Nu får Odense - måske - endelig lov at bruge Google Apps
Torsdag formiddag modtog it-sikkerhedsvejleder John Bonnerup fra Odense en e-mail fra Google, som kan puste nyt liv i kommunens Google Apps-planer.
For Google ser nu ud til at bøje sig for en række af de krav i den europæiske lov om databeskyttelse, som internetgiganten ikke tidligere har villet sætte sin underskrift på. Det har indtil nu stået i vejen for kommunens brug af Google Apps.
»Det er da glædeligt, at vi er kommet det skridt videre. Det betyder alt andet lige, at vi nu har fået ryddet nogle af stenene på vejen væk,« siger John Bonnerup til Version2.
Det er nye og mere positive toner fra it-sikkerhedsvejlederen, der i sommer lagde idéen med at bruge Google Apps på hylden. Det skete efter mere end to års forgæves forsøg på at få enderne hos Google og Datatilsynet til at mødes.
Symbolet på cloud-problemet
Herhjemme er Odense-sagen blevet symbolet på dilemmaet mellem at flytte offentlige it-systemer og borgernes personfølsomme data op i skyen og samtidig overholde EU's datalovgivning.
Odense Kommune bruger i dag det såkaldte Skoleintra til at håndtere elevplanerne elektronisk. Elevplanerne indeholder typisk oplysninger om elevernes opgaver i skolen, men der kan også optræde personfølsomme oplysninger om for eksempel sygdom. Systemet ligger i dag hos danske UNI-C.
Tanken med at bruge Google Apps, som er Googles cloud-baserede kontorpakke, er, at den er billigere og måske også bedre end Skoleintra, har John Bonnerup tidligere forklaret Version2.
Men på grund af Googles forretningsmodel, hvor kunders data raskt væk flyttes rundt mellem datacentre i hele verden, har Datatilsynet udtrykt bekymring for de odenseanske elevers personfølsomme data.
»Datatilsynet er ikke enig i Odense Kommunes vurdering af, at fortrolige og følsomme oplysninger om elever og forældre kan behandles i Google Apps,« skrev Datatilsynet i et svar til kommunen i februar 2011.
Nye klausuler gør forskellen
EU præsenterede i 2010 de såkaldte model clauses, som er klausuler til kontrakter, der sikrer kunderne, at cloud-leverandøren overholder en række krav til sikkerheden, hvis data flyttes til servere uden for EU.
Og det nye er altså, at Google nu tilbyder at overholde dem, når selskabet håndterer virksomheder og myndigheders data. Det er et vigtigt skridt for at gøre Datatilsynet tilfreds, hvilket også IT-Universitetet har erfaret i forbindelse med udrulningen af det konkurrerende produkt Office 365 fra Microsoft.
Om det så også er nok til at gøre Odenses Google Apps-planer til virkelighed, kommer nu an på en prøve. Men John Bonnerup er villig til at forsøge igen.
»Jeg vil nu sætte mig sammen med forretningen, vores advokat og Google for at finde den bedst mulige løsning for at komme igennem hos Datatilsynet,« siger John Bonnerup til Version2.
Datatilsynet har ikke haft mulighed for at se nærmere på sagen og har derfor ingen kommentarer. Tilsynet har dog tidligere udtalt til Version2, at internationale virksomheder som Google må indrette sig efter dansk og europæisk datalovgivning, og ikke omvendt.
Google i Danmark har ikke ønsket at udtale sig til denne artikel.
Kommentarer (5)
Og så skal datatilsynet lige spørge Google:
Er I underlagt Patriot Act?
Hvis de svarer ja er alle tilsagn Google giver om hvor data er placeret fuldstændigt ligegyldige.
Hvis de svarer nej lyver de.
Og det betyder at hvis de store firmaer skal drive Cloud virksomhed i Europa, bliver de nødt til at oprette Europæiske selskaber som ejer datacentrene. Og det skal være selskaber som juridisk er afkoblet fra deres amerikanske ejere, f.eks som et aktieselskab med offentligt tilgængelige aktier.
-
6 -
0
God pointe Nils, men ...:
Hvis der blot etableres et datterselskab i Googles koncernstrukturen, som skal stå for driften og ejerskabet af de datacentre, der er målrettet mod EU/privacy-venlige cloud løsninger, der opererer i et geografisk område (EU), hvor det er de europæiske myndigheder, der har juridiktion (og ikke de amerikanske myndigheder), så er spørgsmålet om ejerskabet overhovedet er flyttet udenfor.
Set fra Google's moderselskabs perspektiv, så er ejer man jo datterselskabet, og det EU/privacy-dedikerede datacenter er blot et regnskabsmæssigt aktiv, der indgår i moderselskabets koncernportefølje af aktiver. Og så er spørgsmålet, om CIA ell. NSA stadigvæk kan komme rendende (til moderselskabet) med Patriot Act i hånden, og kræve at data fra datterselskabets datacenter bliver udleveret af efterforskningsmæssige hensyn.
Og så er man lige vidt ift. tidligere.
Patroit Act er stadigvæk kildeproblemet, ligesom den geografiske opdeling af nationale myndigheders jurisdiktion også stadigvæk er udfordringen ift. global/grænseløs cloud arkitektur og afledte privacy hensyn. Så spørgsmålet om det formelle ejerskab til disse datacentre (og herunder driftsansvaret for de data der rummes) skal løses før man nærmer sig målet, så vidt jeg kan se.
... og lidt videre tanker:
Kan man overhovedet forestille sig, at Goggle (eller tilsvarende selskaber, der primært laver software) kan se nogen som helst forretningsmæssig idé i at stifte driftsselskaber, som man fra moderselskabets side IKKE har et koncernstrukturelt ejerskab over?
Ejerskab medfører jo mange ting, bl.a. også retten til at høste det evt. økonomiske overskud, hæftelse/forpligtelse ift. gæld og underskud osv. osv., så hvordan skal Google kunne kaste penge ind i etableringen af sådanne driftsselskaber, hvis det medfølgende ejerskab giver Google problemer ift. driften/privacy i EU's geografiske jurisditionszone?
Som jeg ser det umiddelbart, så bliver dette her kun holdbart, hvis der etableres selvstændige driftsselskaber i EU, der ikke indgår ejerskabsmæssigt i en koncernstruktur, der peger op mod et moderselskab med base i USA og dermed indenfor de amerikanske myndigheders jurisdiktionszone.
Den slags selskabsetableringer kan sikkert sagtens lade sig gøre, rent juridisk. Spørgsmålet er blot, hvem der gør det, og hvilket ejerskab der er over sådanne "uafhængige" driftsselskaber.
Google kan jo sagtens levere løsningen (i tilpasset form, jovist), mens ejerskabet over driftselskabet ligger et andet sted, udenfor Google's ejerskabs rækkevidde (og Patroit Acts rækkeviddde).
-
2
-
0
Hvis der blot etableres et datterselskab i Googles koncernstrukturen, som skal stå for driften og ejerskabet af de datacentre,
Derfor mit skriveri om "juridisk afkoblede" firmaer, hvad datterselskaber absolut ikke er. Men jeg kender ikke tilstrækkeligt til europæisk selskabslovgivning til at kunne sige hvordan og hvornår et firma er et datterselskab og hvornår det ikke er.
"an man overhovedet forestille sig, at Goggle (eller tilsvarende selskaber, der primært laver software) kan se nogen som helst forretningsmæssig idé i at stifte driftsselskaber, som man fra moderselskabets side IKKE har et koncernstrukturelt ejerskab over?"
Dette kan jo sagtens lade sig gøre. F.eks må man nok erklære at NTC Holding har det fulde ejerskab (eller i hvert fald den fulde kontrol) over TDC, og dermed er i stand til at høste alle de økonomisk fordele, men at alle operationer angående TDC er underlagt dansk lovgivning (eller EU lovgivning)
-
1
-
0
kræfter på at finde en løsning, der SIKRER at personfølsomme oplysninger ikke slippes ud.
Indtil videre har de taget den billigst mulige løsning, og så brugt deres kræfter på at forsøge at skubbe ansvaret for sikkerheden over på Datatilsynet.
-
0
-
0
Tilføj kommentar
