Visma vil kjøre fagløsninger i Amazon-skyen

- Riktig tenkt, men dette er ulovlig, mener arkivspesialist.

Visma vil kjøre fagløsninger i Amazon-skyen
Flere norske IT-tilbydere ønsker å sende fagsystemer og arkiv ut i utenlandske nettskyer. Dagens lovverk harmonerer ikke med planene. Bilde: Kjersti Magnussen, TU Media

Her spør Visma om Riksarkivet har innvendinger mot planene om å flytte sensitive personopplysninger ut i nettskyen med lagring i utlandet.
Her spør Visma om Riksarkivet har innvendinger mot planene om å flytte sensitive personopplysninger ut i nettskyen med lagring i utlandet.
Visma har sendt en forespørsel til Riksarkivet, der det fremgår at selskapet er midt i en prosess med å modernisere sine fagløsninger.

Etter tur skal Vismas fagløsninger bli tilbudt som skytjenester, og det er et ønske om å benytte Amazons (europeiske) datasentraler for disse, opplyser IT-selskapet.

De legger ikke skjul på at fagløsningene inneholder personsensitive data.

Riksarkivet presiserer: Skyarkiv i utlandet er ulovlig

PPT-tjenesten først

- Første løsning ut vil bli fagløsning for PPT-tjenesten med planlagt utgivelse sommeren 2016. Det skriver produktsjef Harry Myrene i Visma i brevet digi.no har skaffet til veie.

PPT-tjenesten (pedagogisk-psykologisk tjeneste) er en kommunal faginstans, som blant annet hjelper barn, ungdom og voksne med lærevansker. Organet har taushetsplikt og behandler sensitive personopplysninger som er unntatt offentlighet.

Årsaken til henvendelsen er opplagt. Visma skriver: - Vi er kjent med at arkivloven har en bestemmelse om at arkiv ikke skal oppbevares utenfor Norge.

Problemstillingen de reiser er brennaktuell. Flere norske IT-selskaper ønsker å tilby løsninger der arkivverdige og journalpliktige dokumenter lagres i utenlandske nettskyer.

Spørsmålet er om de kan gjøre det uten å bryte loven.

Slik lagring fører med seg mange ulike problemstillinger som må utredes nærmere, skrev Arkivverket i et innlegg på digi.no forrige måned.

Les kronikk: Blir skytjenester blokkert av arkivloven?

Svaret fra Riksarkivet på Vismas henvendelse er en kortfattet henvisning med lenke til nevnte kronikk på digi.no og noen artikler de har skrevet om temaet.

Dermed blir besvarelsen også tolket forskjellig avhengig av hvem vi spør.

- Riktig tenkt, men ulovlig

Thomas Sødring er førsteamanuensis ved Institutt for arkiv- bibliotek- og informasjonsfag, Høgskolen i Oslo og Akershus.

Han synes planene Visma tar opp er «riktig tilnærming, rent teknisk». Men antakelig ulovlig fordi det bryter med paragraf 9b i arkivloven.

- Hensikten er veldig god, men sånn jeg forstår det vil dette fortsatt være ulovlig, sier Sødring.

Hvilket land arkivet er lagret i burde være irrellevant, mener Thomas Sødring ved HiOA. Bilde: PRIVAT

Arkivkjerne på norsk jord

Visma har en egen godkjent frittstående arkivkjerne, som både er lokalt installert ute hos norske kommuner, men også driftes som en skytjeneste hos dem selv med lagring på norsk jord.

Planen slik den fremstår er å fortsette med dette, men å koble arkivkjernen mot fagløsninger som da vil kjøre i en utenlandsk nettsky. Her forutsetter de en sikker (vi antar kryptert) transportvei mellom fagløsning og arkivkjerne.

Ifølge Sødring har arkivkjernen to oppgaver. Det første er å sikre at materialet har bevisverdi, både i lovens forstand og mer løst. For eksempel som rettslig holdbart bevis for at et dokument er sendt eller mottatt. Det andre forholdet er at arkivkjernen skal sikre langsiktig bevaring av dokumentene på en kostnadseffektiv måte. Noark-standarden sikrer dette på en god måte.

