Digital postkasse

Greit å sende digital postkasse ut i nettskyen? Slik svarer direktoratet

Noe krav om lagring i Norge har aldri vært aktuelt.

Digital postkasse til halve befolkningen skal ut i nettskyen med lagring i EU/EØS.
Digital postkasse til halve befolkningen skal ut i nettskyen med lagring i EU/EØS. (Illustrasjon: Per Ervland)

Noe krav om lagring i Norge har aldri vært aktuelt.

Hei, dette er en Ekstra-sak som noen har delt med deg.
Lyst til å lese mer? Få fri tilgang for kun 235,- i måneden.
Bli Ekstra-abonnent »

Digipost er i ferd med å flytte ut fra Tietoevry sitt datasenter på Gjøvik og ut i Microsofts internasjonale nettsky Azure.

E-boks er også i ferd med å skysette sin løsning, men har foruten valg av Amazon Web Services også bestemt seg for å tilby lokal lagring på et datasenter i København, som før.

Fakta om digital postkasse

Digital postkasse til innbyggere (DPI) har passert 2,4 millioner registrerte brukere. Hver måned mottar de mer enn én million brev og dokumenter. 

Det omfatter alt fra vedtaksbrev, politiattest, skatteoppgjør, epikriser og andre svært sensitive helseopplysninger til kvitteringer fra kjøp i butikken.

Litt over 700 statlige virksomheter og kommuner sender i dag digitale brev på denne måten. Avsender kan også være private bedrifter.

For å skape konkurranse valgte det offentlige å inngå avtaler med to ulike leverandører av digital postkasse, Digipost (Posten Norge) og danske E-boks. Alternativet er å motta papirbrev, som man kan velge gjennom en egen reservasjonsordning.

Hvilke risikoanalyser og betraktninger ligger til grunn for tjenesteutsetting av en nasjonal felleskomponent, som digital postkasse er?

I hvilken grad er sikkerhet og lovkrav ivaretatt når digital postkasse til norske innbyggere driftes fra utlandet?

Digi.no har stilt flere kritiske spørsmål til etaten som er ansvarlig for løsningen. Avdelingsdirektøren for digitale fellesløsninger, Torgeir Strypet, svarer i denne artikkelen.

Konkurranse

Digitaliseringsdirektoratet har aldri på noe tidspunkt stilt krav om at DPI må lagres på eller driftes fra servere i Norge. Det blir forklart med konkurranseforhold.

– Avtalene med Digipost og E-boks ble inngått i samsvar med anskaffelsesregelverket, slik det var gjeldende per 2013, da konkurransen ble utlyst. Et krav om at postkassene og innholdet måtte lagres på servere i Norge ville føre til en konkurransevridning for norske leverandører, som vi ikke mente var forenlig med anskaffelsesregelverket.

– Ved å stille krav om lagring i EU/EØS, gjør vi det mulig for flere aktører å delta i konkurransen, noe som er egnet til å skape et bedre tilbud. Da som nå hadde vi et personvernregelverk som var praktisert på lik måte i EU/EØS-området.

Flytting uten avvik

På spørsmål om hvilke risikoanalyser som ligger til grunn for tjenesteutsetting til utenlandske IKT-leverandører, så svarer avdelingsdirektøren slik.

– Digipost har gjennomført en risikoanalyse for flyttingen av Digipost til en Azure-tjeneste.
Digitaliseringsdirektoratet har gjennomgått risikoanalysen og beskrivelser av flyttingen av løsningen, og vi har vurdert det til at flyttingen ikke fører til noen avvik fra våre krav.

– Digipost sin risikoanalyse konkluderer med at sikkerhet, kapasitet, skalerbarhet og oppetid vil bli godt ivaretatt av de internasjonale, offentlige skyløsningene. En leverandør som Microsoft vil etter deres vurderinger ha god tilgang på ny teknologi, kunnskap og ekspertise. Vi anser analysene til Digipost som grundig gjennomført og gode.

– Digipost har også opplyst at lagring av data, inkludert sikkerhetskopiering, vil være begrenset til EU/EØS. Data vil være kryptert både av Digipost og av Microsoft.

Hva med sikkerhet og lovkrav?

– Digitaliseringsdirektoratet har tett dialog med våre leverandører. Vi opplever at leverandørene har høyt og kontinuerlig fokus på sikkerheten i sine løsninger, og at gjeldende lovkrav blir vurdert og ivaretatt i henhold til avtalen, uavhengig av om serveren står i Norge eller i EU/EØS. Våre leverandører holder seg oppdatert på gjeldende regelverk og teknologi.

Spørsmålet er aktualisert av nye regler EU er i ferd med å meisle ut, som blant annet er knyttet til personvern. Sentralt er en dyp mistro til overvåkning i andre land utenfor EU/EØS, noe som inkluderer lovverk i USA som åpner for utlevering av data fra amerikanske leverandører også fra deres infrastruktur utenfor Amerika.

Vi spør:

– Gitt at norske sykehus og helseaktører sender svært sensitive helseopplysninger til innbyggernes digitalpostkasser. Hva kan hindre amerikanske myndigheter å kreve det samme innholdet utlevert, gitt amerikanske særlover som blant annet Patriot Act, Cloud Act eller hemmelige kjennelser fra FISA-domstolen?

