Up in the cloud

Den skyfrie himmels tid er forbi.

cloud

Regjeringen planlegger nå å utarbeide felles veiledninger og sjekklister for å gjøre det enklere å ta i bruk nettskyen (http://bit.ly/10ykZIP). Datatilsynet har også åpnet for bruk av Office 365 og Google Apps i henholdsvis Moss og Narvik kommune. I sin vurdering kommer de med noen grunnleggende avklaringer, men gir ingen generell godkjennelse for bruk av denne type tjenester.

Overordnet må følgende forutsetninger være på plass:

  • Grundig risikovurdering basert på virksomhetens egne akseptkriterier
  • Databehandleravtale
  • Planlagte og systematiske sikkerhetstiltak
  • Revisjon og avvikshåndtering
  • Internkontroll

De vurderingene og tiltakene som gjennomføres skal sikre nødvendig konfidensialitet, tilgjengelighet og integritet for personopplysningene, og de skal stå i forhold til sannsynligheten for og konsekvensen av sikkerhetsbrudd.

Å få på plass en tilfredsstillende databehandleravtale er i utgangspunktet en overkommelig sak hos store aktører som Microsoft og Google, men det er viktig at man kjenner til og oppfyller kravene som stilles til innholdet i en slik avtale. Når det gjelder sikkerhetstiltak, revisjon og internkontroll skal den behandlingsansvarlige ha kunnskap om databehandlerens sikkerhetsstrategi, og jevnlig forsikre seg om at denne gir tilfredsstillende informasjonssikkerhet.

Det er begrensninger i forhold til overføring av personopplysninger til virksomheter i land utenfor EU/EØS. Personopplysninger kan overføres til foretak i USA som er Safe-Harbour sertifisert, og dette gjelder i utgangspunktet både Microsoft og Google.

For å unngå å stå igjen som tåkefyrste må det uansett gjennomføres selvstendige risikovurderinger og man må ha gode dokumenterte rutiner. Dette ansvaret kan ikke “outsources”.

 

Leave a Reply

Your email address will not be published. Required fields are marked *