Vital finansiel infrastruktur i Danmark som Dankortet, Betalingsservice og NemID ligger i selskabet Nets, der er i gang med at blive solgt. Men den nuværende lovgivning kan ikke forhindre, at servere med enorme mængder personfølsomme oplysninger bliver flyttet fra Danmark til fjerne egne, hvor myndighedskontrol bliver svær.

Såvel de ansatte i den finansielle sektor som politikere på tværs af Folketingets partier frygter for datasikkerheden. Frygten er opstået efter de mange aktuelle sager om datatyverier og skandalen om den amerikanske efterretningstjeneste NSAs omfattende overvågning.

Professor Lars Ramkilde Knudsen fra DTU, der er ekspert i kryptologi og it-sikkerhed, mener, at man skal tænke sig godt om, før Nets’ servere flyttes til udlandet.

»Der er grund til at være bekymret. Det bliver ikke nødvendigvis mindre sikkert af, at serverne står i Tyskland, men man skal tænke sig om. Jo længere væk den server kommer, jo sværere er det for Danmark at føre opsyn med den,« lyder vurderingen.

På udenlandske hænder

Michael Budolfsen, næstformand i Finansforbundet, er bekymret for, hvor de centrale data kan havne.

»Jeg kan forstå, at der er fem mulige købere tilbage, og vi ved ikke, hvad fremtiden er ved et sådant salg, og vi ved ikke, hvor vores data ender henne. Vi har behov for, at politikerne siger, »det har vi taget hånd om«,« forklarer Michael Budolfsen, som påpeger, at det f.eks. ville være nemt at gøre det til en del af salgsbetingelserne, at der er en garanti for, at data ikke føres ud af EU:

»Bliver de her data lagret i USA, så har NSA f.eks. fuldstændig uhindret adgang til dem,« siger han.

De fem tilbageværende køberkonsortier, der kæmper om Nets, er domineret af udenlandske spillere, og to af dem er overvejende amerikanske konsortier.

Nets har allerede outsourcet server-opgaver til IBMs datacentre i Danmark, hvor en netværksfejl for nylig førte til det store Dankort-nedbrud. Nets har også servere i det øvrige Norden samt i Estland.

Men som lovgivningen er, kan man outsource serverne til det, som Datatilsynet kalder »usikre tredjelande« uden for EU, hvis man indgår en såkaldt EU-standardkontrakt med den underleverandør, der skal styre datalageret.

Politisk bekymring

I Folketinget vækker oplysningerne bekymring på tværs af partierne.

»Vi har allerede været efter det nuværende Nets for at sikre, at de data er sikre og ligger på danske servere, sådan at de er under dansk lovgivning. Det nytter ikke noget, at de data kommer til andre lande, uanset hvilke lande vi taler om, for de data er simpelthen så følsomme, at det er et krav fra vores side, at det for al evighed skal blive på danske hænder – altså står i danske serverparker. Det krav kommer, uanset om Nets er ejet af det ene eller det andet firma,« siger Venstres it-ordfører, Michael Aastrup Jensen.

Dansk Folkepartis it-ordfører, Dennis Flydtkjær, vil tage sagen op med erhvervs- og vækstminister Henrik Sass Larsen (S) ved et allerede indkaldt samråd omkring Nets-salget. Mulighederne for at sikre, at danskernes personfølsomme data holdes inden for landets grænser, skal afsøges grundigt, hvad enten det kræver ny lovgivning eller strammere udbudsregler, mener Flydtkjær.

»Det er ikke ligegyldigt, hvor de data ligger henne. Er det i Danmark, har man større kontrol og sikkerhed for, at de bliver håndteret ordentligt. Det har man ikke på samme måde, hvis det er uden for Danmark i f.eks. USA eller Kina. Det er vitale data for danskerne, og derfor er det også væsentligt at sikre, at de ikke ender i lande, hvor vi ingen kontrolbeføjelse har. Det ville jeg ikke være tryg ved. Jeg så allerhelst, at data ligger på servere i Danmark,« siger Dennis Flydtkjær.

I Enhedslisten anser finansordfører Frank Aaen salget af Nets for »et kæmpe problem« – også for datasikkerheden. Han tror ikke på, at hverken lovgivning eller stramme udbud vil være nok til at dæmme op for problematikken, og han mener, at datasikkerheden i sig selv er et argument for at kæmpe for, at Nets forbliver på danske hænder.

Hos regeringspartiet Socialdemokraterne ser John Dyrby Paulsen, der sidder i Nationalbankens bestyrelse, også med stor vigtighed på datasikkerheden. Han mener dog ikke, at man bør koble sagen til salget af Nets.

»Det er betænkeligt, hvis eksperter mener, at der er et problem, og så skal vi tage det op. Men man skal holde tingene adskilt, for det har ikke noget med ejerskabet af Nets at gøre. Det kunne jo i teorien også ske med de nuværende ejere. Men hvis der er et hul, skal vi se på det,« siger John Dyrby Paulsen.

Myndigheder maner til ro

Hos Datatilsynet bekræfter man, at datalagre kan flyttes uden for EU med en standardkontrakt, men konstitueret direktør Birgit Kleis er ikke bekymret, fordi selskaber stadig har ansvaret forat holde øje med underleverandører, hvis man overlader behandling af data til virksomheder uden for EU.

Erhvervs- og vækstminister Henrik Sass Larsen (S) mener, at myndighederne har tilstrækkeligt styr på datasikkerheden med de nuværende regler.

»Danskerne skal ikke frygte misbrug af følsomme data. Nets er såkaldt databehandler på vegne af dataejerne, dvs. bankerne. Databehandler må ikke tilgå personfølsomme data. Det følger af bl.a. persondataloven. Samme regler vil gælde en ny ejer. Den regulering, der i dag gælder for en række af Nets’ forretningsområder, vil stadig finde anvendelse og gælde for de nye ejere af Nets,« skriver ministeren i en mail til Berlingske.

Nets er i dag ejet af bankerne og Nationalbanken, og selskabet understreger, at det uanset nye ejere er forpligtet til at underrette Finanstilsynet om outsourcing, samt at Nets ved outsourcing fortsat har ansvaret for at overholde loven, herunder omkring it-sikkerhed og behandling af persondata.

»Det er ikke alene persondatareglerne, men reglerne om outsourcing, der sikrer, at Finanstilsynet har »styr« på Nets’ outsourcing til andre lande. Det vil gælde, uanset hvor vores datacentre er placeret. Dette følger bl.a. af vores rolle som datacentral og betalingsinstitut,« lyder det fra Nets’ pressechef Søren Winge.