– Vit hvor dataene dine er

Advokat med seks råd til de som skal ut i nettskyen.

Interessen rundt nettskyen, fra både private og offentlige virksomheter, har vært stor den siste tiden. Særlig i offentlig sektor har store besparingsmuligheter lokket mange til å lukte på muligheter til innsparing og mer effektiv IT-drift.

Blant annet har Narvik kommune, som digi.no har omtalt i flere artikler, kastet seg uti ved hjelp av Google Apps. Men der har det blitt problemer. Datatilsynet har bedt, og fått, en full redegjørelse fra kommunen. Årsaken er hvordan og ikke minst hvor sensitive data blir lagret rent fysisk.

Men dette er en problemstilling som ikke bare er unik for offentlige virksomheter og etater.

Advokat Ståle L. Hagen, partner i Simonsen og med ekspertise innen kontrakter og teknologi, skriver i en e-post til digi.no at det er betenkelig dersom profesjonelle virksomheter, enten det er i privat eller offentlig sektor, ikke kan redegjøre for hvor personopplysninger befinner seg.

– Her er det dog en klar forskjell mellom situasjonene hvor dataene kan være ”hvor som helst” og de situasjonene hvor dataene kan være på flere ulike men definerte steder. Sistnevnte er etter vår erfaring mer vanlig enn førstnevnte når det gjelder nettskytjenester som blir tilbudt til profesjonelle brukere, skriver Hagen.

Han mener det er tre klare tema kundene må ha klart for seg når de beveger seg ut i nettskyen: 1) Kontrakt, Sikkerhet og Personvern.

– Det vil normalt være personvernreglene som setter de formelle rammene for hva slags type nettskyløsninger som vil være aktuelle, men de aller fleste leverandører som tilbyr nettskyløsninger til profesjonelle brukere vil kunne svare konkret og uttømmende på spørsmål om hvor dataene vil kunne befinne seg i deres tjeneste, opplyser Hagen.

De profesjonelle brukerne, uansett om det er privat eller offentlig sektor, som ikke kan redegjøre for en uttømmende oversikt over hvor virksomhetens data kan befinne seg har et potensielt problem.

- Det er som nevnt ikke nødvendigvis slik at man må vite akkurat hvor dataene er til enhver tid, men en uttømmende oversikt over hvilke lokasjoner må være definert, skriver Hagen.

Han gir her seks råd til profesjonelle brukere som luker på nettskyen:

Ståle Hagen, advokat og partner i Simonsen, mener personvernhensyn er like viktige for private som for offentlige bedrifter i nettskyen,
Ståle Hagen, advokat og partner i Simonsen, mener personvernhensyn er like viktige for private som for offentlige bedrifter i nettskyen, Bilde: Ståle L. Hagen, advokat Simons

De bør:

1) Innhente informasjon fra aktuelle leverandører om hvor dataene skal kunne overføres.

2) Innhente informasjon fra aktuelle leverandører om sikkerheten i løsningen; blant annet i forbindelse med overføring av data, lagring og prosessering, og tilbakeføring og sletting.

3) Verifisere at punkt 1) og 2) tilfredsstiller personvernreglene.

4) Verifisere at det er forsvarlig (blant annet ut fra forretningsmessige hensyn) å overføre dataene til den aktuelle tjenesten. Det er ikke gitt at dette er forsvarlig selv om personvernreglene isolert sett er oppfylt. Her kan svaret variere for ulike type data.

5) Avklare at eventuelle forutsetninger om standardisering som følger av den aktuelle tjenesten er hensiktsmessig for virksomheten man driver.

6) Forhandle frem en god kontrakt som presiserer forutsetningene fra punktene over, og som i tillegg inneholder mekanismer for fleksibilitet og skalerbarhet. Ut over dette vil kontrakten langt på vei kunne baseres på samme mal som tradisjonelle driftskontrakter, med regulering av oppstart, leveringsfase og avvikling.

    Les også:

Til toppen