Mens Odense indtil videre har aflyst planerne om at bruge Google Apps på skolerne, er IT-Universitetet i København kun få skridt fra at udrulle Microsofts cloud-kontorpakke Office 365.
Det fortæller it-chef på IT-Universitetet Henrik Ejby Bidstrup, der regner med, at op til 3.000 ansatte og studerende sendes over på løsningen i løbet af efteråret.
Den sidste rest af tvivl hos it-chefen blev fjernet i løbet af sommeren, hvor Datatilsynet kom med to vigtige afgørelser.
Én om Microsofts Office 365-løsning og dernæst en ny om IT-Universitetets brug af løsningen, som kort fortalt er Microsofts velkendte Office-pakke serveret over nettet.
Ifølge både IT-Universitetet og Microsoft i Danmark, som dog ikke ønsker at udtale sig til denne artikel, er Datatilsynets afgørelser det tætteste, vi kommer på en regulær godkendelse af en cloud-løsning herhjemme - uden dog at være det.
Med udtalelserne i hånden er det kun småting, der mangler, før Office 365-planerne kan føres ud i livet.
»Vi har fået et svar fra Datatilsynet, som anbefaler os nogle flere ting, inden vi ruller ud. Så vi skal lige have de sidste detaljer på plads, før vi trykker på knappen,« siger Henrik Ejby Bidstrup til Version2.
Datatilsynet anbefaler blandt andet IT-Universitetet at sikre, at personfølsomme oplysninger så vidt muligt lagres i krypteret form hos Microsoft.
Væsentlige forskelle mellem Office 365 og Google Apps
IT-Universitetet kommer fra en open source e-mail-løsning, som nu er blevet migreret midlertidigt over på Microsofts Exchange-platform. Exchange-setuppet er skræddersyet til at gøre det endelige ryk over til Office 365 så smertefrit som muligt.
Sammenlignet med Odense-sagen, hvor Google Apps skulle bruges til de såkaldte elevplaner, der kan indeholde CPR-numre, oplysninger om sygdom og andre personfølsomme oplysninger, er der en klar forskel hos IT-Universitetet.
»Det er begrænset, hvad der er af personfølsomme og fortrolige data, fordi det jo er vores e-mail og kalendersystem. Men vi må jo se i øjnene, at det kan ske. Løsningen lægger ikke låg på, at en studerende kan sende en e-mail med sit CPR-nummer i,« siger it-chefen til Version2.
IT-Universitetet har allerede lavet en risikovurdering af Microsoft Office 365 baseret på tjeklisten fra Enisa, som Datatilsynet selv anbefaler. Den skal nu gennemgås en gang til oven på Datatilsynets afgørelse fra juli.
Henrik Ejby Bidstrup mener dog også, at Odense-sagen adskiller sig på en andet afgørende punkt.
»Sagen med Odense og Google Apps er markant anderledes, fordi Google netop ikke kan garantere, at data befinder sig et bestemt sted. Det er essensen i deres forretningsmodel og løsning, at data flyttes rundt i verden. Og så er det afgørende, at Google ikke leverer løsningen under EU's model clauses,« siger it-chefen.
EU's såkaldte model clauses er klausuler til kontrakter, som sikrer kunderne, at cloud-leverandøren overholder en række krav til sikkerheden, hvis data flyttes til servere uden for EU. Det har historisk set været et af de ufravigelige krav, at personfølsomme data skal hostes inden for EU's grænser.
Google lovede ellers i et blogindlæg tidligere på sommeren, at selskabet ville overholde klausulerne fremover. Men det har alligevel ikke gjort Odense Kommune sikker nok til at ville sende en femte ansøgning af sted til Datatilsynet.
Revisionsrapporter er godt nok
Et af Datatilsynets krav til it-løsninger med følsommer oplysninger er, at den dataansvarlige (her ITU) kan kræve at få forevist, hvor og hvordan databehandleren (her Microsoft) opbevarer og håndterer data.
Microsoft forbeholder sig retten til i første omgang at henvise til revisionsrapporter fra British Standards Institution, hvis IT-Universitetet beder om lov til at se Microsofts datacenter efter i sømmene.
Henrik Ejby Bidstrup har dog rent faktisk taget turen forbi datacenteret for at se nærmere på forholdene.
»Nu har jeg selv foretaget en inspektion af Microsofts datacenter i Irland, så det er allerede gjort. Men langt hen ad vejen er vi jo meget afhængige af revisionsrapporter, og hvis de kan levere uvildige rapporter, er vi ved godt mod. Men det fratager os jo ikke retten til at anmode om at besigtige datacenteret,« siger it-chefen.
IT-Universitetet har brugt halvandet år på at forberede overgangen til Office 365 fra Microsoft.
Google i Danmark har ikke ønsket at kommentere Odense-sagen, som du kan læse mere om herunder.
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
