Datatilsynets udtalelse om Google Apps – en bombe under (offentlige myndigheders) brug af cloud løsninger i Danmark?
Datatilsynet har i en ny, principiel udtalelse afvist at ville godkende Odense kommunes påtænkte anvendelse af Google Apps.
Cloud computing
Cloud computing har i de seneste år vundet stor udbredelse, og der spås blandt eksperter om eksplosive vækstrater i de kommende år. Ifølge analysefirmaet IDC vil omsætningen på cloud baserede løsninger således i 2012 være på mere end 42 milliarder dollars.
Også i Danmark vinder ”it i skyen” frem. Ikke kun i det private, men efterhånden også blandt offentlige myndigheder, der bl.a. på grund af sparekrav i det offentlige ser cloud computing som et interessant alternativ til traditionelle licensbaserede løsninger.
Ikke mindst i det lys er Datatilsynets udtalelse om Odense kommunens brug af Google Apps spændende, men også nedslående læsning.
Google Apps
Google Apps er en cloud-baseret kontorpakke, der blandt andet omfatter kalender, e-mails og dokumenthåndtering.
Odense kommune ønskede, at benytte kontorpakken som platform til at styre elevplaner på flere folkeskoler i kommunen. Som led heri ville kommunen komme til at behandle følsomme personoplysninger om elevernes helbredsforhold, væsentlige sociale problemer og andre rent private forhold.
Datatilsynets udtalelse
Udtalelsen fra Datatilsynet om Google Apps har været imødeset med spænding både i Danmark og i udlandet, fordi den er den første af sin art. Forud for udtalelsen havde Datatilsynet i en tidligere udtalelse tilkendegivet, at man ikke kunne tiltræde kommunens brug af Google Apps allerede fordi, der sker behandling af personfølsomme data.
Dette synspunkt fastholdes i den nye udtalelse på trods af Odense kommunes fremlæggelse af et omfattende materiale om bl.a. kommunens risikoanalyse og løsningens sikkerhed.
Datatilsynet åbner dog en dør på klem for Odense kommune, idet tilsynet skriver, at de gerne ser på sagen på ny, når kommunen har forholdt sig til de problemer, som tilsynet peger på i udtalelsen. Datatilsynet udtaler endvidere, at det generelt har ”en positiv indstilling overfor brug af nye teknologier, herunder som udgangspunkt også cloud computing.”
I sin udtalelse om sagen, der forinden har været forelagt Datarådet på grund af dens principielle karakter, peger Datatilsynet på 5 problemstillinger ved den planlagte brug af Google Apps, som kort gennemgås nedenfor.
1. Overførsel til tredjelande kræver Datatilsynets tilladelse
”Eventuel overførsel af oplysninger til datacentre, som er beliggende i andre usikre tredjelande end USA, forudsætter, at der er et lovligt grundlag for overførslen, f.eks. at der er indgået en aftale baseret på EU-Kommissionens standardkontrakt, og at der er søgt tilladelse fra Datatilsynet.”
Datatilsynet henviser i den forbindelse til, at det ikke af materialet fra Odense kommune fremgår, om kommunens data vil blive behandlet i datacentre uden for EU eller Googles datacentre i USA, som er tilmeldt Safe Harbor ordningen.
2. Odense kommunes risikovurdering er ikke tilstrækkelig
”Den risikovurdering, som Odense Kommune har foretaget, er efter Datatilsynets opfattelse ikke tilstrækkelig. Datatilsynet vil anbefale, at man benytter ENISA's tjekliste.”
Datatilsynet henviser bl.a. til, at det fremgår af det modtagne materiale, at data, som opbevares i Googles datacentre ikke er krypteret. Tilsynet finder ikke, at kommunen har foretaget en tilstrækkelig vurdering af risiciene forbundet med denne manglende kryptering.
3. Databehandleraftalen i Googles generelle vilkår opfylder ikke persondataloven
”Databehandleraftalen, som påtænkes alene at skulle bestå i elementer fra Googles generelle betingelser, lever ikke op til persondatalovens krav om, at Odense Kommune skal sikre, at Google udelukkende må handle efter instruks fra kommunen, ligesom det heller ikke fremgår af databehandleraftalen, at sikkerhedsbekendtgørelsen gælder for databehandlingerne hos Google.”