– For helsesektoren finnes det en egen norm for informasjonssikkerhet som fastsetter krav til de leverandører som behandler helseopplysninger. Der helseopplysninger behandles i digital post følges denne normen av postkasseleverandørene, skriver Torgeir Strypet og fortsetter:

– Vi følger nøye med på den utvikling som skjer innenfor personvernområdet, og vi er godt kjent med EU-avgjørelsen som kom i juli (Schrems II-kjennelsen). Vi har tatt inn over oss at «Privacy Shield» ikke lenger er en gyldig avtale for overføring til USA, og at standard kontraktsvilkår ikke nødvendigvis gir tilstrekkelig trygghet. Og både vi og våre leverandører utfører nå nødvendige undersøkelser for å sikre at videre behandling fortsatt er i samsvar med regelverket. Vi påpeker at våre leverandører lagrer data innenfor EU/EØS.

Les også

– Overfører ikke til USA

– Hvilke databehandleravtaler regulerer dataoverføringen som Digipost benytter, og hvem har ansvaret for at denne overføringen skjer med gyldig lovhjemmel?

– Alle våre leverandører, inkludert Digipost, inngår databehandleravtaler med sine underleverandører, og hver av disse må sørge for at nødvendig lovkrav blir innfridd.

– Digipost har databehandleravtale med Microsoft som sin underleverandør gjennom Microsofts standardvilkår. Digipost lagrer data i EU/EØS, og overfører ikke data til USA eller andre tredjeland.

– Privacy Shield gav ikke god nok sikkerhet ved overføring til USA, og EU-domstolen oppfordret til en gjennomgang av gjeldende standard kontraktsvilkår for dem som ikke benyttet Privacy Shield. Per nå er det ikke overført data til USA, svarer Digitaliseringsdirektoratets avdelingsdirektør.

Hva med signalene om nasjonal kontroll?

I tillegg til de juridiske snubletrådene som har oppstått etter EU-domstolens kjennelse, så foregår det en parallell debatt om behovet for nasjonal kontroll over viktig digital infrastruktur i Norge.

Nasjonal sikkerhetsmyndighet (NSM) har gitt uttrykk for bekymring, fordi de mener at for mye samfunnsviktig blir satt bort til utenlandske aktører. Frykten går også på en konsentrasjonsrisiko ved at IKT-infrastrukturen samles hos et fåtall IT-giganter. Flere departementer ser nå på mulighetene for å etablere en egen nasjonal nettsky. Dette er signaler som blant andre Oslo kommune ser positivt på.

– Hva er Digitaliseringsdirektoratets syn på dette. Er de uenige med NSM eller deler de bekymringene?

– Digitaliseringsdirektoratet forholder seg til gjeldende regelverk og anbefalinger, blant annet fra NSM. Gjennom løpende risikovurderinger ser vi på blant annet hvor det er mest formålstjenlig å drifte tjenester og å lagre opplysninger i våre tjenester. Digital post til innbyggere er per i dag ikke en tjeneste som vi mener er av en art som gjør at vi må ha drift og lagring i Norge, men i EU/EØS, som er underlagt samme regelverk.

– Vi kjenner til NSMs vurderinger om konsentrasjonsrisikoen som oppstår ved at mange virksomheter bruker de få store skytjenesteleverandørene, og vi følger med på NSMs veiledning og har løpende faglig dialog, lyder svaret fra Torgeir Strypet.

Sky er en ønsket utvikling

Bruk av de store skyleverandørene er en økende trend vi ser på tvers av både offentlig og privat sektor, ettersom samfunnet blir mer og mer digitalisert. Bruk av skyløsninger er altså ikke noe spesifikt for leverandører av digital post, poengterer han.

– Hovedregelen for valg av skyløsninger er at persondata ikke skal plasseres utenfor EU/EØS-området, som er underlagt det samme personvernregelverket som Norge. Det er ivaretatt i Digipost, slik at sikkerhet og lovkrav er ivaretatt.

Etatens avdelingsdirektør har også sendt oss en generell kommentar til økt bruk av skytjenester, som vi her gjengir i sin helhet.

» Klikk for uttalelse fra Torgeir Strypet om skytjenester

– Stadig flere tar i bruk ny teknologi og velger skytjenester for å møte behovene i fremtiden. Det er en ønsket utvikling. Alternativet er å fortsatt lagre på og drifte egne servere. Skytjenester åpner nye muligheter og bidrar til å gjøre offentlig sektor mer kostnadseffektiv og fleksibel. Skytjenester kan også gi bedre sikkerhet på grunn av større profesjonalitet og standardisering enn hver enkelt kommune eller virksomhet kan klare alene.

– For eksempel: Uten skytjenester hadde det vært vanskelig for Digitaliseringsdirektoratet og mange andre å takle overgangen til hjemmekontor under koronakrisen - slik at vi fortsatt kunne sikre daglig drift og viktige leveranser uavhengig av arbeidssted. Vi må fortsatt vurdere informasjonssikkerhet og risiko like grundig og systematisk som før for å sikre sikker og forsvarlig drift ved overgang til skytjenester. Det kan være krevende, og den nye markedsplassen for skytjenester i regi av DFØ er ett viktig tiltak for å støtte offentlige virksomheter i dette arbeidet.

 

Les også

Kommentarer (4)

Kommentarer (4)
Til toppen