Nyheder

DILEMMA: Kan ledelsen håndtere et forbud mod databehandling i skyen?

Forbud mod en konkret måde at anvende en cloud-løsning på. Hvor stiller det ledelsen i forhold til brugen af cloud-løsninger og outsourcing af IT-driften? Et forbud fra Datatilsynet kan overnight få store konsekvenser for IT-driften og kan potentielt nedlægge forretningsdriften.

Med ”Chromebook-sagen” er der lagt pres på virksomhederne og de ansvarlige ledelser. Virksomhederne må se i øjnene, at et mangelfuldt dokumentationsgrundlag kan resultere i et forbud.  Det så vi bl.a. i 2021, da Datatilsynet foretog en undersøgelse af Helsingør Kommunes håndtering af persondata i forbindelse med brugen af Google Workspace. Konsekvensen for Helsingør Kommune blev, at Datatilsynet i sommeren 2022 traf afgørelse om forbud mod fortsat brug af Google Workspace i folkeskolen.

Cloud anvendes af masserne og er nemt anvendeligt for virksomhederne. Det er nu mere end nogensinde før højaktuelt, om virksomheder kan beholde cloud-produkter i deres nuværende form efter ovennævnte sag.

Cloud-løsninger og komplekse vilkår

Virksomheder har længe forsøgt at omkostningsminimere ved at omlægge til cloud, som åbner op for behandling af personoplysninger hos tredjeparter. Cloud-løsninger har fundet sit indpas og kan levere nye og opdaterede applikationer hurtigere og mere effektivt end tidligere.

Stor kompleksitet, omfang og ugennemsigtighed i vilkårene hos de store cloud-leverandører fratager ikke dataansvarlige fra at sikre, at de nødvendige foranstaltninger er på plads.

Kravene til IT-folks og juristers samarbejde om at kortlægge deres teknologiske redskaber bliver stadig mere omfattende, og ved anvendelsen af f.eks. Google Workspace eller andre udbredte løsninger kan det være vanskeligt at følge datastrømmene, som har resulteret i omfattende analyser fra datatilsyn rundt om i Europa. Hvor stiller dette private virksomheders mulighed for at gennemskue konsekvenserne? Private virksomheder har ikke nødvendigvis samme adgang til ressourcer som offentlige organisationer og næppe heller ikke den forhandlingskraft, der skal til for at ændre de store cloud-leverandørers vilkår eller leverancemodeller.

Ledelsens involvering

Man bør som ansvarlig ledelse i både offentlige og private virksomheder overveje involveringen i IT-driften og risikoen for et potentielt forbud mod fortsat drift.

Når man som ledelse modtager et forbud mod at benytte de services, man har bygget sin virksomhed op om, vil et forbud selvsagt være utrolig byrdefuldt. Konsekvenserne kan være uoverskuelige, og hvordan løser man problemet, når man først står i det? Skal man trodse Datatilsynet og fortsætte sin behandling af personoplysninger? Eller kan risikoen mitigeres i det daglige arbejde?

I en digital verden, hvor alle processer i virksomheden bliver behandlet i et IT-miljø, er det essentielt, at ledelsen er med i beslutningsprocessen om, hvilken retning virksomheden skal gå. Med afgørelsen fra Datatilsynet er det vanskeligt for ledelser at sige sig fri for at have et medansvar eller i hvert fald en holdning til, hvilke typer værktøjer der anvendes. Det samme gør sig gældende i forhold til holdningen til krypteringsteknologier, datasikkerhed og andre foranstaltninger, der kan mitigere risici forbundet med behandlingen af persondata, da det kan udledes af Datatilsynets afgørelse, at supplerende tekniske foranstaltninger vægtes højt, især i forbindelse med overførsler af data til tredjeland, som f.eks. USA.

Afgørelsen fra Datatilsynet giver anledning til at få oprettet eller genåbnet sine exitplaner eller strategier for virksomhedens IT-løsninger. For i forbindelse med et forbud er det essentielt, at ledelsen og dermed virksomheden har en plan for, hvorledes produktionen og virksomheden kan fortsætte eller genetableres.

Hvor stiller det ledelsen?

Udsigten, til at Datatilsynet kommer med et forbud til en virksomhed, er ikke længere utænkelig, men er nu en reel risiko. Helsingør Kommune fik et forbud grundet mangelfuld risikovurdering og konsekvensanalyse, men hvem er den næste?

