Jeg var for litt siden med på en nesten-diskusjon om hva en skytjeneste er og ikke er – eller rettere sagt, hvilke tjenester som er skytjenester og hvilke som ikke er. En nesten-diskusjon er når det er tydelig at vi ikke er enige, men anledningen gjør at vi ikke diskuterer det der og da. Da fortsetter jeg ofte diskusjonen for meg selv etterpå… og kanskje også på bloggen.

Jeg holdt en knapp på at så godt som alle tjenester på nettet som behandler data/informasjon for andre er skytjenester. Den andre (tror jeg) holdt en knapp på at det bare er tjenester som f.eks. Gmail, Google Apps, Office 365, Hotmail osv. som kvalifiserer som skytjenester – og da med en begrunnelse i at en ikke vet nøyaktig hvor data blir lagret (sky = diffust). Neste steg ble selvfølgelig å sjekke hva som er hva, selv om jeg nok mente at min forståelse var rett :-)

En rask sjekk på Wikipedia og UninettABC/Senter for IKT i utdanningen bekreftet det jeg trodde – en skytjeneste («cloud computing») er…

…the use of computing resources (hardware and software) that are delivered as a service over a network (typically the Internet). The name comes from the use of a cloud-shaped symbol as an abstraction for the complex infrastructure it contains in system diagrams. Cloud computing entrusts remote services with a user’s data, software and computation.

Den vanligste skytjenesten for de fleste er SaaS (Software as a Service / programmer som en tjeneste). I Randaberg kommune har vi en helt haug med SaaS-er: Google Apps for Education, Kvalitetslosen, Visma FLYT skole, Visma HRM, Fronter, itslearning, Arena, KorArtig, eFEIDE (og FEIDE), PULS/VOKAL og siden kommunen offisielt deler ut iPad til alle som er involvert i det politiske arbeidet i kommunen kan vi vel føye til iTunes/iCloud også ;-)

Jeg er usikker om PAS-systemet til Udir og FEIDE passer inn under skytjeneste-definisjonen. Det er vi/skolene som legger inn informasjonen, men det er jo et pålegg fra Udir/Staten og det er de som eier tjenesten (og på den måten dataene). Det skal sies at vi har underskrevet en databehandleravtale med FEIDE/Uninett, men aldri med PAS/Udir.

Men, PAS og FEIDE til side, hvis du nå leser Datatilsynets artikkel «Åpner for bruk av nettskytjenester» og ser på denne delen:

Ved bruk av nettskytjenester må noen forutsetninger være på plass:

  1. Det må gjennomføres grundige risiko- og sårbarhetsanalyser i forkant. Virksomheten må spørre seg selv om hva som kan gå galt, og hvilke følger det i så fall kan få.
  2. Selskapene må ha en tilfredsstillende databehandleravtale som er i tråd med norsk regelverk. Det er kommunen som har ansvar for at lovens krav følges.
  3. Bruken av nettskytjenester må jevnlig revideres. Det vil si at en tredjepart gjennomfører en sikkerhetsrevisjon på vegne av kommunen og sikrer at databehandleravtalen følges.
  4. Databehandleravtalen må være det som gjelder og leverandørens generelle personvernerklæring må ikke gå utover denne.

…kan en få et inntrykk av at nettskytjenester bare handler om Google eller Microsoft o.l., men det er det ikke. Google, Microsoft og Amazon har hatt noen tilleggsutfordringer knyttet til hvor data plasseres og gjensidigheten i kontraktsforholdene, men dette er ikke lengre noen stor utfordring (jfr. Narvik-saken). Så – en skytjeneste er en skytjeneste, og de samme regler gjelder selvfølgelig for Visma, itslearning og Conexus (og FEIDE) som for Google og Microsoft. Rettere sagt, de samme lovene gjelder for alle kommuner og (private og offentlige) foretak i Norge, uavhengig av hvem som leverer skytjenesten.

Jeg er litt usikker på hvordan en forholder seg til punkt 3. Jeg er temmelig sikker på at jeg (på vegne av kommunen) ville ha like store utfordringer med å gjennomføre en sikkerhetsrevisjon hos Visma som hos Google (jfr. personopplysningsforskriften §2), som jo er grunnen til at Datatilsynet i punkt 3 krever en tredjepart (og som Google gjør). Dette er nokså diffust beskrevet i norske kontrakter:

Databehandler skal gjennomføre sikkerhetsrevisjoner jevnlig for systemløsningen som omfattes av denne avtalen.

Revisjonen kan bl.a. omfatte kontroll av at rutiner etterleves, teknisk sikkerhetsløsning, fysisk sikring og avvikshåndtering.

Resultatet av sikkerhetsrevisjonen skal på forespørsel utleveres databehandlingsansvarlig.

Det er jo innlysende at jeg har akkurat samme utfordring med å kontrollere at Google i praksis forholder seg til norsk lov, som Visma gjør det – selv om Visma er norsk og jeg har samme gode tillit til dem som jeg har til Google.

Ikke det, jeg er glad for at Datatilsynet finnes og passer på. Vi skal ikke godta avtaler hvor informasjon ikke er sikker, men det er noe som sier meg at norske databehandlere i praksis slipper litt lettere unna med en «standard»-kontrakt enn det de store utenlandsaktørene gjør.

Vi får opprette en egen sikkerhetsrevisjonsavdeling i kommunen som skal passe på alle de etterhvert mange skytjenestene vi benytter oss av :-)

Legg igjen en kommentar

Din e-postadresse vil ikke bli publisert. Obligatoriske felt er merket med *

Dette nettstedet bruker Akismet for å redusere spam. Lær om hvordan dine kommentar-data prosesseres.