Sidebar

Saksbehandling i nettskyen - Når arkivdokumenter reiser utenlands

Egil Blomsø, Aust Agder kulturhistoriske senter.

I mai 2011 inviterte Narvik kommune til en pressebriefing. Anledningen var kommunens valg av Google Apps som e-postløsning for sine ansatte. Google Apps er en såkalt nettskytjeneste. Det vil si at behandling og lagring av data skjer over internett og ikke på kommunens egne servere.

Valget skulle i følge kommunen medføre en rekke fordeler, deriblant lavere driftskostnader. Kommunen hadde også, i samarbeid med leverandørene, utviklet en modul for utveksling av e-post og vedlegg med kommunens Noark-system. Dette var noe som de mente måtte anses som et pionerarbeide, og som på sikt kunne tilgjengeliggjøres for andre kommuner i Norge.

I USA har allerede en rekke offentlige organer gått over til å bruke nettskytjenester. Begrunnelsen er gjerne økonomisk. Overgang til nettskytjenester medfører som regel lavere lisensutgifter – i tillegg er det besparelser knyttet til drift og sikkerhet.

Narvik kommune klages inn for Datatilsynet

Ikke lenge etter at Narvik kommune hadde tatt i bruk Google Apps mottok Datatilsynet en klage fra en privatperson vedrørende håndtering av personopplysninger i det nye systemet. Klageren mente det var problematisk at kommunen benyttet seg av et selskap som er underlagt amerikansk lovgivning.

I juni 2011 sendte så Datatilsynet et brev til Narvik kommune med krav om redegjørelse omkring bruken av Google Apps. Datatilsynet viste til en lignende sak i Danmark hvor en kommune hadde ønsket å bruke Google Apps i skolen. Det kunne her dreie seg for eksempel om opplysninger knyttet til elevers og foreldres sosiale og helsemessige forhold. Det danske datatilsynet konkluderte med at bruk av Google Apps her på en rekke punkter kom i konflikt med dansk lovverk i forhold til personvern – først og fremst fordi Google ikke kan redegjøre for akkurat hvor opplysningene faktisk blir lagret og fordi den danske persondataloven ikke åpner for overførsel av slike opplysninger til land utenfor EU/EØS.

På bakgrunn av dette ville Datatilsynet vite hvilke personopplysninger Narvik kommune hadde tenkt å behandle i Google Apps. Tilsynet etterspurte også den risikovurdering som kommunen hadde foretatt i forhold til behandling av personopplysninger i Google Apps. I henhold til personopplysningsloven skal nemlig den som behandler personopplysninger sørge for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet. Videre heter det i personopplysningsforskriften at personopplysninger som overføres elektronisk skal krypteres eller sikres på annen måte når konfidensialitet er nødvendig.

Datatilsynets vedtak

Datatilsynet var ikke tilfreds med Narvik kommunes redegjørelse, og den 16. januar i år ble det sendt brev med varsel om vedtak i saken. Datatilsynet ga her pålegg om at Narvik kommunens bruk av Google Apps måtte bringes til opphør, med mindre behandlingen av personopplysninger i løsningen kunne bringes i tråd med personopplysningslovens krav.

Datatilsynet argumenterte med at selv om kommunen har rutiner på at personsensitive opplysninger ikke skal sendes med e-post vil likevel mye av arbeidet i kommunen være knyttet til tjenesteyting ovenfor innbyggerne. Ut fra Datatilsynets vurdering vil mye av kommunikasjonen, både til og fra kommunen og mellom kommunens ansatte, inneholde personopplysninger. I praksis vil det derfor være vanskelig å forhindre at sensitive opplysninger blir sendt via e-post.

Datatilsynet argumenterte videre med at i følge personopplysningsloven kan personopplysninger bare overføres til stater som sikrer en forsvarlig behandling av opplysningene. I praksis vil det si stater som har gjennomført EU-direktivet om utveksling av personopplysninger. ”Safe Harbor”-avtalen, som ble etablert i år 2000, innebærer likevel at amerikanske selskaper vil kunne ansees å tilby tilstrekkelig vern for personopplysninger som de mottar fra EU/EØS. Etter terrorangrepene i 2001 ble imidlertid ”USA Patriot Act” innført, noe som ga amerikanske politimyndigheter utvidede rettigheter til å overvåke terrormistenkte. Dette anså Datatilsynet å være en stor utfordring med hensyn til ivaretakelse av personvernet, selv innenfor ”Safe Harbor”-avtalen.

Datatilsynet snur

I et brev til Narvik kommune datert 21. september i år sier Datatilsynet likevel at de ikke kan se at det er grunnlag for å opprettholde det varslede vedtaket. Samme dag sender Datatilsynet et brev også til Moss kommune med veiledning i bruken av Office 365 – en tilsvarende nettskytjeneste fra Microsoft. Datatilsynet åpnet altså med dette for nettskytjenester.

Så hva har skjedd i mellomtiden?

For det første har det aldri eksistert noe forbud mot bruk av skytjenester. Så lenge de rettslige kravene i forhold til behandling av personopplysninger er innfridd er det heller ikke noen hjemmel for et slikt forbud. For det andre har Narvik og Moss kommune, i samarbeid med henholdsvis Google og Microsoft, lagt ned et betydelig arbeid for å komme Datatilsynet i møte med hensyn til databehandleravtaler og risikovurderinger.

Når det gjelder overføring av personopplysninger til utlandet viser Datatilsynet til EU-kommisjonens beslutning av 26. juli 2000 om at Safe Harbor-rammeverket sikrer et tilstrekkelig beskyttelsesnivå slik at personopplysninger kan overføres fra EU- og EØS-land til selskaper som er etablert i USA. I følge Datatilsynet er EU-kommisjonens beslutning bindende for Norge. De reservasjonene som man i utgangspunktet hadde i forbindelse med ”USA Patriot Act” ser altså ut til å være underordnet kommisjonsbeslutningen fra EU.

Datatilsynets forutsetninger

Datatilsynet krever likevel at fire forutsetninger skal være på plass før man tar i bruk nettskytjenester:

1. Det må gjennomføres grundige risiko- og sårbarhetsanalyser i forkant.

2. Selskapene må ha en tilfredsstillende databehandleravtale som er i tråd med norsk regelverk.

3. Bruken av nettskytjenester må jevnlig revideres av en tredjepart for å sikre at databehandleravtalen følges.

4. Databehandleravtalen må være det som gjelder og leverandørens generelle personvernerklæring må ikke gå utover denne.

Arkiv i nettskyen?

Google Apps og Office 365 brukes primært til kommunikasjon og samhandling, men har også funksjonalitet for arkivering. Nå som Datatilsynet har avklart spørsmålet om overføring av personopplysninger til utlandet kan man kanskje spørre seg om dette også vil bane veien for nettskybaserte saksbehandlings- og arkivsystemer. Utviklingen når det gjelder e-postløsninger ser ut til å være drevet hovedsakelig ut fra økonomiske hensyn, og det er vel grunn til å anta at det er sparepotensial også når det gjelder arkivsystemer. Rent teknisk er det vel heller ingen ting i veien for et nettskybasert Noark5-system. Men hva sier lovverket?

Se eldre artikler...