Datatilsynets sky-afvisning modtages med kyshånd

Det er er godt, at der kommer håndfaste sky-krav fra Datatilsynet, når det offentlige skal på platformen. Det har nemlig været svært at forholde sig til luftige paragraffer, mener Google-partneren Headnet.

Det er positivt, når Datatilsynet stiller præcise krav til Odense Kommune om hvad der skal afklares, før Google Apps kan benyttes til opgaver med personfølsomme data, så som elevplaner.

Tidligere har kravene nemlig ikke stået særligt klart for leverandørerne.

»Det er et stort fremskridt at Datatilsynet er konkret om det her, for vi har tidligere oplevet, at Google har svært ved at svare generelt på problemstillingen med de danske regler. Det er et komplekst lovsæt, og Datatilsynet har ikke været interesseret i at svare generelt. Så vi er rigtigt glade for at kunne komme til bunds i det her,« siger Anton Stonor, som er teknisk chef hos Google-partneren Headnet.

I Kommunernes Landsforening (KL) er holdningen, at Datatilsynet er for restriktiv i sin tilgang til sky-teknologien.

»Hvor en ting gælder i papirverden, så gælder der en anden ting i den digitale verden,« siger centerchef i KL Jakob Aagard Harder.

**LÆS OGSÅ: **Datatilsynet forbyder Google Apps i kommuner

Nogle af Datatilsynets 14 krav og spørgsmål til Odense Kommune kan Headnet dog allerede nu give klare svar på.

»Vi kan godt understøtte digital signatur. Google Apps tillader, at man slår Googles egen login fra og uddelegerer ansvaret til kundens egen login-håndtering. Digital signatur eller NemID kan godt kobles sammen på den måde,« fortæller Anton Stonor.

Men en række andre spørgsmål, så som hvad der sker med Googles diske, når de går ud af drift, samt om data forbliver indenfor Europas grænser, er lidt sværere at besvare for Headnet.

»Det er spørgsmål, som selvfølgelig skal afklares, og som vi går i dialog med Google om.«

Google Danmark har tilkendegivet overfor Headnet, at data forbliver i USA og Europa.

Headnet har talt med Google om at hyre juridisk bistand til at afklare de lovgivningsmæssige krav, tilføjer Headnets direktør Sune Toft.

**LÆS OGSÅ: **Google Apps er et hit i fynske skoler

Datatilsynet påpeger overfor Odense Kommune, at de 14 spørgsmål ikke nødvendigvis er den fulde historie, men at flere krav kan komme til senere.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk

Kommentarer (3)

Anonym (ikke efterprøvet)

Problemet er at den eneste måde at sikre cloud er ved at sikre at data ikke kan gøres personhenførbare, dvs. Digital Signatur netop er det værste tænkelige tilgang. Identifikaton i login ødelægger sikkerheden. Det kan ikke sikre data, åbner for identitetstyveri og skaber en stribe nye problemer som f.eks. NemId i form af nye single-points-of-failure gatekeepere og pengemaskiner.

Digital Signatur skal bruge person-til-person, mens personhenførbare data i cloud skal krypteres med nøgler som ligger uden for cloud og alle transaktioner i cloud skal være kontrolleret med formålsspecifikke og formentlig transaktionsspecfikke nøgler som IKKE kan henføres til en konkret person.

Så nej - nøglehåndtering kan ikke finde sted på en server, men skal trækkes helt ud i brugerens egne devices. Hvis man ikke har en sådan, så er softkey midlertidigt bedre end risikokoncentration af samme serverside, men selvfølgelig må man have sine forbehold for softkey nøglehåndtering.

Kristian Larsen

Stephan: Jeg er enig med dig i dine betragtninger om NemID - når det så er sagt, så er diskussionen her hvordan kommunerne ifl. datatilsynet skal kontrollere evt. data de putter i skyen - og der kan det godt give mening med en login mekanisme der anvender virksomhedsdelen af NemID - rent administrativt bliver det til gengæld noget mere bøvlet må man sige.

Når det så er sagt så, igen, er jeg enig i at man burde lave en rigtig digital signatur fremfor det makværk der er NemID.

Anonym (ikke efterprøvet)

Hej Kristian.

Der er mange og komplekse spørgmsålet involveret her.

Først og fremmest er tanken om at smide skolebørn i cloud uden nogen form for sikkerhed en alvorlig fejl - og digital signatur kan ikke løse det problem uanset hvordan den laves fordi formålet med en digital signatur er at identificere og det præcis hvad man IKKE ønsker.

For det andet kan man diskutere omkring virksomheder og medarbejdere. I princippet kan jeg ikke se at det gør nogen forskel om det er borgere, forbrugere, medarbejdere, virksomheder eller organisationer.

Men legalt er der væsentlige forskelle, hvor virksomheder og medarbejdere qua ansættelsesforholdet er væsentligt ringere stillet end borgere og forbrugere. Teknisk og reelt er det dog oftest omvendt.

Mange vil have et bevidst public face, men ingen transkationer bør ske mod en sådan. Alene sikring mod denial of service taler for at undgå en sådan tankegang.

Dog kan man sige at hvis alle personer OG i denne forbindelse "kunder" (også B2B) ikke identificeres men kun formålsspecifik valideres overfor cloud, så bør organisationer være væsentligt mindre sårbare overfor de forudsigelige brud på sikkerheden og herunder særligt farlige internt glidende misbrug (af mange eksempler jf. f.eks. Apples seneste "policy-ændring" og de afpressede pseudo-samtykker).

Log ind eller opret en konto for at skrive kommentarer

Pressemeddelelser

Affecto Denmark reaches highest Microsoft Partner level

Affecto Denmark, a leading provider of data-driven solutions, has reached the highest level in the Microsoft partner ecosystem: Managed Partner.
22. jun 13:45

Innovate your business with Affecto's IoT Explorer Kit

Are you unsure if Internet of Things fits your business strategy?
31. maj 2017

Big Data Lake Summit: Fast and Trusted Insights

If you want to outpace, outsmart and outperform your competition in a digital world, you need trusted data that can be turned into actionable business insights at speed.
24. apr 2017