Krigsreglen. Forvirring om kontrolkrav. Kaos om certificeringer. Det er nogle af de problemer, som står i vejen for, at myndigheder og virksomheder nemt og hurtigt kan smide data i skyen med tjenester som Google Apps, Microsoft Azure og hvad der ellers tilbydes ude i skyen.
I januar efterspurgte Socialdemokraternes it-ordfører Yildiz Akdogan i et cloud-udspil, at regeringen opdaterede lovgivningen for at rydde op i unødige barrierer for brugen af cloud computing i det offentlige. Nu har videnskabsminister Charlotte Sahl-Madsen (K) sammen med Justitsministeriet og Finansministeriet nedsat en tværministeriel arbejdsgruppe, der skal gennemtrevle Persondataloven, sikkerhedsbekendtgørelsen og anden relevant datalovgivning. Gruppen skal finde ud af, om cloud-kravene kan gøres simplere samtidig med at respektere databeskyttelsen.
"Nogle af de spørgsmål, vi eventuelt skal kigge på, er: Hvor er data placeret? Hvad er en passende kontrol? Hvad er det passende sikkerhedsniveau?," forklarer Cecile Christensen, kontorchef i IT- og Telestyrelsen.
I den tværministerielle arbejdsgruppe, der formelt skal mødes for første efter påske, sidder repræsentanter fra Økonomistyrelsen og Justistsministeriet. Hvis ministerierne bliver enige om en strømlining af lovgivningen, kan nye regler snart gøre det nemmere for danske virksomheder at gå i skyen.
"Hvis der er enighed blandt ministerierne og politisk opbakning til ændringerne, så kan det gå ret stærkt. Det er urealistisk, at vi kan få det igennem på denne side af sommerferien, så vi snakker nok til efteråret. Men det kræver også, at der er enighed, og det er vanskeligt at sige noget præcist om tidsperspektivet," siger Cecile Christensen.
Det er specielt problemstillingerne fra sagen fra Odense Kommune strandede cloud-forsøg, som kan danne baggrund for udvalgets overvejelser. I sagen har Datatilsynet ad tre omgange forhindret kommunens folkeskoler i at bruge det gratis Google Apps til oplysninger om elevernes sygdomme, karaktererer, forældresamtaler og andre personfølsomme oplysninger.
Cecile Christensen oplyser, at IT- og Telestyrelsens fokus er Datatilsynets seneste fem Odense-knaster, der eksempelvis handler om certificeringer, sikkerhedsniveau, kontraktformuleringer, placering af data og datasletningsmetoder.
Krigsregel og regnskabslov til debat
Derudover vil arbejdsgruppen sandsynligvis kigge på den såkaldte krigsregel, paragraf 41, stk. 4 i persondataloven, som lægger et benspænd for især offentlige myndigheder, der vil lægge omfattende datasæt i skyen i udlandet af sikkerhedshensyn. Tidligere har Datatilsynet afvist, at pensionsgiganten ATP placerer data i udlandet, fordi deres register rummer oplysninger om samtlige danske lønmodtagere. Datamyndigheden har også tidligere påpeget over for IT- og Telestyrelsen, at de nøje skulle overveje, om de sammen med DanID måtte placere NemID-data uden for landets grænser.
"Krigsreglen giver en vis barriere, så den bliver vi også nødt til at forholde os til," siger Cecile Christensen.
Et andet benspænd, som kan blive diskuteret i det tværministerielle arbejdsudvalg, er regnskabslovgivningen, der har krav om, at regnskabsdata skal placeres i Danmark eller undtagelsesvist i Norden.
