Forsvarer spranget ut i nett­skyen

Her er Narvik kommunes svar til Datatilsynet etter valget av Google Apps.

Datatilsynet har bedt Narvik kommune redegjøre for valget av Google Apps, som plattform for e-post, kalender og gruppevare.

Den utløsende årsaken var en klage fra en privatperson, som fryktet for håndtering av personopplysninger i nettskyløsningen.

Nå foreligger redegjørelsen fra kommunen, som danner grunnlaget for hvordan Datatilsynet vil behandle lignende saker.

digi.no har skrevet en serie artikler om at spranget ut i nettskyen ikke er uproblematisk for offentlig sektor. Stridens kjerne er uklare forhold knyttet til sikring og kontroll over personopplysninger. Kundene vet ikke hvor dataene lagres i Googles serverpark i utlandet. Det er en forretningshemmelighet.

Svarer Datatilsynet: Per Jakobsen er leder for IT-drift og utvikling i Narvik kommune.
Svarer Datatilsynet: Per Jakobsen er leder for IT-drift og utvikling i Narvik kommune.

Danskene, som har kommet lenger i digitaliseringen av offentlig sektor, forbyr bruk av Google Apps i kommuner. Slik bruk kan også være i strid med norsk lovverk, advarer norske jusseksperter.

I sitt svarbrev til Datatilsynet (pdf, 11 sider) skriver Narviks IT-sjef Per Jacobsen at deres primære bruksområde for Google Apps er e-post til og fra kommunens ansatte.

Kontorpakkens verktøy for intern samhandling, med blant annet deling av dokumenter, oppgis å være formålstjenlig å ta i bruk, men det poengteres at all saksbehandling skal foregå i andre kommunale fagsystemer.

Deling av ferielister, rutiner og retningslinjer, dokumenter for opplæring, register over IT-systemer med tilhørende navn på driftspersoner, SLA-rammeverk, sammenstilling av økonomitall fra ulike enheter og påmelding til fellessamlinger er eksempler på bruk av Google Apps som ifølge Jacobsen kan bli aktuelle.

– De personopplysningene det vil være snakk om å lagre i ovennevnte eksempler gjelder kommunalt ansatte og innebærer navn, telefonnummer, e-postadresse og organisasjonstilhørighet. Alt dette er åpnet tilgjengelige personopplysninger som også publiseres på kommunens websider, skriver IT-sjefen.

Intern opplæring skal sørge for å håndheve interne rutiner om ikke å sende personsensitive opplysninger.

Jacobsen er også innom hva som kan skje hvis e-post sendes dem fra ekstern part. Da er vedkommende selv ansvarlig for innholdet, mener han.

– Man kan allikevel forestille seg at avsender ikke innehar nok teknisk kompetanse til å vurdere om den elektroniske kommunikasjonskanalen er sikker nok for sitt bruk, men dette vil da også kunne sees i parallell til ordinær postforsendelse, der en vanlig avsender ikke kan anses å kunne vurdere gjeldende sikkerhetsnivå i postens distribusjonssystem.

Kommunen understreker at de har foretatt en grundig risikoanalyse knyttet til innføring av løsningen, inkludert blant annet lagring av informasjon innen EU eller USA (innsyn fra tredjepart), datainnbrudd, kompromittering av sensitive opplysninger og mulige juridiske hindre ved overgang til ny plattform.

Det vises til at Google jevnlig gjennomfører sikkerhetsrevisjoner av egne systemer gjennom tredjepart. Narvik kommune opplyser at de har avtale med Google om å få tilgang til deres rapporter.

Et sentralt punkt er om det foreligger en databehandleravtale mellom kommunen og Google, samt beskrivelse av informasjonssystemets utforming og plassering. Det ser det ikke ut til å gjøre.

Her kan ikke Narvik kommune vise til annet enn standardbetingelser som Googles «Security whitepaper» (pdf), tilslutning til EUs «Safe harbour»-rammeverk og tilgangen til tredjeparts sikkerhetsrevisjonsrapporter.

– Sett i lys av at leveransen primært er e-post til kommunalt ansatte, er det ønskelig at dette i sum skal tilfredsstille myndighetenes krav om databehandleravtale, skriver Per Jacobsen.

Det gjenstår å se om svarene tilfredsstiller de kravene Datatilsynet stiller etter lov og forskrifter om personopplysninger.

Redegjørelsen ble oversendt torsdag i forrige uke, men Datatilsynet hadde mandag ennå ikke rukket å gjøre seg kjent med svaret.

Behandlingen kan fort vise seg å ta et par uker. digi.no har bedt om en foreløpig kommentar fra Datatilsynets ledelse, og kommer tilbake med mer når denne foreligger.

    Les også:

Til toppen