Odense opgiver Google Apps-planer efter mere end to års tovtrækkeri

Odense dropper at bede Datatilsynet om lov til at bruge Google Apps til personfølsomme data. Dermed opgiver kommunen efter fire forsøg hos tilsynet.

I alt fire gange siden 2010 har Odense Kommune bedt om Datatilsynets velsignelse til at flytte personfølsomme data op i Googles sky.

Og i alt fire gange har Datatilsynet vendt tommelen nedad til Odense, der gerne ville have grønt lys til at smide skolernes elevplaner op i Googles cloud-baserede tjeneste, Google Apps.

Men nu lægger Odense Kommune Google Apps-planerne på hylden - i hvert fald i denne omgang. Det fortæller it-sikkerhedsleder i Odense Kommune John Bonnerup til Version2.

For selvom Google tidligere på sommeren i et blogindlæg forsikrede, at Google Apps overholder kravene til EU's databeskyttelsesdirektiv, er garantien ikke god nok ved nærmere eftersyn.

Læs også: Odense prøver for 5. gang at få lov at bruge Google Apps

»Jeg har sammen en advokat vurderet, at vi ikke vil kunne dokumentere, hvor data befinder sig, præcist nok i forhold til Datatilsynets krav. Google har ikke kunnet give en tidsplan for overholdelse af kravene fra Datatilsynets myndigheder i Danmark. Og vi vil ikke søge en gang til, så længe Google ikke har efterkommet kravene,« siger it-sikkerhedsleder John Bonnerup til Version2.

Cloud computing er kort fortalt et udtryk for, at virksomheder tilgår programmer og data som en tjeneste på nettet, der hostes i datacentrene hos store cloud-udbydere som Google og Microsoft, der står bag cloud-kontorpakken Office 365.

Odense: Google Apps billigere end skoleintra

Google Apps er en samlet løsning fra den amerikanske netgigant, der blandt andet omfatter skriveprogram, regneark, e-mail og kalender som en tjeneste fra nettet.

Odense Kommune bruger i dag det såkaldte skoleintra til at håndtere elevplanerne elektronisk. I elevplanerne kan man blandt andet finde oplysninger om elevernes opgaver i skolen, men der kan også optræde personfølsomme oplysninger om for eksempel sygdom.

Ifølge John Bonnerup er kommunen 'rimeligt tilfreds' med at bruge skoleintra til elevplanerne.

»Men tanken med Google Apps-løsningen var, at den ville være billigere og måske også bedre,« siger han til Version2.

Odense-sagen er herhjemme blevet symbolet på dilemmaet mellem at flytte offentlige it-systemer og borgernes data op i skyen og samtidig overholde EU's regler på området.

Læs også: Det offentlige venter på ‘GO!’ til public cloudløsninger

Et af de ufravigelige krav er, at borgernes personfølsomme data skal hostes inden for EU's grænser. Og som det er lige nu, skal Datatilsynet kunne møde op i datacenteret hos for eksempel Google og få udpeget de servere, en offentlig myndigheds data befinder sig på.

Et andet punkt, der tænder de røde lamper hos de europæiske organer til databeskyttelse, er 'Patriot Act' fra USA. Den giver de amerikanske myndigheder ret til at forlange data udleveret fra amerikanske virksomheder - også hvis de befinder sig i et andet land end USA.

Selvom Google Apps-planerne foreløbig er skrinlagt, er John Bonnerup lettet over, at Odense valgte at afprøve sagen hos Datatilsynet, før kommunen kastede sig over Google-tjenesten.

»Vi har brugt relativt få ressourcer på sagen i forhold til omtalen. Men jeg er meget, meget glad for, at vi sendte den første ansøgning af sted til Datatilsynet, før vi havde besluttet, at vi ville skifte til Google Apps,« siger han til Version2.

Datatilsynet: Leverandørerne må indrette sig

Hos Datatilsynet ved man godt, at det lige nu er svært for det offentlige at kaste sig over cloud-løsninger, hvis der er personfølsomme oplysninger på spil.

Datatilsynet har tidligere forklaret over for Version2, at det generelt skal være nemmere fremover at sende data op i skyen. Den danske persondatalov er fra 2000 og bygger på et EU-direktiv fra 1995, så en opdatering ligger ikke fjernt fra tilsynets egne ønsker.

Læs også: Datatilsynet barberer unødvendigt bøvl ved cloud computing væk

Men selvom et EU-forslag til en ny forordning på området har været sendt i høring hen over sommeren hos blandt andet Datatilsynet, kan en ny lov på området let ligge flere år ude i fremtiden.

