Læs også:
Odense Kommune får nej til brug af Google Apps
Svenske cloud-kommuner skal granskes for lovbrud
Cloud computing er en ordentligt mundfuld at holde styr på - både teknisk og juridisk.
Det må Kommunernes Landsforening (KL) sande, efter Datatilsynet på eget initiativ er gået i haserne på KL's forsøg på at sende kommunernes køreprøvebooking ud i Microsofts Azure-sky.
KL har i starten af april allerede droppet skyen på grund af tekniske udfordringer ifølge Version2.
Udover den artikel er Datatilsynet af Dansk Kørelærer-Union blevet gjort opmærksom på sikkerhedsbrister i den indtil videre droppede cloud-løsning, der ifølge KL ellers skulle have tjent sig selv hjem allerede på et år.
Hvem behandler data hvor?
Efter det forgæves forsøg på at få kørekortbooking-systemet ud i skyen er det nu tilbage på NNIT's servere.
Udover at sluge den bet, skal KL i gang med at hoste nogle svar op til Datatilsynet på ikke færre end ni kritiske spørgsmål i den valgte cloud-løsning.
Datatilsynet kræver blandt andet en redegørelse for, hvilken rolle KL har spillet i forbindelsen med at sende køreprøvebooking-systemet ud i skyen.
"I forhold til overførslen til cloud-løsningen er det Datatilsynets indtryk, at beslutningen er truffet af KL og ikke hver enkelt kommune. Det rejser efter Datatilsynets opfattelse et spørgsmål om, hvorvidt KL reelt har handlet som dataansvarlig i denne henseende," skriver Datatilsynet i et brev til KL.
Kommunernes Landsforening skal også hoste op med, hvilke oplysninger såsom navne, personnumre og resultater af køreprøver samt ikke mindst, hvor mange personer, det drejer sig om.
Dertil kommer, at KL skal anmelde ændringer i behandlingen af køreprøveoplysninger.
"I kommunernes anmeldelser af 'Udstedelse af pas og kørekort' ses hverken Microsoft eller NNIT anført som databehandler," skriver Datatilsynet i sit brev til KL, som også efterspørger klarhed over, hvilke fysiske lokationer data er blevet sendt til.
"Hvis personoplysninger har været behandlet på lokationer uden for EU, bedes KL redegøre for, hvordan man har iagttaget persondatalovens paragraf 27," lyder det videre i brevet.
Gennemsigtighed i løsningen
KL skal også levere en komplet oversigt over, hvilke systemer der føder køreprøve-bookingsystemet.
"Det bedes endvidere oplyst, hvordan adgangen til data fra sådanne systemer sker, og om de opståede fejl kan have givet nogen uvedkommende mulighed for at tilgå data i fødesystemerne," forlanger Datatilsynet.
Tilsynet vil desuden have fremsendt KL's databehandler-aftale med Microsoft i Irland samt en redegørelse for, at alle personoplysninger hos Microsoft er blevet slettet i henhold til persondataloven og Sikkerhedsbekendtgørelsen.
Slutteligt skal KL gøre rede for, om organisationen har kontaktet berørte personer og kommuner i forbindelse med, at sikkerhedsbristen er blevet opdaget.
KL har indtil fredag den 6. maj til at svare på Datatilsynets spørgsmål.
