digital dagsorden afholdt en høring om, hvordan man bedst udnytter cloud computing i Europa. Resultaterne af høringen skal bidrage til en egentlig EU-strategi for cloud

18 computing, som Kommissionen vil fremlægge i Målet for strategien er bl.a. at skabe klare retlige vilkår for udbredelse af cloud computing i Europa. Side 18 af 34 Den såkaldte artikel 29-gruppe ses i denne forbindelse ikke at have behandlet spørgsmålet om datasikkerhed ved cloud computing særskilt, men har i en pressemeddelelse af 20. oktober i forbindelse med revisionen af persondatadirektivet understreget, at en ensartet anvendelse af databeskyttelsesreglerne i Europa kun kan sikres ved en ensartet regulering af området Datatilsynets udtalelse af 3. februar 2011 Datatilsynet har efter forelæggelse for Datarådet den 3. februar 2011 afgivet en foreløbig udtalelse om en kommunes anvendelse af en løsning med cloud computing. Der var tale om anvendelse af en online kontorpakke med kalender og dokumenthåndtering for kommunens lærere bl.a. til at registrere oplysninger om planlægning og evaluering af undervisningen og de enkelte elevers faglige udvikling. Desuden skulle lærerne gøre notater om klassers og elevers samarbejde og udarbejde skrivelser til forældre mv. Datatilsynet rejser i den foreløbige udtalelse en række spørgsmål i forhold til, om anvendelsen af den omhandlede løsning er i overensstemmelse med persondataloven og sikkerhedsbekendtgørelsen. Datatilsynet tilkendegiver i udtalelsen, at tilsynet gerne modtager sagen til fornyet udtalelse. Sagen beror på, at kommunen vender tilbage til Datatilsynet med en fornyet anmeldelse. Nedenfor under afsnit 6 redegøres der bl.a. på baggrund af Datatilsynets foreløbige udtalelse i den nævnte sag nærmere for arbejdsgruppens vurdering af love og regler, der vanskeliggør brugen af cloud computing. 5. Regnskabs- og bogføringsloven Det følger af bogføringsloven og regnskabsloven, at regnskabsmateriale fra private virksomheder og offentlige myndigheder skal opbevares på betryggende vis i 5 år fra udgangen af det regnskabsår, materialet vedrører. Dette indebærer efter reglerne bl.a., at regnskabsmateriale som udgangspunkt skal opbevares i Danmark, jf. bogføringslovens 12 og regnskabsbekendtgørelsens 45. Udgangspunktet efter de nævnte bestemmelser er, at alt regnskabsmateriale skal opbevares i Danmark eller de nordiske lande. Der er imidlertid ikke noget til hinder for at opbevare regnskabsmaterialet i udlandet, såfremt der som minimum 4

