Derfor ruller ITU Office 365 ud, mens Odense venter på Google Apps

IT-Universitetet flytter snart ansatte og studerende over på cloud-løsningen Office 365 fra Microsoft. Læs her, hvorfor de går videre, mens Odense tøver med Google Apps.

Mens Odense indtil videre har aflyst planerne om at bruge Google Apps på skolerne, er IT-Universitetet i København kun få skridt fra at udrulle Microsofts cloud-kontorpakke Office 365.

Læs også: Odense opgiver Google Apps-planer efter mere end to års tovtrækkeri

Det fortæller it-chef på IT-Universitetet Henrik Ejby Bidstrup, der regner med, at op til 3.000 ansatte og studerende sendes over på løsningen i løbet af efteråret.

Den sidste rest af tvivl hos it-chefen blev fjernet i løbet af sommeren, hvor Datatilsynet kom med to vigtige afgørelser.

Én om Microsofts Office 365-løsning og dernæst en ny om IT-Universitetets brug af løsningen, som kort fortalt er Microsofts velkendte Office-pakke serveret over nettet.

Ifølge både IT-Universitetet og Microsoft i Danmark, som dog ikke ønsker at udtale sig til denne artikel, er Datatilsynets afgørelser det tætteste, vi kommer på en regulær godkendelse af en cloud-løsning herhjemme - uden dog at være det.

Læs også: IT-Universitetet flytter e-mail i skyen - som første offentlige virksomhed

Med udtalelserne i hånden er det kun småting, der mangler, før Office 365-planerne kan føres ud i livet.

»Vi har fået et svar fra Datatilsynet, som anbefaler os nogle flere ting, inden vi ruller ud. Så vi skal lige have de sidste detaljer på plads, før vi trykker på knappen,« siger Henrik Ejby Bidstrup til Version2.

Datatilsynet anbefaler blandt andet IT-Universitetet at sikre, at personfølsomme oplysninger så vidt muligt lagres i krypteret form hos Microsoft.

Væsentlige forskelle mellem Office 365 og Google Apps

IT-Universitetet kommer fra en open source e-mail-løsning, som nu er blevet migreret midlertidigt over på Microsofts Exchange-platform. Exchange-setuppet er skræddersyet til at gøre det endelige ryk over til Office 365 så smertefrit som muligt.

Sammenlignet med Odense-sagen, hvor Google Apps skulle bruges til de såkaldte elevplaner, der kan indeholde CPR-numre, oplysninger om sygdom og andre personfølsomme oplysninger, er der en klar forskel hos IT-Universitetet.

»Det er begrænset, hvad der er af personfølsomme og fortrolige data, fordi det jo er vores e-mail og kalendersystem. Men vi må jo se i øjnene, at det kan ske. Løsningen lægger ikke låg på, at en studerende kan sende en e-mail med sit CPR-nummer i,« siger it-chefen til Version2.

IT-Universitetet har allerede lavet en risikovurdering af Microsoft Office 365 baseret på tjeklisten fra Enisa, som Datatilsynet selv anbefaler. Den skal nu gennemgås en gang til oven på Datatilsynets afgørelse fra juli.

Henrik Ejby Bidstrup mener dog også, at Odense-sagen adskiller sig på en andet afgørende punkt.

»Sagen med Odense og Google Apps er markant anderledes, fordi Google netop ikke kan garantere, at data befinder sig et bestemt sted. Det er essensen i deres forretningsmodel og løsning, at data flyttes rundt i verden. Og så er det afgørende, at Google ikke leverer løsningen under EU's model clauses,« siger it-chefen.

EU's såkaldte model clauses er klausuler til kontrakter, som sikrer kunderne, at cloud-leverandøren overholder en række krav til sikkerheden, hvis data flyttes til servere uden for EU. Det har historisk set været et af de ufravigelige krav, at personfølsomme data skal hostes inden for EU's grænser.

Google lovede ellers i et blogindlæg tidligere på sommeren, at selskabet ville overholde klausulerne fremover. Men det har alligevel ikke gjort Odense Kommune sikker nok til at ville sende en femte ansøgning af sted til Datatilsynet.

Læs også: Google på vej til at fjerne EU-barriere for Google Apps til danske myndigheder

Revisionsrapporter er godt nok

Et af Datatilsynets krav til it-løsninger med følsommer oplysninger er, at den dataansvarlige (her ITU) kan kræve at få forevist, hvor og hvordan databehandleren (her Microsoft) opbevarer og håndterer data.

Microsoft forbeholder sig retten til i første omgang at henvise til revisionsrapporter fra British Standards Institution, hvis IT-Universitetet beder om lov til at se Microsofts datacenter efter i sømmene.

Henrik Ejby Bidstrup har dog rent faktisk taget turen forbi datacenteret for at se nærmere på forholdene.

»Nu har jeg selv foretaget en inspektion af Microsofts datacenter i Irland, så det er allerede gjort. Men langt hen ad vejen er vi jo meget afhængige af revisionsrapporter, og hvis de kan levere uvildige rapporter, er vi ved godt mod. Men det fratager os jo ikke retten til at anmode om at besigtige datacenteret,« siger it-chefen.

