Juss-utfordringer i nettskyen

Juss-utfordringer i nettskyen

KRONIKK: Mens vi venter på nye regler, må vi finne gode løsninger i nettskyen.

Det er en utbredt oppfatning at det kan være utrygt å lagre data i eller på annen måte benytte seg av nettskyen. Uansett er nettskyen kommet for å bli. Offentlige og private virksomheter må lære å håndtere den på en korrekt og praktisk måte. Nettskyen eller cloud computing, er en samlebetegnelse for datalagring og bruk av programvare på servere som står i eksterne serverparker tilknyttet Internett. Løsningene innebærer at man leier kapasitet etter behov. Dette gir rimelige løsninger som mange ønsker seg. Litt avhengig av hvordan skyen er "satt opp" har leverandørene av skyen ulik grad av kontroll over hvor data lagres mest hensiktsmessig og rimelig. Tankegangen er at brukeren ikke trenger å vite hvor dataene er så lenge de er tilgjengelige.

Som hovedregel lagrer alle virksomheter personopplysninger, enten dette gjelder ansatte, kunder eller brukere. En av utfordringene er at reglene om personopplysninger forutsetter at man vet hvor og i hvilket land opplysninger befinner seg – først da kan man ta stilling til om personvernet rundt opplysningene er godt nok. Dette bryter med mye av prinsippet i en skyløsning fordi dataene der skal kunne flyttes om det er teknisk og økonomisk nødvendig. Slik flytting skjer ikke bare innenfor ett land, men også på tvers av landegrenser. Loven har strenge regler for hvordan man skal håndtere overføring av personopplysninger til utlandet og man risikerer både gebyr og bøter dersom de ikke følges.

I tillegg er det svært viktig å ha et reflektert forhold til ansvarsdelingen mellom bruker og tilbyder av nettskytjenesten: Vil tilbyderen være ansvarlig for datatap ved feil? Kan det tas ut søksmål i Norge for å håndheve rettighetene? Hva skjer med nettskyløsningene og det som er avtalt om datasikkerhet hvis tilbyderen blir kjøpt opp av et annet selskap? Lovreglene er mange, og mye vil også måtte reguleres i den enkelte kontrakt mellom bruker og tilbyder.

Ifølge Datatilsynet, er Narvik kommune den første offentlige etaten i Norge som har tatt i bruk en nettskyløsning. Kommunen har kjøpt inn 615 lisenser av Google Apps’ løsning for epost, kalender og gruppeprogramvare, og tok disse i bruk på forsommeren 2011. De personvernrettslige utfordringene ved å velge en internasjonal nettskyløsning ble ikke på forhånd drøftet med Datatilsynet, og kommunen er nå bedt om å redegjøre for blant annet hvilke personopplysninger som behandles i Google Apps, og hvilken risikovurdering som ble foretatt før løsningen ble valgt. Dersom behandlingen av personopplysninger ikke er i samsvar med lovgivningen, risikerer kommunen å måtte betale tvangsmulkt eller overtredelsesgebyr på inntil 10 ganger grunnbeløpet i folketrygden.

Det er selvfølgelig ingen quick-fix på disse utfordringene. Men noen tips er verdt å ta med seg. Ulike tilbydere av skyløsninger har begynt å tilby territorielt begrensede nettskyer. Amazon og Microsoft har for eksempel en mulighet for en skyløsning som kun befinner seg innenfor EU. EU har tilsvarende personvern­lovgivning som Norge og det er derfor lettere å si at beskyttelsen er god nok. I England arbeider man med en G-cloud (government-cloud) som skal gi tilstrekkelig grad av trygghet for at det offentlige skal kunne bruke den.

For å finne en skyløsning som man kan anvende på lovlig måte, vil det være sentralt å kartlegge hvilke land leverandøren vil lagre dataene i – og hvilke land leverandøren vil overføre data mellom. Det er da en god ide å kreve informasjon om leverandøren vil benytte offshoring eller underleverandører på annen måte – for da vil kretsen av aktuelle land som regel utvides.

Mange leverandører av skytjenester benytter servere i USA. Lovgivningen der er annerledes enn i EU og man må benytte særskilte mekanismer for å kunne overføre data dit på lovlig vis. Dette er ikke vanskelig, men det krever noen flere undersøkelser. Vi anbefaler å bruke leverandører som er tilknyttet den såkalte Safe Harbor-avtalen. Praktiske råd for bruk av Safe Harbor kommer vi tilbake til i en senere artikkel.

Nettskyen eller cloud computing, er en samlebetegnelse for datalagring og bruk av programvare på servere som står i eksterne serverparker tilknyttet Internett. Løsningene innebærer at man leier kapasitet etter behov. Dette gir rimelige løsninger som mange ønsker seg. Litt avhengig av hvordan skyen er "satt opp" har leverandørene av skyen ulik grad av kontroll over hvor data lagres mest hensiktsmessig og rimelig. Tankegangen er at brukeren ikke trenger å vite hvor dataene er så lenge de er tilgjengelige.

Forrige fredag leste vi i Aftenposten at "En av oppfinnerne bak den aller første pc-en, Mark Dean, mener at PC-ens tidsalder snart er slutt". Han mener nettbrett vil overta. Nettbrett trenger skyen for å tilby innhold av betydning. Lovgiver i EU har innsett at det er viktig å finne en løsning for å gjøre det både tryggere og lettere å benytte skyløsninger og det ventes nye bestemmelser på dette i den kommende revisjonen av EU-direktivet som vår personopplysningslov er bygget på. Mens vi venter på nye regler, må vi finne gode løsninger fordi lokale serverparker har fått en seriøs konkurrent.vi i Aftenposten at "En av oppfinnerne bak den aller første pc-en, Mark Dean, mener at PC-ens tidsalder snart er slutt". Han mener nettbrett vil overta. Nettbrett trenger skyen for å tilby innhold av betydning. Lovgiver i EU har innsett at det er viktig å finne en løsning for å gjøre det både tryggere og lettere å benytte skyløsninger og det ventes nye bestemmelser på dette i den kommende revisjonen av EU-direktivet som vår personopplysningslov er bygget på. Mens vi venter på nye regler, må vi finne gode løsninger fordi lokale serverparker har fått en seriøs konkurrent.