Det fortæller kontorchef Lena Andersen, Datatilsynet, som samtidig fastholder, at leverandører som Google bliver nødt til at leve op til reglerne herhjemme. Lovgivningen skal ikke bøjes efter leverandørernes vilje, mener tilsynet:

»Det handler om at påvirke for eksempel Google til at indrette løsningen, så den lever op til de forpligtelser, som en dansk dataansvarlig har. Og det kan jo være, at der er andre end Odense, som nu vil forsøge at tage den kamp (med leverandørerne, red.). I den sidste ende står og falder det med, om leverandøren overhovedet vil tilpasse sit produkt til dansk og europæisk datalovgivning,« siger Lena Andersen til Version2.

John Bonnerup, tror du, at I på et tidspunkt ender med at få lov til at bruge Google Apps til elevplanerne alligevel?

»Det har jeg ingen vurdering af overhovedet. Men de andre cloud-løsninger på markedet kan jo også nå at overhale Google indenom,« siger han til Version2.

Opdateret klokken 11.32: Første citat justeret til.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (57)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Anonym

Det er umuligt at overholde loven, og samtidig sende personfølsomme data op til Google.
Jeg forstår iøvrigt ikke denne iver, for at anvende en sådan løsning.
SÅ svært er det vel heller ikke, at fremstille løsninger der fungerer inden for lovens rammer.
Og der er, så vidt jeg er bekendt, masser af folk på Fyn, som kan løse opgaven, både med hensyn til fremstilling og drift af sådanne løsninger.

  • 16
  • 6
Maciej Szeliga

Jeg er helt enig med dig.
selvf. er det ikke sværere men det er dyrere og det er jo det som er humlen i hele den lyserøde sky.

Det er helt grotesk i den ene ende vil man ikke ofre danske arb. pladser og i den anden ende vil man ikke betale for hvad det koster at holde arb. pladserne i Danmark.

  • 6
  • 7
Sune Marcher

Rart at datatilsynet holder på fornuften - og at det ikke kun er serverlokation men også bekymring overfor Patriot Act.

Hvad med at overveje at bygge en stats-sky? Eller vil det ikke give stordriftsfordelen? (nb, jeg tænker her på noget bygget på eksisterende OpenSource og driftet af staten selv - custom kode eller hosting hos eksterne gribbe ville naturligvis resultere i endnu en skandaløs dødssejler og spildte skattepenge).

  • 6
  • 1
Lars K. Hansen

Jeg er glad for at Datatilsynet har sagt nej, følsomme data osv. skal ikke til USA.

Byg en "StatsSky" på Samsø, de er geniale til at få gode ideer som ikke koster en jetjager... Når de så har bygget den kan CPR systemet osv. som Poul Henning Kamp har skrevet om flyttes derud...

  • 2
  • 2
Thomas Petersen

Det handler ikke om at lave noget inden for lovens rammer men lige så meget om at lave noget der er driftsikkert og ikke koster utilsigtet meget.

Regeringern er generelt ikke særligt gode til at spare penge på IT fordi de har en masse tåblige regler der alligvel bliver overtrådt som i dette eksempel.

Der er tale om elev planer ikke blue prints til atombomber. Børn bliver syge. De poster det på Facebook. Secret out anyway.

  • 2
  • 6
Thomas Petersen

Øhh hvem har sagt det?

Det kunne jo tænkes at man tillod ikke følsomme ting som elev planer og samtidig bad google et. all om at skabe de nødvendige forhold hvis de vil have at de forskellige offentlige organisationer for lov at lægge mere personfølsomt op.

Du ved sådan helt praktisk skridt for skridt istedet for principelt og fuldstændig ubrugeligt stats tankegang hvor det er alt eller intet.

  • 2
  • 6
Jakob Damkjær

Der er tale om elev planer ikke blue prints til atombomber. Børn bliver syge. De poster det på Facebook. Secret out anyway.

Så hvis dit barn blev diagnostiseret med kræft eller alvorlig psykisk sygdom vil du intet ha imod at samtlige fremtidige arbejdsgivere vil kunne søge det fakta op på nettet resten af dit barns liv...

Datatilsynet gør deres job og i dette tilfælde rigtig godt. Google kan ikke leve op til kravene for at opbevare data efter reglerne move along... der er andre der kan, måske ikke lige så billigt som google men det er der så nok en grund til... eg. at det koster penge at kunne styre hvilke servere noget specifik data lagres på...

  • 7
  • 2
Maciej Szeliga

Det handler ikke om at lave noget inden for lovens rammer men lige så meget om at lave noget der er driftsikkert og ikke koster utilsigtet meget.


FLOT - NOT!
Hvis loven er til for at beskytte folk så er det lige præcis det det handler om. Nej, selvf. kan man ikke konkurere hverken med Amazon eller Google på pris, hvis det er prisen det handler om... men det handler ikke om prisen!
Det handler om at have en løsning som er INDEN for lovens rammer, hvis Amazon og Google ikke kan levere en løsning som er inden for lovens rammer så er deres løsning bare ikke en som kan bruges.

