DI efter GDPR-sag: Datatilsynet skal have flere muskler
Ny afgørelse om en virksomheds datahåndtering understreger behovet for at styrke Datatilsynet. Der skal være flere kræfter til at rådgive virksomheder om datasikkerhed, siger DI's digitaliseringspolitiske chef, Christian Hannibal.
Digital ansvarlighed og databeskyttelse skal være i højsædet. Men der er meget komplekse udfordringer, hvor der er behov for, at Datatilsynet bliver bedre til at hjælpe virksomhederne med at overholde reglerne.
Det siger DI’s digitaliseringspolitiske chef, Christian Hannibal, efter at Datatilsynet har udtalt alvor kritik af softwarevirksomheden EG A/S for at have brugt underleverandøren ServiceNow, som ikke var blåstemplet af EG’s kunde.
- Afgørelsen understreger igen behovet for, at Datatilsynet i højere grad også får en vejledende rolle i stedet for blot at være tilsyn, så virksomhederne kan få hjælp til at navigere i stedet for blot at blive ramt af en hammer. GDPR-reglerne skal naturligvis overholdes, men det er komplicerede regler, siger Christian Hannibal.
ServiceNow bruges til at håndtere supportsager, som EG modtager fra kunderne og indeholder kun de data, som er relateret til de enkelte supportsager. ServiceNow var imidlertid ikke tilføjet i databehandleraftalen med ejerkredsen bag økonomisystemet "ØS Indsigt", hvilket fik Herning Kommune til at anmelde et brud på datasikkerheden i efteråret 2019.
Det vil være et kæmpe problem, hvis virksomheder og myndigheder afholder sig fra at anvende cloud-løsninger på grund af denne afgørelse. Christian Hannibal, Digitaliseringspolitisk chef
Christian Hannibal frygter at Datatilsynets afgørelse kan få konsekvenser for de mange cloudleverandører og -kunder – eksempelvis alle danske kunder hos ServiceNow.
- Det vil være et kæmpe problem, hvis virksomheder og myndigheder afholder sig fra at anvende cloud-løsninger på grund af denne afgørelse, siger han og fortsætter:
- Vi har foreslået – og gentager i denne sammenhæng – at Datatilsynet får tilført flere penge, så de udover håndhævelsen også kan vejlede virksomhederne i efterlevelse. Sker det ikke risikerer vi at konsekvensen af afgørelsen bliver en stor og unødig usikkerhed brugen af cloudløsning.
EG opdaterer databehandleraftaler
Direktør Søren Wolstrup, fra EG A/S, oplyser, at virksomheden efterfølgende er blevet enige med ejerne af økonomisystemet ØS Indsigt og dermed også Herning Kommune om en ny instruks, der bliver en del af parternes databehandleraftale. Yderligere er EG i gang med at sikre, at alle virksomhedens databehandleraftaler er fuldt opdaterede.
- I EG anvender vi støttesystemet ServiceNow til at håndtere EG’s supportsager og i systemet ligger der relevante data i forhold til de konkrete supportsager. Disse data er opbevaret på servere i Amsterdam og London, lige som ServiceNow overholder alle gældende love og regler for håndtering af persondata, siger Søren Wolstrup og fortsætter:
- EG tager Datatilsynets afgørelse til efterretning og noterer sig, at Datatilsynet betragter sagen som afsluttet. EG tager nu en dialog med berørte kunder om opdatering af databehandleraftaler baseret på datatilsynets bemærkninger.
Hold dig opdateret
Modtag nyhedsbrevet DI Business med relevante nyheder fra erhvervslivet, politiske analyser og nøgletal samt invitationer til arrangementer, kurser og netværk med relation til erhvervslivet.