Mange vil nok have en tendens til at lade vurderinger omkring behandlingen af persondata og hvilke IT-platforme, virksomheden skal anvende, være op til jurister og IT-folk, men med Datatilsynets brug af forbud vil denne tilgang næppe være hensigtsmæssig. Et forbud fra Datatilsynet vil få store konsekvenser for enhver virksomhed og ikke blot en kommune som Helsingør. Konsekvensen af et forbud vil være, at virksomheder vil blive berørt på deres produktion, salgsled, mandskab m.m. Et er, at databehandlingen ved brug af komplekse løsninger såsom Google Workspace kan være bekostelige og svære at gennemskue, men cloud-løsninger som Salesforce, SAP og MS Dynamic 365 vil ligeledes kunne rammes, hvis organisationen ikke har styr på sine risikovurderinger, dokumentation og evt. konsekvensanalyser.

I den henseende må det ligge ledelsen nært at stille sige selv nogle af følgende spørgsmål:

  • Hvordan håndterer virksomheden et forbud?
  • Har virksomheden foretaget den nødvendige og fyldestgørende risikovurdering, og er dokumentationen klar?
  • Bør virksomheden anvende cloud?
  • Bør der anlægges et beredskab/exitplan, der kan håndtere et forbud?
  • Findes der alternativer og ”rene” europæiske løsninger?

Slutteligt bør det iagttages af ledelsen, om privacy og databehandling skal med på virksomhedens strategiplan. Det kan i hvert fald overvejes, om virksomheden som helhed bør tage stilling til, om privacy skal indarbejdes ved ”by design” eller ”by default”. I den forbindelse kan det overvejes, om kryptering, multiparty homomorphic encryption, pseudonymisering eller opsplittet behandling bør være en del af virksomhedens redskaber.

DAHL BoardExcellence® – nyttig viden om bestyrelsesarbejde

Denne artikel er en del af vores DILEMMA-serie, som belyser nogle af de problemstillinger, der kan opstå i et ellers velfungerende samarbejde mellem bestyrelse og direktion. Ordet ”dilemma” stammer fra græsk og udtrykker den situation, at en person skal træffe et valg, typisk mellem to eller flere lige gode eller lige ringe muligheder. Dilemmaer løses som oftest gennem ledelse. Det juridiske regelsæt er ofte ude af stand til at anvise en vej i løsningen af de konflikter, der udspringer heraf.

Har du konkrete spørgsmål til dilemmaet, som vi har behandlet i denne artikel, er du velkommen til at kontakte certificeret IT-advokat Michael Rehling eller Nicolaj Buchhave Pedersen. Har du generelle spørgsmål omhandlende bestyrelsesarbejde, er du altid velkommen til at kontakte en af vores eksperter.

Tilmeld dig nyhedsbrevet DAHL Nyt

Modtag vores nyhedsbrev pr. e-mail og bliv opdateret på juridiske emner og nye kurser.

Læs betingelser

Betingelse for modtagelse af nyhedsbrevet DAHL Nyt

Hvem udsender nyhedsbrevet?

Nyhedsbrevet er en service, der udbydes af DAHL Advokatpartnerselskab. Vores fulde kontaktoplysninger er:

DAHL Advokatpartnerselskab
Lundborgvej 18
8800 Viborg
CVR. nr.: 37 31 00 85

Du vil kun modtage markedsføringsmateriale fra DAHL Advokatpartnerselskab.

Hvilke oplysninger indsamles om mig?

DAHL Advokatpartnerselskab behandler din oplyste e-mailadresse og dit navn – dette er alt, vi behøver for at kunne sende dig nyhedsbreve. Når du via nyhedsbrevet tilmelder dig et af vores arrangementer, vil vi i nogle tilfælde ligeledes behandle oplysninger om firmanavn og telefonnummer.

Vi indsamler desuden oplysninger om din adfærd i forbindelse med din brug af nyhedsbrevet – herunder oplysninger om om vores nyhedsbrev bliver åbnet, hvor lang tid e-mailen er åben, og om der klikkes på links i nyhedsbrevet. Du skal herudover være opmærksom på, at hvis du klikker på links i nyhedsbrevet til vores hjemmeside, kan vi indsamle yderligere oplysninger om dig, hvis du accepterer, at vores hjemmeside bruger cookies. Du kan finde yderligere information om vores brug af cookies i vores cookiepolitik.

Hvad bruger vi dine oplysninger til?

Når du tilmelder dig vores nyhedsbrev, bruger vi dine oplysninger til at udsende faglige nyheder, kursus- og øvrige arrangementstilbud samt andet markedsføringsmateriale til dig. Vi kan endvidere bruge dine oplysninger til at udsende orienterende e-mails om DAHL Advokatpartnerselskab eller om vores nyhedsbrev. Vores udsendelse af nyhedsbrevet sker på grundlag af dit samtykke.