  • 7
  • 1
Thomas Petersen

Så du skal helt ud i det ekstreme for at forsøge at lave en pointe?

Siden hvornår offentligøres et barns sindslidelser i elevplanerne? By all means please share.

Og selvom det gjorde (hvilket det ikke gør) hvad fordel skulle amerikanerne have af den viden? For problemet er jo at dataen kan ligge i USA.

Datatilsynet gør deres job på samme måde som fødevarestyrelsen gjorde deres med Joe & the Juice.

Uden pragmatisk og virklighedsnær foholden sig til det der spørgses om. Elevplaner.

  • 1
  • 6
Thomas Petersen

Det kunne jo være at lovens rammer var for rigide.

Det kunne jo være at netop en så ligegyldig ting som elevplaner kunne lægges op som pilot og derved efterfølgende kunne man presse google til at sikre overholdelsen hvis man ville have mere op. Det gør virksomheder dagligt for at forhandle. Give a little demand a little.

Du ved der er mange alternativer, man skal bare ville se dem.

  • 1
  • 6
Thomas Petersen

Der er ikke tale om at brugerne skal afgøre det men om hvorvidt datatilsynet er for rigid. På samme måde som fødevarestyrelsen var det overfor Joe & the Juice.

Det er helt ude af proportioner og vidner om at datatilsynet ikke tænker sig om.

Det man er bange for er at daten kan komme til at ligge på eks. ikke europæiske servere og at patriot act kan tvinge google til at udlevere dataen.

På hvilken måde skulle elevplanerne kunne misbruges af den amerikanske regering?

Det er ren og skær princip for princippets skyld. Det har ingen reel betydning for barnet smider alligevel en mail til sine forældre om deres sygdom på gmail, og fortæller vennerne på facebook at det er hjemme med influenza.

Betonkommunisme af værste skuffe.

  • 2
  • 6
Maciej Szeliga

Det man er bange for er at daten kan komme til at ligge på eks. ikke europæiske servere og at patriot act kan tvinge google til at udlevere dataen.


Så du mener ikke at det er reel mulighed ?
Bare lige til din orientering: Patriot Act gælder alle virksomheder med hovedsæde i USA og uanset hvor deres habengut ellers befinder sig, hvis myndighederne vil se hvad der er på serverne så skal virksomheden give adgang til det.

  • 6
  • 1
Thomas Petersen

Hvilken mulighed taler du om? Hvad er det der kan ske? Hvorfor skulle USA bede om elevplanerne fra en række danske skoler i odense?

Det er da væsentligt lettere og billigere at hacke det danske system hvis det endelig var det.

Jeg forstår ikke jeres insisteren på problemet.

  • 1
  • 6
Jan Ferré Jensen

Thomas har et udemærket synspunkt med hensyn til, at man jo kan starte med elevplaner og så vil Google sikkert have lyst til at 'blive mere danske', så andre af statens informationer kan komme i Googles sky.

Desværre tror jeg glidebanen vender den anden vej - når elevplaner kan ligge der, så kan også kommunens kommunikation med bistandsklienter - og så kan også lister med offentlige skyldnere ligge der - og så kan også lige ...

Så selv om jeg synes, Datatilsynet er nogle rigide r...., må jeg beundre, at de står fast. At børn selv skriver på Facebook eller tilsvarende steder, at de er syge, er op til dem/forældrene. Vi skal ikke som samfund oplyse denne og kommende globale generationer om individer. Det er såmænd rigeligt slemt allerede indenfor EU - som bestemt ville have godt af, at Datatilsynet kiggede reglerne efter i sømmene.

Jan Ferré

  • 6
  • 1
Jan Ferré Jensen

Det er rigtigt, at Google Apps, Microsoft 365 og tilsvarende systemer kan tilbyde rigtig gode faciliteter. Men er disse reelt nødvendige?

På dette forum har vi en relativt simpel tekstbox at skrive i og vi kan lave lidt simpel formattering, hvilket sådan set er nok til at give vores indlæg en tilstrækkelig overskuelighed. Selv om jeg kunne bruge Google Docs til at skrive dette indlæg, ville det næppe blive væsentligt mere overskueligt, og værdien af indholdet ville ikke blive øget.

Så spørgsmålet er om vi ikke generelt er blevet for kræsne med hensyn til kvaliteten af tekst? At få en mail med et wordbilag, der sådan set bare bekræfter, at jeg har en aftale i morgen kl. 15, er for mig at se misbrug af både word, afsenderens tid og min tid. Indholdet ville med fordel kunne placeres direkte i mailen, så det ville være hurtigt at overføre, hurtigt at læse, og let at læse også på mobiltelefonen.