Databehandleraftalen i Googles generelle vilkår indeholder en instruks til Google om, at de skal overholde deres egen Privacy Policy, som Google ifølge vilkårene ensidigt kan ændre. En sådan instruks er efter Datatilsynets opfattelse ikke tilstrækkelig.
Herudover skal databehandleraftalen indeholde en henvisning til sikkerhedsbekendtgørelsens regler, ligesom det skal fremgå, at de bestemmelser om sikkerhedsforanstaltninger, som er fastsat i lovgivningen i den medlemsstat, hvor databehandleren er etableret, gælder for denne.
4. Manglende kontrolmuligheder
”Datatilsynet må stille spørgsmål ved, hvordan Odense Kommune kan leve op til persondatalovens krav om kontrol med, om sikkerhedsforanstaltningerne overholdes hos databehandleren, når kommunen ikke ved, hvor oplysningerne fysisk befinder sig.”
Det fremgår af bekendtgørelsen, at den dataansvarlige aktivt skal sikre, at de krævede sikkerhedsforanstaltninger overholdes hos databehandleren. Datatilsynet konstaterer, at Odense kommune ud fra det foreliggende materiale ikke ved, præcist i hvilke datacentre kommunens oplysninger fysisk befinder sig. Datatilsynet stiller på den baggrund spørgsmål til, om Kommunen har mulighed for aktivt at sikre, at de krævede sikkerhedsforanstaltninger overholdes hos datacentrene.
5. Ikke godtgjort at persondatalovens regler vil blive opfyldt
”Det er uoplyst eller kan ikke anses for tilstrækkeligt godtgjort ud fra det foreliggende, hvordan sikkerhedsbekendtgørelsens og persondatalovens krav vil blive opfyldt på en række punkter, herunder
a. Sletning af data, så de ikke kan genskabes.
b. Transmission og login. Det er ikke oplyst, om der sker kryptering mellem Google i Irland og Google Inc.'s forskellige datacentre. Med hensyn til login via internet med adgang til følsomme personoplysninger henstiller Datatilsynet brug af en løsning med flere faktorer, f.eks. digital signatur.
c. Kontrol med afviste adgangsforsøg. Der foreligger ikke oplysninger om automatisk afvisning ved forsøg på at tilgå data uden om Odense Kommunes login-server.”
Datatilsynet skriver om disse punkter bl.a.,
at de ikke ud fra det modtagne materiale kan se, hvordan Google foretager sletning af datamedier og dermed ikke kan vurdere, om Googles fremgangsmåde i forbindelse hermed er tilstrækkelig sikker i forhold til de danske regler,
at transmission af følsomme oplysninger via internettet skal krypteres ved anvendelse af digital signatur eller lignende, og at det ikke af det modtagne materiale fremgår, om der sker kryptering ved udveksling af oplysninger mellem Googles datacentre,
at kommunens procedurer vedrørende kontrol med afviste forsøg på at logge ind på løsningen, ifølge de foreliggende oplysninger forekommer utilstrækkelige,
at det ikke er tilstrækkeligt godtgjort, at sikkerhedsbekendtgørelsens krav til logning er opfyldt.
Udtalelsens betydning for Cloud i det offentlige
Af udtalelsen, der som nævnt må anses for principiel, kan bl.a. udledes følgende:
- Først og fremmest indebærer udtalelsen, at det formentlig i praksis vil være særdeles vanskeligt at få Datatilsynets tilladelse til at behandle personfølsomme oplysninger (dvs. oplysninger om race, religion, helbred, politisk overbevisning m.v.) i en cloud baseret løsning. Det vil i hvert fald bl.a. kræve en særdeles omfattende risikoanalyse og en meget høj grad af sikkerhed i løsningen, herunder overholdelse af sikkerhedsbekendtgørelsens skrappe regler for behandling af følsomme oplysninger.
- Selvom sikkerhedsbekendtgørelsen efter sin ordlyd alene gælder for offentlige myndigheder, må det antages, at Datatilsynet også vil kræve, at den overholdes ved privates brug af cloud baserede løsninger. Dette ud fra en betragtning om, at sikkerhedsbekendtgørelsen blot er udtryk for god databehandlingsskik.
