En trygg havn for personopplysninger?

Jeg må innrømme at første gang jeg hørte om Narvik kommune og Google Apps trodde jeg at Google skulle ta over det meste av kontorplattformen for kommunen – at de skulle bruke alle muligheter som ligger i Google Apps. Så ble det klart at det kommunen har søkt etter var en epost- og kalender-løsning. Jeg er litt overrasket over at det blir så mye styr rundt en utplassering av akkurat disse tjenestene. Hadde kommunen lagt hele dokumentsystemet sitt over til Google Apps hadde også jeg vært litt mer opptatt av at ting skulle være godt sikret og dokumentert.

Jeg bladde litt i Datatilsynets sider og fant at Datatilsynet selv skriver at «Personopplysninger kan fritt overføres fra Norge til virksomheter i USA, dersom de har sluttet seg til Safe Harbor-avtalen» – også uten å måtte søke om konsesjon for å gjøre det. Og Google Apps er godkjent med Safe Harbor (nesten helt nederst på siden). Jeg må lese meg igjennom Safe Harbor-avtalen ved anledning. Jeg vet den er omdiskutert, men det er nå den avtalen EU/EØS og USA har om datasikkerhet – og en skal forholde seg til den inntil noe annet blir bestemt (jfr. Datatilsynets godkjenning av avtalen). I Google Apps for Government kan Google garantere at all informasjon blir liggende i USA, noe som burde betyr at de lett kan sikre at Narviks data ikke beveger seg utenfor USA/EU/EØS heller (f.eks. til India) og dermed være innenfor et allerede sikret område for personopplysninger.

Jeg synes Google er nokså flinke til å informere om hva og hvordan i helt åpne skriv de har liggende, f.eks. om «Sikkerhet og personvern» i Google Apps og «Retningslinjer for personvern» (og hvis noen ble nervøse for reklamegreiene i siste lenke, er Google Apps for Business / Government / Education holdt utenfor reklamemotoren).

Det hele begynner å virke som om Datatilsynet ønsker å statuere et eksempel ut av at Narvik kommune må inngå en skriftlig avtale i og med at kommunen har valgt en ekstern databehandler til epost og kalender. Hvis det er tilfelle synes jeg byråkratiet kan bli kronglete. Hva med…

  • Fronter (engelsk) og its learning (norsk)- de lagrer og behandler personopplysninger i stort monn. De gjør ikke en gang et forsøk på å fortelle brukerne hvor ting blir lagret eller hvem som har tilgang til informasjonen.
  • Ephorus (nederlandsk) lagrer og behandler også personopplysninger og data. Heller ikke der finner du ut hvor informasjonen lagres eller hvem som har tilgang til den.
  • SATS Barnehage (svensk) har ASP-løsninger. De har også avtaler om fjerndrift. Jeg aner ikke om hvordan kommuner avtaler disse tjenestene med IST, men de lagrer og behandler i alle fall personopplysninger for kommunen – sannsynligvis også personsensitive opplysninger.
  • Identums eFeide (norsk) drifter også tunge personopplysningstjenester for mange kommuner.
  • Kvalitetslosen (norsk) – som holder orden på mange kommuners kvalitetsstyring, sentrale dokumenter og avviksmeldinger.

Dette var bare en kort liste over vanlige eksterne tjenester mange kommuner benytter seg av. Det er ikke vanskelig å lage listen mye lengre. Det hadde ikke overrasket meg om noen av disse tilfeldigvis hadde benyttet seg av f.eks. Amazon S3, men det er ikke lett å finne ut – fordi det er så få som skriver noe om hvor og hvordan de lagrer ting (eller tar sikkerhetskopier).

Og ellers… det skal visst være et møte i Randaberg kommunen med Google – spennende! Lurer på om de har gjort leksen sin og funnet ut at 4/5 av elever og ansatte i skolen allerede er en del av Google Apps for Education. Jeg vet ikke helt hva de vil, annet enn at de vil vel presentere skyløsningen sin :-)

3 tanker om “En trygg havn for personopplysninger?

  1. Virker som om Google bare turer frem som de selv vil. Hvis man da skal høre på hva ryktene sier. Det har visst Datatilsynet gjort. Så mye fokus som det er på personvern, og så store som Google er ville det jo vært deres sikre død og ikke ha retningslinjer som ivaretar personvernet. En annen ting jeg ikke helt skjønner er hvorfor mange synes at reklame er så ille. Google har bare gjort det på en smart måte. Hvis det ikke hadde vert for reklamen måtte vi jo ha betalt for alt vi skulle gjøre på Internett. Jeg synes det er greit å få noen skikkelige bra tilbud rett i fanget av og til. :-)

    1. Google ser ut til å ha en kultur for sette igang ting, for så å se om det blir så populært at de må formalisere det litt mer. Akkurat i dette tilfelle med Narvik tror jeg ikke at de har vært så frempå at det gjør noe. Det er nok mer Datatilsynet som føler at de må si noe i forhold til dette. Jeg mener at Google sine tjenester er mer enn sikre nok jfr. SafeHarbor og at de vet mer om sikker drift av store systemer enn de fleste kommuner i dette landet ;-). Kanskje det er norsk lov som trenger en liten revisjon i forhold til skyen? Uansett, jeg mener (og tror) Google og Narvik ikke vil ha så mange problemer med å vise at avtalen de har inngått er sikker nok (spesielt pga. at Google er tilknyttet SafeHarbor) – og som jeg skriver i bloggen synes jeg det er pussig at samme avtale/krav ikke er nødvendig for en rekke av de tjenestene nesten alle skolene i Norge benytter seg av (for ikke å snakke om alle de skolene i Norge som benytter seg av Google Apps…).

      I forhold til reklame, så mener jeg at det er viktig at f.eks. skole og offentlighet ikke går igjennom Googles reklamemotor (og at de skal slipe å se reklame). I skole jobber vi mer elever som skal slippe reklame i størst mulig grad og de epostene vi sender og mottar gjennom Google skal ikke være en del av Googles reklameinformasjonsbase – rett og slett fordi elever (og lærere) er pålagt å bruke systemet og ville da være pålagt å gi Google data! Og det skal vi ikke ha noe av :-)

      1. I forhold til lov og forskrift for personopplysninger så er det meste av kravene de samme uansett hvor i verden databehandler befinner seg. F.eks. det med risikovurdering, databehandleravtale o.l. Men når det går ut over Norge (og nå EØS) så kommer noen flere ting inn.
        I loven: http://www.personvernskolen.no/node/17
        I forskriften: http://www.personvernskolen.no/node/107

        En vet jo at det er mange som ikke har dokumentasjonen og avtalene på plass, men får en tilsyn så vil nok de systemene du nevner over få akkurat samme merknader som for Google Apps. (Så om en ikke har dokuementer/avtaler på plass er det kanskje en ide å se på det :))

        Men på samme måte som Odense (Google Apps) og det danske Datatilsynet regner jeg nok med at saken kjøres prinsipielt for å få noen runder på skytjenester her i landet.

Legg igjen en kommentar

Din e-postadresse vil ikke bli publisert. Obligatoriske felt er merket med *

Dette nettstedet bruker Akismet for å redusere spam. Lær om hvordan dine kommentar-data prosesseres.