Spring til login

Digitaliser.dk

Sektioner

Aktuel side

Gruppens profilbillede

Cloud computing i Danmark

286 medlemmer | Medlemsskab via fri tilmelding (Bliv medlem - kræver login )

Cloud computing og de juridiske rammer

Ansvarlig: Morten Jørsum
Version: 1.0 - Publiceret: 17.05.2011 09:45
Type: Dokument
Sæt/fjern bogmærke
+1

OBS! Der findes en nyere version af den valgte ressource. Klik her for at se den nyeste version.

En af de største barrierer for brug af cloud computing i den offentlige og private sektor er usikkerhed omkring, hvilke love og regler man skal være opmærksom på, når man implementerer en cloudløsning. Der hersker især uklarhed omkring, hvordan man skal håndtere personoplysninger i en cloudløsning. I vejledningen kan man få svar på, hvilke præcise krav Persondataloven stiller til clodløsninger.

Vejledningen beskriver:

  1. Persondatalovens krav og giver en oversigt over, hvad man skal være opmærksom på, når man ønsker en cloudløsning, hvori der behandles personoplysninger. Persondataloven (samt den tilhørende sikkerhedsbekendtgørelse) sætter grænser for, hvilke oplysninger der frit kan overdrages til en leverandør i forbindelse med en cloudløsning.
  2. Øvrig relevant lovgivning, det er relevant at iagttage, når man ønsker en cloudløsning. I denne del behandles bogføringsloven og regnskabsloven. Disse love kræver, at regnskabsmateriale opbevares i Danmark. Det er således som udgangspunkt ikke tilladt at opbevare regnskabsmateriale på en server, der fysisk er placeret uden for Danmark.
  3. Oversigt over relevante kontraktuelle forhold, man skal være opmærksom på, når man indgår en kontrakt om cloud computing. Denne del af vejledningen giver en enkel oversigt over en række af de kontraktuelle forhold, der kan være relevante at regulere i den konkrete kontrakt med en cloudleverandør.

Vejledningen kaster klarhed over, hvilke regler der gælder, således at både offentlige og private kan komme i gang med at udnytte skyens potentiale.

Deltag i debatten nedenunder!

For mere info kontakt Morten Jørsum, IT- og Telestyrelsen, mojo@itst.dk

Flere oplysninger

Udvid boks
(?)
60.55.05.00.UD
It-drift og vedligehold
60.55.15.00.UD
It-projekter og it-udvikling

Artefakter

Filer og referencer
Titel Type
Cloud computing og de lovgivningsmæssige rammer.pdf pdf Download Vis supplerende information ...

Klassifikationer

Indlæg til ressource

Profilens billede

Persondataloven og brug af Google Analytics?

Kasper Bergholt - 03.11.2011 20:42

Hvordan stiller Digitaliseringsstyrelsen sig over for danske virksomheders brug af Google Analytics, der gemmer personhenførbare informationer (ip-adresser) distribueret på kryds og tværs af fysiske datacentre inden for og uden for EU, herunder USA?

 

Kommentarer (12)

Profilens billede 1
Anders Trolle-Schultz - 04.11.2011 12:57

Hej Kasper 

Jeg må erkende at jeg undres lidt over dit spørgsmål.

For det første stiller du spørgsmålet til Digitaliseringsstyrelsen.

Jeg må erkende at jeg ikke har sat mig ind hvilke opgaver Digitaliseringsstyrelsen – og uden at have dybere kendskab vil jeg gætte på at disse opgaver ikke er klart definerede endnu- men jeg tvivler på at dette kommer til at høre under dem. 

Dernæst tror jeg ikke jeg forstår dit spørgsmål helt – eller formålet med dit spørgsmål. 

