tirsdag 1. mai 2012

Narvik i nettskyen

Digi.no om Narvik i nettskyen
Det er vel nokså nøyaktig et år siden Terra-rammede Narvik kommune erklærte at de for å spare penger ville benytte Google Apps som nettskyløsning for epost, kalender og samhandlingsverktøy. Noe som fikk blant annet Abelias styreleder Terje Wold til å stille spørsmål på bloggen sin om denne løsningen er sikker nok og ivaretar de nødvendige personvernmessige hensynene i stor nok grad.

En kommune har ansvar for en del oppgaver der sikkerhet og personvern må stå svært sentralt og kan ikke velge bort dette ansvaret for å spare penger. Nå er det ingen tvil om at cloud computing, tjenester som benytter data som ligger lagret ute i nettskyen, er både fremtidsrettet og fornuftig. Kostnadene for kunden blir lavere og fleksibiliteten for blir større fordi leverandøren håndterer så store mengder data fra mange ulike kunder. Men dette forutsetter naturligvis at bedrifter og borgere som bruker tjenestene opplever at dataene deres oppbevares trygt.

Det er dessuten viktig å ha et tydelig og forutsigbart offentlig regelverk for at ulike it-leverandører skal kunne konkurrere på lik linje, og ikke må gjette seg til hva slags regler som skal gjelde i fremtiden. EU-kommisjonen har etablert et Article 29 Working Party, som består av de europeiske datatilsynene, som i disse dager går igjennom disse problemstillingene og blant annet ser på Googles nye personvernvikår. I den forbindelse har de stilt 69 spørsmål om disse i et brev til Google. Dette arbeidet må også sees i sammenheng med at EU-kommisjonen i januar foreslo en ny forordning om personvern som vil erstatte direktivet fra 1995 som EU-kommisjonen mener er implementert så forskjellig i medlemslandene at de nå vil erstatte det med en forordning som er bindende for bedrifter og borgere i EU.

Narvik kommunes valg av løsning blir fulgt med en viss interesse rundt om i Europa fordi Narvik er blant de aller første kommunene i Europa som har varslet at de ønsker å bruke Google Apps. Datatilsynet vårt har behandlet saken og kom frem til at Narvik kommunes planlagte løsning i nettskyen ikke var bra nok i forhold til gjeldende lovverk og sendte et brev i januar i år med et varsel om et negativt vedtak. Et varsel om vedtak er ikke endelig, men gir den virksomheten det gjelder mulighet til å gjøre justeringer og redegjøre for hva de har gjort, slik at de kommer innenfor det som er tillat. I følge Digi.no i mars har Narvik kommunes rådmann og kommuneledelse nettopp vært på besøk hos Datatilsynet og fortalt om sine planer for å imøtekomme innvendingene..

Det er vel grunn til å tro at Datatilsynet snart vil komme med en endelig beslutning i Narvik-saken. Siden nettskyløsninger i en eller annen form er kommet for å bli, er spørsmålet her hvordan man skal balansere dette i forhold til at bedrifter og privatpersoners kan være sikre på at sikkerhet og personvern blir ivaretatt, og at opplysninger man oppgir ikke kan bli brukt til helt andre formål enn det de var ment til. Jeg tror det ville være lurt om Datatilsynet i denne saken samordner seg med de øvrige europeiske datatilsynene i Article 29 Working Party, og venter på nødvendige avklaringer der, slik at vi ikke risikerer et særnorsk avvik i den ene eller andre retningen. Både kunder, it-leverandører og borgere vil være bedre tjent med en felles EU-praksis på dette området enn vedtak som bare gjelder for Norge.