JUSS OG SAMFUNN

Derfor ble det nei til Google

Slik vil Datatilsynet tvinge nettgiganten til å endre seg.

Direktør Bjørn Erik Thon i Datatilsynet mener bruken av Google Apps bryter med norsk lov. Sammen med sine personvernkolleger i Europa vil han tvinge fram endringer.
Direktør Bjørn Erik Thon i Datatilsynet mener bruken av Google Apps bryter med norsk lov. Sammen med sine personvernkolleger i Europa vil han tvinge fram endringer. Bilde: MARIUS JØRGENRUD
24. jan. 2012 - 09:51

Ifjor valgte Narvik som landets første kommune å gå over til Google Apps som e-postsystem for alle ansatte. Nå har Datatilsynet satt foten ned. De mener bruken av nettskyløsningen er ulovlig, og må opphøre.

Stridens kjerne er nært knyttet opp mot hvordan Google opererer. Nettgiganten oppgir ikke hvor i selskapets enorme serverpark, eller i hvilke land, dataene lagres. Dermed kan norske virksomheter heller ikke gjennomføre tiltakene som loven krever for sikring av personopplysninger.

- Vi har gått igjennom og sett på kravene som stilles i lovverket opp mot Google Apps-produktet. Vi har sett på muligheten for å få informasjon om hvor dataene lagres, slik loven krever. Det vet ikke Narvik kommune, og det kan ikke Google forklare. Det samme gjelder kravene til å utføre sikkerhetsrevisjoner. De har heller ingen ordentlig databehandleravtale, slik personopplysningsloven krever, sier Datatilsynets direktør Bjørn Erik Thon til digi.no.

- Totalt sett har ikke Narvik kommune mulighet for å gjennomføre det sikkerhetsregime som kreves av en norsk kommune, eller noen som driver med databehandling, sier Thon.

Narvik kommune ble ifjor avkrevet en redegjørelse fra personvernmyndighetene om valget av løsningen. De forsvarte seg blant annet med at all saksbehandling skal holdes utenfor Google-løsningen og foregå i kommunens interne fagsystemer. Les: Forsvarer spranget ut i nettskyen.

Et poeng Thon fremhever er hvordan Narvik har nedfelt interne retningslinjer for å hindre at ansatte sprer personopplysninger i Googles e-postsystem. Det er ikke tilstrekkelig.

- Kommunen kan ikke fullt ut kontrollere at det ikke kommer sensitive data sendt med innkommende e-post, altså at folk sender slike opplysninger til dem.

- Hva betyr vedtaksvarselet deres i praksis. Må kommunen nå slutte å bruke Google Apps?

- Ja, det må de. Det er egentlig det viktigste i denne saken. Skytjenester er jo veldig inn for tiden, og det er mange som tilbyr slike. Vi har sett på flere kontrakter. Jeg tror det er stor enighet om at dette er et typisk umodent marked. Det du inngår av kontrakter med en tjenesteleverandør, i dette tilfellet Google, har vilkår nærmest uten mulighet for innvirkning. Som kommune havner du da nærmest i en «take it or leave it»-situasjon.

- Man må bort fra denne tenkningen hvis skytjenester skal være bra for personvernet, sier Datatilsynets direktør.

Narvik er en av kommunene som var involvert i Terra-skandalen, og Thon sier han forstår godt at de i en vanskelig økonomisk situasjon ønsket å velge et IT-system som «sikkert er brukervennlig og billigere enn de de hadde før».

- Sånn sett er det egentlig mest Google som er adressat for dette vedtaket. Her er det viktig at det kommer på plass nye og bedre avtalevilkår, sier han.

Hva blir konsekvensen for andre norske virksomheter som har tatt i bruk Google Apps?

- De må lese avtalen med Google veldig nøye. Er det sånn at de inngår en avtale med Google som er helt lik (standardavtalen deres, journ.anm.), så har vedkommende akkurat de samme problemene.

Dette er et viktig poeng. Etter det digi.no kjenner til tilbyr ikke Google per i dag noe annet enn denne standardavtalen. Følgelig vil bruken av Google Apps kunne være ulovlig for alle norske virksomheter.

- Dersom du ikke kan gjennomføre sikkerhetsrevisjoner, og følgelig har fysisk tilgang til serveren der data lagres, så gjelder akkurat samme problemstilling med andre tjenester, bekrefter Thon.

Han understreker at de med dette ikke nedlegger et generelt forbud mot alle skytjenester.

- Vi setter med dette ikke et forbud mot skytjenester. Vi har sett på denne ene kontrakten. Vi vet også at det er andre som har tatt kontakt med oss og ønsker dialog, uten at det så langt har kommet noen offisielle henvendelser. Det er en sånn type dynamikk vi håper skal komme nå.

- Hvilke andre nettskyleverandører er berørt?

- Det kan jeg ikke svare på. Vi har valgt å konsentrere oss om denne ene saken. Du vil se av brevet at dette er en sak vi har lagt veldig mye arbeid i og vi har gjort grundige vurderinger. Men det kommer helt sikkert andre saker i kjølvannet av denne, sier Thon.

Felles front

Norge er helt på linje med danske personvernmyndigheter, som har kommet til akkurat den samme konklusjonen med Odense kommune som eksempel. Også andre europeiske kolleger av Datatilsynet deler deres oppfatning, slik Thon tolker stemningen.

- Både vi og andre land setter nå ned foten. Skal man tilby skytjenester i Europa og Norge kan man ikke jobbe med slike kontrakter.

Datatilsynet har også utført en konsekvensutredning av hva et eventuelt «ja» til Narvik kommunes bruk av Google Apps ville vært.

- Da ville vi åpnet opp for storstilt bruk av en avtalekonstruksjon som vi mener ville brutt med loven. Det ville også sendt et helt feil signal til leverandørene om at det er fritt frem og at de kan gjøre hva som helst.

- Du frykter ikke at Datatilsynet vil bli oppfattet som bakstreverske i denne saken? Mange mener at sikring og personvern i Googles nettjenester er vel så bra som hva en liten norsk kommune kan tilby i interne systemer.

- Det har jeg vært åpen for hele tiden. Ikke at vi er bakstreverske, men at sikkerheten i denne tjenesten kan være bedre enn det Narvik hadde tidligere. Det kan godt hende. Men denne saken dreier seg om noe annet. Som myndighet må vi si ifra når et av de kanskje største og mest innflytelsesrike selskapene i verden, Google, har vilkår som bryter med norsk lovverk. Det ville vært svakt av oss som tilsynsmyndighet å ikke reagere mot dette.

- Kan det være aktuelt å endre lovverket?

- Jeg skal ikke utelukke det. Det skjer store teknologiendringer og ting lagres nå annerledes enn tidligere. Men jeg synes ikke at vi skal begynne i den enden. Vi bør begynne slik at Google som opererer med denne typen vilkår tilpasser seg. Det blir veldig spennende å se hvordan Google vil forholde seg til dette.

    Les også:

Les mer om:
Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.
Tekjobb
Se flere jobber
En tjeneste fra