Artikkel

Bruk av nettsky i din virksomhet

Flere og flere virksomheter ser fordelene av å benytte seg de mange nettskytjenester og mange vil hevde at bruken av nettskytjenester er det største som skjer innen IT-industrien i dag. Datatilsynet har tidligere vært skeptiske til bruk av nettskytjenester som inkluderer behandling av personopplysninger, men har nå endret sitt syn – gitt visse forutsetninger.

Blant annet som et ledd i virksomhetenes effektiviseringstiltak ser vi at flere bedrifter outsourcer ulike oppgaver til eksterne tjenesteleverandører. En tjeneste som i økende grad etterspørres av bedrifter i Norge er bruken av nettskytjenester (eller Cloudløsninger/ SaaS: Software-as-a-Service). Bruk av slike tjenester reiser flere juridiske problemstillinger, og stiller strenge krav til sikkerhet og gode rutiner hos tilbyder av nettskytjenester.

Datatilsynet mottok i 2011 en klage på Narvik kommunes bruk av nettskytjenester, mens Moss kommune kontaktet selv Datatilsynet for veiledning om sin bruk av nettskytjenester. Datatilsynet varslet i første omgang et vedtak om at kommunenes bruk av tjenestene måtte opphøre. I 2012 valgte Datatilsynet å ikke fatte vedtak likevel, men lot Narvik kommune fortsette å bruke tjenesten og Moss kommune har fått veiledning fra Datatilsynet i bruken av nettsky. «Dette er ingen blancofullmakt til å benytte nettskytjenester, men hvis en del forutsetninger er på plass, og en virksomhet gjennomgår en grundig og god risikoanalyse, vil det kunne være en akseptabel løsning», sier direktør i Datatilsynet, Bjørn Erik Thon.

Nettskytjenester

Nettskytjenester – eller Cloud Computing – er en samlebetegnelse som omfatter alt fra dataprosessering og datalagring til bruk av programvare tilgjengelig på eksterne servere. Flere og flere aktører i privat og offentlig sektor ser de mange fordelene ved bruk av nettskytjenester. Eksempelvis kan det være kostnadsbesparende for en bedrift å sette bort lagring og håndtering av bedriftens personalarkiv og kunderegister til en ekstern tilbyder av nettskytjenester. Normalt er det også slik at tilbyder av nettskytjenestene i tillegg garanterer for at brukeren har den til enhver tid nyeste programvare tilgjegelig. Bedriften slipper da å holde seg oppdatert i forhold til programvareutvikling mot å betale lisens («abonnement») for bruk av programvaren. En annen fordel ved bruk av nettskytjenester er at bedriften som benytter tjenesten bare betaler for faktisk bruk, noe som medfører at man ikke trenger å ta stilling til kapasitetsbehov.  Stikkordet i denne sammenheng er «skalerbarhet» og «fleksibilitet» for bedriften.  

For å kunne ta i bruk nettsktløsninger må både bedriften og tilbyderen av nettskytjenester være tilknyttet internett. Videre er det ofte slik at nettskytjenester tilbys fra utenlandske serverparker. Dette er begge forhold som også medfører juridiske utfordringer ved bruk av slike tjenester.

Behandlingsansvar – Databehandleravtale

I korte trekk kan man si at bruk av nettskytjenester er en form for arbeidsfordeling mellom en bedrift og en nettskyleverandør, initiert av bedriften selv. Personopplysningsloven stiller krav til slik arbeidsfordeling. Blant annet slår personopplysningloven fast at en behandlingsansvarlig (bedriften) som setter ut lagring og håndtering av et elektronisk personellarkiv til en databehandler (leverandør av nettskytjenester) vil fortsatt ha ansvaret for personopplysningene.

Videre stiller personopplysningsloven krav til at det i slike tilfeller skal opprettes en databehandleravtale som regulerer arbeidsfordelingen mellom den behandlingsansvarlige (bedriften) og databehandler (leverandør av nettskytjenester). Eksempelvis skal det i avtalen reguleres hva databehandleren kan bruke opplysningene til og hvordan opplysningene skal sikres teknisk og fysisk.

Risikovurdering, informasjonssikkerhet og revisjon

En behandlingsansvarlig (bedriften) skal foreta en risikoanalyse av sin behandling av personopplysninger, og risikoanalysen må ses i sammenheng med etablerte akseptkriterier for risiko. Ved siden av dette må bedriften sørge for å ha på plass et system som sørger for tilstrekkelig informasjonssikkerhet.

For å forsikre seg om at tilfredsstillende informasjonssikkerhet foreligger må den enkelte bedrift forvisse seg om at tjenesten som blir tatt i bruk tilfredsstiller de kravene som er forankret i bedriftens risikovurderinger. Datatilsynet har sagt at vurderingen må skjerpes når man går fra egen drift til bruk av nettskybaserte løsninger. Grunnen til dette er at personopplysningene da vil ligge utenfor den enkelte bedrifts direkte kontroll.

 En databehandleravtale mellom den behandlingsansvarlige (bedriften) og databehandleren (leverandøren av nettskytjenesten) skal regulere informasjonssikkerhet, og bedriften må kunne stille krav til databehandler om fremleggelse av dokumentasjon for utforming av informasjonssikkerhetssystemet.

