Kan vi bruke Google Apps, Dropbox eller Microsoft Office 365? Dette er et vanlig spørsmål som vi får henvendelser om fra virksomheter, både private og offentlige, store og små. Mange ser at andre gjør det: Har de fått lov?
Én skytjeneste er ikke lik en annen skytjeneste. Én måte å bruke en skytjeneste er ikke lik en annen måte å bruke en skytjeneste. Én personopplysning er ikke lik en annen personopplysning. Og sånn kan jeg fortsette. Vi i Datatilsynet kan ikke si «ja, dere kan bruke skytjenester», fordi vi er ikke juridisk ansvarlig for virksomheters behandling av personopplysninger. Det er den enkelte virksomheten som er ansvarlig og som kjenner til hva slags personopplysninger de besitter, og hvordan de samler inn, registrerer, sammenstiller, lagrer og utleverer opplysningene. Det er også den enkelte virksomheten som må vurdere skyleverandøren ut i fra hvilke lands lover som gjelder, lokasjon, sikkerhet og så videre.
Kommuner ser på andre kommuner og sier «Narvik kommune og Moss kommune fikk jo lov». Vel, det var ikke gjort i en fei, og det gikk noen runder frem og tilbake mellom Datatilsynet og kommunene. Og det var mye jobb som ble gjort før sakene ble avsluttet i 2012.
Så det er ikke bare å legge personopplysninger ut i skyen?
Nei, det er det ikke. Det er mange aspekter og problemstillinger man må vurdere.
Kortfattet må virksomhetene gjøre følgende:
- Etabler internkontroll etter personopplysningsloven (§§ 14 og 13).
- Få oversikt over type personopplysninger, klassifiser og vurder hvilke personopplysninger som skal legges i skyen.
- Gjør en risikovurdering av personopplysningene, av skytjenesten og vurder de ulike problemstillingene som relateres til skytjenester.
- Finn ut hvordan man kan revidere sikkerheten hos leverandøren.
- Få på plass en databehandleravtale med leverandøren, som tilfredsstiller kravene i personopplysningsloven (§ 15).
Det er virksomheten som behandlingsansvarlig som må forsikre seg om at leverandøren har tilfredsstillende sikkerhet, og at leverandøren følger personopplysningsloven og kapittel 2 i forskriften om informasjonssikkerhet. Dette er uavhengig av om leverandøren holder til i Norge eller i utlandet, og om leverandøren er stor eller liten.
Husk at det er den behandlingsansvarlige som bestemmer og er ansvarlig for personopplysningene som behandles! Er din virksomhet behandlingsansvarlig skal dere la være å bruke leverandører som ikke har tilfredsstillende sikkerhet og som ikke følger reglene i personopplysningsloven.
Personopplysningsloven skiller ikke på om det er en SaaS, Paas eller IaaS, privat, hybrid eller allmenn sky, men problemstillingene kan variere etter hvor lite eller mye man overlater til sine leverandører. European Union Agency for Network and Information Security (Enisa) ga ut en veileder tidligere i år – om sikkerhet i skyen rettet mot små og mellomstore virksomheter.
Men databehandleravtalene til Google og Microsoft har dere vel godkjent?
Nei, vi godkjenner ikke databehandleravtaler. Man kan heller ikke legge til grunn at samme avtale passer alle. Så hver enkelt virksomhet må gjøre en risikovurdering av sin bruk og vurdere om databehandleravtalen tilsier at sikkerheten er ivaretatt. Datatilsynet kan overprøve dette ved tilsyn, men vi «godkjenner» ikke avtaler.
Uklare formuleringer i avtalene er noe av det vi ser på som avvik. For eksempel har det hendt at det står at leverandøren kan bruke personopplysningene til å forbedre egne tjenester. Hva innebærer dette? Kan leverandøren videreformidle opplysningene til en tredjepart? Kan de lage profiler for å følge en person gjennom livet gjennom bruk av ulike tjenester på tvers av skole, jobb og privat bruk?
I april i fjor ble det ved en feil kommunisert at Artikkel 29-gruppen hadde godkjent Microsoft sin avtale. Dette ble siden tilbakevist i en pressemelding fra Artikkel 29-gruppen (Eus rådgivende organ i personvernspørsmål). Det betyr ikke at avtalen er ulovlig, men at en avtale ikke godkjennes.
