"Denne løsning opfylder kravene i Dansk Cloudkvalitetsmærke." Sådan en tekst findes der i dag ikke på cloud-løsninger.

Men det burde der, mener Peter Lunding Smith. Han har en fortid som IT-advokat og er i dag leder af cloud-afdelingen hos konsulentfirmaet Proactive. Og han synes, at Danmark bør indføre en mærkningsordning for cloud.

"Mange virksomheder og især det offentlige er tøvende over for at kaste sig ud i cloud. De er bange for, om løsningerne er sikre, og om de overholder persondataloven. Her ville det være smart med nogle fælles kriterier for, hvad en cloud-løsning skal opfylde. Jeg forestiller mig en mærkningsordning i stil med E-handelsfonden," forklarer han.

Når en virksomhed vælger en cloud-løsning med det blå stempel, kan den regne med, at udbyderen lever op til bestemte krav. Det kan for eksempel være, at der tages backup, og at sikkerhedssystemer beskytter mod hackere.

Mærket kan også vise, at eksterne revisorer løbende inspicerer datacentre og procedurer, og at personfølsomme data opbevares ud fra reglerne i persondataloven.

USA har mærkning

I USA har man en ordning ved navn FedRAMP (Federal Risk and Authorization Management Program). Den udgør en standardiseret metode til at vurdere og godkende cloud-tjenester.

Et af formålene med FedRAMP er netop at gøre det muligt at genbruge en godkendelse på tværs af myndigheder.

Et andet initiativ er CAMM (Common Assurance Maturity Model), som en række it-virksomheder står bag. Modellen giver en standardiseret metode til at måle, hvor moden en cloud-udbyder er, når det gælder sikkerhed og udbydernes standardkontrakter.

En af aktørerne bag CAMM er EU's it-sikkerhedsagentur, ENISA (European Network and Information Security Agency).

Odense-sagen

Peter Lunding Smith mener, at en mærkningsordning kan få mere gang i brugen af cloud. Han synes, der også er behov for en revision af persondataloven, der blev skrevet, længe før virtualisering og cloud ændrede måden, vi håndterer og opbevarer data på.

"For et år siden kom regeringens højhastighedskommission med sin rapport, der anbefalede, at det offentlige skal satse massivt på cloud. Og siden da er der sket... ikke så meget. Jeg tror, især Odense-sagen har fået mange til at holde igen," mener Peter Lunding Smith.

Odense-sagen handler om kommunens ønske om at placere et system til undervisningsplanlægning på Google Apps. Det har Datatilsynet i flere omgang sagt nej til, fordi løsningen ikke overholder persondatalovens krav.

"Her er en generel mærkningsordning en løsning. Så kan kommuner blot henvise til mærket, når de ansøger om godkendelse hos Datatilsynet," siger han.

Hvis der bliver tale om en godkendt standardløsning eller -kontrakt, kan man helt undlade at ulejlige Datatilsynet.

Han foreslår, at mærkningsordningen eventuelt baseres på de krav, som indgår i CAMM eller anbefales af ENISA.
Få gode råd om karriere og ledelse. Bliv ven med Børsen på Linkedin



Andre læser dette lige nu


Seneste IT nyheder

Pleasure anbefaler