Så kom der omsider en udtalelse fra datatilsynet vedr. Microsofts Cloud

Hvis man går ind på http://www.datatilsynet.dk/nyheder/seneste-nyheder/artikel/udtalelse-om-... kan man nu se en langhåret juridisk udtalelse fra Datatilsynet, der principielt anerkender brugen af Microsofts Datacentre, så længe både kunden og Microsoft overholder persondataloven og sikkerhedsbekendtgørelsen.

En mindre malurt i bægeret er dog er en bemærkning om Microsofts manglende logningsfunktion i relation til sikkerhedsbekendtgørelsens krav om loging af alle søgninger efter personfølsomme data.

Logning i h.t. sikkerhedsbekendtgørelsens § 19 er imidlertid kun relevant i visse tilfælde så efter min opfattelse vil det ikke være et problem i frohold til alm. anvendelse af mail- og dokumenthåndtering i f.eks. Office365

Under alle omstændigheder et udtalelsen, et stor skridt fremad for cloud enthusiaster omend det havde været rart om vi indførte een egentlig mærkningsordning for cloud leverandører og cloud services, så den enkelte virksomheder ikke var tunget til at kontakte en række rådgivere for at dobbelttjekke om en given service eller brug af cloud kræver godkendelse eller ej.

Det har taget næste et år at få udtalelsen fra Microsoft og Odense kommune kæmper stadig for at få godkendt brugen af Google's cloudservices. Datatilsynet skulle nødig blive en stopklods for udbredelsen af cloud og vi må derfor håbe at der enten kan komme en mere simpel godkendelsesproces, eller at tilsynet kan få tilført nogle flere ressourcer.

Kommentarer (8)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Marc Munk

Klart det bør ikke tage evigheder at få at svar på om ens cloud projekt overholder reglerne eller ej. Men vi er vel efterhånden ved at vide at personfølsomme data er nogo i en cloud løsning?

For mig at se er der en klar tendens i den retning ihverfald når man ser på de sager der har været igennem møllen hos datatilsynet.

  • 0
  • 0
Deleted User

Som Terese skriver så er jeg ikke specifikt ude efter de nuværende ansatte i Datatilsynet, men jeg synes at ekspeditionstiden i de cloudsager der har været, har været uforholdvis lang i forhold til hvad man kunne forvente som virksomhed eller offentlig organisation.

Jeg er ikke enig i at behandling af personfølsomme data i skyen er et no go, men hvis de data der er tale om, er omfattet af kravene til logning jvf. sikkerhedsbekendtgørelsens § 19, så er det rigtigt. Problemet er bare, at den regel er snart 12 år gammel og jeg er ikke sikker på at lovgiverne den gang kunne forudse udviklingen. Jeg er i alle fald ret sikker på at kravet om logning mere går på at kunne kontrollere hvem der f.eks søger oplysninger om din kreditværdighed eller medicinforbrug end at afskære virksomheder fra lade deres brugere sende mails der kan indeholde et personnummer. En mail med et personnummer er jo ikke en del af et register i den forstand og det kan være vanskeligt at misbruge det nummer, hvis man hverken kender nummeret eller mailen hvor det står i..

  • 0
  • 0
Steen Schledermann

Nu handler denne sag om office365, som jo som udgangspunkt er en generel office pakke. Hvis der er tale om en specifik cloud løsning designet til person følsomme data og dermed indeholdende den nødvendige log, skulle der vel ikke være noget problem med personfølsomme data i skyen, under forudsætning af at cloud platformen svarer til office365 incl. Databehandleraftale og EU standard model clause. Det kunne eksempelvis være på Microsoft Azure, som benytter samme data centre.

  • 0
  • 0
Sune Marcher

...at det er fuldstændigt lige meget hvor serverne står, så længe der er en Amerikansk virksomhed involveret? At deres Patriot Act pænt meget overtrumfer landegrænser?

Fint nok hvis det offentlige gerne vil cloud-drifte, men så må de lave en offentlig sky... og så kan de ellers passende trække alt offentlig data væk fra private aktører, hvor den slags ikke hører hjemme.

  • 0
  • 0
Log ind eller Opret konto for at kommentere