USIKKERT: Hvem har tilgang til sensitive persondata som lagres i skyen? For mange vil svaret være at «det vet vi ikke». (Foto: Istock)
USIKKERT: Hvem har tilgang til sensitive persondata som lagres i skyen? For mange vil svaret være at «det vet vi ikke». (Foto: Istock)

Trenger vi felles retningslinjer for å sikre personvernet?

KOMMENTAR: Sverige har tatt grep med eSam-rapporten, skriver Per Martin Botten.

Publisert Sist oppdatert

Lederen i Computerworld, fredag 19. november, peker blant annet på hvor viktig det er at digitaliseringen står på egne bein og hvordan vi kan høste gevinstene gjennom bedre offentlige tjenester. Dette er viktige poenger, men et spørsmål mange stiller seg, er om vi glemte personvernet under pandemien, og hvordan kan små kommuner og etater i distriktene hjelpes til å velge sikre løsninger? Her er våre naboer i Sverige godt i gang med den ferske rapporten fra eSamverkansgruppen (eSam). Da pandemien traff oss våren 2020, viste private selskaper og offentlige virksomheter en stor omstillingsevne. I løpet av kort tid var de fleste ansatte klare for videomøter fra hjemmekontoret, og vi tok i bruk nye digitale verktøy for samhandling. Flere flyttet ut av storbyene, og flere så fordelene ved å kunne jobbe delvis fra hytta. Utfordringene viste seg å være at mange ikke tok tilstrekkelig hensyn til sikkerhet og personvern når de tok med seg pc-en fra det sikre kontoret på jobben, og valgte digitale løsninger fra hjemmekontoret.

"Det vet vi ikke!"

Det betyr at om en norsk bedrift eller offentlig virksomhet benytter en løsning som ligger under amerikansk lovgivning, risikerer de at informasjonen kan hentes av amerikanske myndigheter

For hvem har tilgang til sensitive persondata som lagres i skyen? For mange vil svaret være at «det vet vi ikke». Det betyr i praksis at tredjepart kan ha tilgang til sensitiv informasjon. Det være seg kommersielle aktører eller andre lands myndigheter. Problemstillingen er reell, og de færreste vet hvordan de skal forholde seg til dette.

Sensitive opplysninger kan potensielt bli tilgjengelige for utenlandske myndigheter, som en konsekvens av for eksempel CLOUD Act, FISA/FISA 702/NSL/SCA. Det betyr at om en norsk bedrift eller offentlig virksomhet benytter en løsning som ligger under amerikansk lovgivning, risikerer de at informasjonen kan hentes av amerikanske myndigheter – uten samtykke eller at den norske kunden informeres. Dette ble også aktualisert gjennom det mange kjenner som Schrems II-dommen.

Denne problemstillingen er i høyeste grad også aktuell for små kommuner og etater i distriktene. For hvem har tilstrekkelig innsikt i de ulike verktøy og applikasjoner som finnes i markedet, og hvilke krav bør stilles?

Til stor hjelp

Sverige stilte de seg de samme spørsmålene, og nylig lanserte eSamverkansgruppen (eSam) en rapport som redegjør for hvilke sikre alternativer offentlig sektor kan benytte. Arbeidsgruppen bak rapporten representerer ulike offentlige etater, og kommer fra blant annet fra Skatteverket, Kronofogden, Arbeidsförmedlingen, Bolagsverket med flere.

Vi tror det vil være til stor hjelp for digitaliseringen av landet om vi i Norge kunne fått på plass en tilsvarende rapport som det eSam har levert i Sverige.

Noe tilsvarende vil være til stor hjelp for små kommuner og etater som skal utvikle bedre tjenester og tilrettelegge for arbeidstakere som ønsker å jobbe hjemmefra i distriktene. Med sikre løsninger, uavhengig av om du jobber fra storbyen eller en liten bygd i distrikts-Norge, kan vi bedre utnytte kompetente medarbeidere som kan jobbe fritt uten å risikere personvernet. Vi tror det vil være til stor hjelp for digitaliseringen av landet om vi i Norge kunne fått på plass en tilsvarende rapport som det eSam har levert i Sverige. Da kan offentlige etater jobbe med å utvikle gode løsninger for befolkningen, med mindre bruk av ressurser og lavere risiko.

Link til rapporten: www.esamverka.se

Per Martin Botten, ansvarlig for offentlig sektor i Pexip AS