- Også for cloud løsninger, hvor der ikke sker behandling af personfølsomme oplysninger, skal der foretages en risikoanalyse. Og også i disse tilfælde skal (dele af) reglerne i sikkerhedsbekendtgørelsen overholdes. Det er imidlertid nok temmelig tvivlsomt, om de store internationale cloud udbydere (Google, Amazon og Microsoft m.fl.) kan og vil indrette deres cloud løsninger, så de opfylder særlige danske regler.
- Myndigheder og private virksomheder skal sikre sig, at der ikke sker behandling af persondata (følsomme såvel som ikke-følsomme) i lande uden for EU eller virksomheder i USA, der ikke er tilsluttet Safe Harbor ordningen. I modsat fald er der behov for indgåelse af en særlig dataeksport aftale og en særskilt godkendelse herom fra Datatilsynet.
- Myndigheder og virksomheder skal sikre sig, at det er muligt at føre kontrol med, at de danske sikkerhedskrav overholdes, at kravene til logning er opfyldt, samt at opbevaring og udveksling af følsomme og/eller fortrolige personoplysninger sker i krypteret form.
Checkliste
Med udgangspunkt i denne og Datatilsynets tidligere udtalelse i sagen, kan der opstilles følgende ikke-udtømmende checkliste, som en myndighed eller virksomhed bør forholde sig til i forbindelse med brugen af en cloud-løsning, hvor der sker behandling af personoplysninger:
1) Har myndigheden/virksomheden foretaget en konkret risikovurdering og i så fald, hvad er udfaldet af denne?
2) Er der indgået en databehandleraftale med cloud udbyderen, der opfylder persondatalovens krav?
3) Har myndigheden/virksomheden kontrol med, hvor oplysningerne fysisk befinder sig, herunder om oplysningerne alene vil befinde sig på den i anmeldelsen angivne adresse i Danmark, eller om de blive behandlet i et andet EU-land eller i et tredjeland?
4) såfremt oplysningerne behandles i et tredjeland, er der indgået en dataeksportaftale baseret på Kommissionens standardaftale og indhentet tilladelse fra Datatilsynet?
5) Hvordan har myndigheden/virksomheden sikret sig, at alle personoplysninger bliver slettet hos databehandleren efter endt behandling - og på betryggende måde?
6) Sker behandling af fortrolige personoplysninger i krypteret form?
7) Hvilke procedurer anvendes ved tildeling af autorisationer?
8) Hvordan vil myndigheden/virksomheden kontrollere, at kun autoriserede brugere får adgang?
9) Sendes adgangskoder via det åbne internet?
10) Kan en bruger vælge at vedkommendes adgangskode huskes, så den ikke skal indtastes hver gang?
11) Hvordan sikres det, at kravene til kontrol med afviste adgangsforsøg i sikkerhedsbekendtgørelsens § 18 vil blive iagttaget?
12) Hvordan sikres det, at sikkerhedsbekendtgørelsens § 19 om logning vil blive iagttaget? |
Afslutning
Såfremt Datatilsynets udtalelse bliver det sidste ord i sagen vedrørende Odense kommune, bliver det formentlig i mange tilfælde vanskeligt for danske myndigheder og virksomheder at benytte cloud baserede løsninger, hvori der sker lagring eller anden behandling af personoplysninger – i særdeleshed følsomme data. Myndigheder og virksomheder afskæres derfor i disse tilfælde fra at høste både de besparelsesmuligheder og teknologiske fordele, som cloud teknologien frembyder.
Det er således nok ikke sandsynligt, at de store cloud udbydere vil rette ind i forhold til de særlige danske regler og Datatilsynets fortolkning heraf.
Det forekommer endvidere, at de krav, som opstilles af Datatilsynet på visse områder, er temmelig restriktive, og at Datatilsynet tilsyneladende anlægger en hårdere linje end andre tilsvarende tilsynsmyndigheder i EU.
Kontakt for yderligere oplysninger:
Advokat Jesper Langemark
Tlf.: 22 26 20 02. Mail: jl@bvhd.dk
Vedhæftede filer (0):
Relaterede artikler (0):
Eksterne links: (0):