Åpner for bruk av nettskytjenester (endelig rapport)

Datatilsynet har vurdert bruken av nettskytjenester hos Narvik og Moss kommune. Konklusjonen er at tilsynet åpner for bruk av tjenestene, og at Narvik kommune kan fortsette å bruke Google Apps. Moss har fått veiledning i bruken av Microsoft Office 365.

Bakgrunnen for gjennomgangen var at Datatilsynet i 2011 mottok en klage på Narvik kommune sin bruk av Google Apps, og tilsynet varslet først et vedtak om at kommunens bruk av denne tjenesten måtte opphøre. Datatilsynet har nå valgt å ikke fatte vedtak mot kommunen likevel, men lar den fortsette å benytte tjenesten. Moss kommune tok derimot kontakt med tilsynet selv og ba om veiledning i bruk av Microsoft Office 365.

Prinsipielle avklaringer

- Vi har prøvd å komme med noen prinsipielle avklaringer rundt bruken av nettskytjenester, sier direktør i Datatilsynet Bjørn Erik Thon.

- Dette er ingen blancofullmakt til å benytte nettskytjenester, men hvis en del forutsetninger er på plass, og en virksomhet gjennomgår en grundig og god risikoanalyse, vil det kunne være en akseptabel løsning. Både Narvik og Moss kommune har brukt tid på å gjennomføre en profesjonell evaluering av nettskytjenestene, og vi har med bakgrunn i dette kommet frem til at de kan benytte disse tjenestene.

Noen forutsetninger

Ved bruk av nettskytjenester må noen forutsetninger være på plass:

  1. Det må gjennomføres grundige risiko- og sårbarhetsanalyser i forkant. Virksomheten må spørre seg selv om hva som kan gå galt, og hvilke følger det i så fall kan få.
  2. Selskapene må ha en tilfredsstillende databehandleravtale som er i tråd med norsk regelverk. Det er kommunen som har ansvar for at lovens krav følges.
  3. Bruken av nettskytjenester må jevnlig revideres. Det vil si at en tredjepart gjennomfører en sikkerhetsrevisjon på vegne av kommunen og sikrer at databehandleravtalen følges.
  4. Databehandleravtalen må være det som gjelder og leverandørens generelle personvernerklæring må ikke gå utover denne.

Overføring til utlandet

Det er også noen utfordringer knyttet til bruk av tredjeland. Hvor dataene er lagret? Hvordan følge opp leverandørene slik at man sørger for at opplysningene er sikret på en god måte? Skjer overføringen innen EU/EØS, eller er det en overføring til USA som er sertifisert etter Safe Harbour-avtalen? Med mindre landene det overføres til er godkjent som trygge mottakerstater av EU-kommisjonen, må overføringen være regulert i standardavtaler.

Internasjonal standard

- Datatilsynet følger nøye med på hva som skjer på området også i andre land, og våre vurderinger er i tråd med internasjonal standard, sier Thon. - Artikkel 29-gruppen, som består av lederne hos datatilsynsmyndighetene i EU- og EØS-landene, kom blant annet med en uttalelse i sommer som vi har sett på i forbindelse med disse to sakene.

Last ned dokumentene

Bruk av Microsoft Office 365 - Moss kommune (pdf)

Bruk av Google Apps - Narvik kommune (pdf)