Læs også:
Det betyder Datatilsynets Office 365-dom for dig
Dansk it-chef: Vi er stadig ikke i mål med Office 365
Sådan undgår du at bryde dansk lov med data i skyen
"En betinget anerkendelse af Microsofts cloud-løsning."
Sådan vurderer revisionsfirmaet Deloitte den udtalelse om Microsofts Office 365, som Datatilsynet for nylig publicerede.
Det er Charlotte Pedersen og Julie Suhr fra rådgivningsfirmaet, der har nærlæst udtalelsen og i en længere artikel (PDF) analyserer dens betydning for de danske it-chefer og for Microsoft som databehandler.
Deloitte skriver, at de danske virksomheder og myndigheder, som ser store omkostningsfordele ved cloud løsningerne, længe har "stået mellem to kedelige valg:"
"Enten at tage imod de betingelser de nu kunne få fra de amerikanske leverandører og dermed risikere sikkerhedshændelser og bøder og påtaler fra Datatilsynet, eller at vælge de gammeldags og dyrere løsninger, som overholder den danske lovgivning."
Mere fokus på leverandøren
Persondataloven og sikkerhedsbekendtgørelsen kan vise sig at være en barriere, når danske virksomheder og offentlige myndigheder ønsker at lægge data ud i skyen.
Det kom blandt andet til udtryk, da Odense Kommune ikke kunne få lov til at bruge Google Apps.
Det var også samme problemstilling, der var årsagen til
Datatilsynets udtalelse om, hvordan Microsofts Office 365 spiller sammen med den danske lovgivning for opbevaring af persondata.
Ifølge Deloitte er der dog nu måske sket en afgørende ændring i måden, Datatilsynet udtaler sig om cloud-tjenesterne på.
"I udtalelsen til Odense kommune nævner Datatilsynet slet ikke databehandlers ansvar, og det skyldes muligvis, at Datatilsynet netop havde fokus rettet mod den dataansvarliges forpligtelser, idet det netop var en dataansvarlig, der havde anmodet om selve udtalelsen."
"Den nyeste udtalelse henvender sig derimod mere til Microsoft som databehandler og bærer præg af, at være en overordnet udtalelse mere end en konkret vurdering af den specifikke løsning."
Kan gøre forhandlinger lettere
Det kan ifølge artiklen fra Charlotte Pedersen og Julie Suhr få betydning for både brugere og leverandører af cloud computing, fordi det er en indikation af, at Datatilsynet måske i højere grad end tidligere ser ansvaret som delt mellem den dataansvarlige og databehandleren.
"Hvis Datatilsynet begynder at tildele databehandlere et selvstændig ansvar i deres praksis og uddele sanktioner og udtalelser direkte til cloudleverandøren ved eventuelle overtrædelser, flyttes en del af de lovgivningsmæssige risici over på databehandlernes vægtskål."
"Det vil sandsynligvis gøre cloud-leverandørerne en del lettere at forhandle med, og de vil naturligvis have en større grund til, at optimere sikkerheden i deres løsninger."
Det er dog stadig den dataansvarliges opgave at vurdere, om de databehandleraftaler, der indgås, er i tråd med sikkerhedsbekendtgørelsen.
"En ting er, at leverandøren proklamerer at overholde standardkontrakten, men hvis databehandleraftalen eller sideordnede aftaledokumenter samtidig indeholder konkrete betingelser, der strider direkte imod selv samme standard, må man gå ud fra, at det stadig er den dataansvarlige, der har ansvaret for de konsekvenser, der måtte komme."
Så længe ansvaret for databehandlingen ligger på de dataansvarlige skuldre, vil det være nødvendigt at bruge en hel del ressourcer på leverandørstyring og kontroller, skriver Deloitte.
Læs hele Deloittes analyse her (PDF).
Læs også:
Det betyder Datatilsynets Office 365-dom for dig