Odense Kommune må ikke bruge en cloud-løsning fra Google til undervisningsplanlægning. Kravene om beskyttelse af persondata og it-sikkerhed er ikke opfyldt, mener Datatilsynet.

Tilsynet siger, at afgørelsen ikke skal ses som en generel afvisning af cloud-tjenester til personfølsomme oplysninger. Omvendt mener IT- & Telestyrelsen, at svaret viser, at cloud øjensynlig er uforeneligt med dansk persondatalovgivning.

Sagen der startede for et år siden ses som en prøvesag for, om offentlige myndigheder i Danmark kan bruge cloud computing. Nu har den været oppe i Datarådet, som har fundet en række elementer, hvor aftalen mellem Odense Kommune og Google ikke overholde lovkravene.

It-chef Sten Hansen fra Datatilsynet understreger, at tilsynet ikke principielt er modstander af cloud computing. Men tilsynet skal sikre, at loven overholdes. Han ser ikke svaret som det endelige punktum i sagen:

"Vi er kommet med en række anvisninger på, hvad Odense Kommune kan gøre for at få de legale forudsætninger på plads," siger han.

Et cloudsystem som Googles består af en stor mængde servere spredt ud på datacentre i flere lande. Systemet kan selv fordele belastningen mellem serverne, så det kan være svært eller umuligt at afgøre, hvor data på et givet tidspunkt bliver behandlet.

Til følsomme data


Odense Kommune ønsker at bruge Google Apps til at planlægge undervisning og evaluere både undervisningsforløb og enkelte elevers faglige udvikling. Lærerne skal også kunne skrive notater om klassernes arbejde og elevernes baggrund.

Dermed kommer systemet til at indeholde mere følsomme data end blot en elevs cpr-nummer: Også oplysninger om helbredsforhold og sociale problemer kan ligge i det.

En kilde bemærker, at på grund af de personfølsomme oplysninger er det en ganske svær sag, Odense her har prøvet at få godkendelse af. Datatilsynet har ad to omgange sendt spørgsmål, som kommunen har besvaret.

Op i KL

Alan Sørensen, der leder Pædagogisk Mediecenter i Odense Kommune, er ikke overrasket over svaret.

"Jeg vil bede Datatilsynet om et møde, så vi kan gå mere i detaljer med det. Datatilsynet skriver, at de synes, spørgsmålet skal vurderes politisk i kommunen. Det finder jeg urimeligt. Skal det så op politisk i hver eneste kommune, der vil bruge cloud? Så jeg vil i stedet bede min direktør rejse sagen i Kommunernes Landsforening," siger han.

Tre problempunkter


Ifølge svaret fra Datatilsynet er der især tre punkter, hvor man ikke kan se, at aftalen mellem kommunen og Google overholder lovkravene.

Den type data må kun behandles inden for EU/EØS-landene. Endvidere må de gerne gå til Google i USA, da firmaet har underskrevet en såkaldt safe harbor-aftale. Men data må ikke uden videre gå til tredjeland, medmindre der er et lovligt grundlag for det.

Odense Kommune har ikke etableret sådan et lovligt grundlag. Og aftalen siger ikke, hvor i Googles netværk af datacentre data vil blive opbevaret og behandlet. Eventuel overførsel af data inden for EU/EØS vil derimod ikke umiddelbart være et problem.

For det andet mener Datatilsynet, at den risikovurdering, som kommunen har foretaget, ikke er tilstrækkelig. Derfor løber kommunen efter tilsynets mening en uafklaret risiko.

Kommunen har henvist til en såkaldt SAS 70 type II-certificering, som Google har fået foretaget af en uafhængig revisor. Men den er fra 2008, og Datatilsynet har ikke kunnet få oplyst, hvor i verden inspektionen er foretaget. SAS 70 er en standard, som den amerikanske revisionsorganisation American Institute of Certified Public Accountants (AICPA) har udviklet.

Endelig står der i den danske sikkerhedsbekendtgørelse, at dens krav skal være skrevet ind i kontrakten. Google skal altså forpligte sig til at overholde kravene i bekendtgørelsen. Og Odense Kommune er forpligtet til aktivt at sikre sig, at Google overholder kravene.

Lov spænder ben


IT- & Telestyrelsen har rådgivet Odense Kommune i sagen. Chefarkitekt Søren Peter Nielsen herfra siger, at det umiddelbart ser ud til, at persondatalovgivningen og fortolkningen af den ikke er forenelig med cloud computing:

"Der er et krav om, at den enkelte kunde skal foretage en risikovurdering af den teknologi, som cloud-udbyderen anvender. Det er ikke realistisk, at en kunde skal kunne gøre det på et teknisk detaljeret niveau. Jeg mener, at man skulle kunne bygge på uafhængige revisorerklæringer som for eksempel SAS 70 type II," siger han.

Han ser også et problem i kravet om, at sikkerhedsbekendtgørelsens krav skal skrives ind i kontrakten.

"Hele ideen med cloud bygger på stordriftsfordele og standardiserede ydelser. Hvis man skal indgå særlige aftaler med hver enkelt kunde, ryger stordriftsfordelen," siger han.

Da svaret fra Datatilsynet først kom i går, er han stadig ved at læse og analysere det. Flere af kritikpunkterne mener han godt kan imødegås.

"Men de to punkter med risikovurderingen og kontrakten kan godt sætte en kæp i hjulet for brug af cloud i det offentlige, hvis vi har fortolket svaret korrekt," siger han.

Minister klar til lovændring

Videnskabsminister Charlotte Sahl-Madsen udtalte på et møde i december, at hun er klar til at se på, om lovgivningen spænder ben for cloud i det offentlige:

"Hvis der er nogle udfordringer, som ikke er dækket af den nuværende lovgivning, så må vi se på, om lovgivningen skal ændres," sagde hun ifølge Version2.

På EU-plan er EU-kommissionen gået i gang med at se på en revision af databeskyttelsesdirektivet. Her indgår der også en strategi for cloud. EU-kommissær Neelie Kroos har i en tale sagt:

"En cloud uden tydelig og stærk databeskyttelse er ikke den slags cloud, vi har brug for."

Andre læser dette lige nu


Seneste IT nyheder