Kan man bruke leverandører utenfor Norge?
EU/EØS-land baserer seg på samme regelverk som Norge, slik at personopplysninger skal være trygge her. Når det gjelder land utenfor EU/EØS-samarbeidet, har EU-kommisjonen vurdert noen land til å ha adekvat beskyttelse av personopplysninger.
Nasjonal sikkerhetsmyndighet (NSM) gitt noen gode råd om hva man bør tenke på i den nylig publiserte rapporten «Helhetlig IKT-risikobilde 2015»:
«Dersom man vurderer å ta i bruk en skyleverandør bør man i vurderingen ta hensyn til hvilke land dataene passerer ved lagring, transport og behandling. Dette blir særdeles viktig dersom dataene passerer leverandører eller IKT-infrastruktur i land vi vanligvis ikke sammenligner oss med. Momenter man bør ta hensyn til vil for eksempel være: Sikkerhetspolitiske betraktninger, vertslandets samfunnsforhold og stabilitet, hvorvidt det eksisterer en god handelsavtale med Norge, hvorvidt landet er underlagt regelverk knyttet til sikkerhet og personvern, hvorvidt leverandøren er seriøs i et lengre tidsperspektiv, og hvorvidt IKT-sikkerhet er ivaretatt i leverandørens virksomhetsprosesser. Videre er det avgjørende å inngå en solid og utfyllende leiekontrakt (Service Level Agreement – SLA) – spesielt med tanke på eierskapet til egen informasjon og metadata, tilgangskontroll til data, samt IKT-spesifikke krav (oppetid, konfidensialitet, krypto-nøkkelhåndtering, backup, exit-strategi og autonomi-krav).»
I tillegg må man vite om leverandøren bruker underleverandører og gjøre de samme vurderingene av hvor denne lagrer, transporterer og behandler data.
Tematikken om skytjenester i land utenfor Europa har blitt aktualisert av at Safe Harbor-beslutningen ble kjent ugyldig i forrige uke. Dersom man vurderer en amerikansk leverandør undersøk hvor data blir lagret, transportert og behandlet. Dersom data blir overført til USA, så må man undersøke hvilket avtaleverk som ligger til grunn. Men jeg må gjenta: Det er den behandlingsansvarlige som er juridisk ansvarlig for personopplysningene – både her og der.
Skjer det noe som vil gjøre det enklere for oss å ta i bruk skytjenester?
Det er en del ting som rører seg i Norge og i utlandet på området:
- Kommunesektorens organisasjon (KS) har gjort en mulighetsstudie for bruk av skytjenester i kommunene. Rapporten, som ble lansert i juni 2015, tar for seg både forvaltningsloven, lov om offentlige anskaffelser og GPA-avtalen, reglene om vern av personopplysninger, sikkerhetsloven, bokføringsloven og arkivloven.
- Kommunal- og moderniseringsdepartementet (KMD) har publisert en rapport fra en interdepartemental arbeidsgruppe som har vurdert hindringer for bruk av skytjenester i det norske regelverket. Samtidig pågår det et arbeide med å utvikle en policy for bruk av skytjenester i offentlig sektor i regi av KMD. Rapport er forventet å bli lansert i løpet av høsten 2015.
- På europeisk nivå er det en arbeidsgruppe kalt Cloud «Select Industry Group» (C-SIG) som sammen med EU-kommisjonen jobber med å utarbeide en Code of Conduct for leverandører av skytjenester. Dette vil innebære at leverandørene skal ha en enhetlig praksis på hvordan de skal etterleve personvernreglene i Europa. Artikkel 29-gruppen skal så ta stilling til om denne Code of Conduct er tilstrekkelig til å ivareta de usikkerhetsmomenter og problemstillinger som har vært praksis over lengre tid. Det er ennå ikke kommet en opinion fra Artikkel 29-gruppen, men vi ser frem til at den skal komme.
Min anbefaling er å gjøre det du som behandlingsansvarlig er pliktig til å gjøre, undersøk hvor og hvordan leverandøren opererer, og få på plass en god databehandleravtale. Har du betenkeligheter, så er det sikkert ikke uten grunn. Still krav og stå på kravene!