Ny udtalelse fra Datarådet om Google Apps

Hvor ER det ironisk… Præcis som vi i går den 3. februar 2011 står og taler om, hvor meget, vi længes efter yderligere udtalelser fra Datatilsynet om anvendelsen af cloud-services som f.eks. Google Apps, sender lige præcist Datatilsynet endnu et svar til Odense Kommune i forbindelse med kommunens ønske om netop at bruge Google Apps til en række administrative og informative aktiviteter indenfor skolevæsenet i kommunen…

Er vi så kommet videre med Datatilsynets udtalelse? Både-og, ser det ud til. Datatilsynet har en række indvendinger imod måden, Odense Kommune påtænker at opfylde kravene i persondataloven og sikkerhedsbekendtgørelsen på. Nogle af indvendingerne er lidt ærgerlige, fordi det kunne have været imødekommet fra kommunens side ved lidt bedre forberedelse. Men der rejses også mere principielle spørgsmål om f.eks. overførsel af data til tredjepart uden for EU/EØS og andre sikre lande.

Men ta’ lige og start med dette citat fra udtalelsen til Odense Kommune: “… tilsynet [har] generelt en positiv indstilling over for brug af nye teknologier, herunder som udgangspunkt også cloud computing.” Det interessante her er faktisk, at de overhovedet HAR en holdning til et begreb som cloud computing.

De kunne have valgt at betragte clouding som blot endnu en måde at levere en it-driftsydelse på, og dermed blot endnu en platform, de skal forstå og mestre i forbindelse med vurderingen af en eventuel “… øget risiko i forhold til personers ret til privatliv og databeskyttelse”, som det videre hedder.

Jeg synes, det er interessant, at de vælger at have en eksplicit holdning til cloud computing, men måske er det også lidt bekymrende. Jeg kan ikke helt slippe en nagende følelse af, at det er her, de reagerer på det store pres, der har ligget på dem, både i forbindelse med sagen fra Odense, og i forbindelse med it-leverandørers og it-mediers pres på Datatilsynet for at få en aktiv stillingtagen. Dette bliver det spændende at følge de kommende måneder.

De fem kritikpunkter, Datarådet konkret har til Odense-sagen, lyder i Datatilsynets egen sammenfatning således:

  1. Eventuel overførsel af oplysninger til datacentre, som er beliggende i andre usikre tredjelande end USA, forudsætter, at der er et lovligt grundlag for overførslen, f.eks. at der er indgået en aftale baseret på EU-Kommissionens standardkontrakt, og at der er søgt tilladelse fra Datatilsynet.
  2. Den risikovurdering, som Odense Kommune har foretaget, er efter Datatilsynets opfattelse ikke tilstrækkelig. Datatilsynet vil anbefale, at man benytter ENISA’s tjekliste.
  3. Databehandleraftalen, som påtænkes alene at skulle bestå i elementer fra Googles generelle betingelser, lever ikke op til persondatalovens krav om, at Odense Kommune skal sikre, at Google udelukkende må handle efter instruks fra kommunen, ligesom det heller ikke fremgår af databehandleraftalen, at sikkerhedsbekendtgørelsen gælder for databehandlingerne hos Google.
  4. Datatilsynet må stille spørgsmål ved, hvordan Odense Kommune kan leve op til persondatalovens krav om kontrol med, om sikkerhedsforanstaltningerne overholdes hos databehandleren, når kommunen ikke ved, hvor oplysningerne fysisk befinder sig.
  5. Det er uoplyst eller kan ikke anses for tilstrækkeligt godtgjort ud fra det foreliggende, hvordan sikkerhedsbekendtgørelsens og persondatalovens krav vil blive opfyldt på en række punkter, herunder
    1. Sletning af data, så de ikke kan genskabes.
    2. Transmission og login. Det er ikke oplyst, om der sker kryptering mellem Google i Irland og Google Inc.’s forskellige datacentre. Med hensyn til login via internet med adgang til følsomme personoplysninger henstiller Datatilsynet brug af en løsning med flere faktorer, f.eks. digital signatur.
    3. Kontrol med afviste adgangsforsøg. Der foreligger ikke oplysninger om automatisk afvisning ved forsøg på at tilgå data uden om Odense Kommunes login-server.
    4. Med hensyn til logningskravet efter sikkerhedsbekendtgørelsens § 19 foreligger der ikke nærmere oplysninger om, hvilke oplysninger der logges, eller hvor længe loggen opbevares.

Jeg har tidligere omtalt ENISA’s tjekliste. Den eller Cloud Security Alliances tilsvarende liste kunne have bragt Odense Kommune langt tættere på en nødvendig klarhed, ser det ud til.

Vil du se detaljerne i Datarådets og Datatilsynets udtalelse, kan du finde det hele her.

UPDATE: Men her er der så en fyr, der ikke giver op! Klø på, Odense!

Dansette