Videre har personopplysningslovens kapitel 2 en regulering om sikkerhetsrevisjon:
«Sikkerhetsrevisjon av bruk av informasjonssystemet skal gjennomføres jevnlig. Sikkerhetsrevisjon skal omfatte vurdering av organisering, sikkerhetstiltak og bruk av kommunikasjonspartnere og leverandører. Dersom sikkerhetsrevisjonen avdekker bruk av informasjonssystemet som ikke er forutsatt, skal dette behandles som avvik, jf. § 2-6. Resultatet fra sikkerhetsrevisjonen skal dokumenteres.»

Informasjonsplikt

 Merk også at personopplysningsloven stiller krav til at den registrerte, eksempelvis en ansatt registrert i bedriftens personellregister, skal ha informasjon fra den behandlingsansvarlige om:

  • Navn og adresse på den behandlingsansvarlige
  • Formålet med behandlingen
  • Om opplysninger vil bli utlevert, og eventuelt hvem som er mottaker,
  • Det er frivillig å gi fra seg opplysningene
  • Annet som gjør den registrerte i stand til å bruke sine rettigheter etter personopplysningsloven

Bruk av nettskytjenester vil kunne påvirke informasjonsplikten fra den behandlingsansvarlige.

Adskillelse av opplysninger lagret i nettskyen

 En nettskyleverandør vil normalt tilby sine tjenester til flere brukere, noe som betyr at det i en nettsky ofte vil være lagret informasjon fra flere virksomheter og/eller offentlige institusjoner. Avhengig av nettskyleverandøren kan dette enten bety at data lagres i én felles database («multi-tenant»), eller at de lagres i egne dedikerte databaser («single-tenant»). Datatilsynet har uttalt at den enkelte bedrifts personopplysninger ikke skal blandes med personopplysninger fra andre brukere av nettskytjenesten. Dette er forhold som må reguleres i databehandleravtalen, og nettskyleverandøren må dokumenterer hvordan dette håndteres. 

Overføring til utlandet
Ofte vil bruk av nettskytjenester medføre at opplysningene overføres/lagres i utlandet. Personopplysninger kan normalt ikke overføres til land utenfor EU/EØS. Det finnes imidlertid mekanismer som likevel gjør dette mulig, eksempelvis ved bruk av standardavtaler utarbeidet av EU-kommisjonen, mens andre land kan være godkjent av EU som trygge mottaksstater. Overføring av personopplysninger til USA kan være forankret i selvsertifisering gjennom Safe Harbour-avtalen, gitt att nettskyleverandøren har valgt å signere denne avtalen.

Kontroll med databehandleren
Etter personopplysningsloven følger det at den behandlingsansvarlige bedrift skal etablere planlagte og systematiske tiltak for å sikre at lovens krav følges. Det er verdt å merke seg at bedriften er ansvarlig for at denne kontrollen gjennomføres.

Det bør da reguleres i databehandleravtalen hvordan opplysningene skal lagres, hvilke rutiner som skal følges og hvordan etterlevelsen skal kontrolleres. Internkontrollen må også gjelde for andre plikter enn informasjonssikkerhet, f.eks. at opplysningene ikke skal behandles til andre formål enn det som er avtalt om sletting, bruk og overføring til tredjeland.

Autorisert og uautorisert bruk
Personopplysningsforskriften stiller krav til at uautorisert bruk av opplysninger, og forsøk på uautorisert bruk av informasjonssystemet skal registreres. Arrangementet mellom bedriften og nettskyleverandørern må ta høyde for slik registrering. Teoretisk sett er det opp til partene hvem som skal foreta slike registreringer. Det er imidlertid vanlig at dette reguleres i databehandleravtalen, slik at dette i praksis løses ved at databehandleren registrerer hvem som tar ut opplysninger fra informasjonssystemet, at dette lagres og kan kontrolleres i ettertid.

Opplysninger om registrering av databruk må ses i sammenheng med tilgangsstyringer. En tilgangsstyring kan bestå i at gitte personer vil få tilgang gjennom personlige brukernavn og passord. De personer som skal innvilges en tilgang bør i tillegg være underlagt et autentiserings- og autorisasjonssystem, hvor det undersøkes om personen er egnet til å få tilgang til opplysningene. En slik vurdering må da foretas opp mot personell hos databehandleren, altså de personer som arbeider i virksomheten som leverer nettskytjenesten. Arbeidstakerne hos databehandleren bør også underlegges den samme taushetsplikt som de ansatte i bedriften til enhver tid har, når disse behandler personopplysninger m.m.

Den behandlingsansvarlige bedrift må forsikre seg om at tilgangsstyringen er tilfredsstillende, og i samsvar med lovpålagte krav om egen internkontroll. Dette løses gjennom risikovurderinger hvor man ser hen til opplysningene som skal lagres og de tilgangs- og sikkerhetssystemer som databehandleren har satt i verk.

Som vi har vist ovenfor vil samspillet mellom bedriften (den behandlingsansvarlige), tilbyder av nettskytjenesten (databehandler) og de krav som stilles i lovverket til bruk av nettskytjenester kreve inngående kunnskap innenfor både jus og informasjonsteknologi. Dette er grunnen til at Deloittes advokater og it-eksperter jobber side om side i slike saker.

Var denne siden nyttig?