Krigsreglen. Forvirring om kontrolkrav. Kaos om certificeringer.
Det er nogle af de problemer, som står i vejen for, at myndigheder og virksomheder nemt og hurtigt kan smide data i skyen med tjenester som Google Apps, Microsoft Azure og hvad der ellers tilbydes ude i skyen.
I januar efterspurgte Socialdemokraternes it-ordfører Yildiz Akdogan i et cloud-udspil, at regeringen opdaterede lovgivningen for at rydde op i unødige barrierer for brugen af cloud computing i det offentlige. Nu har videnskabsminister Charlotte Sahl-Madsen (K) sammen med Justitsministeriet og Finansministeriet nedsat en tværministeriel arbejdsgruppe, der skal gennemtrevle Persondataloven, sikkerhedsbekendtgørelsen og anden relevant datalovgivning. Gruppen skal finde ud af, om cloud-kravene kan gøres simplere samtidig med at respektere databeskyttelsen.
"Nogle af de spørgsmål, vi eventuelt skal kigge på, er: Hvor er data placeret? Hvad er en passende kontrol? Hvad er det passende sikkerhedsniveau?," forklarer Cecile Christensen, kontorchef i IT- og Telestyrelsen.
I den tværministerielle arbejdsgruppe, der formelt skal mødes for første efter påske, sidder repræsentanter fra Økonomistyrelsen og Justistsministeriet. Hvis ministerierne bliver enige om en strømlining af lovgivningen, kan nye regler snart gøre det nemmere for danske virksomheder at gå i skyen.
"Hvis der er enighed blandt ministerierne og politisk opbakning til ændringerne, så kan det gå ret stærkt. Det er urealistisk, at vi kan få det igennem på denne side af sommerferien, så vi snakker nok til efteråret. Men det kræver også, at der er enighed, og det er vanskeligt at sige noget præcist om tidsperspektivet," siger Cecile Christensen.
Sagen fra Odense danner baggrund
Det er specielt problemstillingerne fra sagen fra Odense Kommune strandede cloud-forsøg, som kan danne baggrund for udvalgets overvejelser. I sagen har Datatilsynet ad tre omgange forhindret kommunens folkeskoler i at bruge det gratis Google Apps til oplysninger om elevernes sygdomme, karaktererer, forældresamtaler og andre personfølsomme oplysninger.
Cecile Christensen oplyser, at IT- og Telestyrelsens fokus er Datatilsynets seneste fem Odense-knaster, der eksempelvis handler om certificeringer, sikkerhedsniveau, kontraktformuleringer, placering af data og datasletningsmetoder.
Krigsregel og regnskabslov til debat
Derudover vil arbejdsgruppen sandsynligvis kigge på den såkaldte krigsregel, paragraf 41, stk. 4 i persondataloven, som lægger et benspænd for især offentlige myndigheder, der vil lægge omfattende datasæt i skyen i udlandet af sikkerhedshensyn. Tidligere har Datatilsynet afvist, at pensionsgiganten ATP placerer data i udlandet, eftersom deres register rummer oplysninger om samtlige danske lønmodtagere. Datamyndigheden har også tidligere påpeget over for IT- og Telestyrelsen, at de nøje skulle overveje, om de sammen med DanID måtte placere NemID-data uden for landets grænser.
"Krigsreglen giver en vis barriere, så den bliver vi også nødt til at forholde os til," siger Cecile Christensen.
Et andet benspænd, som kan blive diskuteret i det tværministerielle arbejdsudvalg, er regnskabslovgivningen, der har krav om, at regnskabsdata skal placeres i Danmark eller undtagelsesvist i Norden.
Tyskland vil have personfølsomme data i Tyskland
Cecile Christensen forklarer, at IT- og Telestyrelsen også søger inspiration i andre lande til, hvordan regeringen kan lave en god lovgivning for cloud-tjenester. Eksempelvis mødtes hun sidste uge med akademikere og embedsmænd fra Tyskland, som dog har valgt at gå i en anden retning.
"I Tyskland har de valgt, at alle personfølsomme oplysninger skal være inden for landets grænser. De vil gerne have cloud, men siger at datacentrene må være placeret i Tyskland. Det er jo sådan set lidt ærgeligt, for hvis de havde fundet nogle gode løsninger, så kunne vi måske blive inspireret af dem," siger Cecile Christensen.
Vejledning skal hjælpe myndigheder og virksomheder
Hun kommer selv fra en styrelse, der bruger cloud til både NemHandel (Amazon), digitaliser.dk og statistikdelen af Borger.dk. Det har givet besparelser i størrelsesordenen 60 procent. Efter påske forventer Cecile Christensen, at de IT- og Telestyrelsen offentliggør en vejledning til, hvordan myndigheder kan smide data i skyen. Den gennemgår reglerne for kontrakter, de forskellige paragraffer og anmeldelsespligten til Datatilsynet.
"Det vil jo ofte være de samme problemstillinger, som små og mellemstore virksomheder står over for, så vi håber, at de også kan blive inspireret af vejledningen," siger Cecile Christensen.
"Vi har gode erfaringer med cloud computing og fine økonomiske besparelser, så vi vil opfordre til at gøre brug af det og måske bare starte med data, hvor der ikke er personfølsomme oplysninger," siger Cecile Christensen.
