Kommune-Norge ut i nettskyen

Kommune-Norge ut i nettskyen

DND: Skytjenester åpner muligheter for kostnadseffektiv og fleksible it-løsninger.

Av Malin Tønseth, advokat, Simonsen Advokatfirma og medlem i DND. Medforfatter: Thomas Olsen, advokatfullmektig, Simonsen Advokatfirma.

For mange virksomheter fremstår det som klart at skytjenester innebærer besparelser og kvalitativt bedre tjenester fremfor fortsatt drift og forvaltning av egne løsninger. Men selv om skytjenester har likhetstrekk med kjente leveransemodeller, har det inntil nylig vært uklart om skytjenestene er i henhold til norske personvernregler.

Dette kan ha medvirket til at flere har vært tilbakeholdende med å gå i skyen.

Datatilsynets ferske avgjørelse i Narvik-saken har nå gitt en prinsipiell avklaring på at også det offentlige kan benytte skytjenester. Narvik kommune har vært under Datatilsynets lupe i over et år som følge av at kommunen valgte å innføre skytjenesten Google Apps for å dekke kommunens behov for e-post, kalender og andre tjenester. Datatilsynet var i utgangspunktet skeptiske til om tjenesten var i overensstemmelse med regelverket og varslet at avtalen med Google måtte opphøre. Som følge av kommunens grundige redegjørelse for bruken av tjenesten har Datatilsynet nå snudd og ”frikjent” kommunen på alle punkter, og Narvik kan derfor lovlig fortsette å benytte løsningen. Datatilsynet har samtidig gitt veiledning til Moss kommune vedrørende skytjenester fra Microsoft som er langs de samme linjer som i Narvik-saken.

Det at Datatilsynet snur i disse høyt profilerte sakene viser at det er fullt mulig også for offentlige myndigheter å ta i bruk slike skytjenester, og det kan forventes at flere offentlige virksomheter og kommuner vil følge etter.

Til tross for Datatilsynets avklaringer er det imidlertid fremdeles viktig at kommuner og andre som ønsker å benytte slike tjenester nøye vurderer den risiko som er forbundet med skytjenester og hvilke krav regelverkets stiller før de begir seg ut i skyen.

Forutsatt at overordnede kost-nytte-analyser viser at skytjenester er den riktige veien å gå for virksomheten, bør det foretas en systematisk gjennomgang som sikrer at tjenesten og de vilkårene den leveres under er lovlige. Utgangspunktet for gjennomgangen er de opplysninger virksomheten ønsker å sette ut. Ofte vil utsettingen innebære behandling av personopplysninger, for eksempel opplysinger om ansatte eller kunder, og personopplysningsloven kommer da til anvendelse. Hvis opplysningene omfatter regnskapsmateriale, kommer også regnskaps- og bokføringsregelverket til anvendelse. For offentlige virksomheter kan også arkivlovgivningen stille krav til løsningen, dersom opplysningene omfatter arkivverdig materiale.

At Datatilsynet har hatt et særlig fokus på kommune-Norges bruk av skytjenester er muligens ikke en tilfeldighet, men det er likevel ikke slik at det er særlige personvernregler som gjelder for offentlige myndigheter. Personopplysningsloven inneholder en rekke krav til håndtering av personopplysninger og disse reglene må etterleves av både offentlige og private virksomheter som er ansvarlig for behandling av personopplysninger. Det er heller ikke egne personvernregler for skytjenester, men basert på blant annet Datatilsynets avgjørelse og veiledning i sakene vedrørende Narvik og Moss kommune er det enkelte spørsmål som er særlige kritiske for offentlig sektor.

Narvik-saken viser at det for det første er en forutsetning at leverandørens sikkerhet er god nok for de opplysningene og funksjonene det er aktuelt å sette ut i skyen, og at det er viktig for virksomheten som er skykunde å sette seg nøye inn i sikkerhetsnivået i tjenesten som tilbys. Loven krever her at kunden gjennomfører en risikoanalyse som dokumenterer at løsningen tilfredsstiller regelverkets krav til ”tilfredsstillende informasjonssikkerhet”, og det må gjøres en selvstendig vurdering av om risikoen er akseptabel. Hva som er tilfredsstillende avhenger bl.a. av hvor omfattende og sensitive opplysningene er.

Videre er det krav om at det inngås en databehandleravtale mellom kunde og leverandør. Igjen er det kunden som er den hovedansvarlige for at loven etterleves. I Narvik-saken var der derfor også nødvendig for Kommunen å gå i dialog med Google om avtalegrunnlaget og tekniske sider ved løsningen for å kunne redegjøre for dette overfor Datatilsynet. Som kunde må man forsikre seg om at databehandleravtalen gir tilstrekkelige garantier for at leverandøren ikke benytter opplysningene til annet enn det som er avtalt og at informasjonssikkerheten er tilfredsstillende. Det er ikke tilstrekkelig at leverandøren gir lovnader om at lover og regler følges, databehandleravtale må inngås enten som en egen avtale eller som en integrert del av leverandørens avtalevilkår og må oppfylle visse minimumskrav.

Et annet kritisk punkt, som det er viktig å få avtalefestet, er hvor opplysningene skal lagres. I utgangspunktet er det forbudt å overføre opplysninger utenfor EØS-området, og dersom opplysningene skal overføres til datasentre i et annet land må det være på plass et særskilt rettslig grunnlag for dette. I Narvik-saken ble dette løst ved at lagringen skjer i Googles datasentre i Europa og USA. Google er tilsluttet den såkalte Safe Harbor ordning, som gir grunnlag for overføring av personopplysninger til Googles datasentre i USA.

I tillegg til å sikre at man etterlever de grunnleggende kravene i regelverket, er det også viktig at det foretas en jevnlig revisjon av tjenesten og av sikkerheten hos skytjenesteleverandøren. Avgjørelsen i Narvik-saken gjør det klart at det ikke stilles krav om at den enkelte kunden egenhendig må gjennomføre revisjon, men at en slik revisjon kan foretas av en uavhengig tredjepart.

Fakta

Simonsen Advokatfirma DA har bistått Narvik Kommune i saken for Datatilsynet om skytjenesten Google Apps og har vært involvert i dialogen mellom Google og Narvik samt vært kommunens rådgiver i forbindelse med redegjørelsen til Datatilsynet.

Sjekkliste for skytjenester:

Overordnet

  • Gjennomfør kost-nytte-analyse som gir oversikt over fordelene med tjenesten.
  • Gjennomfør overordnet risikovurdering av om risikoen ved utsetting er akseptabel.

Personopplysninger

  • Gjennomfør en risikoanalyse som verifiserer at løsningen tilfredsstiller lovens krav til ”tilfredsstillende informasjonssikkerhet”.
  • Inngå en databehandleravtale, som oppfyller lovens minstekrav, enten som selvstendig avtale eller som del av avtalevilkårene.
  • Dersom opplysningene skal lagres utenfor EØS må man sikre at det er et lovlig grunnlag for overføringen.
  • Leverandøren må forplikte seg til å gjennomføre sikkerhetsrevisjon, for eksempel av en uavhengig tredjepart.