Google analytics anvender sig kun af offentligt tilgængelig data omkring IP numre, når de ”for os andre” stiller Google analytics til rådighed.  Dit spørgsmål er muligvis relevant i forhold til vores ”anonymitet” på nettet – men kan IKKE tages op i forhold til Googles anvendelse af IP nummeret i deres analytics redskab.  Du henviser til personhenførbare oplysninger via ip-nummeret – hvorledes kan Google Analytics pege på mig som bruger hvis jeg som kunde er hos TDC og det eneste Google Analytics kan vise er en TDC ADSL bruger i Roskilde? 

Og hvad er egentlig dit formål med at spørge?

Bedste hilsener,

Anders T-S

Profilens billede 2
Jacob Voetmann - 04.11.2011 14:20

Kære Kasper Bergholt

Tak for dit spørgsmål vedrørende Google Analytics forhold til persondataloven.

Digitaliseringsstyrelsen kan desværre ikke give et svar på dit spørgsmål, da det er Datatilsynet, som træffer afgørelser og varetager fortolkningen af den danske persondatalov.

Jeg må derfor henvise dig til at stille spørgsmålet direkte til  Datatilsynet.

Med venlig hilsen

Jacob Voetmann  

 

 

Profilens billede 3
Kasper Bergholt - 04.11.2011 20:32

Hej Anders Trolle-Schultz!

Grunden til, jeg spørger hér er, at undergruppen/ressourcen hér handler om de juridiske aspekter, man som dansk virksomhed bør forholde sig til ved valg af udbyder af cloudløsninger.

"Persondatalovens krav og giver en oversigt over, hvad man skal være opmærksom på, når man ønsker en cloudløsning, hvori der behandles personoplysninger."

Google Analytics i min optik en cloudbaseret løsning, hvor data gemmes i skyen (på kryds og tværs af fysiske servere i en række lande inden for og uden for EU).

Jeg ved, at Camilla Fisker, der tidligere arbejdede med cloud computing-området i IT- & Telestyrelsen nu sidder i Digitaliseringsstyrelsen.

Så en række cloudspørgsmål (af juridisk karaktér) hører allerede fra dag ét under den nye styrelse.

Mit specifikke ønske om at få afklaret brug af Google Analytics stammer fra en diskussion i Linkedingruppen om webanalyse, hvor spørgsmålet ikke entydigt kunne besvares. Men den overvejende stemning var, at brug af Google Analytics bestemt ikke var uproblematisik.

Hvad angår ip-adresser blev de defineret som personhenførbare data (selvom man skal igennem en ISP for at foretage korrelation mellem person og ip-adresse).

Sammen konklusion nåede Omnitures juridiske chef Meme Rasmussen i forbindelse et Analytics-seminar, jeg var til i London.

Så Googles brug af cookies -- og opbevaring af ip-adresser (i og uden for EU-lande) kan meget vel have store juridiske implikationer for danske virksomheder.

Alt godt,

Kasper

Profilens billede 4
Kasper Bergholt - 04.11.2011 20:47

@Jacob -- tak for svaret. Jeg hører Datatilsynet ad -- evt via Web Analytics Circle Copenhagen.

Men så længe, der er Google Analytics på digitaliser.dk, følger jeg mig nogenlunde tryg ;)

 

Profilens billede 5
Kasper Bergholt - 12.11.2011 13:25

@Anders --

Dér, hvor det for alvor bli'r grimt er, når/hvis Google sælger dine brugeres adfærd -- fx søgetermer + klikpriser, bouncerater, produktviews, køb, osv. til tredjepart -- fx din konkurrent.

Og det er jo det, der defacto foregår med AdWords/Display-netværket som mellemland.

Har blogget om det her:
http://mediebevaegelsen.dk/google-analytics

Dog ud fra en forretningsmæssig vinkel, ikke en juridisk.

Og så kan jeg oplyse, at Nordeas datajuridiske team har vurderet bankens brug af webanalysesoftware, og man bruger derfor ikke Google Analytics, men en anden analyse-suite.

