Dette indlæg er alene udtryk for skribentens egen holdning.

Så kom der omsider en udtalelse fra datatilsynet vedr. Microsofts Cloud

Af Peter Lunding Smith7. juni 2012 kl. 12:178
Artiklen er ældre end 30 dage

Hvis man går ind på http://www.datatilsynet.dk/nyheder/seneste-nyheder/artikel/udtalelse-om-microsofts-cloud-loesning-office-365/ kan man nu se en langhåret juridisk udtalelse fra Datatilsynet, der principielt anerkender brugen af Microsofts Datacentre, så længe både kunden og Microsoft overholder persondataloven og sikkerhedsbekendtgørelsen.

En mindre malurt i bægeret er dog er en bemærkning om Microsofts manglende logningsfunktion i relation til sikkerhedsbekendtgørelsens krav om loging af alle søgninger efter personfølsomme data.

Logning i h.t. sikkerhedsbekendtgørelsens § 19 er imidlertid kun relevant i visse tilfælde så efter min opfattelse vil det ikke være et problem i frohold til alm. anvendelse af mail- og dokumenthåndtering i f.eks. Office365

Under alle omstændigheder et udtalelsen, et stor skridt fremad for cloud enthusiaster omend det havde været rart om vi indførte een egentlig mærkningsordning for cloud leverandører og cloud services, så den enkelte virksomheder ikke var tunget til at kontakte en række rådgivere for at dobbelttjekke om en given service eller brug af cloud kræver godkendelse eller ej.

Artiklen fortsætter efter annoncen

Det har taget næste et år at få udtalelsen fra Microsoft og Odense kommune kæmper stadig for at få godkendt brugen af Google's cloudservices. Datatilsynet skulle nødig blive en stopklods for udbredelsen af cloud og vi må derfor håbe at der enten kan komme en mere simpel godkendelsesproces, eller at tilsynet kan få tilført nogle flere ressourcer.

8 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
8
8. juni 2012 kl. 10:57

...at det er fuldstændigt lige meget hvor serverne står, så længe der er en Amerikansk virksomhed involveret? At deres Patriot Act pænt meget overtrumfer landegrænser?

Fint nok hvis det offentlige gerne vil cloud-drifte, men så må de lave en offentlig sky... og så kan de ellers passende trække alt offentlig data væk fra private aktører, hvor den slags ikke hører hjemme.

7
8. juni 2012 kl. 07:13

God pointe. Hvis du selv udvikler en logning funktion til din Azure løsning eller for den sags skyld til Office365 SharePoint, så burde løsningen/registreringen kunne godkendes

6
8. juni 2012 kl. 05:12

Har svært ved at se staten på nogen måde kan overlade mine personlige data til 3rd mand uden at overtræde grundloven, jeg er dog ikke i tvivl om det vil ske igen nøjagtigt som med NemID. Vi er alle til grin, danske politikere kan alle købes, se bare på Helle!

4
7. juni 2012 kl. 20:45

Som Terese skriver så er jeg ikke specifikt ude efter de nuværende ansatte i Datatilsynet, men jeg synes at ekspeditionstiden i de cloudsager der har været, har været uforholdvis lang i forhold til hvad man kunne forvente som virksomhed eller offentlig organisation.

Jeg er ikke enig i at behandling af personfølsomme data i skyen er et no go, men hvis de data der er tale om, er omfattet af kravene til logning jvf. sikkerhedsbekendtgørelsens § 19, så er det rigtigt. Problemet er bare, at den regel er snart 12 år gammel og jeg er ikke sikker på at lovgiverne den gang kunne forudse udviklingen. Jeg er i alle fald ret sikker på at kravet om logning mere går på at kunne kontrollere hvem der f.eks søger oplysninger om din kreditværdighed eller medicinforbrug end at afskære virksomheder fra lade deres brugere sende mails der kan indeholde et personnummer. En mail med et personnummer er jo ikke en del af et register i den forstand og det kan være vanskeligt at misbruge det nummer, hvis man hverken kender nummeret eller mailen hvor det står i..

5
7. juni 2012 kl. 23:28

Nu handler denne sag om office365, som jo som udgangspunkt er en generel office pakke. Hvis der er tale om en specifik cloud løsning designet til person følsomme data og dermed indeholdende den nødvendige log, skulle der vel ikke være noget problem med personfølsomme data i skyen, under forudsætning af at cloud platformen svarer til office365 incl. Databehandleraftale og EU standard model clause. Det kunne eksempelvis være på Microsoft Azure, som benytter samme data centre.

1
7. juni 2012 kl. 12:55

Deres arbejder er vel netop, at være stopklods for projekter, der ikke lever op til reglerne, eller har jeg misforstået noget der?

2
7. juni 2012 kl. 18:00

Mon ikke Peter mener flaskehals - altså at det handler om at behandlingstiden er for lange for tiltag, der bliver dømt til at være helt acceptable.

3
7. juni 2012 kl. 20:31

Klart det bør ikke tage evigheder at få at svar på om ens cloud projekt overholder reglerne eller ej. Men vi er vel efterhånden ved at vide at personfølsomme data er nogo i en cloud løsning?

For mig at se er der en klar tendens i den retning ihverfald når man ser på de sager der har været igennem møllen hos datatilsynet.