Datatilsynet snur i Narvik-saken

Datatilsynet snur i Narvik-saken

Narvik Kommune får likevel lov til å bruke Google Apps.

Datatilsynet sier «nei» til Google Apps, skrev Computerworld i januar i år. Datatilsynet mente «tjenesten strider mot personvernlovgivningen på flere punkt».

Narvik kom med tilsvar på vedtaket, og fikk Simonsen Advokatfirma til å gjøre rede for hvordan Google Apps er tenkt brukt.

Det har fått Datatilsynet til å snu. Tilsynet offentliggjorde dette på et pressemøte mandag.

Les dokumenter her! (pdf)

- Vi ba Narvik opphøre med å bruke Google Apps med mindre de brakte visse forhold i orden. Sånn vi ser det, er det det de nå har gjort; brakt forhold i orden, sier Bjørn Erik Thon, direktør i tilsynet.

Nye opplysninger på bordet

I Narviks tilsvar kommer det blant annet frem at Apps ikke skal brukes til saksbehandling, men til kommunikasjon mellom kommunens ansatte og eksterne myndigheter, og at bruksregelverket klart sier at «[d]et er forbudt å sende personidentifiserbare sensitive data via elektronisk post».

Kommunen har også informert via sin nettside om at borgerne ikke skal benytte epost til forsendelse av sensitive opplysninger. Det er også gjennomført en risiko- og sårbarhetsanalyse.

«På bakgrunn av de opplysninger som kommunen har presentert i ettertid, er tilsynet tilfreds med de tiltak som er gjennomført for blant annet å hindre eventuell forsendelse av sensitive personopplysninger i e-postløsningen til Google Apps,» skriver Datatilsynet i sitt brev til Narvik.

Datatilsynet understreker at det må gjennomføres ny risikovurdering ved endringer i Apps som har betydning for informasjonssikkerheten.

Ingen blankofullmakt

I sin konklusjon skriver datatilsynet at de «ikke kan se at det er grunnlag for å opprettholde det varslede vedtaket. Enkelte forutsetninger er imidlertid lagt til grunn for Datatilsynets vurderinger. Disse er det redegjort for under de enkelte punkter».

Flere av disse punktene handler om at Narvik må følge opp Google for å sikre at leverandørens rutiner og kontraktforhold nevnt i brevet fra Simonsen overholdes.

- Dette er er en slags friskmelding av Narvik kommune, svarte Thon på spørsmål fra pressen.

- Men det er ikke dermed en blankofullmakt til å putte alle typer data i nettskyen.

Også Moss vurderer sky

Simultant kommer Datatilsynet med brev til Moss, som snuser på Microsoft Office 365 i nettskyen, med andre ord en veldig lignende sak. Også her står Simonsen for brevkommunikasjonen med tilsynet.

Det må understrekes at dette ikke er et brev som ledd av en formell sak, snarere en «tilbakemelding» fra tilsynet.

Les dokumentet her! (pdf)

Datatsilsynet vil bruke både Narvik og Moss som grunnnlag i sitt arbeide med veileder om hvordan nettskytjenester kan tas i bruk.

Datatilsynets forutsetninger til Moss og Narvik Kommune:

  • Det må gjennomføres grundige risikovurderinger i forkant
  • Selskapene må ha en tilfredsstillende databehandleravtale som er i tråd med norsk regelverk. Det er kommunen (den behandlingsansvarlige) som har ansvar for at lovens krav følges
  • Bruken av nettskytjenester må jevnlig revideres. Det vil si at en tredjepart gjennomfører en sikkerhetsrevisjon og sikrer at databehandleravtalen følges.
  • Det må forutsettes at databehandleravtalen gjelder og at leverandørens generelle personvernerklæring ikke går utover den.

Offentlig Sektor