Søg

Vejen banet for offentlige cloudløsninger

IT-Universitet har som første offentlige institution fået lov til at benytte sig af en cloudløsning.

30. januar 2013 kl. 08.00
Artikel top billede

(Foto: Computerworld)

Af Jakob D. Lund, Alt om Data

Denne artikel er oprindeligt bragt på Alt om Data. Computerworld overtog i november 2022 Alt om Data. Du kan læse mere om overtagelsen her.

Det har været en lang proces, men efter måneders forløb fik IT-Universitetet endelig Datastilsynets tilladelse til at flytte personfølsomme oplysninger op i Microsofts Office 365-sky. Afgørelsen er især vigtig for offentlige myndigheder, som ønsker at benytte cloud computing til at lagre og tilgå kritiske data. Persondatalov og sikkerhedsbekendtgørelse Walk in the park Intet nyt under solen

IT-Universitetet og dets cloudløsning fra Microsoft har været på alles læber i løbet af 2012. Projektet har været fulgt med spænd-ing af både politikere, erhvervsliv og det offentlige. Ikke mindst set i lyset af, at Odense Kommune i august 2012 fik nej af Datatilsynet til at flytte personfølsomme data op i Googles sky. Derfor glædede det også it-chefen hos IT-Universitetet, Henrik Ejby Bidstrup, da universitetet fik et ja fra Datatilsynet i sommeren 2012, og man som den første offentlige instans i Danmark kunne lægge sine e-mail- og kalendersystemer op i Microsofts Office 365-sky. »Det vakte stor glæde. Vi har ageret first-movers inden for det offentlige, så vi har også taget alle tæskene, og vores oprindelige business-case er heller ikke så god i dag, som den var dengang på grund af de mange timer, vi har lagt i det,« siger Henrik Ejby Bidstrup.

»Hele projektet blev kickstartet, da daværende videnskabsminister Charlotte Sahl-Madsen pludselig udnævnte IT-Universitetet til cloud-eksperimentarium. Ministeren havde som ønske, at det offentlige rykkede mere på it-fronten generelt og blev bedre til at udnytte de moderne teknologier, der fandtes – herunder cloud computing. Vi havde nogle lange snakke med ministeren og folk fra den daværende IT- og Telestyrelse og fandt efter noget tid frem til Microsofts Office 365-løsning. For os handlede det om, hvor vi kunne slå to fluer med ét smæk: Hvor kunne vi gøre noget på cloud i det hele taget? Og hvor kunne vi gøre noget på cloud, som gav os konkret værdi og udfyldte et konkret behov,« siger Henrik Ejby Bidstrup og fortæller, at man herefter begyndte det lange forløb hen mod Datatilsynets endelige godkendelse af løsningen.

Som det påhviler dataansvarlige, der håndterer personfølsomme oplysninger, har IT-Universitetet for flere år siden indgivet en anmeldelse til Datatilsynet om, hvordan de selv behandlede data. Da IT-Universitetet opdaterede denne anmeldelse med angivelse af en ny databehandler – Microsoft – udløste det en række spørgsmål fra Datatilsynet, der skal sikre, at den eksterne leverandør lever op til gældende krav og lovgivning i Danmark og EU.

»Indledningsvis fik vi rykket Microsoft på nogle vitale områder. Blandt andet at de levede op til den danske persondatalov og sikkerhedsbekendtgørelsen i deres kontraktgrundlag. Persondataloven sikrer, at man håndterer sensitive data korrekt: at databehandlerne har et vist uddannelsesniveau, at slette- og backupprocesser lever op til visse krav og så videre. Sikkerhedsbekendtgørelsen er en speciel bekendtgørelse, som omfatter offentlige organisationer i Danmark. Det var vigtigt, at Microsoft var villig til at rykke sig på disse områder. Ellers havde projektet slet ikke kunnet lade sig gøre,« siger Henrik Ejby Bidstrup.

»Derefter var vi igennem en lang proces, hvor vi lavede en sikkerhedsanalyse af Microsofts håndtering af vores data i henhold til ENISA’s tjekliste, og hvor Microsoft kunne tilbyde EU’s tredjelandskontrakt. Det var nødvendigt, fordi vores data ikke altid befinder sig i datacentre inden for Europa, men også kan befinde sig i datacentre i USA.«

Sagen med IT-Universitetet har betydet, at der er led i processen, som danske dataansvarlige, der ønsker at flytte personfølsomme data op i skyen, kan springe over i fremtiden, vurderer Henrik Ejby Bidstrup.

»At flytte sine data op i skyen er for langt de fleste jo bare en forretningsmæssig beslutning, og – hvis man har kritiske data – en sikkerhedsmæssig afvejning. Det er først i det øjeblik, at man behandler personfølsomme oplysninger, at man skal være opmærksom på en række ting i forhold til lovgivningen. Fremover kan man i princippet nøjes med at foretage en grundig risikovurdering af sit samlede it-miljø samt foretage en sikkerhedsvurdering af Microsofts cloudløsning. Med Datatilsynets seneste udmelding lever Microsoft beviseligt op til de nødvendige krav og leverer under de nødvendige rammer. Så det er i hvert fald gjort nemmere for især offentlige myndigheder, der behandler personoplysninger, at flytte op i skyen. Men det er vigtigt at understrege, at hver enkelt godkendelse beror på en individuel behandling, og det er også vigtigt at sige, at det altid er den dataansvarlige – i vores tilfælde IT-Universitetet – der har det overordnede ansvar for, at man lever op til de gældende krav,« siger Henrik Ejby Bidstrup.

