Ikke fritt frem i nettskyen

KOMMENTAR: Dette betyr Datatilsynets Narvik-vedtak.

Ikke fritt frem i nettskyen
Norske virksomheter som vil ta i bruk nettskytjenester må trå varsomt, men Datatilsynets vedtak i Narvik-saken bidrar til mer klarhet enn før. Bilde: Per Ervland

Datatilsynet har gitt Narvik kommune grønt lys til å bruke skytjenesten Google Apps. Hva betyr dette for kommuner som vurderer å anvende tilsvarende tjenester?

Kronikken er skrevet av Tommy Tranvik, forsker og rådgiver ved Senter for IKT i utdanningen.
Kronikken er skrevet av Tommy Tranvik, forsker og rådgiver ved Senter for IKT i utdanningen.

Aldri vært forbudt

Skytjenester (av typen Google Apps eller Office 365) oppfattes av mange i lokalforvaltningen, kanskje spesielt i skolesektoren, som attraktive. Dette fordi tjenestene blant annet tilbyr rik funksjonalitet i kombinasjon med større fleksibilitet og lovnader om lavere IT-kostnader. Senter for IKT i utdanningen har derfor vært tidlig ute med veiledningsmateriale til skolesektoren med hensyn til bruk av skytjenester.

Men samtidig med at bruken av skytjenester i skolesektoren har økt, har det vært tvil knyttet til om personvernlovverket setter en stopper for anvendelsen av slike tjenester. Lovverket har imidlertid aldri inneholdt noe forbud mot bruk av skytjenester. Datatilsynets vedtak i Narvik-saken innebærer derfor ikke at noe som tidligere var forbudt nå plutselig er blitt lovlig. Dermed er det heller ikke fritt frem for skoleeiere (eller andre virksomheter i offentlig eller privat sektor) som ønsker å ta skytjenester i bruk.

Verdien av Datatilsynets vedtak er at det skaper større klarhet i hvilke rettslige krav som gjelder for skoleeieres anvendelse av skytjenester. Essensen i saken er følgende: Hvis skoleeier stiller de riktige kravene til tjenesteleverandøren og kravene oppfylles av leverandøren, så vil bruken av tjenesten være lovlig. Men hvis feil krav stilles eller riktige krav ikke oppfylles, så vil bruken være ulovlig.

Rettslig uklarhet

Uklarheten om hvilke krav som må stilles og oppfylles, har særlig knyttet seg til reglene i personopplysningsloven med forskrift. Dette gjelder spesielt reglene om bruk av såkalte databehandlere, det vil si eksterne aktører som håndterer personopplysninger på oppdrag fra skoleeier. Her er utgangspunktet at skoleeier plikter å inngå en skriftlig avtale med databehandleren, i dette tilfellet leverandøren av skytjenesten. Avtalen skal begrense hva leverandøren kan bruke personopplysningene til, stille krav til leverandørens sikring av opplysningene og regulere hvilke land som opplysningene kan overføres til.

Men hvilke konkrete avtalevilkår må skoleeier få leverandøren til å godta for å overholde reglene i personopplysningsloven? Det er dette spørsmålene som Datatilsynets vedtak i Narvik-saken har bidratt til å lyskaste sterkere.

Hovedvilkårene

De viktigste vilkårene som Datatilsynet mener må være på plass for at bruken av skytjenester skal være i overenstemmelse med lovverket, kan oppsummeres i følgende punkter.

For det første må leverandøren forsikre om at personopplysningene ikke brukes til andre formål enn de som er avtalt med skoleeier, for eksempel at de ikke utleveres til en tredjepart uten godkjennelse fra skoleeier (med mindre utleveringen skyldes en rettslig forpliktelse som ikke strider mot norsk lov).

For det andre må det skal avtales hvor personopplysningene lagres. Her må leverandøren forsikre om at opplysningene ikke ulovlig overføres til land utenfor EU/EØS.

For det tredje må leverandøren dokumentere hvilke tekniske og organisatoriske tiltak som er iverksatt for å unngå brudd på informasjonssikkerheten. Her handler det blant annet om at virtualiseringsløsninger og logiske sikkerhetsbarrierer må sikre at skoleeiers opplysninger ikke blandes sammen med data fra andre kunder, at tilfredsstillende sikkerhetskopiering kan dokumenteres, at rutiner for sletting av personopplysninger fra leverandørens lagringsmedium må avtales og at leverandøren må dokumentere tilfredsstillende kontroll med hvilke ansatte som har tilgang til personopplysningene.

Til slutt åpnes det for at uavhengige revisjonsfirmaer kan gjennomføre sikkerhetsrevisjoner hos leverandøren og sjekke at leverandøren overholder sine avtaleforpliktelser (skoleeier må få tilgang til revisjonsrapportene).

Viktig ledesnor

Ut over dette, understreker Datatilsynet at skoleeier må kartlegge hvilke typer personopplysninger som leverandøren vil behandle, og gjennomføre tilfredsstillende risikovurderinger av hele systemløsningen.

Selv om lovlig bruk av skytjenester fortsatt vil innebære en del arbeid for å sikre at vilkårene blir ivaretatt, viser Narvik-saken at dette er mulig å få til. Vedtaket til Datatilsynet kan derfor vise seg å bli en viktig ledesnor for skoleeiere og andre virksomheter som ønsker å benytte seg av slike tjenester.

    Les også:

Les mer om: