Annonsørinnhold fra  
Advertiser company logo

Full oversikt: Dette sier norsk lov om din bruk av skytjenester

Hvor er dataene? Hvem har rettigheter til dem? Hvor godt er de sikret? Og hvem kontrollerer dem? Dette er noen av de utfordringene offentlige virksomheter må ta hensyn til når de vurderer en skytjeneste.

Del
Tieto Cloud BrandStory
Tieto er Nordens største selskap innen IT-tjenester. Vi leverer helhetlige løsninger for både privat og offentlig sektor. Selskapet er tilstede over hele verden gjennom vår virksomhet innen produktutvikling og våre globale leveransesentre. I mer enn 40 år har vi levert IT-tjenester til kunder i Norden. Tieto har 150 cloud-kunder og har flyttet mer enn 7 000 servere til skyen. I Norge er Tieto lokalisert i 9 byer med hovedkontor på Skøyen i Oslo. Vi har 13 000 ansatte i mer enn 20 land. Tieto Skytjenester

Av: Peter Engelschiøn, advokat, Tieto

Det er mange spørsmål og mye forvirring rundt bruk av nettsky, også kalt cloud computing. Mest av alt dreier diskusjonen seg om lovligheten ved bruk av skytjenester og dermed også vegring mot bruk av skytjenester.

Norge er blant de landene i den vestlige verden som i svært liten grad benytter skytjenester i den offentlige sektor. Grunnen til dette er at det er utfordringer, som gjerne betraktes som hindringer, i lovverket.

Forfatter: Peter Engelschiøn, advokat, Tieto.
Forfatter: Peter Engelschiøn, advokat, Tieto.

I virkeligheten er det ikke så komplisert som det kan se ut som. En nettsky er i grunnen ikke noe annet enn en noe annen form for drift enn det vi er vant med fra gamle driftsavtaler med store eller små driftsleverandører med lokale driftssentre og tilhørende serverparker. Når det er sagt, løfter man dette opp og ut av landet, må kundene sikre seg at det gjøres innenfor norske og internasjonale regler.

Det er særlig tre typer data som det stilles spesielle krav til behandlingen av: finansielle data, arkivdata fra offentlige virksomheter og personopplysninger. Virksomheter må derfor avklare hva slags data de behandler, og hvilke data de ønsker å behandle i en skyløsning. I tillegg må de være bevisste på sikkerheten til dataene de behandler, gjennom risikovurderinger og avklaringer av lovligheten ved behandlingen. Konfidensialitet, integritet og tilgjengelighet er viktige, generelle prinsipper for behandlingen av data, og disse må ligge til grunn for virksomhetenes vurderinger.

Her skal vi ta for oss noen av de mest sentrale utfordringene virksomheter i offentlig sektor må ta hensyn til når de vurderer en skyløsning. 

Få råd og veiledning om skytjenester - ta kontakt med Tieto »

Bokføringsloven

Bokføringsloven gjelder også for fylkeskommuner og kommuner, og omhandler behandling og oppbevaring av regnskapsmateriale. Hovedregelen er at regnskapsmateriale skal oppbevares i Norge (jf. § 13 annet ledd).

Hvis bokføringen skjer på en server utenfor Norge, må materialet overføres for oppbevaring i Norge senest en måned etter at årsregnskapet er fastsatt, og senest syv måneder etter utløpet av regnskapsåret. Dette følger av bokføringslovens tilhørende forskrift § 7-4 første ledd. (Det forekommer unntak for skandinaviske land og Island.)

Personopplysningsloven

Sikkerhet og overføring av personopplysninger har fått mye fokus i forbindelse med nettskyer. Man sitter igjen med ett inntrykk av at disse bestemmelsene kun gjelder for skytjenester. Dette er ikke korrekt. Krav til oppbevaring og behandling av personopplysninger gjelder hva enten man benytter en skytjeneste eller benytter personopplysninger på en annen måte.

En personopplysning er en opplysning eller vurdering som kan knyttes til deg som enkeltperson, slik som for eksempel navn, adresse, telefonnummer, e-postadresse, IP-adresse, bilnummer, bilder, fingeravtrykk, irismønster, hodeform (for ansiktsgjenkjenning) og fødselsnummer (både fødselsdato og personnummer).

Opplysninger om atferdsmønstre er også regnet som personopplysninger. Opplysninger om hva du handler, hvilke butikker du går i, hvilke tv-serier du ser på, hvor du beveger deg i løpet av en dag, og hva du søker etter på nettet, er alt sammen personopplysninger. En av de nyere utfordringene for personvernet er at vi legger igjen så mange digitale spor. Disse opplysningene utnyttes ofte kommersielt uten at du har samtykket til det.

Sensitive personopplysninger er opplysninger om

  • rasemessig eller etnisk bakgrunn
  • politisk, filosofisk eller religiøs oppfatning
  • at en person har vært mistenkt, siktet, tiltalt eller dømt for en straffbar handling
  • helseforhold
  • seksuelle forhold
  • medlemskap i fagforeninger

Så lenge det foreligger en databehandleravtale, er det fullt lovlig å overføre data til andre land. Innen EU-/EØS-land er det tilstrekkelig med en vanlig databehandleravtale, og man kan ta utgangspunkt i denne malen som ligger på Datatilsynets hjemmesider. Hvis en virksomhet skal overføre data til land utenfor EU/EØS (tredjeland), er det tilstrekkelig at virksomheten (behandlingsansvarlig) og leverandøren deres (databehandleren) inngår en EU Model Clause-avtale om overføring av personopplysninger utenfor EU/EØS. I tillegg til dette er det etablert «Privacy Shield» til erstatning for «Safe Harbor» som regulerer overføring av personopplysninger til USA, f.eks. Microsoft.

Gjennom etablering av korrekte avtaler og stringent oppfølging setter dermed loven ikke større begrensninger for bruk av nettsky.

Arkivloven

Arkivloven bestemmer at arkivmateriale ikke skal føres ut av landet uten etter særskilt samtykke fra Riksarkivaren (§ 9b) Bestemmelsen kom til verden lenge før skytjenester ble etablert, og dermed etablert uten tanke på mulighetene som ligger i dagens teknologi.

Formålet med bestemmelsen var å sikre at data ikke går tapt for kommende generasjoner, og i lys av datiden anså man det for viktig at arkivene fysisk befant seg i Norge. Likevel har Riksarkivet på bakgrunn av lovens bokstav avgitt en uttalelse om at arkivmateriale og sikkerhetskopier av arkivmateriale ikke kan lagres utenfor Norge, og er dermed til hinder for offentlige virksomheters bruk av nettskyer med servere utenfor Norge

Lokal lovgivning

På bakgrunn av særlig Snowden er det blitt pekt på usikkerhet rundt utlevering av data til og fra amerikanskbaserte selskaper som drifter for europeiske selskaper. Snowden har som kjent avslørt at slik utlevering har funnet sted i stort omfang. Det er også litt oppsiktsvekkende at andre europeiske land har mye av den samme lovgivning rundt krav om utlevering av data som USA, uten at man har funnet grunn til å belyse dette på samme måte som når USA pålegger sine lokale selskaper slik utlevering.

Under enhver omstendighet må man erkjenne at dette er et problematisk område, der balansen mellom personvernet og hensynet til kampen mot terror er vanskelig. På den positive side i personvernets navn kan man imidlertid spore et bedre vern for personopplysninger ved den ovennevnte «Privacy Shield», og en ny dom for amerikansk domstol: Microsoft vant nylig en sak mot amerikanske myndigheter der spørsmålet var om amerikanske myndigheter kunne få utlevert data på en server i Irland. Dette svarte domstolen nei til. Det gjenstår imidlertid å se hvilket utfall saken vil få etter en anke.

Få råd og veiledning om skytjenester - ta kontakt med Tieto »