Jussprofessor Dag Wiese Schartum ved UiO advarer norske kommuner mot å kaste seg ut i nettskyen etter digi.nos avsløringer.
Korrespondansen mellom Narvik kommune og Google, som digi.no har fått tilgang til, viser nemlig at kommunen umulig kan vite hvor personopplysningene deres blir lagret.
Det kan være i strid med norsk lovverk.
Som landets første kommune har Narvik kjøpt inn Google Apps som plattform for e-post og kalender. 615 lisenser er kjøpt inn. De har også tatt i bruk løsningen for 2.300 personer i utdanningssektoren.
- Les kommunens invitasjon til anbud (pdf, 3 sider)
- Les svar på anbudskonkurransen fra Google og underleverandør Avalon (pdf, 6 sider)
- Her er kontrakten mellom partene (pdf, 2 sider)
Valget gjør dem til pionerer i norsk offentlig sektor. Men ved å gå i front og kaste seg ut i nettskyen møter de også ukjent farvann.
Datatilsynet er bekymret for håndteringen av personopplysninger i løsningen og krever en redegjørelse fra kommunen, med svarfrist tidlig i august. Danmark har forbudt den samme løsningen i kommunesektoren.
Hemmelig lagringssted
Et sentralt punkt i slike saker er hvorvidt Datatilsynet kan utøve den makten og tilsynsmyndigheten de er pålagt. Det krever blant annet oversikt over hvor dataene er lagret.
Men dette kan ikke kommunen vite. Tvert imot understreker Google selv at plasseringen av Googles datasentraler er hemmelig.
«Det gis ingen opplysninger om hvilket datasenter dataene dine lagres i», opplyser nettgiganten. Selskapet har ikke datasentre i Norge.
- Kjent lagringssted innen EØS-området er spesielt viktig, fordi skiftende lagring et eller annet sted på planeten ellers setter Datatilsynet og samarbeidende europeiske tilsynsmyndigheter ut av spill, sier prosessor Dag Wiese Schartum ved Institutt for rettsinformatikk, UiO, til digi.no.
At datalagringen skjer på hemmelig sted i utlandet er med andre ord med på å undergrave Datatilsynets viktigste oppgave.
Schartum sier videre at «en avtale som ikke sikrer den behandlingsansvarlige, her Narvik kommune, umiddelbar tilgang til egne data, og der det er uklart hvor opplysningene er lagret, ganske sikkert ikke er i tråd med personopplysningsloven».
- Det er mulig de stoler på at det Google og andre store aktører tilbyr er lovlig. Uansett pålegger internkontrollbestemmelsen i personopplysningsloven, paragraf 14, at den behandlingsansvarlige (for eksempel kommunen) å vurdere lovligheten av slike avaler på en selvstendig måte, og eventuelt treffe tiltak for å sikre at ordningen er i samsvar med loven.
Inntil videre ville jeg vært meget forsiktig med å inngå slike avtaler. Jusprofessoren legger til at nettskyer er blant tingene som er oppe til vurdering i samband med revisjonen av personverndirektivet.
- Det er åpenbart behov for felles løsninger på dette området, dersom det skal være mulig fortsatt å ha felles europeisk regulering av personvern.
- Inntil videre ville jeg vært meget forsiktig med å inngå slike avtaler, sier professor Dag Wiese Schartum til digi.no.
- På trygg grunn
I kjølvannet av digi.nos saker om problemstillingene som nettskyen reiser, har Narvik kommune lagt ut en pressemelding:
- Vi har før overgangen til Google Apps nøye vurdert de fleste av de problemstillinger som Datatilsynet reiser og mener vi er på trygg grunn. Vi arbeider nå med å besvare henvendelsen fra Datatilsynet på en tilfredsstillende måte.
Ledelsen i Narvik kommune opplyser i en e-post til digi.no at «så langt som vi har brakt i erfaring har vi vurdert at vi ikke har brutt loven».
- Basert på leverandørens egen beskrivelse av datasikkerhet og integritet ved Google Apps, mener vi at sikkerhet og integritet ved løsningen er tilstrekkelig beskrevet og underbygget i forhold til kommunens behov for e-post til ansatte, skriver IT-sjef Per Jacobsen.
Jacobsen har ikke svart på spørsmål om hvordan de kan drive internkontroll uten å vite hvor dataene befinner seg. Han svarer derimot at data i løsningen lagres på «fysisk egnede steder».
- Hvordan skal en «maur» kontrollere en «elefant»?