Hvor meget af det, der skal lægges på elevplan, har reelt brug for at blive opstillet i word (eller en tilsvarende web-applikation)? Vil vores skoleelever ikke få langt mere ud af deres indsats, hvis de generelt fokuserede på indholdet af en tekst frem for at fokusere på opstillingen? Og så overlade det lækre design til nogle få lektioner, hvor dette er i hovedsædet.

Så - jeg vil klart støtte en 'sky', hvor data gemmes på dansk grund (Fyn eller Samsø har været nævnt), via en klynge computere, der styres af et dansk firma (der har en klausul om, at de ikke kan sælges til udlandet uden at aflevere denne forretning), og hvor værktøjerne, der anvendes, er simple html5-baserede værktøjer. Så kan vi vist alle være med :)

Jan Ferré

  • 3
  • 1
Thomas Petersen

Jan tak for i det mindste at se min side af sagen.

Problemet er mere fundamentalt. Hvis samme sikkerhed eks. var krævet af banker for at kunne få lov til at gøre dine penge tilgængelig over nettet så ville vi stadigvæk ikke have netbanker.

Data kan aldrig blive 100% sikkert og det nytter ikke noget at man bliver ved med insistere på at det bør det blive. Der er behov for en anden tankegang en den som Datatilsynet og EU her står for. Selv inden for EU kan den data sagtens opsnappes hvis det endelig var det.

Dit glidebaneeksempel er der jo ikke noget belæg for da det jo er en helt anden form for data. Den kan iøvrigt rekvireres uden problemer med lidt snilde anyway.

Det først og fremmest være sådanne at datatilsynet kigger på hvad faren ved at den pågældende data kommer i de forkerte hænder kan betyde og hvor stor riskikoen er for at det kan ske målt op imod at det ligger inden for EU.

Alt andet er unødvendig principrytteri der hindrer ethvert muligt fremskridt.

  • 2
  • 6
Thomas Petersen

Unødvendigt.

Hvorfor er det du tror at et dansk firma skulle være bedre til at beskytte data? Det er der intet belæg for overhovedet.

Hvad angår google docs så glemmer du vist at fordelene er uendeligt mange i forhold til et system der skal laves af staten.

Det lyder primært som om der er et par generationer til forskel her og det er måske i virligheden hovedproblemet.

  • 1
  • 6
Sune Marcher

Hvorfor er det du tror at et dansk firma skulle være bedre til at beskytte data? Det er der intet belæg for overhovedet.

Et Dansk firma er ikke underlagt Patriot Act.

Men det bør i det hele taget ikke være private firmaer der står for at drifte stats-data. Bevares, det vil koste penge at hoste selv... men det er jo heller ikke ligefrem gratis at få hostet hos de private, vel?

  • 3
  • 1
Thomas Petersen

Igen hvad skulle den amerikanske regering som jo er de eneste der kan tage patriot act i brug bruge elevplaner til? Hvis det virkelig var noget de ville have fingre i så er det da bare at hacke det danske system.

Det er ren og skær pseudoproblemstilling du opstiller.

Hvad angår pris. Jo det er mange mange mange gange billigere at hoste steder som Amazon, Google etc. Mange gange.

Hvorfor denne unødevendige udgift på noget der ikke er mere sikkert når det kommer til stykket.

  • 1
  • 6
Sune Marcher

Igen hvad skulle den amerikanske regering som jo er de eneste der kan tage patriot act i brug bruge elevplaner til? Hvis det virkelig var noget de ville have fingre i så er det da bare at hacke det danske system.

Og jeg vil igen postulere at det ikke kun kommer til at dreje sig om elevplaner - og da slet ikke hvis der skulle blive ændret i lovgivningen.

Ja, der vil være etableringsomkostninger i at bygge en stats-cloud, og det vil sandsynligvis være dyrere at drive den end at smide det ud til google, amazon, microsoft eller whoever. Til gengæld ville der være styr på privacy-hensyn.

Og hvis man så hev hosting af offentligt stuff væk fra diverse private aktører, så ville det undre mig om det ikke gav besparelser som slutresultat.

  • 3
  • 0
Thomas Petersen

De privacy hensyn kan løses af Google og Amazon et. all. der er intet behov eller belæg for at påstå at de ikke skulle kunne løse det med mere følsom data end elevplaner.

Derfor et skridt af gangen. Data tilsynet tager jo også hver enkelt sag op så din påstand om at en ændring i lovgivningen giver ingen mening.

Og nej der er ingen besparelser hvis det offentlige skal adminstrere data løsninger. Det er der intet belæg for, ingen historik for. Cloud løsninger opererer efter en helt anden form for økonomisk model end det en stat ville kunne.

