Er der en venlig underrettet sjæl der har noget information om hvorvidt opbevaring af personfølsomme data på dropbox og eller midrosoft sharepoint kan være et "problem".
Findes der egentlig en god guide til alt det her med persondataloven - syntes selv det er en jungle
Det kan også være lidt af en jungle, vi har i disse dage selv en mand afsted på uddannelse. Der er rigtig mange bud, på hvordan den skal tolkes. Men når du nu selv nævner Dropbox og Microsoft sharepoint, så ved jeg i hvert fald at du skal undersøge hvor serverne er placeret rent fysisk, da det i hvert fald er en faktor, hvis du opbevarer personfølsomme data herpå.
Du er velkommen til at smide mig en mail på dm@it-hotellet.dk hvis du har andre ting du er i tvivl om, da jeg i så fald meget gerne sætter dig i kontakt med min kollega, som er helt opdatert på hvordan og hvorledes du kan sikrer dig inden d. 25 Maj.
Vi har også flere forskellige løsninger, hvor du i hvert fald har mulighed for at sikrer hvor og hvordan dine data bliver beskyttet og opbevaret. Du kan læse mere på vores side her. (åbner i nyt vindue)
Dropbox har som jeg har læst mig til, forpligtiget sig til at gøre det, hvad det så dækker over er lidt svært at finde ud af, for deres udmeldinger er ret nye.
Men groft sagt skal du over overholde følgende: Data skal opbevares i EU Du må ikke indsamle mere end højst nødvendigt, alt kun data som du skal bruge. Du skal have beskrivelse af datatyper, samt hvordan du arbejder med dem. Begrænset adgang til data, ikke noget med at alle har adgang til alt data, så hvis man er 10 i firmaet og kun de 2 skal bruge noget data, er det kun de 2 der må have adgang. Data skal som udgangspunkt slette efter 5 år. Kunder har krav på at kunne få slettet data, også i backup. Der skal ligge databehandleraftale på alle dine leverandører, samt med alle dem som du har data på.
Så kommer der f.eks. en og lave service på din kopimaskine, ja så skal der laves en databehandleraftale med det firma, for kopimaskinen er på netværket, og dermed har han potential adgang til data, dermed databehandleraftale.
Hvis du tænker "problem" i juridisk forstand, så burde du nok kunne benytte Dropbox, selvom deres data ligger i USA - forudsat at du kan indgå en databehandleraftale med dem.
Det skyldes at de sidste er blev selvcertificeret i henhold til Privacy Shield aftalen, som er en (frivillig) certificering, der forpligter amerikanske virksomheder til at overholde EU databeskyttelsesforordningen. Bemærk, at det er en certificering hvor tillid til virksomheden er central. Bemærk også, at såfremt Privacy Shield aftalen, skulle blive underkendt af en EU domstol (som det skete med forgængeren: Safe Habour princippet), så kan man princippet stå med det problem, at brugen af fx Dropbox er ulovlig.
Men en ting er jura - noget andet er hvad ens mavefornemmelse siger (og hvordan dine kunder reagerer når du fortæller dem hvor du opbevare data - for det er et spørgsmål som bliver mere og mere almindeligt, at ens kunder vil spørge om).
Så kommer der f.eks. en og lave service på din kopimaskine, ja så skal der laves en databehandleraftale med det firma, for kopimaskinen er på netværket, og dermed har han potential adgang til data, dermed databehandleraftale.
Det afgørende er hvorvidt vedkommende behandler data på dine vegne, hvilket ikke er tilfældet i denne sitation.
At vedkommende har adgang til data gør ikke at han bliver databehandler.