Jeg kan se, at EU-kommissionen også stiller sig kritisk over for cloudløsninger generelt.
http://europa.eu/rapid/pressReleasesAction.do?reference=MEMO/11/762&format=HTML&aged=0&language=EN&guiLanguage=en

Tænk også fx på SalesForce, hvor kontonumre, cpr-numre, e-mail-adresser og telefonnumre ligger på Amazons AWS-platform med point of presence i US West el. US East.

Eller danske Podio, ved dog ikke hvor deres point of presence er. Måske Irland.

Eller CloudFlare som mange danske hjemmesider anvender. Her får man gratis loadtidsoptimering, men skal pege sin DNS over på CloudFlares dns-servere (i US), hvorfra optimerede indholdsvarianter serveres.

Der var en sag for et par måneder siden om, at de -- godt nok ved en fejl -- var kommet til at smække kommissionsudløsende links på udgående links.

Det vil sige, du tror du får en gratis tjeneste, men ender med at være produktet.

Alle de her spørgsmål synes jeg da, at Digitaliseringsstyrelsen burde være de helt rigtige til at undersøge og rådgive om. Særligt, når man har et personer med speciale i cloud-teknologi, implementeringsfarer, brug, deling af personhenførbare og personfølsomme datasæt.

Men jeg kan forstå, at du slet ikke deler min bekymring?

Alt godt,

Kasper

Profilens billede 6
Ulrik Sandholt - 12.11.2011 19:33

@Anders Trolle:

Google bruger en 1. parts cookie til tracking af din adfærd, ligesom alle andre seriøse Web analystics løsninger gør. En første parts cookie afvises kun hvis du ikke har java installeret eller blokerer for alle cookies. ¨Dker for ca. 2% af alle besøg.

Hvis du har 1. parts CookieID: 1234abcd5678efgh så vil du for hver interaktion på dit website lave en linje i en logfil. I denne logfil står der alt om din interaktion samt dit CookieId. Der står hvilken side du har besøgt, hvilket produkter du har købt, hvor meget det kostede, hvilke produkter du har haft i kurven, hvor mange gange du har gjort hvad, osv.

Dette opsamler Google, gennem Google Analytics. Det er der for så vidt ikke så meget galt i. Hvis du går ind i en almindelig butik, kræver du jo heller ikke at alle ekspedienter eller salgsassistenter holder sig for øjnene og du kræver vel heller ikke at din bankrådgiver bliver slået oven i hovedet med en hammer efter du har mødtes med ham så han glemmer hvad I snakkede om. Det må vel betragtes som OK at en virksomhed følger med i hvad du laver på deres digitale ejendom og forsøger at forbedre denne ejendom. Hvis du ikke kan lide ekspedienterne i FONA, går du forhåbentligvis også over i Ekspert eller en anden butik. Selve Cookie problematikken er i mine øjne tåbelig. Det er hvad man må bruge data til som der burde lovgives om.

Der hvor det bliver problematisk er at Google ejer den data som en virksomhed samler op om din adfærd. Altså de logfiler som bekriver din adfærd. Det er IKKe virksomedens data. Den data sælger de så videre i form af målrettet annoncering i Google AdWords og Display Ads, til andre virksomheder som gerne vil vide hvad du render og laver på internettet. Din adfærd bliver altså pludselig et produkt på nettet og ikke blot information til en virksomhed om deres kunders interesser. For med dit Cookie ID, så giver Google andre virksomheder lov til at målrette annoncering baseret på din adfærd på andre end den givne virksomheds site. De ser at du som 1234abcd5678efgh har udvist interesse i en flyrejse til Mallorca hos Cimber.dk og svup, nu kan alle annoncere imod flyrejser til Mallorca overfor dig.

Og for at kompensere virksomhederne for dette (læs overbevise dem om at bruge Google Analytics), som iøvrigt ofte ikke indser at de forærer deres konkurrenter kundedata, giver de virksomhederne Google Analytics gratis. Det i sig selv er vel en smule konkurrenceforvridende, men lad det nu ligge. 