  • 0
  • 6
Sune Marcher

De privacy hensyn kan løses af Google og Amazon et. all. der er intet behov eller belæg for at påstå at de ikke skulle kunne løse det med mere følsom data end elevplaner.

Hvis man ser bort fra de lidt mere tinfoil-hat argumenter er der stadig Patriot Act at tage hensyn til - og det mener jeg ikke er ubegrundet paranoia. YMMV.

Derfor et skridt af gangen. Data tilsynet tager jo også hver enkelt sag op så din påstand om at en ændring i lovgivningen giver ingen mening.

Dansk IT (og andre) kunne godt tænke sig "at give persondataloven herhjemme et tiltrængt serviceeftersyn".

Og nej der er ingen besparelser hvis det offentlige skal adminstrere data løsninger. Det er der intet belæg for, ingen historik for. Cloud løsninger opererer efter en helt anden form for økonomisk model end det en stat ville kunne.

Igen, det vil sandsynligvis være dyrere end de eksisterende clouds, men de nuværende driftsaftaler er ikke gratis - og hvis man kunne rykke alt det til stats-skyen? Nogen burde regne lidt på det.

Ja, jeg ved godt det er optimistisk at håbe på et statsligt IT-projekt skulle ende med at lykkes :), men hellere undgå cloud end at lade private håndtere det.

  • 3
  • 0
Sune Marcher

Kan du ikke give mig et eksempel på hvad elevplanerne skulle have af interesse for Patriot Act?

Elevplanerne er sådan cirka ligegyldige, udover det principielle i sagen - men når diverse aktører begynder at lobbye for at få ændret på lovgivningen, så er det, i mine øjne, vigtigt at holde på sine principper.

Cloud aftalerne er næsten gratis og de bliver stadigvæk billigere. Din frygt for private er ubegrundet.

Økonomiske besparelser er en god ting, men det skal ikke være på bekostning af vores datasikkerhed.

Men vi bliver nok enige om det her.

  • 1
  • 1
Maciej Szeliga

Det var heller ikke følsomme oplysninger som skulle være i denne løsning: http://www.version2.dk/artikel/web-leverandoer-om-cpr-laek-boernehave-br...

Problemet er at når man giver brugerne en finger så tager de hele armen, giver du dem GoogleApps til elevplaner og skemaer vil der lynhurtigt havne personnumre og andre detaljer om eleverne.
Du abstraherer helt fra at folk vil gå den nemmeste vej lige så snart de kan, derfor er vi nogle stykker her som stejler. Du skal forholde dig til de barske realiteter i stedet for at fokusere på elevplanerne.

  • 3
  • 0
Thomas Petersen

Ja lad os forholde os til de barske realiteter.

De barske realiteter er at tusinder af liv om året mistet fordi lovgivning omkring personfølsomme data er så rigide at det gør det tæt på umuligt at lave fremskridt for eks. patienter. På verdensplan er der tale om millioner af liv.

Det betyder at det eks. er svært for læger o.l.s at sammenligne data og derigennem forbedre deres evner til at spotte sygdomme tideligt.

Realiteterne er at de penge man kunne spare kunne bruges i mange andre sammenhæng bla. på at udvikle bedre data strategier der isolere de personfølsomme data fra datasættet.

Jeg kigger skam på realiteterne, istedet for principperne.

Du ser på date som om det er noget der kan beskyttes 100%. Det er det ikke. Antag at det ikke er 100% beskytteligt så har du et udgangspunkt at arbejde ud fra. Alt andet er pseudo snak.

Der er forskel på at være forsigt og så på at være decideret kontra-produktiv.

Hvis ikke man kan tillade elevplaner på grund af en teoretisk chance for at USA skulle få lyst til at få fat i den data så tør jeg ikke tænke på hvor lang tid det vil tage før dette land kommer ud af sine problemer.

  • 2
  • 5
Maciej Szeliga

Så vidt jeg ved var mit forslag at lade elevplanerne komme op og så lægge pres på google. Det kan altså sagtens lade sig gøre.


Nej, for du kan ikke forhindre dine brugere i at lægge andre ting op.
Desuden er det naivt at tro at en kommune i DK kan lægge pres på Google og i øvrigt gælder amrikansk lovgivning også Googles servere som er placeret i EU.

Det har intet med datasikkerhed at gøre. Du tror da ikke dataen er mere sikker fordi den ligger på en dansk server? Det er en placebo antagelse.

Det er ikke nogen placebo antagelse, derimod er der meget naivt at tro at data er sikre på servere man ikke selv kontrollerer og som ikke er underlagt lovgivningen i landet.
På en dansk server ejet af staten eller kommunen er data helt sikkert underlagt dansk lovgivning, derfor burde man tænke på en cloud drevet af staten og kommunerne i fællesskab og distribueret over en 3 til 5 datacentre (f.eks. i de nedlagte bunkre som i forvejen har faciliteterne til det) i stedet for at tænke på hvor er opstartsomkostningerne lavest.

