Skal kartlegge hindringer i regelverk for lagring og behandling av data
Artikkel | Sist oppdatert: 01.03.2015 | Digitaliserings- og forvaltningsdepartementet
Er det greit for skoler å bruke programmer som Google docs og Office 365? Kan norske offentlige virksomheter lagre og behandle data på servere i utlandet? Hva med persondata? Arkiv? Det er mye usikkerhet knyttet til bruk av skytjenester, eller Cloud Computing. Kommunal- og moderniseringsdepartementet har satt i gang et arbeid for å avklare både regelverk og hvilken policy som gjelder for offentlige virksomheter som vil ”ut i skyen”.
Offentlig sektor består av mange typer virksomheter: Fra store organisasjoner som NAV, med tusenvis av ansatte og en rekke spesialiserte IKT-systemer, til små tilsyn med et tyvetalls ansatte hvor de viktigste systemene er e-post og tekstbehandling. Det de har felles er et ansvar for å velge de mest hensiktsmessige og kostnadseffektive IKT-løsningene til sitt behov.
Det å gjøre strategiske valg knyttet til hvilke IKT-løsninger og -tjenester man skal utvikle og drifte selv, og hva man skal kjøpe av andre, kaller vi sourcing-strategi. En form for sourcing som blir stadig mer utbredt, er bruk av nettskyen (Cloud Computing). Skytjenester er IKT-tjenester som leveres løpende over internett, er elastiske (det vil si at de skalerer enkelt og raskt opp og ned i kapasitet), og er priset løpende etter bruk. Det som gjør det mulig å tilby IKT-tjenester på denne måten, er at en stor mengde kunder deler på ressursene. Leverandøren får dermed i sum utnyttet sine ressurser godt, selv om bruken til hver enkelt kunde kan variere mye. Kunden på sin side, slipper å kjøpe inn maskinvare og programvare for å dekke det behovet organisasjonen har kun ved spesielle anledninger. Skytjenester kan være både programvare (slik som e-postløsninger eller regnskapssystem), infrastruktur (slik som lagringsplass eller prosessorkapasitet), eller plattform (slik som utviklingsmiljø eller database).
Det er mange spørsmål knyttet til bruk av nettsky i offentlig sektor. Leverandørene av infrastrukturen er gjerne store, internasjonale selskaper, og kundenes data lagres og behandles i store datasentre som er spredt rundt i verden. Mange lurer på: Er det trygt lagre norske persondata i utlandet? Kan man ha offentlige arkiv utenfor Norges grenser? Hva skjer om jeg vil bytte leverandør? På enkelte områder har vi offentlige tilsyn som skal kunne kontrollere at viktige data lagres og behandles sikkert. Hvordan skal de kunne inspisere datamaskinene som benyttes (gjennomføre ”stedlig tilsyn”), når dataene flyttes mellom store datasentre i utlandet?
Kommunal- og moderniseringsdepartementet ønsker at både offentlige og private virksomheter som ønsker å ta i bruk skytjenester skal kunne gjøre dette på en forsvarlig måte. Første skritt er å avklare hvilke lover og regler som er til hinder for bruk av skytjenester, slik at virksomhetene kan vite om en slik sourcing-strategi i det hele tatt er aktuell for dem. Deretter vil vi vurdere i hvilken grad det finnes regelverk som unødig er til hinder for skytjenester. Med det mener vi regler som ble utformet da teknologien var annerledes, slik at formuleringen i regelverket er til hinder for skytjenester, uten at det var dette som var hensikten da loven eller forskriften ble utformet. Datatilsynet har for eksempel sett at det kanskje ikke er så viktig at de selv kan dra ut og se på den bestemte datamaskinen hvor dataene er lagret, så lenge skyleverandøren kan legge fram dokumenter som viser at en anerkjent, uavhengig organisasjon har inspisert datasenteret og godkjent det.
Kommunal- og moderniseringsdepartementets prosjekt skal i løpet av første halvår av 2015 utarbeide en oversikt over regelverk som kan være til hinder for bruk av skytjenester. En arbeidsgruppe med deltakere fra en rekke departement skal også vurdere hvilke regler som unødig er til hinder for bruk av skytjenester og foreslå eventuelle endringer. Departementet vil også legge fram en policy for bruk av skytjenester, og sjekklister og veiledere som kan hjelpe de virksomhetene som ønsker å ta i bruk skytjenester.
Det finnes noen områder hvor det allerede er gjort mye avklaringer rundt bruk av skytjenester:
- EU-kommisjonen har publisert retningslinjer for kontraktsvilkår, Cloud Service Level Agreement Standardisation Guidelines.
- Den amerikanske standardiseringsorganisasjonen NIST (National Institute for Standards and Technology) har utarbeidet en referansearkitektur (pdf).
Se også:
National Institute for Standards and Technology (NIST): The NIST Definition of Cloud Computing (pdf)