Da Google er verdens største reklame bureau og Google analytics er det mest anvendte værktøj til analytics (fordi det er graits). så kan Google sælge data om din adfærd på over halvdelen af alle websites i verden til andre virksomheder.

Det er i mine øjne en interessant problemstilling.

Profilens billede 7
Kim Sørensen - 10.01.2012 12:20

@ Kasper  

Har du fået et svar på dit spørgsmål fra datatilsynet?

Profilens billede 8
Kasper Bergholt - 11.01.2012 16:11

@Søren -- Nej, intet svar fra Datatilsynet endnu. Jeg hæfter mig ved, at Deducta i deres gennemgang af de nye cookieregler gentagne gange refererer til Google Analaytics, fx

"De cookies du bruger på din hjemmeside er du ansvarlig for. Det gælder også tredjepartscookies som fx Google Analytics. Her skal du altså være sikker på, at de virksomheder der har adgang til at sætte cookies på dine besøgendes computer, overholder lovgivningen."

&

"Få styr på om og hvilke af dine cookies kan undtages for reglerne (fremgår af bekendtgørelsen) – Google Analytics er ikke undtaget."

Kilde: Deductas fortolkning af de nye cookieregler

Profilens billede 9
Kasper Bergholt - 25.01.2012 13:41

@Søren -- så er der nyt fra Datatilsynet, som bl.a. skriver:

"Datatilsynet har mange sager til behandling, og din henvendelse vil blive behandlet så hurtigt som muligt. Den gennemsnitlige sagsbehandlingstid for forespørgsler er p.t. ca. 3 måneder, men kan efter omstændighederne være kortere eller længere. Kan Datatilsynet ikke besvare din forespørgsel inden 3 måneder, vil tilsynet orientere dig om, hvornår din henvendelse kan forventes besvaret."

Så det er fortsat et uafklaret spørgsmål.

Profilens billede 10
Kasper Bergholt - 09.06.2012 17:52

Så er der kommet svar fra Datatilsynet, og det kan læses her:
Google Analytics: Lovligt eller ulovligt, svar fra Datatilsynet.

 

Profilens billede 11
Kasper Bergholt - 18.06.2012 21:10

Ovenpå høringssvaret, der er linket til ovenfor, har jeg lanceret et lille social media-/demokratiprojekt med det formål at skabe øget gennemsigtighed, hvad angår tredjepartsværktøjer som Google Analytics til tracking af besøgsadfærd.

GA er for mig at se problematisk, fordi man deler datasæt med verdens største reklamebureau, Google.

Projektet kan følges her: Danske partiers brug af Google Analytics.

Indtil videre har bl.a. jeg modtaget en interesseret mail fra Dorte Toft (som afdækkede IT-factory-skandalen) og fået at vide, at Socialdemokraterne ikke længere bruger Google Analytics efter at have anvendt det i en årrække.

Profilens billede 12
Kasper Bergholt - 17.10.2012 12:46

Ved godt, at tråden er lidt gammel, men det norske og det danske Datatilsyn er kommet frem til, at IP-adresser faktisk er personlige oplysninger, og at de som følge heraf er omfattet af Persondataloven.

Mere info her: Datatilsynet: IP-adresser er at regne for personlige oplysninger.

Ønsker du at skrive indlæg eller blot kommentere indlæg,
skal du være oprettet som bruger og logget ind.

Opret dig som Ny bruger    eller Log ind    

Tilføj fil(er)

En ny fil vil overskrive en eksisterende fil, hvis begge filer har samme navn og samme ekstension.

Tags

Tilføj dine egne tags

- (kræver login)

Andre brugeres tags til ressourcen

Der er ikke tilknyttet tags fra andre brugere

Minimér boks
Versioner
Version Dato
1.0 (valgte) 17.05.2011 09:45 Vis supplerende information ...
1.2 20.02.2012 15:50 Vis supplerende information ...

Digitaliseringsstyrelsen