Liten kineser sitter og leser

KOMMENTAR: Hvis data er lagret i Norge, men driftet fra Kina, er de da "driftet i utlandet"?

Publisert Sist oppdatert

En varm ettermiddag i august satt jeg og lyttet på tre it-høvdinger: Arve Føyen, nestor innen it-kontrakter, Per Morten Hoff, allestedsnærværende generalsekretær i Ikt-Norge og konsernsjef i konsulentselskapet Itera, Arne Mjøs. De tok for seg utkontraktering for norske virksomheter utenfor EU. Det ble en avkjølende opplevelse.

Ikt-Norge er ikke i tvil: Forvaltning og næringsliv har bruk for it-kapasitet utenfor EU. Tilgjengelig kapasitet vil ikke være nok. For det første uteksamineres det altfor få kandidater, ikke mer enn omtrent tre tusen i året. Hvert år pensjoneres en hel del av dem som har vært aktive lenge, de hullene må fylles. Dessuten ser det ut som Norge står overfor en ny oljealder, oljeindustrien med sine oppblåste lønninger vil legge beslag på resten. Skal samfunnet digitaliseres, må vi få hjelp utenfra.

EU og Europarådet jobber med å samordne regler og lover på en rekke områder. De er ikke kommet særlig langt, men det er akseptert at innenfor EU løper man mindre risiko enn utenfor. Utenfor EU betyr land som India, Kina, Russland, Ukraina, til og med USA. De har kapasitet og kompetanse. Skal kostnadene holdes nede samtidig med at oppgavene blir løst, vil Norge ha bruk for mange flinke små indere, kinesere og ukrainere.

Men så var da dette med alle lovene og reglene som skal etterleves. Det er det som kalles compliance. It-oppgaver kan ikke (bør ikke) settes ut hvis ikke lover og regler er oppfylt. Arve Føyen gikk gjennom listen. Vi har personopplysningsloven, regnskapsloven, sikkerhetsloven og forvaltningsloven. Vi har arkivloven, ikt-forskriftene og regler for intellektuelle aktiva. Offentlige anskaffelser har et eget, omfattende regelverk.

Disse lovene og reglene skal trygge informasjonssikkerheten og personvernet for kunder og ansatte. Det finnes både generelle lover som gjelder alle næringer og andre som er spesifikke for visse sektorer som finans og helse.

Da Arve var gjennom den lange listen, var én ting tydelig: Det som er helt avgjørende er i hvilket land oppgaven blir utført. Det gjelder selvfølgelig for driftsoppgaver, men også for utvikling og vedlikehold fordi det er ofte behov for å bruke ekte data for testing. "Landrisiko" er et viktig begrep her. En god del av risikoen kommer av at landets lovgiving og regelsett innen personvern og sikkerhet er umodent eller ligger langt fra det vi har. (En annen del henger sammen med korrupsjon og andre uhumskheter, men det lar jeg ligge nå.)

Spørsmålet koker ned til hvor data, spesielt persondata, er lagret. Er de lagret i Norge, er det greit. Er de lagret i et EU-land, er det fortsatt greit. Utenfor EU er det ugreit. Det gjelder for outsourcing og i enda høyere grad cloud computing. Når data ligger i skylaget hos globale leverandører som Google og Microsoft, kan vi aldri vite hvor de egentlig er. En del av regnestykket som leverandørene baserer seg på innebærer at databehandling og tilhørende data blir flyttet dit det er mest praktisk og billig. For eksempel har Google dusinvis av svære datasentre rundt på kloden for å kunne levere svar på millioner av spørsmål i løpet av en brøkdel av et sekund. Og stadig nye blir opprettet.

Dessuten er det slik at leverandøren som inngår kontrakten med kunden kan finne på å benytte underleverandører som er lokalisert andre steder. Svaret på "hvor" kan derfor forandre seg under kontraktens levetid.

Outsourcingsavtaler er individuelle, de blir forhandlet mellom den enkelte kunde og leverandøren. I en slik avtale kan man legge inn betingelser blant annet om hvor data skal lagres. Cloud-avtaler har standardbetingelser som bare de største kundene har muskler nok til å fravike. Regelmessige, stedlige kontroller som norsk lovgiving forutsetter er vanskelig å få til i praksis.

Føyen kommenterte et spørsmål som foreløpig ikke har fått sitt endelige svar fra Datatilsynet: Hvis data er lagret i Norge eller EU, men folk fra Ukraina eller Kina har daglig ansvar for dem og tilgang til dem for testing eller drift, er de da "lagret i utlandet"?

Ikt-Norge og Føyens advokater har utarbeidet en omfattende sjekkliste for hva man må ta hensyn til når man vil ha outsourcing utenfor EU eller i skyene. Den er basert på en tilsvarende liste fra Intellect, Ikt-Norges søsterorganisasjon i Storbritannia og kan kjøpes fra Ikt-Norges nettsted. Itera har lenge brukt ukrainske selskaper på sine norske oppdrag og vært prøvekanin for sjekklisten.

En rekke prosjekter er i gang i Norge for å etablere datasentre i nedlagte industribygg og gruver. Hittil har det vært vanskelig å friste kunder. Det blir kanskje vår restriktive lovgivning som vil bane vei for "norske nettskyer"?

hidas@online.no