De oplysninger, vi indsamler om dig og din adfærd i forbindelse med din brug af nyhedsbrevet, anvender vi til at forbedre vores service og indhold, så vi i fremtiden kan blive endnu bedre til at målrette og tilpasse indholdet i vores nyhedsbreve efter dine interesser. Vi behandler dine personoplysninger til disse formål efter reglen i databeskyttelsesforordningens artikel 6, stk. 1, litra f. Hvis du ikke ønsker, at vi behandler dine oplysninger til disse formål, har du til enhver tid ret til at gøre indsigelse mod behandlingen.

Oplysninger om din brug af nyhedsbrevet anvender vi herudover til statistiske formål i anonymiseret form.

Dine oplysninger behandles fortroligt og sikkert

Vi opbevarer dine oplysninger fortroligt og sikkert. Vi har implementeret de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger, der sikrer, at dine oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med persondatalovgivningen.

Vi bruger en underleverandør til vores drift af IT. Vi har sikret, at vores IT-udbyder er underlagt samme forpligtelse, og at de alene handler på vores instruks.

Hvor ofte udsendes nyhedsbreve?

Vi udsender vores nyhedsbrev, når vi mener, at vi har noget vigtigt eller nyt at fortælle dig. Nyhedsbrevet udkommer ikke med faste intervaller. Det er derfor forskelligt, hvor ofte du kan forvente at modtage nyhedsbreve fra os. Vi bestræber os dog på at begrænse antallet, så vores nyhedsbreve ikke fylder hele din indbakke.

Vi videregiver ikke dine oplysninger

Vi videregiver ikke dine oplysninger til andre i kommerciel henseende. Vi videregiver kun oplysninger, hvis vi er forpligtet til det efter loven, eller hvis vi forpligtet til det efter en retskendelse.

Du kan altid rette eller ændre dine kontaktoplysninger

Du kan til enhver tid ændre eller rette i dine kontaktoplysninger (din e-mailadresse og navn) ved at afmelde dig nyhedsbrevet, og derefter tilmelde dig igen eller ved at sende en e-mail til tvc@dahllaw.dk, hvori du angiver ændringsønsker.

Det er beskrevet nedenfor, hvordan du framelder dig vores nyhedsbrev.

Du kan altid afmelde dig yderligere henvendelser

Du kan til enhver tid trække dit samtykke tilbage og framelde dig nyhedsbrevet. Når du har frameldt dig nyhedsbrevet, modtager du ikke yderligere fra os, medmindre du har givet andet samtykke til, at vi må henvende os til dig. Vi sender dig dog en bekræftelse på, at vi sletter dig fra modtagerlisten for vores nyhedsbrev, og vi sletter derefter dine oplysninger på vores modtagerliste.

Nyhedsbrevet kan afmeldes ved at klikke på linket ”afmeld nyhedsbrev”, som er indeholdt i hvert nyhedsbrev, du modtager fra os. Du kan også afmelde nyhedsbrevet ved at sende en e-mail til tvc@dahllaw.dk, hvori du oplyser dit navn og din e-mailadresse.

Hvor længe opbevarer I oplysningerne om mig?

Vi opbevarer og behandler dine oplysninger lige så længe, som du er tilmeldt vores nyhedsbrev. Hvis du afmelder dig fra nyhedsbrevet, sletter vi dine oplysninger.

Hvis du framelder dig vores nyhedsbrev, anonymiseres alle statistiske data om din brug af nyhedsbrevet. Anonymiseringen sker på en sådan måde, at det ikke efterfølgende er muligt at deanonymisere oplysningerne igen.

Dine øvrige rettigheder efter persondatalovgivningen

Du har til enhver tid mulighed for at gøre brug dine rettigheder efter persondatalovgivningen.

Du kan bl.a. anmode om indsigt i de personoplysninger, som vi behandler, samt gøre indsigelse mod behandlingen af oplysningerne. Du kan desuden anmode om berigtigelse eller sletning af eventuelle ukorrekte oplysninger om dig selv, trække et samtykke til behandling af dine personoplysninger tilbage samt gøre din ret til dataportabilitet gældende. I visse tilfælde kan du endvidere have ret til at få behandlingen af dine personoplysninger begrænset.

Hvis du ønsker at gøre brug af én eller flere af dine rettigheder, kan du kontakte cbm@dahllaw.dk.

Hvis du er uenig, i den måde vi behandler oplysninger om dig på, kan du klage til Datatilsynet.

Du modtager nu DAHL Nyt

Forretningsområder du ønsker info om:

  • Intet valgt

Din information

Du kan altid trække dit samtykke tilbage og afmelde dig vores nyhedsbrev

Accepter betingelserne