Alta kaster seg inn i skyen

Alta kaster seg inn i skyen

Velger «365» og mener Narvik og Moss har banet vei. Datatilsynet varsler at de fortsatt vil følge nøye med.

Alta kommune er den neste kommunen i rekken som kaster seg ut i det kommunale sky-eventyret, med Office 365 for samhandling og produktivitet.

- Narvik og Moss kommune har banet vei som vi kan følge etter, sier Aleksander Øines, it-sjef i Alta kommune.

Han mener veiledningen Datatilsynet har gitt Narvik og Moss kommune har vært viktig for å få avklaringer rundt regelverk, rammebetingelser og sikkerhetshensyn som må være på plass før kommunenorge tar steget ut i den store skyen.

- Nå kan vi som kommune operere tryggere og smartere enn før, sier Øines, og legger til at skyløsningen og avklaringene fra Datatilsynet har bidratt til å gjøre at kommunen er både sikrere og mer fleksibel enn tidligere.

Alta kommune mener sikkerhetsnivået er høyere med løsningen fra Microsoft enn det en gjennomsnittlig norsk kommune kan levere på egen hånd, skriver de på sin nettside.

- Med veiledning fra Datatilsynet og en modning av nettskyløsningene er tiden inne til å gjøre nettskyen den strategisk foretrukne leveransemåten for it-tjenester, mener Øien.

Et tilbakeblikk

Vi drar tilbake til sommeren 2011. Den tidligere Lotus Notes-kommunen Narvik bestemmer seg for å droppe videre oppgradering av IBMs løsning til fordel for nettsky med Google Drive, eller Google Apps som tjenesten het da.

Årsaken var både økonomisk og praktisk. Notes fra IBM ble for dyrt, spesielt dersom kommunen også ønsket selskapets løsning for mobile enheter. På den praktiske siden krever skytjenesten fra Google færre ressurser på driftsiden i kommunen, og er klar til bruk på de aller fleste plattformer, inkludert mobil og brett.

Etter åtte måneders testing av skytjenesten var Per Jacobsen, driftssjef i Narvik kommune, overbevist. Fremtiden for kommunens samhandlings- og kontorverktøy lå i nettskyen.

Les mer:

Vraker Notes, velger Google

Datatilsynet var derimot ikke like overbevist, og tro til sin funksjon, sa tilsynet nei til Google Docs i Narvik kommune, blant annet på grunnlag av personvern- og sikkerhetsbekymringer.

Les mer:

Sier nei til Google apps

Kommunen ble overrasket, og satte seg ned for å svare på Datatilsynets bekymringer. Etter en grundig gjennomgang av planlagt bruk av Googles skytjeneste i Narvik kommune, ble tilsynet beroliget og overbevist. De gav kommunen grønt lys til å fortsette.

En av de viktigste årsakene var at kommunen ikke bruker Google Apps til saksbehandling, men til kommunikasjon mellom ansatte og eksterne myndigheter.

Ja til nettsky (med forutsetning)

Da Narvik innførte Googles skytjeneste var Microsofts skybaserte Office-løsning fortsatt en god stund unna lansering. Omtrent samtidig som Narvik og Datatilsynet utredet bruk av Google, begynte Moss kommune på sin side å vise interesse for løsningen fra Microsoft.

- Vi hadde to saker til behandling, en mot Narvik og en mot Moss. Vi kom frem til at Office 365 kan brukes på lik linje med Google Drive, forutsatt at det er gjort visse grep, sier Bjørn Erik Thon, direktør i Datatilsynet.

Les mer:

Datatilsynet snur i Narvik-saken

Han sier videre at det aller viktigste - og det gjelder for alle skytjenester som skal tas i bruk i det offentlige - er risikoanalyse. Man må se på hva slags data som skal lagres i tjenesten, og vurdere det opp mot risikoen det innebærer om noe skulle gå galt.

For eksempel må man se på hva som kan gå galt, og hvor alvorlig det kan være dersom opplysninger kommer på avveie. Sikkerheten til tjenesten skal naturligvis også gjennomgås nøye, og det samme gjelder krav om god avtale for databehandling, i forbindelse med revidering av data.

- Et krav vi opererer med i norsk virkelighet er at når man skal revidere dataene sine, så er det vanskeligere når det er en skytjeneste som ligger ute i verden ett sted, sier Thon.

Han utdyper med at det hverken er mulig eller hensiktsmessig for mindre aktører som for eksempel en kommune å gjøre en sikkerhetsrevisjon av Google Drive eller Office 365. Typisk er det store standardiseringsorganisasjoner som tar seg av slikt.

Etter gjennomgang fikk også Moss kommune positivt svar fra Datatilsynet, og de to sakene setter viktige krav og prinsipper for andre som vil følge eksempelet fra Narvik og Moss.

Som Thon kan opplyse, er de forskjellige selskapene også med og tar grep for å tilnærme seg regelverket, noe som er svært positivt når det gjelder innføring av skyløsningene i offentlig sektor, og viser at ja - det går an å bruke skyen i det offentlige.

Ikke en blanco-fullmakt

Suksesshistorier til side, så er det fortsatt mye nysgjerrighet og ikke rent lite usikkerhet når det gjelder bruk av skytjenester som Office 365 og Google Drive i det offentlige, og Thon påpeker at Datatilsynet fortsetter å følge nøye med på utviklingen.

Arbeidet som ble utført i forbindelse med Moss og Narvik svarer mange av de viktige spørsmålene om bruk og muligheter, noe som er tydelig når det gjelder innføringen av Office 365 i Alta kommune.

- Det er mange som ønsker å ta «clouden» i bruk. Avgjørelsene vi kom med var svært viktige, og trekker opp prinsippene for hvordan skytjenester skal komme i orden med norsk regelverk, sier Thon.

Han påpeker også at det tross alt er fortsatt tidlig i skyens tidsalder, og han er fornøyd med at avgjørelsene og prinsippene kom så tidlig som det gjorde.

- Men selvsagt er ikke avgjørelsene noen blanco-fullmakt for å lagre alle typer data i skyen. Hadde det vært snakk om å flytte pasientinformasjon ut i skyen, så ville det vært anderledes, avslutter Thon.

Dette er Datatilsynets forutsetninger til Moss og Narvik Kommune

  • Det må gjennomføres grundige risikovurderinger i forkant
  • Selskapene må ha en tilfredsstillende databehandleravtale som er i tråd med norsk regelverk. Det er kommunen (den behandlingsansvarlige) som har ansvar for at lovens krav følges
  • Bruken av nettskytjenester må jevnlig revideres. Det vil si at en tredjepart gjennomfører en sikkerhetsrevisjon og sikrer at databehandleravtalen følges.
  • Det må forutsettes at databehandleravtalen gjelder og at leverandørens generelle personvernerklæring ikke går utover den.