|
| Pligtig backup, persondata pgf. 41, stk. 3 Fra : Børgesen |
Dato : 30-09-02 15:36 |
|
Persondataloven:
§ 41. Stk. 3. Den dataansvarlige skal træffe de fornødne tekniske og
organisatoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt
eller ulovligt tilintetgøres, fortabes eller forringes, samt mod, at de
kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i
strid med loven. Tilsvarende gælder for databehandlere.
Når man i en virksomhed behandler personfølsomme oplysninger, f.eks.
økonomiske oplysninger om kunder, er man altså jfr. § 41 stk. 3 pligtig at
tage backup af disse oplysninger.
Men hvordan gør en "bonus pater" inden for dette område? - Skal han sikre
sig, at hvert eneste bånd-backup også er gennemført korrekt, eller er det
nok at tjekke "jævnligt" (alle har hørt om backup-logs, der melder OK selvom
båndet i praksis er tomt).
Vil det være lovligt at lave web-backup af slige oplysninger? - Virksomheden
i modtagerenden kan jo - teoretisk - gå ind og læse disse følsomme
oplysninger?
Filosofiske overvejelser fra Børgesen
FUT sat til dk.videnskab.jura
| |
Anders Lund (30-09-2002)
| Kommentar Fra : Anders Lund |
Dato : 30-09-02 16:51 |
|
Børgesen <news@klog.dk>, wrote in
<news:3d9860f5$0$52178$edfadb0f@dspool01.news.tele.dk>:
> Persondataloven:
> § 41. Stk. 3. Den dataansvarlige skal træffe de fornødne tekniske og
> organisatoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt
> eller ulovligt tilintetgøres, fortabes eller forringes, samt mod, at de
> kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i
> strid med loven. Tilsvarende gælder for databehandlere.
[snip]
> Vil det være lovligt at lave web-backup af slige oplysninger? -
> Virksomheden i modtagerenden kan jo - teoretisk - gå ind og læse disse
> følsomme oplysninger?
Du skal nok kryptere oplysningerne INDEN du sender dem til "backup
serveren".
--
Anders Lund - spam2002q3@andersonline.dk
OE-QuoteFix - Et Outlook Express must - http://flash.to/oe-quotefix
Soldat - Grineren Worms/Counter Strike spil - http://www.soldat.prv.pl
| |
Børgesen (01-10-2002)
| Kommentar Fra : Børgesen |
Dato : 01-10-02 09:19 |
|
"Anders Lund" <news@anders.adsl.dk> skrev i en meddelelse
news:an9tbl$23t9$1@news.cybercity.dk...
> Børgesen <news@klog.dk>, wrote in
> <news:3d9860f5$0$52178$edfadb0f@dspool01.news.tele.dk>:
>
> [snip]
>
> Du skal nok kryptere oplysningerne INDEN du sender dem til "backup
> serveren".
>
Ja, det er jeg såmænd med på, men når de lander på backup-serveren hos et
firma, der tilbyder web-backup,står oplysningerne jo i princippet til
rådighed for dette firma, da de jo kan gå ind og udvælge filer, og sende dem
tilbage til mig.
Dermed mener jeg, at jeg ikke har opfyldt min pligt til at beskytte mine
data imod at komme i fremmede hænder. - Er det korrekt? Hvorfor eller
hvorfor ikke?
Børgesen
| |
Per Christoffersen (01-10-2002)
| Kommentar Fra : Per Christoffersen |
Dato : 01-10-02 09:35 |
|
"Børgesen" <news@klog.dk> wrote in message
news:3d995a35$0$18134$edfadb0f@dspool01.news.tele.dk...
>
> Dermed mener jeg, at jeg ikke har opfyldt min pligt til at beskytte mine
> data imod at komme i fremmede hænder. - Er det korrekt? Hvorfor eller
> hvorfor ikke?
Om back-up funktinen ligger internt i en virksomhed, eller er outsourcet kan
ikke have nogen betydning.
Det væsentligste er hvilke procedurer der er aftalt for gennemførslen og
opbevaringen af back-uppen.
Derfor skal du naturligvis have dine aftaler på plads med din leverandør
(Incl. konsekvenserne af fejlbehandlinger).