19 hver måned downloades eller tages en fysisk kopi af al materialet, som placeres på en server i Danmark eller placeres i Danmark i papirbaseret form. Side 19 af 34 Hensigten med reglerne er blandt andet at sikre, at de relevante kontrolmyndigheder altid kan få adgang til regnskabsmaterialet. På baggrund af det anførte er det arbejdsgruppens vurdering, at reglerne ikke kan siges unødigt at vanskeliggøre cloud computing, fordi det efter reglerne er tilladt, at opbevare regnskabsmateriale i udlandet. 6. Arbejdsgruppens vurdering af love og regler der vanskeliggør brugen af cloud computing 6.1. Indledning I afsnit redegøres der for en række regler, der efter arbejdsgruppens umiddelbare opfattelse vanskeliggør brugen af cloud computing. Det vurderes i den forbindelse, om de pågældende regler eventuelt er unødige i forhold til cloud computing. Hvor dette vurderes at være tilfældet, overvejes det, hvordan de pågældende regler kan tilpasses løsninger med cloud computing. I lyset af Datatilsynets særlige uafhængighed, jf. afsnit 4.7 ovenfor, har arbejdsgruppen dog fundet det rigtigst, at Datatilsynets medlem af arbejdsgruppen ikke medvirker til at fremkomme med indstillinger til eventuelle ændringer af gældende ret. Det bemærkes, at der er visse regler i dansk ret, som kan siges at vanskeliggøre anvendelsen af cloud computing, men som følger af persondatadirektivet, jf. afsnit 4 ovenfor. Eventuelle barrierer, der følger af sådan direktivbestemte regler, kan ikke betegnes som unødige og vil ikke blive behandlet i det følgende. I forhold til de danske regler, som følger af direktivet, er det arbejdsgruppens overordnede indstilling, at Danmark bør afvente de initiativer i EU, der er omtalt under afsnit 4.8 ovenfor. Arbejdsgruppen finder det i den forbindelse hensigtsmæssigt, hvis der ved udformningen af den ny persondataregulering så vidt muligt tages højde for, at det i praksis bliver muligt at anvende løsninger med cloud computing i videre omfang end i dag. Det bemærkes desuden, at en vurdering af bl.a. persondatalovens regler om retten til indsigt og retten til sletning, jf. afsnit 4.5 ovenfor, efter arbejdsgruppens opfattelse bør afvente afslutningen af den sag, der som nævnt under afsnit 4.9 for tiden verserer hos Datatilsynet. Da der i øvrigt er tale om regler, der følger af persondatadirektivet, der således som nævnt umiddelbart overfor ikke kan karakteriseres som unødige, finder arbejdsgruppen, at spørgsmål om forholdet til disse regler i forbindelse med cloud computing må håndteres i aftalen mellem den

20 dataansvarlige myndighed og leverandøren af en ordning med cloud computing. Disse regler omtales således ikke yderligere i det følgende. Side 20 af 34 Ligeledes er det arbejdsgruppens opfattelse, at kravene i persondatalovens 27 om overførelse af oplysninger til et tredjeland, jf. afsnit 4.3 ovenfor, efter gældende ret må håndteres på baggrund af en aftale (f.eks. Kommissionens standardkontrakt) med databehandleren, ved brug af Safe harbour-ordningen eller ved, at der alene sker overførsel til tredjelande, der sikrer et tilstrækkeligt beskyttelsesniveau. Disse regler omtales således heller ikke yderligere i det følgende. Endelig bemærker arbejdsgruppen særskilt, at det er den dataansvarlige myndigheds ansvar, at følsomme personoplysninger omfattet af persondatalovens 7 og 8, jf. afsnit 4.4 ovenfor, håndteres i overensstemmelse med de regler, der gælder herfor, også når behandlingen sker for den dataansvarlige i en løsning med cloud computing. Disse regler er også berørt i den udtalelse fra Datatilsynet, der er omtalt under afsnit 4.8. Arbejdsgruppen har på denne baggrund heller ikke fundet anledning til i øvrigt at omtale disse regler nærmere. I de følgende afsnit behandles de regler, som arbejdsgruppen har vurderet udgør en unødig barriere for brugen af cloud computing, og som ikke følger direkte af direktivet og derfor kan ændres i dansk ret Kontrol med autorisationer Beskrivelse af reglen Det følger af sikkerhedsbekendtgørelsens 17, stk. 2, at det mindst en gang hvert halve år skal sikres, at personer, der er autoriserede til at behandle persondata, fortsat opfylder betingelserne for den opnåede autorisation, jf. afsnit 4.6 ovenfor. Hensigten med bestemmelsen er at tilvejebringe sikkerhed i dataopbevaring og databehandling, konkret ved f.eks. at sikre, at der ikke er udstedte autorisationer, som ikke anvendes, og som derfor bør inddrages, jf. Datatilsynets vejledning til sikkerhedsbekendtgørelsen Udfordring Arbejdsgruppen er bekendt med, at sikkerhedsbekendtgørelsen kan stille højere krav til kontrol med autorisationer (stille krav om hyppigere kontrol) end de interne sikkerhedsprocedurer fastsat hos en leverandør af en ydelse med cloud computing. En sådan leverandør må antages ofte at have fastlagt faste interne sikkerhedsprocedurer baseret på deres forretningsmodel med en høj grad af standardisering. Kravene i lovgivningen til intervallerne for sådanne kontroller kan imidlertid ofte variere fra land til land, hvilket gør det vanskeligt for cloud-