»Man kan ikke sige, at det fremover vil være en ”walk in the park” at få en godkendelse fra Datatilsynet, men det er i hvert fald blevet en sommerspadseretur i forhold til det, vi har været igennem.«

Hos Microsoft er man naturligvis også tilfreds med Datatilsynets afgørelse. Men man understreger samtidig, at der ikke er noget nyt under solen, når det handler om at leve op til gældende krav og lovgivning som dataansvarlig i Danmark.

»Det er vigtigt for alle parter at forstå, at der ikke er noget nyt i, at man som dataansvarlig skal gøre sig en række overvejelser, uanset hvordan man opbevarer eller tilgår sine data, og uanset om man håndterer personfølsomme oplysninger eller ej. Grundlæggende opfordrer vi alle til at læse den lovgivning, der allerede findes på området, og sætte sig ind i de regler, der gælder,« siger Anne Ermose, som er advokat hos Microsoft Danmark.

»Hvis man håndterer personfølsomme data og ønsker at lægge dem i skyen, opfordrer vi til, at man som dataansvarlig spørger sig selv, hvad det betyder for vores virksomhed, at det ikke længere er os, som er databehandlere, men i stedet en ekstern leverandør. Her skal man anmelde til Datatilsynet, hvilken leverandør man bruger, og hvordan de lever op til gældende krav. Så for at gentage: Der er som sådan ikke noget nyt i det her. Man skal som dataansvarlig forholde sig til en række overvejelser, ligesom man altid har skullet. Men for myndigheder i Danmark betyder processen med IT-Universitetet selvfølgelig, at der nu ligger nogle rammer, som man kan skæve til og rette sig efter i godkendelsesprocessen,« slutter Anne Ermose. n

Seneste nyt

|Vis seneste uge

Annonce

Læses lige nu

    KMD A/S

    Senior Solution Architect

    Fyn

    Statens IT

    Firewall-tekniker med kendskab til Automation

    Københavnsområdet

    Csis Security Group A/S

    Sales Executive

    Københavnsområdet

    Netcompany A/S

    Senior Network Engineer

    Nordjylland

    Se flere it-stillinger
    Computerworld Cloud & AI Festival 2026

    Event: Computerworld Cloud & AI Festival 2026

    Digital transformation | Ballerup

    Eksplosiv udvikling i cloud og AI kræver overblik og viden. Computerworld samler 3.000 it-professionelle, 70+ leverandører og 120+ talere om AI, infrastruktur, data, compliance og sikkerhed. To dage med viden og netværk. Tilmeld dig nu.

    16 & 17 september 2026 | Gratis deltagelse

    Computerworld

    Opinion

    Navnenyt fra it-Danmark

    Mark Michaelsen, teknisk systemejer og projektleder hos Aarhus Kommune, har pr. 26. januar 2026 fuldført uddannelsen Master i it, linjen i organisation på Aarhus Universitet via It-vest-samarbejdet. Færdiggjort uddannelse

    Mark Michaelsen

    Aarhus Kommune

    Renewtech ApS har pr. 15. marts 2026 ansat Jouni Salo som Account Manager for Sverige. Han skal især beskæftige sig med med at styrke Renewtechs nordiske tilstedeværelse med fokus primært på det svenske marked. Han kommer fra en stilling som Key Account Manager hos GoGift. Han har tidligere beskæftiget sig med udvikling af salgsaktiviter og kunderelationer på tværs af flere markeder. Nyt job

    Jouni Salo

    Renewtech ApS

    Renewtech ApS har pr. 1. februar 2026 ansat Thomas Bjørn Nielsen som E-Commerce Manager. Han skal især beskæftige sig med at optimere og vækste virksomhedens digitale platforme yderligere. Han kommer fra en stilling som Operations Project Manager hos Tiger Media. Han er uddannet fra Aalborg Universitet og har en MSc. i International Virksomhedsøkonomi. Nyt job

    Thomas Bjørn Nielsen

    Renewtech ApS

    Lector ApS har pr. 2. februar 2026 ansat Jacob Pontoppidan som Sales Executive i Lectors TeamShare gruppe. Jacob skal især beskæftige sig med vækst af TeamShare med fokus på kommerciel skalering, mersalg og en stærk go to market eksekvering. Jacob har tidligere beskæftiget sig med salg og forretningsudvikling i internationale SaaS virksomheder. Nyt job

    Jacob Pontoppidan

    Lector ApS

    Se mere fra navnenyt

    Mest læste

    1 Microsoft vil begynde forfra med ny Windows 11: Her er de vigtigste ændringer
    2 I dag indfører Microsoft omstridt ny standard-indstilling i M365: Bliver automatisk default-indstilling for tusindvis af brugere
    3 Test: Tysk Wifi-flagskib har lavt strømforbrug og fem års garanti - men er den noget ved?
    4 Test: Tre tyske mesh-satellitter til stikkontakterne lover meget bedre dækning - men virker de nu også?
    5 Virksomheder hyrer færre og færre folk, men det er ikke på grund af AI
    6 Kæmpe sikkerhedsbrøler hos Skat: Virksomheder har haft adgang til danskeres hemmelige adresser
    7 Morgen-briefing: Mega-fyringsrunder skyller ind over tech-branchen – og aktionærerne elsker det / Crayon-stifter efter milliardsalg: ”I et andet skattesystem havde vi aldrig solgt" / Kombit lancerer ny AI-assistent
    8 Microsoft er klar med en af sine største sikkerheds-opdateringer nogensinde: Du bør straks opdatere

    Se seneste uge