Det retoriske spørsmålet stilles av Tommy Tranvik, statsviter med doktorgrad fra UiB, og forsker ved avdeling for forvaltningsinformatikk, Universitetet i Oslo.
Han har skrevet flere bøker og vitenskapelige artikler om e-forvaltning i offentlig sektor og sitter på mye konkret kunnskap om faktisk bruk av nettskyavtaler i Norge.
- Mitt inntrykk er at aktører i offentlig sektor, spesielt kommuner og fylkeskommuner, er relativt lite kjent med problemstillingene dere tar opp, sier Tranvik til digi.no.
Den viktigste rettslige utfordringen for dem er ikke hvor dataene lagres, men kontroll over dataene. Da blir geografi likevel en del av problemkomplekset, mener han.
Ifølge norsk og europeisk personvernlovgivning er det kunden som skal bestemme vilkårene for leverandørers behandling av data, inkludert det å stille krav til sikkerheten.
- Men hvis leverandøren er en global gigant (Gogle, Microsoft, Amazon og så videre) og kunden er en kommune innerst i fjorden?, spør Tranvik.
Det er her forskeren trekker frem sammenligningen mellom mauren og elefanten.
- Hvordan skal kunden kunne bestemme vilkårene i møte med gigantene? Spesielt når det dreier seg om standardiserte volumtjenester og hvor avtalevilkårene også er standardiserte?
Utfordringen blir ikke mindre av at mange norske kommuner og fylkeskommuner nå sikler etter å ta slike tjenester i bruk. Ifølge statsviteren oppleves tjenestene som både gode og nyttige, og dessuten oppfatter mange at det er penger å spare på å velge nettskyen.
- Det betyr at selv om offentlige virksomheter er svært opptatt av å følge den smale sti, kan det tenkes at enkelte av dem ikke er altfor interessert i å vite for mye om hvilke regulatoriske utfordringer som finnes.
Gode råd
Tommy Tranvik har følgende råd til norske virksomheter som vurderer å ta i bruk nettskytjenester:
1) Vurder nøye behovet for å ta denne typen IT-tjenester i bruk. Vurder også nøye hvilke data eller informasjon som eventuelt vil bli utlevert. Hvor viktige data er det snakk om? Er de så viktige at vi bør har full kontroll med dem selv?
2) Vurder nøye om og eventuelt hvilke rettslige forpliktelser som er knyttet til informasjonen som settes ut. Hvordan er vi selv pålagt å håndtere denne informasjonen? Her dreier det seg særlig, men slettes ikke bare, om personopplysningslovens bestemmelser.
3) Vurder avtalevilkårene nøye. Hvordan kan vi forsikre oss om at våre rettslige forpliktelser blir ivaretatt av skyleverandøren. Her er det ikke dumt å utruste seg med dyktig advokatbistand.
4) Vurder avtalevilkårene nøye, selv om den informasjonen som settes ut ikke er gjenstand for rettslig regulering. Vær spesielt oppmerksom på hvordan sikkerhetbehov ivaretas og hva som står om avslutningen av kundeforholdet. Dette handler om at det kan være enkelt å sette bort driften, men det kan være langt vanskeligere å ta driften tilbake igjen. Hvordan dette skal foregå i praksis bør spesifiseres i avtalen.
Datatilsynet har også laget en veileder for problemstillinger som er viktig å ta hensyn til, ved valg av nettskytjenester.
Les også:
- [22.07.2014] Kommune tapte Google Apps-anke
- [05.06.2013] Norsk mediegigant velger Google
- [25.09.2012] - De svekket tilliten til skyen
- [24.09.2012] Full seier for Narvik kommune
- [06.03.2012] Narvik får mer tid
- [24.01.2012] Derfor ble det nei til Google
- [24.01.2012] Her er brevet som forbyr Google Apps
- [03.10.2011] - Dette vil ikke Datatilsynet «rushe»
- [30.09.2011] – Vit hvor dataene dine er
- [22.09.2011] Kjemper mot Datatilsynets «klebrige klør»
- [07.09.2011] Kraftig vekst i nettskyen
- [06.09.2011] Forsvarer spranget ut i nettskyen
- [19.07.2011] Eksperter advarer norske kommuner mot nettskyen
- [07.07.2011] Narvik må svare for Google Apps
- [06.07.2011] - EUs dataregler holder ikke mål
- [06.07.2011] Danske myndigheter fraråder nettskyen
- [04.07.2011] - Ikke alle data er sensitive
- [01.07.2011] Dine nettskydata kan bli utlevert til USA
- [09.05.2011] Narvik velger Google Apps