  • 4
  • 0
Thomas Petersen

"Nej, for du kan ikke forhindre dine brugere i at lægge andre ting op."

Huh? Hvad har det med noget at gøre? Ingen kan forhindre folk i at lægge ting op på facebook eller smide det i en mail.

"Desuden er det naivt at tro at en kommune i DK kan lægge pres på Google og i øvrigt gælder amrikansk lovgivning også Googles servere som er placeret i EU."

Nu drejer det sig jo altså ikke kun om en kommune men om hele EU da det er EU lovgivning der er tale om. Så mon ikke google har interesse i det.

"Det er ikke nogen placebo antagelse, derimod er der meget naivt at tro at data er sikre på servere man ikke selv kontrollerer og som ikke er underlagt lovgivningen i landet.
På en dansk server ejet af staten eller kommunen er data helt sikkert underlagt dansk lovgivning, derfor burde man tænke på en cloud drevet af staten og kommunerne i fællesskab og distribueret over en 3 til 5 datacentre (f.eks. i de nedlagte bunkre som i forvejen har faciliteterne til det) i stedet for at tænke på hvor er opstartsomkostningerne lavest."

Hvorfor er det dog naivt. Hvis google er meget bedre til at beskytte deres data end eks. den danske stat er så er det da lige præcist bedre det ligger hos dem.

Du hænger dig i et tyndt strå omkring Patriot Act men har ikke givet et eneste eksempel på i hvilket forbindlese amerikanerne skulle have interesse i elevplaner.

Hvis amerikanerne eller nogen anden for den sags skyld skulle have interesse i at få fat på data så ville det være væsentligt lettere at skaffe hvis det lå i Danmark end hvis det lå hos ex. google.

  • 1
  • 4
Jakob Holm Hansen

Det virker som om størstedelen af debattørerne ikke har sat sig helt ind i sagen.
Følgende er et eksempel på det skoleintra som Odense gerne ville af med:

http://www.bakke.skoleintra.dk/Infoweb/Fi2/Default.asp

Læg mærke til:

  1. Systemet er tilgængeligt fra internettet
  2. Der benyttes IKKE https hverken under autentifikationen eller af trafikken
  3. Du får hjælp til at gætte brugernavnet

Ydermere har jeg og en kollega der har skolesøgende børn i en anden skole, testet passwordfunktionaliteten.

Der er:

  1. Ingen krav til password kvalitet
  2. Du bliver låst ude efter 5 forkerte forsøg - indtil du genstarter din browser, så har du 5 til...

Så hvad er værst, at USAs regering teoretisk kunne tænke sig at benytte sig af patriot act eller ovenstående?

Ikke at jeg siger Google Apps er det eneste saliggørende, men faktum er at Odense prøvede at få en bedre løsning men pga. juristeri og fud, skal de nu trækkes med en der er mildt sagt elendig.

  • 4
  • 1
Niels Dybdahl

Der benyttes faktisk https i forældreintra, det er bare skjult så forældrene ikke kan føle sig sikre....
Nogle elever har forbud mod at ændre deres adgangskode (som er deres fødselsdag) fordi ingen på skolen har mulighed for at resette adgangskoden hvis en elev skulle have glemt den.
Jeg blev af min søn gjort opmærksom på en kendt fejl i elevintra som gav uvedkommende adgang til andres elevintra. uni-c nægtede at gøre noget ved det indtil jeg meldte dem til datatilsynet.
Af en eller anden grund føler jeg mig ikke helt tryg ved skoleintra.

  • 3
  • 0
Maciej Szeliga

Huh? Hvad har det med noget at gøre? Ingen kan forhindre folk i at lægge ting op på facebook eller smide det i en mail.


Nej, det kan jeg så til gengæld straffe dem for.
Den tidligere sag (som jeg refererede til tidligere) illustrerer lige præcis hvad problemet er: man giver folk noget og de bruger det til noget andet.

Hvis jeg som arb. plads tilbyder en løsning tilmine medarbejdere så skal denne løsning opfylde alle nødvendige krav så medarbejderne ikke behøver at tænke nærmere over hvad de lægger der fordi det er der styr på bagved... og så kan jeg til gengæld riste bollerne på enhver som sender en åben mail eller lægger noget på FB.

Du er fortsat meget fokuseret på de der skemaer... når du engang kommer over dem kan du måske se den lidt dybere problematik i sagen.