IT-Universitetet har brugt halvandet år på at forberede overgangen til Office 365 fra Microsoft.

Google i Danmark har ikke ønsket at kommentere Odense-sagen, som du kan læse mere om herunder.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (14)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Jesper Lund Stocholm Blogger

Datatilsynet anbefaler blandt andet IT-Universitetet at sikre, at personfølsomme oplysninger så vidt muligt lagres i krypteret form hos Microsoft.

Er der mon nogen, der ved, hvordan de har tænkt sig at håndtere denne anbefaling?

  • 0
  • 0
Jørgen Elgaard Larsen

Nu har jeg selv foretaget en inspektion af Microsofts datacenter i Irland

Gad vide, om ITU betalte for den rejse?

Hvad får man ud af at se et datacenter med en masse makiner. Man kan jo ikke umiddelbart se, hvad der sker med data - og om de overhovedet kommer forbi datacentret, og ikke også ender andre steder.

Jeg husker selv flere eksempler fra min studietid, hvor det har været nødvendigt at maile mit CPR-nummer og andre betydeligt mere følsomme oplysninger til diverse studiekontorer.

Men netop email er jo i forvejen et usikkert medie. Og der er alligevel reelt ikke nogen offentlige institutioner, der kan modtage og behandle krypteret email ordentligt. Så ud fra det, er skaden nok ikke så stor.

Til gengæld kunne jeg godt tænke mig at se et regnestykke for, hvordan det økonomisk kan svare sig at bruge Office 365, og om det performer ordentligt.

  • 7
  • 0
Tor Hvalsøe

De har valgt at deaktivere POP3 hvilket fjerner muligheden for at bruge Gmail som klient.. har skrevet til mdem gentagende gange og de nægter stadig at åbne for adgangen.

Lavede en test i går hvor der var 7 timers forsinkelse på e-mails.

Systemet synkronisere med CPR registreret og man er derfor tvunget til at bruge sit fulde navn. Det har man ikke lyst til.

sso virker i 2 steps.

Typisk itu.

  • 5
  • 3
Henrik Pedersen

Jeg hæfter mig umiddelbart mest ved formuleringen "Datatilsynet anbefaler blandt andet IT-Universitetet at sikre, at personfølsomme oplysninger så vidt muligt lagres i krypteret form hos Microsoft."

"Så vidt muligt" er vel åbent for en del fortolkning.

  • 1
  • 0
Tor Hvalsøe

@Jesper
Jeg har et ret langt navn som det er de færreste der kan stave rigtigt.
Har hele mit liv kun brugt mit fornavn og mit ene efternavn af praktiske årsager.

Men det der er mest træls er nu at man ikke må hente sine mails med POP3 eller automatisk vidersende sine mails. De gør hvad de kan for at gøre det træls.

  • 1
  • 0
Jesper Lund Stocholm Blogger

Jeg har et ret langt navn som det er de færreste der kan stave rigtigt.
Har hele mit liv kun brugt mit fornavn og mit ene efternavn af praktiske årsager.


Men det er vel for så vidt fint nok - men det ændrer ikke på, at det imo er ganske rimeligt og forventeligt, at din skole insisterer på, at du identificerer dig overfor dem med dit "rigtige" navn. Hvis du er træt af dit "rigtige" navn, så lav det om.

  • 0
  • 0
Jens Dalsgaard Nielsen

pindehuggeri

@Jesper - pindehuggeri...
De kan sagtens bruge studienr baseret account som vi andre bruger. Det er ikke brugerID der er afgørende. Det er kombinationen af brugerID og såkaldt ... password sammen med en hel masse kryptering af kanalen... De kan jo hedde vorherretilhest01, vorherretilhest02 osv ;-)

@Tor & imap
Det er ikke din private mailservice men en del af dit arbejde. Du har vel også underskrevet en lang erklæring om brug af deres it systemer og services.

  • 2
  • 0
Jesper Lund Stocholm Blogger

De kan sagtens bruge studienr baseret account som vi andre bruger. Det er ikke brugerID der er afgørende.


Det er jeg helt enig i - og jeg mener heller ikke, at ITU bør bruge navnet som identifikation i sig selv. Men der er nogle klare fordele i, at man visuelt i skolens systemer kan genkende de studerende ud fra det navn, som man er tilmeldt skolen som - og ikke whatever internet-nickname den studerende brugte på IRC, da han var 11.

  • 0
  • 0
Casper Jensen

For at single sign on kan virke skal du have et par server stående on premis. Disse servere har til ansvar at skabe forbindelse mellem dit AD og Office 365.

Jeg har oplevet flere gange at hvis der går noget galt i denne sync og der derfor sker en inkonsistens af information mellem AD og Office 365 så er supporten MEGET tung at danse med. Det kan tage meget lang tid før der er noget der kommer op og køre igen. Jeg har eksempel på kunder der har været uden mail i flere uger...

Jeg synes Office 365 er en rigtig god idé men det er ikke min oplevelse at deres support for single sign on er klar.

Det bliver ikke taget seriøst nok at en kunde har været uden mail i fx en uge, hvilket er katastrofalt i næsten alle virksomheder

  • 0
  • 0
Log ind eller Opret konto for at kommentere