Af Jakob D. Lund, Alt om Data
Denne artikel er oprindeligt bragt på Alt om Data. Computerworld overtog i november 2022 Alt om Data. Du kan læse mere om overtagelsen her.
Det har været en lang proces, men efter måneders forløb fik IT-Universitetet endelig Datastilsynets tilladelse til at flytte personfølsomme oplysninger op i Microsofts Office 365-sky. Afgørelsen er især vigtig for offentlige myndigheder, som ønsker at benytte cloud computing til at lagre og tilgå kritiske data. Persondatalov og sikkerhedsbekendtgørelse Walk in the park Intet nyt under solen
IT-Universitetet og dets cloudløsning fra Microsoft har været på alles læber i løbet af 2012. Projektet har været fulgt med spænd-ing af både politikere, erhvervsliv og det offentlige. Ikke mindst set i lyset af, at Odense Kommune i august 2012 fik nej af Datatilsynet til at flytte personfølsomme data op i Googles sky. Derfor glædede det også it-chefen hos IT-Universitetet, Henrik Ejby Bidstrup, da universitetet fik et ja fra Datatilsynet i sommeren 2012, og man som den første offentlige instans i Danmark kunne lægge sine e-mail- og kalendersystemer op i Microsofts Office 365-sky. »Det vakte stor glæde. Vi har ageret first-movers inden for det offentlige, så vi har også taget alle tæskene, og vores oprindelige business-case er heller ikke så god i dag, som den var dengang på grund af de mange timer, vi har lagt i det,« siger Henrik Ejby Bidstrup.
»Hele projektet blev kickstartet, da daværende videnskabsminister Charlotte Sahl-Madsen pludselig udnævnte IT-Universitetet til cloud-eksperimentarium. Ministeren havde som ønske, at det offentlige rykkede mere på it-fronten generelt og blev bedre til at udnytte de moderne teknologier, der fandtes – herunder cloud computing. Vi havde nogle lange snakke med ministeren og folk fra den daværende IT- og Telestyrelse og fandt efter noget tid frem til Microsofts Office 365-løsning. For os handlede det om, hvor vi kunne slå to fluer med ét smæk: Hvor kunne vi gøre noget på cloud i det hele taget? Og hvor kunne vi gøre noget på cloud, som gav os konkret værdi og udfyldte et konkret behov,« siger Henrik Ejby Bidstrup og fortæller, at man herefter begyndte det lange forløb hen mod Datatilsynets endelige godkendelse af løsningen.
Som det påhviler dataansvarlige, der håndterer personfølsomme oplysninger, har IT-Universitetet for flere år siden indgivet en anmeldelse til Datatilsynet om, hvordan de selv behandlede data. Da IT-Universitetet opdaterede denne anmeldelse med angivelse af en ny databehandler – Microsoft – udløste det en række spørgsmål fra Datatilsynet, der skal sikre, at den eksterne leverandør lever op til gældende krav og lovgivning i Danmark og EU.
»Indledningsvis fik vi rykket Microsoft på nogle vitale områder. Blandt andet at de levede op til den danske persondatalov og sikkerhedsbekendtgørelsen i deres kontraktgrundlag. Persondataloven sikrer, at man håndterer sensitive data korrekt: at databehandlerne har et vist uddannelsesniveau, at slette- og backupprocesser lever op til visse krav og så videre. Sikkerhedsbekendtgørelsen er en speciel bekendtgørelse, som omfatter offentlige organisationer i Danmark. Det var vigtigt, at Microsoft var villig til at rykke sig på disse områder. Ellers havde projektet slet ikke kunnet lade sig gøre,« siger Henrik Ejby Bidstrup.
»Derefter var vi igennem en lang proces, hvor vi lavede en sikkerhedsanalyse af Microsofts håndtering af vores data i henhold til ENISA’s tjekliste, og hvor Microsoft kunne tilbyde EU’s tredjelandskontrakt. Det var nødvendigt, fordi vores data ikke altid befinder sig i datacentre inden for Europa, men også kan befinde sig i datacentre i USA.«
Sagen med IT-Universitetet har betydet, at der er led i processen, som danske dataansvarlige, der ønsker at flytte personfølsomme data op i skyen, kan springe over i fremtiden, vurderer Henrik Ejby Bidstrup.
»At flytte sine data op i skyen er for langt de fleste jo bare en forretningsmæssig beslutning, og – hvis man har kritiske data – en sikkerhedsmæssig afvejning. Det er først i det øjeblik, at man behandler personfølsomme oplysninger, at man skal være opmærksom på en række ting i forhold til lovgivningen. Fremover kan man i princippet nøjes med at foretage en grundig risikovurdering af sit samlede it-miljø samt foretage en sikkerhedsvurdering af Microsofts cloudløsning. Med Datatilsynets seneste udmelding lever Microsoft beviseligt op til de nødvendige krav og leverer under de nødvendige rammer. Så det er i hvert fald gjort nemmere for især offentlige myndigheder, der behandler personoplysninger, at flytte op i skyen. Men det er vigtigt at understrege, at hver enkelt godkendelse beror på en individuel behandling, og det er også vigtigt at sige, at det altid er den dataansvarlige – i vores tilfælde IT-Universitetet – der har det overordnede ansvar for, at man lever op til de gældende krav,« siger Henrik Ejby Bidstrup.
»Man kan ikke sige, at det fremover vil være en ”walk in the park” at få en godkendelse fra Datatilsynet, men det er i hvert fald blevet en sommerspadseretur i forhold til det, vi har været igennem.«
Hos Microsoft er man naturligvis også tilfreds med Datatilsynets afgørelse. Men man understreger samtidig, at der ikke er noget nyt under solen, når det handler om at leve op til gældende krav og lovgivning som dataansvarlig i Danmark.
»Det er vigtigt for alle parter at forstå, at der ikke er noget nyt i, at man som dataansvarlig skal gøre sig en række overvejelser, uanset hvordan man opbevarer eller tilgår sine data, og uanset om man håndterer personfølsomme oplysninger eller ej. Grundlæggende opfordrer vi alle til at læse den lovgivning, der allerede findes på området, og sætte sig ind i de regler, der gælder,« siger Anne Ermose, som er advokat hos Microsoft Danmark.
»Hvis man håndterer personfølsomme data og ønsker at lægge dem i skyen, opfordrer vi til, at man som dataansvarlig spørger sig selv, hvad det betyder for vores virksomhed, at det ikke længere er os, som er databehandlere, men i stedet en ekstern leverandør. Her skal man anmelde til Datatilsynet, hvilken leverandør man bruger, og hvordan de lever op til gældende krav. Så for at gentage: Der er som sådan ikke noget nyt i det her. Man skal som dataansvarlig forholde sig til en række overvejelser, ligesom man altid har skullet. Men for myndigheder i Danmark betyder processen med IT-Universitetet selvfølgelig, at der nu ligger nogle rammer, som man kan skæve til og rette sig efter i godkendelsesprocessen,« slutter Anne Ermose. n