Selvom back-uppen foretages internt i en virksomhed, kan den jo lige så vel
misbruges som hvis den ligger hos en ekstern leverandør.
/Per
| |
Børgesen (01-10-2002)
| Kommentar Fra : Børgesen |
Dato : 01-10-02 10:58 |
|
"Per Christoffersen" <pc@comonto.dk> skrev i en meddelelse
news:3d995dfe$0$69065$edfadb0f@dspool01.news.tele.dk...
>
> "Børgesen" <news@klog.dk> wrote in message
> news:3d995a35$0$18134$edfadb0f@dspool01.news.tele.dk...
>
>
> Selvom back-uppen foretages internt i en virksomhed, kan den jo lige så
vel
> misbruges som hvis den ligger hos en ekstern leverandør.
Jo, det er vel rigtigt. Jeg sidder alligevel ikke, og er helt tryg:
Hvis jeg afgiver personlige oplysninger til en virksomhed, vil jeg forvente
at flere i virksomheden har adgang til disse data. Der står svjh nogem om
"fuldmagt" helt tilbage i Chr.X's lov, således at arbejdstager i en
virksomhed har "fuldmagt", hvilket jeg tolker til at de må arbejde med disse
omfindlige data data, uden at afgiveren af oplysningerne skal give
tilladelse hertil.
Men hvis virksomheden som har fået oplysningerne som en del af arbejdet skal
overføre disse oplysninger til f.eks. en bank (Kreditgodkendelse ved køb af
stort forbrugsgode), kræver det dog oplysningsgiverens fuldmagt dertil - og
derfor ville jeg umiddelbart forvente at det samme gælder, hvis jeg skal
overføre oplysninger til en fremmed virksomhed, selvom det kun er til
back-up.
Børgesen
| |
Per Christoffersen (01-10-2002)
| Kommentar Fra : Per Christoffersen |
Dato : 01-10-02 11:39 |
|
"Børgesen" <news@klog.dk> wrote in message
news:3d997172$0$18152$edfadb0f@dspool01.news.tele.dk...
> Men hvis virksomheden som har fået oplysningerne som en del af arbejdet
skal
> overføre disse oplysninger til f.eks. en bank (Kreditgodkendelse ved køb
af
> stort forbrugsgode), kræver det dog oplysningsgiverens fuldmagt dertil -
og
> derfor ville jeg umiddelbart forvente at det samme gælder, hvis jeg skal
> overføre oplysninger til en fremmed virksomhed, selvom det kun er til
> back-up.
Prøv at læse §42 også.
/Per
| |
Børgesen (01-10-2002)
| Kommentar Fra : Børgesen |
Dato : 01-10-02 12:09 |
|
"Per Christoffersen" <pc@comonto.dk> skrev i en meddelelse
news:3d997ade$0$69045$edfadb0f@dspool01.news.tele.dk...
>
> "Børgesen" <news@klog.dk> wrote in message
> news:3d997172$0$18152$edfadb0f@dspool01.news.tele.dk...
>
> Prøv at læse §42 også.
>
Ja, det det dækker det vel. Som du siger, skal man altså blot sikre, at
WebFirmaet overholder §41.
Så nu mangler jeg kun at finde ud af hvad en god Data-administrator gør, for
at sikre at hans egne bånd virker. - Skal han ifølge. § 41 tjekke ethvert
bånd eller er f.eks. en ugentlig stikprøve nok....
| |
Per Christoffersen (01-10-2002)
| Kommentar Fra : Per Christoffersen |
Dato : 01-10-02 12:21 |
|
"Børgesen" <news@klog.dk> wrote in message
news:3d9981ed$0$69062$edfadb0f@dspool01.news.tele.dk...
> Så nu mangler jeg kun at finde ud af hvad en god Data-administrator gør,
for
> at sikre at hans egne bånd virker. - Skal han ifølge. § 41 tjekke ethvert
> bånd eller er f.eks. en ugentlig stikprøve nok....
Det er jo et spørgsmål om god skik...
Spørg hellere i en mere teknisk orienteret nuhedsgruppe, for nogle bud på
det.
/Per
| |
|
|