Danske myndigheter stoler ikke på at sikkerheten i nettskyen er god nok til å håndtere persondata.
Forbudet
Etter påtrykk fra det danske datatilsynet valgte Rådet for IT-sikkerhet nylig å fraråde bruk av cloud computing-løsninger i det offentlige. Tilsynet har gått enda lenger og forbyr bruk av Google Apps i danske kommuner.
IT-sikkerhetsrådet har også uttalt seg kritisk til bruken av Microsofts Azure-plattform, etter lekkasje av sensitive personopplysninger i en offentlig nettjeneste.
Odense har lenge kjempet for å ta i bruk Googles nettsky som en plattform blant annet i skoleverket. Men før danske myndigheter kan gi grønt lys for nettskybruk i offentlig regi må en rekke krav være oppfylt. Landets personvernmyndigheter har en rekke innvendinger.
Prøvekluten
I Norge har ikke offentlig sektor kommet like langt, men også her er Datatilsynet bekymret for hva bruk av cloud-løsninger med uklare lagringsforhold i utlandet kan innebære av risiko for personvernet.
Nylig valgte Narvik kommune å gå over til Google Apps, som plattform for e-post, kalender og tilhørende gruppevare.
Datatilsynet følger denne overgangen med argusøyne, fordi Narvik er landets første kommune som gjør dette.
- Narvik kommune er den første saken vi tar opp når det gjelder nettskyløsninger mot offentlig sektor. Det blir en prøvesak for vår behandling av slike saker. Samtidig er vi godt kjent med hva som har skjedd i Danmark, sier Datatilsynets direktør Bjørn Erik Thon til digi.no.
Utleveringen
Den siste tiden har digi.no satt søkelyset på hvordan data i nettskyen kan bli overlevert til amerikanske myndigheter, selv om innholdet er lagret i EU-området. Årsaken er at de store leverandørene med hovedsete i USA må forholde seg til landets strenge innsynsregler.
- Det er her noe av bekymringen ligger, med utlevering til land du ikke har noe forhold til. At amerikanske myndigheter kan få innsyn er langt utenfor formålet med lagringen. Dette kan oppsummeres under fanen «miste kontroll over dataene», sier Thon.
Datatilsynets direktør påpeker at de i Norge kan dra på tilsyn og at forholdene dermed er gjennomsiktige.
- Det stiller seg helt annerledes hvis data lagres i andre land og andre kulturer. Jeg trekker ikke frem Norge som et glansbilde, men det er andre land som er mer utsatt for korrupsjon.
Veiledningen
- Finner dere grunn til å fraråde bruk av nettskyen?
- Nei, vi har ikke gjort det til nå. Men slik personopplysningsloven er bygget opp, er det en del ting man må gjøre før man inngår avtale med en leverandør. Det vi har gjort er å lage en veileder, sier Bjørn Erik Thon.
I denne veiledningen gjør Datatilsynet rede for kravene som bruk av nettskyen stiller i forhold til personopplysningsloven og helseregisterloven.
- Datatilsynet stiller som krav at man må gjøre risikovurderinger, ha på plass klare avtaler, oversikt over sikkerhetstiltak, opplysninger om hvor dataene plasseres og sikkerhetsrevisjoner. Alt dette er krevende.
Videre påpeker Thon at Google normalt baserer seg på standardavtaler, uten rom for lokale tilpasninger.
- Da tror vi det kan være krevende å gjennomføre noen av tiltakene som ligger i lovverket.
Forskjellen
Personvernets høye beskytter mener imidlertid at det er forskjell på en liten postordrebedrift med et kunderegister og store konsern, kommuner eller statlig etater som behandler store mengder data, der mye er sensitive opplysninger.
- Tiltakene må gjenspeile sikkerhetsbehovet man har behov for.
Datatilsynet i Norge er foreløpig mindre bombastiske i sin tilnærming til bruk av utlandske nettskyer enn sine danske kolleger. Ifølge Thon skyldes dette bare at man i Danmark har behandlet flere saker om dette.
- Det er ingen større dramatikk enn det. Mitt inntrykk er at danskene ligger langt fremme i Europa-sammenheng på dette området.
Etter hvert som også Datatilsynet i Norge får mer erfaring med slike saker, blant annet ved å gå avtalene som gjøres nærmere i sømmene, kan det bli aktuelt med kraftigere lut.
- Ja det kan bli aktuelt også for oss å fraråde bruk av nettskyen. Det kan jeg ikke utelukke, avslutter Bjørn Erik Thon.
Les også:
- [22.07.2014] Kommune tapte Google Apps-anke
- [05.06.2013] Norsk mediegigant velger Google
- [25.09.2012] - De svekket tilliten til skyen
- [24.09.2012] Full seier for Narvik kommune
- [06.03.2012] Narvik får mer tid
- [24.01.2012] Derfor ble det nei til Google
- [24.01.2012] Her er brevet som forbyr Google Apps
- [03.10.2011] - Dette vil ikke Datatilsynet «rushe»
- [22.09.2011] Kjemper mot Datatilsynets «klebrige klør»
- [07.09.2011] Kraftig vekst i nettskyen
- [06.09.2011] Forsvarer spranget ut i nettskyen
- [19.07.2011] Eksperter advarer norske kommuner mot nettskyen
- [11.07.2011] Krever svar fra Facebook
- [07.07.2011] Narvik må svare for Google Apps
- [06.07.2011] - EUs dataregler holder ikke mål
- [04.07.2011] - Ikke alle data er sensitive
- [01.07.2011] Dine nettskydata kan bli utlevert til USA
- [09.05.2011] Narvik velger Google Apps
