- Det kan bli aktuelt også for oss å fraråde bruk av nettskyen, sier direktør i Datatilsynet Bjørn Erik Thon. (Bilde: Per Ervland)

Danske myndigheter fraråder nettskyen

- Kan bli aktuelt også her, sier Datatilsynets Bjørn Erik Thon.

Danske myndigheter stoler ikke på at sikkerheten i nettskyen er god nok til å håndtere persondata.

Forbudet

Etter påtrykk fra det danske datatilsynet valgte Rådet for IT-sikkerhet nylig å fraråde bruk av cloud computing-løsninger i det offentlige. Tilsynet har gått enda lenger og forbyr bruk av Google Apps i danske kommuner.

IT-sikkerhetsrådet har også uttalt seg kritisk til bruken av Microsofts Azure-plattform, etter lekkasje av sensitive personopplysninger i en offentlig nettjeneste.

Odense har lenge kjempet for å ta i bruk Googles nettsky som en plattform blant annet i skoleverket. Men før danske myndigheter kan gi grønt lys for nettskybruk i offentlig regi må en rekke krav være oppfylt. Landets personvernmyndigheter har en rekke innvendinger.

Prøvekluten

I Norge har ikke offentlig sektor kommet like langt, men også her er Datatilsynet bekymret for hva bruk av cloud-løsninger med uklare lagringsforhold i utlandet kan innebære av risiko for personvernet.

Nylig valgte Narvik kommune å gå over til Google Apps, som plattform for e-post, kalender og tilhørende gruppevare.

Datatilsynet følger denne overgangen med argusøyne, fordi Narvik er landets første kommune som gjør dette.

- Narvik kommune er den første saken vi tar opp når det gjelder nettskyløsninger mot offentlig sektor. Det blir en prøvesak for vår behandling av slike saker. Samtidig er vi godt kjent med hva som har skjedd i Danmark, sier Datatilsynets direktør Bjørn Erik Thon til digi.no.

Utleveringen

Den siste tiden har digi.no satt søkelyset på hvordan data i nettskyen kan bli overlevert til amerikanske myndigheter, selv om innholdet er lagret i EU-området. Årsaken er at de store leverandørene med hovedsete i USA må forholde seg til landets strenge innsynsregler.

- Det er her noe av bekymringen ligger, med utlevering til land du ikke har noe forhold til. At amerikanske myndigheter kan få innsyn er langt utenfor formålet med lagringen. Dette kan oppsummeres under fanen «miste kontroll over dataene», sier Thon.

Datatilsynets direktør påpeker at de i Norge kan dra på tilsyn og at forholdene dermed er gjennomsiktige.

- Det stiller seg helt annerledes hvis data lagres i andre land og andre kulturer. Jeg trekker ikke frem Norge som et glansbilde, men det er andre land som er mer utsatt for korrupsjon.

Veiledningen
- Finner dere grunn til å fraråde bruk av nettskyen?

- Nei, vi har ikke gjort det til nå. Men slik personopplysningsloven er bygget opp, er det en del ting man må gjøre før man inngår avtale med en leverandør. Det vi har gjort er å lage en veileder, sier Bjørn Erik Thon.

I denne veiledningen gjør Datatilsynet rede for kravene som bruk av nettskyen stiller i forhold til personopplysningsloven og helseregisterloven.

- Datatilsynet stiller som krav at man må gjøre risikovurderinger, ha på plass klare avtaler, oversikt over sikkerhetstiltak, opplysninger om hvor dataene plasseres og sikkerhetsrevisjoner. Alt dette er krevende.

Videre påpeker Thon at Google normalt baserer seg på standardavtaler, uten rom for lokale tilpasninger.

- Da tror vi det kan være krevende å gjennomføre noen av tiltakene som ligger i lovverket.

Forskjellen

Personvernets høye beskytter mener imidlertid at det er forskjell på en liten postordrebedrift med et kunderegister og store konsern, kommuner eller statlig etater som behandler store mengder data, der mye er sensitive opplysninger.

- Tiltakene må gjenspeile sikkerhetsbehovet man har behov for.

Datatilsynet i Norge er foreløpig mindre bombastiske i sin tilnærming til bruk av utlandske nettskyer enn sine danske kolleger. Ifølge Thon skyldes dette bare at man i Danmark har behandlet flere saker om dette.

- Det er ingen større dramatikk enn det. Mitt inntrykk er at danskene ligger langt fremme i Europa-sammenheng på dette området.

Etter hvert som også Datatilsynet i Norge får mer erfaring med slike saker, blant annet ved å gå avtalene som gjøres nærmere i sømmene, kan det bli aktuelt med kraftigere lut.

- Ja det kan bli aktuelt også for oss å fraråde bruk av nettskyen. Det kan jeg ikke utelukke, avslutter Bjørn Erik Thon.

    Les også:

Til toppen