GDPR: Kun tre ud af 98 kommuner kan holde data helt for sig selv
Vesthimmerland, Gribskov og Brønderslev kommuner har et godt score og kun grønne markører, hvis man sender deres hjemmesider gennem GDPRdigger, et lille webværktøj, der tjekker hvor hjemmesiderne bor, og om der er javaScript-programmer, der gemmer data og ikke mindst: Om nogen af de data forlader Europa.
Men alle de andre 95 kommuner har tilsyneladende problemer med data, der kunne risikere at smutte en tur forbi USA eller andre lande udenfor EU, viser de tests, som firmaet bag værktøjet har lavet. Borger.dk og Skat.dk har også røde flag.
Radar har talt med folkene bag GDPRdigger.dk . Grundlæggende går værktøjet ind og kigger på en hjemmeside og så prøver den at finde ud af, hvor den hjemmeside ligger henne rent fysisk.
- Det kan så være lokalt eller i en cloudservice, men det spændende er, hvor data så ender henne. Bagefter går den ind og ser på forsiden af hjemmesiden og ser hvilke tredjepartsbibliotekter fra Javascripts eller fonte, der bliver hevet ind, og som måske sender min ip-adresse til f.eks. Google eller Amazon, siger siger Brian Jacobsen, chefkonsulent hos Taxon ApS, der står bag GDPRdigger, og tilføjer:
- Men det kan være værre end det: Hvis jeg nu er inde på en hjemmeside, der handler om noget privat, noget om graviditet for eksempel, det er blevet ekstra følsomt på grund af abortsituationen i USA, så kan man risikere, at hjemmesiden sender en besked om min ip-adresse og hvilken side jeg er inde på tilbage til de der tredje parter, hvor mange af dem er i USA. Og det er ikke så godt.
Lyt til Radars interview med Datatilsynets direktør
Skrifttyper taler
Taxon leverer scannersoftware til at gennemsøge blandt andet kommuners PC'ere, fællesdrev og servere for data eller dokumenter, der indeholder følsomme eller fortrolige personoplysninger. GDPRdigger er et gratis værktøj, som alle kan bruge.
- Vi har lavet det her for at belyse, hvor meget vores data flyver rundt. Skriftfonte fra Google taler direkte med Google, hvis man bruger dem og der er ekstremt meget andet kode, der ikke ligger lokalt og derfor bliver hentet fra andre, typisk i udlandet. Vi har brug for en kulturændring på, hvad gør vi med vores data og ikke mindst ved andres data, siger Brian Jacobsen.
Og så er der et andet data problem – nemlig mail., forklarer han.
- I øjeblikket er der stort set kun to muligheder, hvis du er en større organisation nemlig Microsoft365 eller Google Workspace, begge amerikanske – det kan teoretisk lade sig gøre at hoste det internt, men det er meget få der gør det. Og det betyder faktisk, at man mange steder – også hos kommunerne – kan risikere at ende med at sende følsomme data en tur forbi disse amerikanske firmaers servere, og det må man ikke. Så er der nogen, der hævder, at når serverne står i Europa, så betyder det ikke noget, men det synes jeg nu nok er til diskussion, siger Brian Jacobsen.
Taxon-chefkonsulenten er ikke alene om at være bekymret over overførsel af data til tredjelande.
Siden aftalerne om overførsler af data mellem USA og Europa er faldet af flere omgange, har Datatilsynet haft et vågent øje til især Google Analytics, et meget udbredt statistikværktøj til hjemmesider.
- Det generelle aspekt er jo, at hvis man behandler data om andre mennesker, så skal man have hjemmel til det. Og når det er hjemmesider det handler om, så er det tit sådan, at man laver noget bare for at få en fed funktionalitet. Men hvis der ryger data med i købet, så var det måske bedre at undvære, siger Allan Frank, IT-sikkerhedsspecialist og GDPR-general ved Datatilsynet
Schrems II
Han understreger, at han ikke har kigget på nogen af de data, som holdet bag GDPRdigger er nået frem til.
- Ifølge en tysk dom for nylig, har man fælles dataansvar sammen med sine udbydere, så lige pludselig kan man blive ansvarlig overfor noget, nogen andre gør. Så gå efter en udbyder du stoler på, siger han.
Men hvad med mail-problemet?
- Mange af de der cloudbaserede løsninger, der er meget replikering af data over mod USA. Man kan godt købe løsninger, der er rent europæiske, men det kræver jo, at man er opmærksom på det. Der behøver ikke være personhenførbare oplysninger i en mail, men sagsbehandlernes logon og ip-adresser må som minimum være i fare, siger Allan Frank.
- Datatilsynet har prøvet at lære de dataansvarlige at blive bedre til disse problemstillinger de sidste fire år, men det går meget længere tilbage, nemlig til persondataloven fra før 2018, og reglerne er dybest set de samme: Der skal være hjemmel til at overføre data, siger Allan Frank og tilføjer:
- Det der har ændret spillereglerne lidt er jo den der Schrems ll-afgørelse. EU-domstolen har sagt, at Privacy Shield ikke var god nok, hvis et land er omfattet af det, man kalder ’problematisk lovgivning’ og det er typisk noget med efterretningstjenester. Og det mener EU-domstolen altså, at det har USA.
Du kan tjekke dit eget website eller andre her
Schrems II-dommen
Dommen er opkaldt efter aktivisten Max Schreems fra NGO'en ’NOYB’ (None Of Your Business). Dommen tager dybest set udgangspunkt i, at amerikanske efterretningstjenester kan pålægge amerikanske firmaer at gemme data fra europæiske firmaer og aflevere dem - uden at fortælle at de gør det. Konsekvensen er, at den hidtidige aftale om overførsel af data mellem USA og EU, Privacy Shield, ikke længere gælder. Der forhandles om en ny aftale, men det kan have lange udsigter. KL anbefaler selv, at man for nuværende helt forsøger at undgå overførsel til tredjelande, uanset vurderingen af sikkerheden.
