Hopp til innhold

Forbyr bruk av Google Apps i kommunesektoren

Det danske Datatilsynet forbyr kommuner å bruke programvare fra Google av personvernshensyn. Her til lands finnes det foreløpig ingen retningslinjer.

Dataservere

Mer og mer informasjon lagres nå i «nettskyen», som i praksis er store dataserverparker rundt om i verden.

Foto: Illustrasjon:Colourbox

Direktør i Datatilsynet Bjørn Erik Thon

Bjørn Erik Thon har fått sin første nettsky-sak i fanget.

Foto: Nyhetsspiller

De siste årene har det vært en oppblomstring av såkalt cloud computing, eller «nettskyen» som det kalles her til lands.

I stedet for å investere i store serverparker som må driftes og vedlikeholdes, lagres all informasjonen på internettnettbaserte tjenester.

Tjenester som bildelagringsnettstedet Flickr, Microsoft Office og Googles epost, kalender og kontorpakketjenester er eksempler på slike tjenester.

Foten ned for Google

Fordelen for bedrifter som benytter slike tjenester er i stor grad knyttet til den økonomiske gevinsten. Man slipper å investere i kostbart datautstyr og personell som skal drifte og vedlikeholde dem.

Men etterhvert som offentlige etater og myndigheter som behandler sensitive personopplysninger flytter over i skyen, dukker spørsmålet om sikkerhet og personvern opp.

Det danske Datatilsynet satte i juni foten ned for Odense kommunes ønske om å bruke Googles kontortjenester Google Apps for å lage elevplaner.

Tilsynet krevde svar på 15 spørsmål om kommunens risikovurdering av overgangen. De spør blant annet om hvordan kommunen kan forsikre seg om at personopplysningene om elevene vil bli fjernet når elevene slutter ved skolen.

Etter å ha mottatt brevet fra Datatilsynet bestemte kommunen seg for å skrinlegge planene.

– Akkurat nå er jeg overbevist om at Google Apps ikke kan leve opp til dagens krav som offentlig bruk av nettskyen stiller, sier leder for it-sikkerhet i Odense kommune John Bonnerup til Version2.dk.

Brukes i Norge

Her til lands er det i dag ingen kjøreregler for hvordan kommuner og offentlige etater skal forholde seg til bruk av nettsky-baserte tjenester.

– Vi har i dag ingen offentlige retningslinjer i Norge. Vi har registrert saken i Danmark, men har ikke satt i gang noe tilsvarende her, sier kommunikasjonsrådgiver Ragnvald Berggrav i Fornyings- administrasjons- og kirkedepartementet til NRK.no.

Her hjemme er det foreløpig kun Narvik kommune som har gått bort fra tradisjonelle dataløsninger og tatt i bruk nettbaserte tjenester fra Google.

Kommunen har ifølge digi.no valgt Google som leverandør av e-post, kalender og gruppevare.

Enhetsleder for it-drift i Narvik kommune Per Jakobsen sier til nettstedet at de har tatt høyde for sikkerheten da de inngikk avtale med Google.

– I prinsippet er det informasjon som kan se dagens lys som benyttes i dette systemet. Det er verdt å få med at all sensitiv informasjon skal ligge i vårt internsystem, sa Jakobsen til digi.no i mai i år.

Prøvesak

Datatilsynet i Norge har allerede fått en bekymringsmelding fra en bruker som er skeptisk til at Narvik kommunens dokumenter havner på en server som kan ligge under amerikansk lovgivning.

Tilsynsdirektør Bjørn Erik Thon sier til NRK.no at dette er første gangen de behandler en slik problemstilling. Han kan ikke forskuttere om de havner på samme konklusjon som danskene, men legger ikke skjul på at dette blir en prøvesak for dem.

– Dette er et område hvor det skjer mye nå. Danmark ligger fortsatt foran Norge i bruken av cloud computing, og det danske Datatilsynet har også tatt en lederrolle på dette feltet i Europa, sier Thon.

– Aner ikke hvor informasjonen lagres

På generell basis sier Thon at det er flere sider ved lagring i nettskyen som kan være krevende for offentlige etater og spesielt kommuner som håndterer personopplysninger.

– Det gjelder spesielt i forhold til avtalene som inngås med leverandøren. Kundene må gjøre risikovurderinger og inngå klare avtaler. Det må også være mulig å kunne gjennomføre stedlig tilsyn, sier Thon.

– Da er det mer problematisk med Google. Hos dem må man inngå en standardavtale, og man aner ikke hvor dataene lagres. Dermed blir det vanskelig å gjøre risikovurderinger, sier Thon.

Det gjør også Datatilsynets jobb vanskeligere, siden de ikke kan ta lagringsforholdene i selvsyn ved inspeksjoner.

– Så lenge informasjonen er lagret i Norge er det ikke vanskelig. I Europa kan det være mer krevende, men når man ikke aner hvor den lagres blir det svært vanskelig, sier Thon.

– USA kan kreve innsyn

Dersom serverne står i et land med utbredt korrupsjon, frykter Thon at uvedkommende lettere kan kjøpe seg tilgang til sensitive opplysninger.

En annen problemstilling er at leverandører som Microsoft og Google er underlagt amerikansk lovgivning, og dermed kan bli bedt om å utlevere informasjon til myndighetene i USA.

– Og det er veldig bekymringsfullt. Det er nok noe folk ikke har tenkt så nøye gjennom, og er noe man har veldig liten kontroll over, advarer Thon.

SISTE NYTT

Siste nytt