noun_Email_707352 noun_917542_cc Map point Play Untitled Retweet Group 3 Fill 1

Hvor lagrer du dataene?

Det er mange spørsmål og mye forvirring rundt bruk av nettsky, også kalt cloud computing.

24 oktober 2019

Hvor er dataene? Hvem har rettigheter til dem? Hvor godt er de sikret? Og hvem kontrollerer dem? Dette er noen av de utfordringene offentlige virksomheter må ta hensyn til når de vurderer en skytjeneste.

Det er mange spørsmål og mye forvirring rundt bruk av nettsky, også kalt cloud computing. Mest av alt dreier diskusjonen seg om lovligheten ved bruk av skytjenester og dermed også vegring mot bruk av skytjenester.

Norge er blant de landene i den vestlige verden som i svært liten grad benytter skytjenester i den offentlige sektor. Grunnen til dette er at det er utfordringer, som gjerne betraktes som hindringer, i lovverket.

I virkeligheten er det ikke så komplisert som det kan se ut som. En nettsky er i grunnen ikke noe annet enn en noe annen form for drift enn det vi er vant med fra gamle driftsavtaler med store eller små driftsleverandører med lokale driftssentre og tilhørende serverparker. Når det er sagt, løfter man dette opp og ut av landet, må kundene sikre seg at det gjøres innenfor norske og internasjonale regler.

Det er særlig tre typer data som det stilles spesielle krav til behandlingen av: finansielle data, arkivdata fra offentlige virksomheter og personopplysninger. Virksomheter må derfor avklare hva slags data de behandler, og hvilke data de ønsker å behandle i en skyløsning. I tillegg må de være bevisste på sikkerheten til dataene de behandler, gjennom risikovurderinger og avklaringer av lovligheten ved behandlingen. Konfidensialitet, integritet og tilgjengelighet er viktige, generelle prinsipper for behandlingen av data, og disse må ligge til grunn for virksomhetenes vurderinger.

Her skal vi ta for oss noen av de mest sentrale utfordringene virksomheter i offentlig sektor må ta hensyn til når de vurderer en skyløsning. 

Få råd og veiledning om skytjenester - ta kontakt med Tieto »

Bokføringsloven

Bokføringsloven gjelder også for fylkeskommuner og kommuner, og omhandler behandling og oppbevaring av regnskapsmateriale. Hovedregelen er at regnskapsmateriale skal oppbevares i Norge (jf. § 13 annet ledd).

Hvis bokføringen skjer på en server utenfor Norge, må materialet overføres for oppbevaring i Norge senest en måned etter at årsregnskapet er fastsatt, og senest syv måneder etter utløpet av regnskapsåret. Dette følger av bokføringslovens tilhørende forskrift § 7-4 første ledd. (Det forekommer unntak for skandinaviske land og Island.)

Personopplysningsloven

Sikkerhet og overføring av personopplysninger har fått mye fokus i forbindelse med nettskyer. Man sitter igjen med ett inntrykk av at disse bestemmelsene kun gjelder for skytjenester. Dette er ikke korrekt. Krav til oppbevaring og behandling av personopplysninger gjelder hva enten man benytter en skytjeneste eller benytter personopplysninger på en annen måte.

En personopplysning er en opplysning eller vurdering som kan knyttes til deg som enkeltperson, slik som for eksempel navn, adresse, telefonnummer, e-postadresse, IP-adresse, bilnummer, bilder, fingeravtrykk, irismønster, hodeform (for ansiktsgjenkjenning) og fødselsnummer (både fødselsdato og personnummer).

Opplysninger om atferdsmønstre er også regnet som personopplysninger. Opplysninger om hva du handler, hvilke butikker du går i, hvilke tv-serier du ser på, hvor du beveger deg i løpet av en dag, og hva du søker etter på nettet, er alt sammen personopplysninger. En av de nyere utfordringene for personvernet er at vi legger igjen så mange digitale spor. Frem til i dag har disse opplysningene ofte blitt utnyttet kommersielt uten at du har samtykket til det.

Sensitive personopplysninger er opplysninger om

  • rasemessig eller etnisk bakgrunn
  • politisk, filosofisk eller religiøs oppfatning
  • at en person har vært mistenkt, siktet, tiltalt eller dømt for en straffbar handling
  • helseforhold
  • seksuelle forhold
  • medlemskap i fagforeninger

Så lenge det foreligger en databehandleravtale, er det fullt lovlig å overføre data til andre land. Innen EU-/EØS-land er det tilstrekkelig med en vanlig databehandleravtale.  Det kan være formålstjenelig å benytte tjenesteleverandørens databehandleravtale som gjerne er spesiallaget for formålet.  Alternativt kan man benytte DIFI sin nye standard som er under utarbeidelse i disse dager; Databehandleravtale – utkast.  Hvis en virksomhet skal overføre data til land utenfor EU/EØS (tredjeland), er det tilstrekkelig at virksomheten (behandlingsansvarlig) og leverandøren deres (databehandleren) inngår en EU Model Clause-avtale om overføring av personopplysninger utenfor EU/EØS. I tillegg til dette er det etablert «Privacy Shield»,  som regulerer overføring av personopplysninger til USA, f.eks. Microsoft.

Gjennom etablering av korrekte avtaler og stringent oppfølging setter dermed loven ikke større begrensninger for bruk av nettsky.

Arkivloven

Arkivloven bestemmer at arkivmateriale ikke skal føres ut av landet uten etter særskilt samtykke fra Riksarkivaren (§ 9b) Bestemmelsen kom til verden lenge før skytjenester ble etablert, og dermed etablert uten tanke på mulighetene som ligger i dagens teknologi.

Formålet med bestemmelsen var å sikre at data ikke går tapt for kommende generasjoner, og i lys av datiden anså man det for viktig at arkivene fysisk befant seg i Norge. Likevel har Riksarkivet på bakgrunn av lovens bokstav avgitt en uttalelse om at arkivmateriale og sikkerhetskopier av arkivmateriale ikke kan lagres utenfor Norge, og er dermed til hinder for offentlige virksomheters bruk av nettskyer med servere utenfor Norge

KMD har  gitt uttrykk for at dagens arkivlov § 9 bokstav b, er en bremse for at offentlig sektor skal kunne benytte seg av skyløsninger. I forarbeidene til ny arkivlov, uttales det videre at utføringsforbud  «begrenser gevinstpotensialet» i bruk av skytjenester, og dermed også en effektiviseringsmulighet for den offentlige sektor. Arkivlovutvalget foreslår at utføringsforbudet etter § 9 bokstav b ikke skal videreføres, men erstattes med en ny § 21. Dette er imidlertid kun et utkast til ny lov, og det gjenstår å se hvorledes lovens endelige utforming blir.

Lokal lovgivning

På bakgrunn av særlig Snowden er det blitt pekt på usikkerhet rundt utlevering av data til og fra amerikanskbaserte selskaper som drifter for europeiske selskaper. Snowden har som kjent avslørt at slik utlevering har funnet sted i stort omfang. Det er også litt oppsiktsvekkende at andre europeiske land har mye av den samme lovgivning rundt krav om utlevering av data som USA, uten at man har funnet grunn til å belyse dette på samme måte som når USA pålegger sine lokale selskaper slik utlevering.

Under enhver omstendighet må man erkjenne at dette er et problematisk område, der balansen mellom personvernet og hensynet til kampen mot terror er vanskelig.

 

Skrevet av: Peter Engelschiøn, advokat, Tieto

 

 

 

Del på Facebook Tweet Del på LinkedIn