  • 2
  • 2
Jesper Lund Stocholm Blogger

Jeg forstår simpelthen ikke, hvorfor diskussionen som altid ender i en kamp imellem om Datatilsynet eller kommunerne har hul i hovedet. Er spørgsmålet ikke mere, hvorfor Google ikke bare tilbyder den ønskede funktionalitet som Datatilsynet efterspørger? Danmark er jo ikke det eneste land, der har sådanne ønsker.

Basalt set har de jo allerede informationen i deres systemer - det er blot at anskueliggøre det for myndighederne (uden dog at undervurdere selve implementeringen af ønsket - men teknisk set har de jo allerede de informationer, som Datatilsynet ønsker).

  • 4
  • 1
Henrik Winther Jensen

Det forekommer mig at der foregår en kamp mellem to grundlæggende principper her:
1. Hvordan får vi noget til at virke.
2. Hvordan overholder vi love og regler.
Nøglen til at håndtere denne konflikt er for mig at se at splitte problemerne op, så de problemer som ikke har nogen relation til love og regler, løses for sig. De lov/regel relaterede problemer må så håndteres for sig. Eventuelt må man bare opgive at finde en løsning hvis det ikke kan lade sig gøre!
Under alle omstændigheder er modellen med et centralt datatilsyn som afgør alting som regel ikke særlig hensigtsmæssig, og heldigvis anvendes den i praksis sjældent. Det er som regel bedst at lade kompetente personer diskutere tingene indbyrdes og finde en løsning. Det er en gåde for mig hvorfor dette er så vanskeligt at realisere indenfor staten og store virksomheder, men jeg må konstatere at det er det!

  • 0
  • 0
Martin Rasmussen

Basalt set, har den amerikanske reegering effektivt formået at afslå samtlige EU kunder, som måtte have nogle personfølsomme oplysninger liggende.
Patriot Act, skal bare afskaffes, så kan Google, Microsoft, eller hvem man nu kan lide af amerikanske firmaer, fint benyttes.
Ind til da, må de betegnes for at være uden for valgmulighederne...

  • 2
  • 0
Jesper Lund Stocholm Blogger

Basalt set, har den amerikanske reegering effektivt formået at afslå samtlige EU kunder, som måtte have nogle personfølsomme oplysninger liggende.
Patriot Act, skal bare afskaffes, så kan Google, Microsoft, eller hvem man nu kan lide af amerikanske firmaer, fint benyttes.


Men, ret mig endelig hvis jeg tager fejl, Datatilsynet forholder sig da ikke til Patriot Act-problematikken. De forholder sig til, at hvis der skal personfølsomme oplysninger i Amazon EC2 eller andre, så skal data fysisk ligge i EU og det skal være muligt at møde op på stedet og "lægge hånden på" de maskiner, der indeholder da personfølsomme data.

Det bør være teknisk trivielt at implementere dette for Cloud-leverandørerne.

  • 2
  • 0
Martin Rasmussen

Det var min personlige holdning, og desværre ikke, hvad jeg ved, datatilsynets holdning jeg gav udtryk for.

Når dette er sagt, kan vi vist alle være enige om at det er såre simpelt at implementere det således, at data ikke kan flyttes ud fra europa's grænser. Men som det allerede er blevet sagt herinde, så nytter det ikke rigtigt noget for en skole at stritte sig imod, når leverandøren åbenbart ikke ønsker at tage ens ønsker seriøst, eller sågar, krav.

EU burde kunne presse noget igennem her, med størrer 'slagkraft' end blot denne skole... men... hvornår dette sker, er vist noget vi kan vente længe på, med en masse "cloud løsninger" afslag i mellem tiden.

  • 2
  • 0
Thomas Petersen

Jeg syntes du kigger på det bagvendt Martin.

Googles primære opgave er at have et optimalt og sikkert cloud system. Her kræves det naturligvis at man har indbygget noke redundans i systemet for at kunne klare til tider store data mængder.

Fidusen med Cloud løsninger og grunden til at de er billigere er jo at man dynamisk deler resourcer.

Det er EUs lovgivning der er noget galt med. Om det ligger på den ene eller den anden server ændrer intet ved sikkerheden af dataen. Jeg vil faktisk gå så langt som til at sige det faktum at det ikke nødvendigvis befinder sig noget konstant sted er en fordel ikke en ulempe rent sikkerhedsmæssigt.

Det eneste der skulle være problemet var Patriot Act og jeg har stadigvæk svært ved at se hvordan det er noget faktisk problem i den her specifikke sag.

  • 1
  • 4
Thomas Petersen

Jeg er ligeglad med den dybere problematik den er kun relevant hvis Datatilsynets godkendelse af Odenses ønske skabte præcedens for alle andre dokumenter. Det gør den ikke.

Det problem kan løses.

Hvad jeg ikke er ligeglad med er at Datatilsynet opererer med så snæver en fortolking at den ikke engang kan tillade elevplaner.

