Læs også:
Det betyder Datatilsynets Office 365-dom for dig
Dansk it-chef: Vi er stadig ikke I mål med Office 365
Det kan godt være, at cloud computing lyder besnærende, og som lige præcis den medicin, der kan mindske økonomidirektørens budget-hovedpine og it-afdelingens overarbejds-pukkel.
Men selvom man kan hente meget ved at udnytte skyens stordriftsfordele, fleksibilitet og skalerbarhed, kan man hurtigt komme ned på jorden igen, når juraen skal tjekkes.
Persondataloven kan nemlig ofte spænde ben for virksomheder, der er på vej ud i skyen.
Problemstillingen har tidligere været oppe at vende, da Odense Kommune ikke kunne få lov til at bruge Google Apps, og senest, da Datatilsynet kom med en længere udtalelse om, hvordan Microsofts Office 365 spiller sammen med den danske data-lovgivning for opbevaring af persondata.
"Udgangspunktet er, at hvis du signer op til sådan en løsning, kan du ikke være sikker på, at du lever op til lovgivningen. Du er nødt til at klassificere data," forklarer it-revisor Martin Brogaard Nielsen fra firmaet REVI-IT, der arbejder med it-revision og it-rådgivning.
"Data bliver klassificeret som persondata, hvis du eksempelvis skriver en mail med et CPR-nummer. Hvis du har den mail liggende hos en cloud-leverandør, så er løsningen underlagt persondataloven," forklarer han.
Det skal du vide om dine data
Microsoft Office 365 er tilsluttet Safe Habor-ordningen, og samtidig kan man som bruger vælge, at ens specifikke løsning skal være underlagt EU's standardkontrakter for overførsel af personoplysninger til en databehandler i et tredjeland.
"Det er et udmærket skridt fra Microsofts side, men udfordringen er stadigvæk, at der ikke bliver logget i den forstand, som persondataloven siger. Jeg bifalder hele tankegangen omkring cloud, men udfordringen er, at man skal overveje, hvilke data, man opererer med. Har man noget, der kan blive omfattet af persondataloven eller bogføringsloven?"
Spørgsmålet er så, om samtlige danske virksomheder, der kører cloud-løsninger - heriblandt mange små og mellemstore virksomheder - har foretaget den klassificering? Og om det overhovedet har nogen konsekvens, hvis man ikke lever op til lovgivningen?
"Konsekvensen er ikke stor, når det kommer til bøderne, og man bliver heller ikke sat i fængsel. Men du kan blive hængt ud på Datatilsynets hjemmeside. Det kan også være nok så skidt, hvis det dukker frem i Google-søgninger, at man som virksomhed ikke har styr på tingene."
Her kan du også komme galt afsted
Der findes efterhånden mange forskellige cloud-tjenester på markedet, og det er ikke kun de rene mail- og kontorpakkeløsninger, der kan give udfordringer i forhold til lovgivningen.
Eksempelvis findes der i dag en del sikkerhedsløsninger, hvor man kan få antivirus og spam-beskyttelse i skyen, og også her skal man sikre sig, at man ikke bryder loven.
"Der har været meget fokus på de store cloud-løsninger hos Microsoft og Google og Amazon, men udfordringen er principielt den samme, når nogen tilbyder at scanne ens mails."
"Rent lovgivningsmæssigt er leverandørerne at betragte som databehandlere, og hvis de databehandler på nogle servere i Indien, så kan det principielt også være problematisk," siger Martin Brogaard Nielsen.
Hans oplever, at mange danske virksomheder, der går cloud-vejen, har fokus på økonomien og drift-sikkerhed.
"Det er ikke voldsomt mange, der har fokus på lovgivningen - det er ikke det, man tænker på først."
It-revisorens råd er, at man klassificerer virksomhedens data data for dermed at vide i hvilken grad, man skal beskytte data - og dermed om det er muligt at benytte outsourcede ydelser.
"Man kan godt harcelere over, om lovgivningen er up to date i forhold til it-udviklingen, men selvfølgelig skal man leve op til loven," lyder det fra Martin Brogaard Nielsen.
Læs også: