Datatilsynet barberer unødvendigt bøvl ved cloud computing væk

Det skal være nemmere at få lov at sende data ud i skyen, lover Datatilsynet. Men de gange, tilsynet har sagt stop, har der været gode grunde til det.

Vil du gerne bruge skyen mere, men frygter Datatilsynets hammer, så er der godt nyt.

Datatilsynet ønsker nemlig selv at gøre det nemmere at bruge cloud-computing, fortalte kontorchef Lena Andersen, da hun holdt oplæg på konferencen It-sikkerhed 2012.

»Persondataloven er en bekendtgørelse fra år 2000, som bygger på et EU-direktiv fra 1995. Det er ikke smart, at den står uændret så længe, så vi er godt klar over, at der er brug for fleksibilitet og sund fornuft. Vi er helt opmærksomme på, at det skal tillempes i forhold til cloud computing,« lød meldingen.

Og helt konkret arbejder Datatilsynet nu med en revision af reglerne, så der bliver færre forhindringer for cloud computing. En arbejdsgruppe kigger lige nu på, hvordan der kan luges ud i reglerne, uden at det går ud over beskyttelsen af persondata.

»Er der noget, som er skidt formuleret i sikkerhedsbekendtgørelsen og som unødigt gør det vanskeligt at bruge cloud computing, så kigger vi på det. Men der er også regler, der vanskeliggør brugen af cloud, men som ikke er unødige,« sagde Lena Andersen.

»Vi har ikke noget generelt imod cloud computing. Og vi vil gerne være med til at finde en løsning, hvor det er lovligt og sikkert,« sagde kontorchefen, da hun kom ind på sagen om Odense Kommunes brug af Google Apps.

Denne meget omtalte sag er blevet lidt af et symbol på, hvordan loven sætter en stopper for cloud computing, men problemet her var, at det ikke bare var skolearbejde, kommunen ville bruge Googles kontorpakke til, men også elevoplysninger.

Læs også: Det norske datatilsyn forbyder Google Apps

»Det var ikke bare elevernes stile, men følsomme oplysninger mellem skole og hjem. Det kan for eksempel være helbredsoplysninger,« sagde Lena Andersen.

Alt i alt var der ’en hel liste af problemer’ i Odense Kommunes aftale med Google. For eksempel skal kommunen ifølge loven kunne få at vide, hvor data ligger rent fysisk, men det var ikke en mulighed. Og kontrakten i sig selv var for overfladisk.

»Man skal have en datakontrakt, der sikrer, at databehandleren kun handler pr. instruks fra den dataansvarlige. Aftalen med Google var nogle meget kortfattede standardbetingelser, som Google oven i købet kunne ændre undervejs. Men det problem er jo ikke uløseligt, hvis Google lave en ny kontrakt,« sagde Lena Andersen.

Du skal vide, hvor dine data er havnet

At man skal vide, hvor data ligger rent fysisk, bunder i et krav om, at Datatilsynet skal kunne komme på inspektion og tilse forholdene. Og det kunne en tilhører ikke helt forstå, efter han selv havde set et af Microsofts store datacentre i Irland, med endeløse rækker af servere.

»Der er jo ikke labels på noget som helst, så det giver ikke nogen mening at komme og se stedet. Ville det ikke give mere mening at kræve logisk adgang til data, ligesom vi som kunde har?« spurgte han.

Retten til fysisk inspektion havde Datatilsynet nu ikke tænkt sig at give slip på, lød svaret fra kontorchefen.

En anden højprofileret sag var balladen om at sende køreprøvebookinger i skyen. Kommunernes organisation KL havde i få dage i foråret 2011 systemet i gang i Microsoft sky Azure, men der var store problemer med sikkerheden. Køreprøve-systemet blev derfor flyttet tilbage til serverne hos NNIT, hvor de kørte ind til det kortvarige sky-eventyr.

Læs også: Køreprøveskyen var pokkers utæt: Datatilsynet går ind i sagen

Set med Datatilsynets briller var der også andre problemer end de tekniske. Sagen blev taget op af egen drift, altså uden at nogen anmeldte den, og det viste sig, at KL slet ikke havde en databehandleraftale med Microsoft.

»Nu er data taget tilbage til Danmark. Men spørgsmålet er, om data er blevet slettet i Irland. Når man spørger Microsoft, får man svaret, at de bliver slettet, når andres kunders data overskriver det, men man ved ikke, hvornår det sker,« forklarede Lena Andersen.

Hun ønskede sig i stedet, at data hos en cloud-leverandør blev slettet med det samme, med volapyk-overskrivning, når kunden trak dem tilbage.

Dumme regler skal fjernes

Udover de sager, som har været omtalt i medierne, nævnte Lena Andersen også mindre eksempler, for eksempel en alternativ behandler, som brugte Dropbox til data om kunderne, uden at have styr på reglerne.

Læs også: Datatilsynet: Drop Dropbox nu!

Konferencen It-sikkerhed 2012 var arrangeret af Dansk IT og fandt sted 25.-26. januar. Version2 er mediepartner på konferencen.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (3)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Leonard Kramer

Det virker faktisk som om Data tilsyndet har godt styr paa hvordan det virker og ikke er villige til bare at smide data ud hvor som helst uden opsyn.

Det syntes jeg er betrykkende.

Jeg syntes maaske stadig det ville give mening hvis det offentlige koerte deres egen Sky, saa der (forhaabentlig) hvor 100% styr paa hvor de mest vigtige offentlige data laa.

  • 2
  • 0
#2 Peter Olesen

Jeg vil godt lede opmærksomheden hen på MegaUpload sagen, hvor man i AntiPirateriet hellige sags tjeneste, har lukket for en cload tjeneste som blev brugt af tusinder af mennesker til deres private filer, uden de på nogen måde har været indblandet i noget af det som sagskomplekset drejer sig om. Så når fx den amerikanske stat/skifteret/FBI bare kan lukke for et cload service uden nogen form for advarsel, synes jeg ikke at man skal satse på noget cloud overhovedet. Sagen er den at den amerikanske stat har indefrosset midler fra MegaUpload så de ikke kan betale for de servere materialet ligger på, så det oven i købet risikere at blive slettet ud over de de altså har spæret for adgang til systemet.

  • 1
  • 0
#3 Deleted User

Jeg synes også at reglerne forekommer ganske rimelige. Cloud computing kan muligvis spare en server her og der, men hvis prisen er at vi mister kontrollen med store mængder personlige data kan jeg ikke se at det skulle være det værd.

Fair nok at en leverandør ikke kan pege på den computer som gemmer ens data i et datacenter. Men virkeligheden er ofte at leverandøren heller ikke kan pege på et datacenter. Dine data ligger i mindst to af vores centre, vi kan ikke sige om de ligger i flere, vi kan ikke sige i hvilke, og vi kan ikke sige hvornår de evt. flytter sig.

Hvis cloud computing overhovedet skal komme på tale må man vel som minimum forlange at datacentret ligger i Danmark og at virksomheden som har kontrollen ikke er underlagt nogen form for udenlandsk lov/regering/efterretningstjeneste. Ellers risikerer man at FBI stikker snablen i det.

  • 0
  • 0
Log ind eller Opret konto for at kommentere