  • 1
  • 4
Jens Peter Jensen

@Jesper Lund Stocholm. "så skal data fysisk ligge i EU og det skal være muligt at møde op på stedet og "lægge hånden på" de maskiner, der indeholder da personfølsomme data."

I min (og forhåbentligt også i Datatilsynets) optik er det det vigtige princip netop, at en offentlig myndighed, som håndterer dine personlige oplysninger på dine vegne, fuldstændig kan styre, hvem de får adgang til dine data. Det er end ikke godt nok, at data fysisk ligger i EU. De må aldrig forlade Dansk jurisiktion. Den amerikanske Patriot Act er her blot et godt eksempel på, at en fremmed stat (skift selv USA ud med Norge, Tyskland, Kina, Iran, efter forgodtbefindende) kan indføre love, som tvinger virksomheder til at udlevere data, som de håndterer på andre staters vegne.

  • 3
  • 0
Jesper Lund Stocholm Blogger

I min (og forhåbentligt også i Datatilsynets) optik er det det vigtige princip netop, at en offentlig myndighed, som håndterer dine personlige oplysninger på dine vegne, fuldstændig kan styre, hvem de får adgang til dine data. Det er end ikke godt nok, at data fysisk ligger i EU. De må aldrig forlade Dansk jurisiktion.


Det er blot ikke et hensyn Datatilsynet mig bekendt har taget. Datatilsynets holdning er, at så længe leverandøren har implementeret "[EU-]Kommissionens standardkontraktbestemmelser for overførsel af personoplysninger til en databehandler i et tredjeland.", så er de glade.

Jeg har i øvrigt svært ved at se det principielle problem i at en databehandler er i et andet land end Danmark.

  • 1
  • 0
Martin Rasmussen

Det har du så bare ikke, når vi har lande som f.eks. implementere 'Patriot Act', der alt uden lige, gør at du ikke har kontrol over hvem der har adgang til dine data mere.

Det som der skal tages stilling til, er at vi vil tillade som danske borgere skal tillade at udanlandkse lovgivninger giver dem ret til at snage i vores data, efter for godt befindende - uden at vi har kontrol over hvem der gør det, eller hvorfor de gør det.

For at undgå dette, er eneste løsning at vi til at starte med ikke kan tillade 'Patriot Act' lign. traktatslande/firmaer.

Som en anden person skrev andetsted, så er det eneste vi kan gøre for at modvirke dette 100%, er at oprette vores egen nationale 'cloud', som kun godkendte (PET godkendte måske?) personale har adgang til.

Læk kan altid ske, men man behøver ikke direkte at opsøge de firmaer og lande som gør at snagning i vores data er muligt...

  • 2
  • 0
Kristian Klausen

Ikast-brande kommune har også købt en masse computere, og kiggede lige på min mors nye lærer computer (hun er lærer her i kommunen, på en offentlig skole!), og der var sandelig installeret google drive på den, og den var administreret af en google apps bruger.

Det giver ingen mening, at Odenese kommune ikke får lov, når Ikast-brande gør. Kan selvfølgelig også være de ikke har overvejet det/spurgt.

http://aoh.dk/artikel/bruger-14-millioner-kroner-p%C3%A5-nye-computere-i...

  • 1
  • 0
Martin Rasmussen

Lyder meget som en 'Administrativ medarbejder' har besluttet at arbejde ud fra egen overbevisning.
Spørgsmålet er så om personen har vidst til Odense sagen, eller ej.
Hvis han har vidst til sagen, og alligevel har valgt at 'køre på', så vil jeg mene at personen står 'meget uheldigt'...

Men, det kan jo være at de har fået udtrykkelige instrukser på, IKKE at bruge google *apps til noget relevant inden for udveklsing af person følsomme data...
Igen, så forstår mange bare ikke forskellen på at blive givet en finger, og så tage armen...

  • 0
  • 0
Jan Christensen

Jeg har i øvrigt svært ved at se det principielle problem i at en databehandler er i et andet land end Danmark.

Problemet er at personlig information om danske statsborgere reguleres af en kommerciel virksomhed (i dette tilfælde en Amerikansk virksomhed). Det betyder at staten og regeringen og dermed de danske statsborgere mister kontrollen over personfølsomdata.

Kommunerne er store nok (men måske nok ikke kompetente nok!) til at bygge cloud services selv. Google og andre cloud providere bruger offentlig tilgængelig open source software til at drive deres platforme. Det kan kommunerne også. Hvis KL vil benytte sig af denne type af service så bed Koncern IT om at levere dem fra danske datacentre underlagt dansk lovgivning og via dansk ejede kabler så vi kan håndhæve vores national suverænitet.

/Jan

  • 1
  • 0
Log ind eller Opret konto for at kommentere