Jeg må innrømme at første gang jeg hørte om Narvik kommune og Google Apps trodde jeg at Google skulle ta over det meste av kontorplattformen for kommunen – at de skulle bruke alle muligheter som ligger i Google Apps. Så ble det klart at det kommunen har søkt etter var en epost- og kalender-løsning. Jeg er litt overrasket over at det blir så mye styr rundt en utplassering av akkurat disse tjenestene. Hadde kommunen lagt hele dokumentsystemet sitt over til Google Apps hadde også jeg vært litt mer opptatt av at ting skulle være godt sikret og dokumentert.
Jeg bladde litt i Datatilsynets sider og fant at Datatilsynet selv skriver at «Personopplysninger kan fritt overføres fra Norge til virksomheter i USA, dersom de har sluttet seg til Safe Harbor-avtalen» – også uten å måtte søke om konsesjon for å gjøre det. Og Google Apps er godkjent med Safe Harbor (nesten helt nederst på siden). Jeg må lese meg igjennom Safe Harbor-avtalen ved anledning. Jeg vet den er omdiskutert, men det er nå den avtalen EU/EØS og USA har om datasikkerhet – og en skal forholde seg til den inntil noe annet blir bestemt (jfr. Datatilsynets godkjenning av avtalen). I Google Apps for Government kan Google garantere at all informasjon blir liggende i USA, noe som burde betyr at de lett kan sikre at Narviks data ikke beveger seg utenfor USA/EU/EØS heller (f.eks. til India) og dermed være innenfor et allerede sikret område for personopplysninger.
Jeg synes Google er nokså flinke til å informere om hva og hvordan i helt åpne skriv de har liggende, f.eks. om «Sikkerhet og personvern» i Google Apps og «Retningslinjer for personvern» (og hvis noen ble nervøse for reklamegreiene i siste lenke, er Google Apps for Business / Government / Education holdt utenfor reklamemotoren).
Det hele begynner å virke som om Datatilsynet ønsker å statuere et eksempel ut av at Narvik kommune må inngå en skriftlig avtale i og med at kommunen har valgt en ekstern databehandler til epost og kalender. Hvis det er tilfelle synes jeg byråkratiet kan bli kronglete. Hva med…
- Fronter (engelsk) og its learning (norsk)- de lagrer og behandler personopplysninger i stort monn. De gjør ikke en gang et forsøk på å fortelle brukerne hvor ting blir lagret eller hvem som har tilgang til informasjonen.
- Ephorus (nederlandsk) lagrer og behandler også personopplysninger og data. Heller ikke der finner du ut hvor informasjonen lagres eller hvem som har tilgang til den.
- SATS Barnehage (svensk) har ASP-løsninger. De har også avtaler om fjerndrift. Jeg aner ikke om hvordan kommuner avtaler disse tjenestene med IST, men de lagrer og behandler i alle fall personopplysninger for kommunen – sannsynligvis også personsensitive opplysninger.
- Identums eFeide (norsk) drifter også tunge personopplysningstjenester for mange kommuner.
- Kvalitetslosen (norsk) – som holder orden på mange kommuners kvalitetsstyring, sentrale dokumenter og avviksmeldinger.
Dette var bare en kort liste over vanlige eksterne tjenester mange kommuner benytter seg av. Det er ikke vanskelig å lage listen mye lengre. Det hadde ikke overrasket meg om noen av disse tilfeldigvis hadde benyttet seg av f.eks. Amazon S3, men det er ikke lett å finne ut – fordi det er så få som skriver noe om hvor og hvordan de lagrer ting (eller tar sikkerhetskopier).
Og ellers… det skal visst være et møte i Randaberg kommunen med Google – spennende! Lurer på om de har gjort leksen sin og funnet ut at 4/5 av elever og ansatte i skolen allerede er en del av Google Apps for Education. Jeg vet ikke helt hva de vil, annet enn at de vil vel presentere skyløsningen sin :-)
Legg igjen en kommentar