Maktesløs: Datatilsynets direktør Bjørn Erik Thon (bildet) kan ikke stanse utlevering av nettskydata fra Google Apps til USA. Nå åpner han for bruk av Google Apps blant norske virksomheter, men gir ingen blankofullmakt. (Bilde: Marius Jørgenrud)

- Ikke stort vi kan gjøre

Derfor kan ikke Datatilsynet stanse Google Apps.

TOLLBUGATA (digi.no): Datatilsynet raslet lenge med sablene mot Narvik kommunes bruk av Google Apps, som har de innført som epost- og samhandlingsplattform for alle offentlige ansatte.

Kommunen fikk i januar beskjed at bruken av skytjenesten var lovstridig, men nå har tilsynet snudd og konkludert stikk motsatt.

- Google kan ikke selv disponere data fra Google Apps til egne formål (les reklame). Her er det databehandleravtalen som gjelder. Dette må kommunen forsikre seg om sier avdelingsdirektør Helge Veum i Datatilsynet.
- Google kan ikke selv disponere data fra Google Apps til egne formål (les reklame). Her er det databehandleravtalen som gjelder. Dette må kommunen forsikre seg om sier avdelingsdirektør Helge Veum i Datatilsynet. Bilde: Marius Jørgenrud

Med advokatbistand fra Simonsen og etter lang dialog med Google lyktes kommunen få på plass endringer som tilfredsstiller norske personvernregler. Narvik slapp derfor å måtte vrake systemet.

På en pressekonferanse mandag ettermiddag redegjorde Datatilsynet for hvorfor de nå har snudd i saken og trukket sitt varsel om vedtak. De har også vurdert Moss kommunes bruk av Microsoft Office 365.

- I det vesentlige er disse to sakene like, sier avdelingsdirektør i Datastilsynet, Helge Veum.

At ingen riktig vet hvor i verden data lagres i Googles verdensomfattende datasentraler var opprinnelig et viktig ankepunkt mot Narvik kommunes leverandørvalg.

Datatilsynets direktør Bjørn Erik Thon oppfatter at de har klart å presse skyleverandørene Google og Microsoft til bedre avtalevilkår.
Datatilsynets direktør Bjørn Erik Thon oppfatter at de har klart å presse skyleverandørene Google og Microsoft til bedre avtalevilkår. Bilde: Marius Jørgenrud

- Vi ser at verden har kommet dit at en kommune som skal lagre noe i en sky ikke bare kan komme på besøk og si «jeg vil se dataene mine», erkjenner tilsynets direktør Bjørn Erik Thon.

Da trengs andre mekanismer. Thon viser til en serie nye prinsipper som nå etableres, og som blir viktige for alle andre norske organisasjoner som vurderer å ta spranget ut i nettskyen.

- Vi har åpnet for at sikkerhetsrevisjon (kontroll med data) kan utføres ikke bare av den behandlingsansvarlige, altså kommunen, men at tredjepart kan gjøre jobben på vegne av kommunen. Det er et veldig viktig prinsipp som etableres her, sier Thon.

Ingen blankofullmakt

Han understreker at prinsippavklaringen «ikke er en blankofullmakt» til å benytte skytjenester.

En del forutsetninger må være på plass, som at virksomheter gjennomgår en grundig risikoanalyse i forkant. I Narviks tilfelle var det snakk om epost.

- Hvis barnevernstjenestens filer hadde vært lagret i Google Apps kunne vurderingen vår blitt helt annerledes, poengterer Thon.

I sum mener Datatilsynet at de har lykkes med sitt mål om å presse Google til nye avtalevilkår som ikke bryter med norske personvernlover.

- Uten at vi kjenner dialogen mellom Google og Narvik i detalj, så må det jo være sånn at Narvik har klart å presse Google til å komme opp med også nye databehandleravtaler og andre avtalekonsepter enn det som var tidligere. Det var det vi håpet på når vi startet saken, sier Thon.

USAs terrorlovgivning trumfer

Videre sier Thon at de stiller som krav databehandlingen foregår innenfor EU/EØS-området.

Hvis data overføres til USA må det skje etter EUs «Safe Harbour»-rammeverk og i datasentre som er sertifisert for dette. Det er alle Microsofts og Googles egne datasentraler i USA.