Utdatert lovverk

Sødring medgir at arkivloven av 1992 fremstår som noe utdatert. Men han ønsker ikke at den bare skal «falle eller vike for leverandørenes hensyn». Regjeringen har da også satt i gang et arbeid med å revidere lovverket.

En tverssdepartementell arbeidsgruppe har kartlagt hvilke hindre som ligger i lovverket mot bruk av skytjenester. De konkluderte at arkivloven er et hinder for bruk av skytjenester til lagring av arkivmateriale utenfor Norge.

Rapporten (pdf) ble overlevert kommunal- og modernisereingsdepartementet 13. mai 2015, og anbefalte at revidering av arkivloven tas opp til vurdering.

- Egentlig burde det være irrelevant hvilket land arkivet er lagret i. Loven burde i langt større grad sørge for at materiellet er forsvarlig sikret, mener Sødring.

- I hvilken grad blir det et definisjonsspørsmål om arkivet eller kopi lagres utenfor Norge?

- Brukerne kommer til å sitte i Norge. Straks de trykker på lagreknappen kommer dataene til å lagres i Dublin eller Nederland eller noe tilsvarende. En gang i uken vil Visma ta dette tilbake til Norge. Det vi kaller master record eller originalen blir lagret i utlandet, slik jeg tolker det. Rent prinsipielt er dette ulovlig, men hensikten deres om å få dette tilbake til Norge under norsk jurisdiksjon synes jeg er veldig bra, sier arkivspesialisten.

- Svakt

Sødring mener det er synd at Riksarkivet ikke benyttet anledningen til å gi et mer oppklarende svar på Vismas henvendelse.

- Du tolker svaret fra Riksarkivet som et nei til Vismas planer?

- Ja, de sier «du må se på det vi tidligere har sagt». Og de har sagt nei. Jeg synes svaret fra Arkivet er svakt. Det er synd de ikke benyttet anledningen til å ta stilling til det Visma ønsker å oppnå. Ved å bare svare nei virker forvaltningen litt for treig.

Etterlyser avklaring

Visma vet ikke helt hvordan de skal tolke svarbrevet fra Riksarkivet.

- Vi har ikke fått klarhet i det vi spurte om. Derfor har vi bedt om en ytterligere redegjørelse. Jeg vil ikke si at det haster så veldig fra vår side, men vi må planlegge for lenger tid framover og skulle gjerne hatt en avklaring, sier Bård Kåsin, som er produktlinjesjef i Visma Software Labs.

- I hvilken grad opplever dere dagens regelverk som hemmende?

- Jeg vil ikke si det er noen hemsko nå. Men med den teknologiske utviklingen er det ikke utenkelig at flere planlegger løsninger i disse baner. Det er mange eksempler på at dette (nettskyen) fungerer godt i andre bransjer, sier Kåsin.

Lovarbeid

Regjeringen varslet i fjor at de ønsker å fjerne hindre mot nettsky-bruk.

Det inkluderer et arbeid som kan munne ut i en oppmyking av arkivloven. Denne loven og tilhørende forskrift sorterer under kulturdepartementet. Vi har spurt departementet om status på dette arbeidet.

Det uavkortede svaret fra kommunikasjonsavdelingen er som følger:

«Kulturdepartementet (KUD) har i samarbeid med Arkivverket igangsatt kartlegging av endringsbehov i arkivregelverket, i første omgang med hensyn til forskriften. I dette arbeidet har KUD mottatt innspill fra KS, Norsk Arkivråd, Landslaget for lokal- og privatarkiv og arkivledernettverket i departementene.

Dersom det besluttes å sette i gang lov- og forskriftsarbeid med sikte på endringer i gjeldende regelverk, vil departementet legge opp til en bred høring av aktuelle endringsforslag for å sikre åpenhet og involvering.»

Les også hva IKT-Norge mener om problemstillingen: - Hele saken er en smule merkelig