- Google har tatt inn i avtalen sin at de garanterer dette. Sånn sett er data som lagres i Google Apps i overensstemmelse med europeiske lovgivning og avtaleverk, sier Thon.

Senior rådgiver Jørgen Skorstad i Datatilsynets juridiske avdeling.
Senior rådgiver Jørgen Skorstad i Datatilsynets juridiske avdeling. Bilde: Marius Jørgenrud

- Både Google og Microsoft ønsket i utgangspunktet å lagre dataene over hele verden, men Google snudde på det punktet. De vil nå begrense seg til Safe Harbour-sertifiserte datasentre i USA og EØS-området for tjenester de tilbyr europeiske brukere, legger Jørgen Skorstad til. Han er seniorrådgiver i Datatilsynets juridiske avdeling.

Men – og dette er et stort men – Safe Harbour er blitt sterkt kritisert tidligere av juridiske eksperter som har sagt at dette lovverket knapt er verdt papiret det er skrevet på.

Årsaken er at USAs kontroversielle terrorlovgivning Patriot Act, som kom i kjølvannet av 11. september-angrepene, trumfer EUs Safe Harbour-avtale med USA. Alle amerikanske selskaper kan bli tvunget til å overlevere data til myndighetene etter rettslig pålegg, også uten at kundene blir informert.

Ikke ideelt

- Data overføres til USA i mange sammenhenger. Ikke bare skytjenester. Jeg tror det er stor enighet blant datatilsyn i Europa om at dette ikke er en ideell situasjon og at Patriot Act kan trumfe databehandleravtaler. Men dette er noe som må håndteres på et helt annet nivå enn der vi er, sier Bjørn Erik Thon på spørsmål fra digi.no.

Han understreker at de ikke liker systemet, men at dette er noe EU og amerikanske myndigheter må håndtere på et høyere plan.

Mangler lovhjemmel

- Kall et det system vi ikke liker, men som det egentlig ikke er stort vi kan gjøre med. Vi har sett at vi ikke har lovhjemmel for å si at en Patriot Act i USA - som i gitt tilfeller kan gå inn å sjekke eposten til for eksempel Narvik komme - at det er tilstrekkelig til at vi kan si nei til at Narvik inngår en avtale med Google Apps, sier Thon.

- Safe Harbour-avtalen er også bindene for oss gjennom EØS. Vi er forpliktet til at disse overførslene kan finne sted så fremt datasentralene i USA er Safe Harbour-sertifiserte, supplerer seniorrådgiver Jørgen Skorstad.

Brev og veileder

Brevene til både Moss og Narvik kommune er nå publisert på tilsynets nettsider. Datatilsynet skal straks også utgi en oppdatert veileder som blir en viktig rettesnor for de som vurderer å ta i bruk nettskytjenester.

Noen forutsetninger

Datatilsynet mener at følgende fire punkter er de viktigste forutsetningene som må være på plass for at norske virksomheter tar i bruk nettskyen med lagring av data i andre land.

  1. Det må gjennomføres grundige risiko- og sårbarhetsanalyser i forkant. Virksomheten må spørre seg selv om hva som kan gå galt, og hvilke følger det i så fall kan få.
  2. Selskapene må ha en tilfredsstillende databehandleravtale som er i tråd med norsk regelverk. Det er kommunen som har ansvar for at lovens krav følges.
  3. Bruken av nettskytjenester må jevnlig revideres. Det vil si at en tredjepart gjennomfører en sikkerhetsrevisjon på vegne av kommunen og sikrer at databehandleravtalen følges.
  4. Databehandleravtalen må være det som gjelder og leverandørens generelle personvernerklæring må ikke gå utover denne.
For oss har prinsippene vært det viktige. Det spiller mindre rolle om det dreier seg om Narvik, Moss, Microsoft, Google, Amazon eller andre tilbydere, sier Datatilsynets direktør Bjørn Erik Thon (t.h)
For oss har prinsippene vært det viktige. Det spiller mindre rolle om det dreier seg om Narvik, Moss, Microsoft, Google, Amazon eller andre tilbydere, sier Datatilsynets direktør Bjørn Erik Thon (t.h) Bilde: Marius Jørgenrud

    Les også:

Til toppen