Om noen år snakkes det ikke lenger om skytjenester – «alt» vil i utgangspunktet være basert på skytjenester. I dette ligger det en økende aksept av at skytjenester som plattform regnes for å være trygt og sikkert – også for lagring av sensitive personopplysninger som helsedata. I mange tilfeller både tryggere og sikrere enn om man valgte å drifte tilsvarende løsninger på egen maskinvare og i egne lokaler.
Store, kommersielle aktører som Equinor og sentrale offentlige
aktører som NAV har for lengst annonsert at de har til hensikt å flytte
så mye de kan av egen IT over til allmenne skytjenester, som i mange
tilfeller også vil befinne seg utenfor Norges grenser.
Men det
er ikke det faktum at datamaskinene, applikasjonene og tjenestene «står
et annet sted» som gjør dem sikre. Det er det omfattende økosystemet
rundt – fra fysisk sikkerhet, til prosedyrer og kontrollmekanismer, til
sikkerhetsfunksjonalitet bygget inn i selve tjenesteplattformen. For å
dra nytte av dette kreves imidlertid to vesentlige komponenter; riktig
bestillerkompetanse og forståelse av modellen for ansvarsdeling.
Bestillerkompetanse
Bestillerkompetanse er kompetanse om hvilke krav og risiko som er spesifikke for egen virksomhet, integrasjonskompetanse, anskaffelseskompetanse, juridisk kompetanse og sikkerhetskompetanse (fra Nasjonal Sikkerhetsmyndighet «Sikkerhetsfaglige anbefalinger ved tjenesteutsetting»). Relevant også tidligere, men vektleggingen av områdene endres. Der teknisk sikkerhetskompetanse var vesentlig tidligere, er kravstilling blitt en vesentlig komponent, med vekt på både virksomhetskompetanse og juridisk kompetanse, sistnevnte vesentlig blant for å håndtere krav til personvern.
Ansvarsdeling
Ansvarsdeling er forståelsen av hva det innebærer å lagre egen informasjon på en ekstern tjenesteplattform og en plattform som fysisk kan befinne seg utenfor Norges grenser. Det er i denne sammenhengen viktig å understreke at Norges grense ikke er en magisk grense som automatisk gjør data «supersikkert». Det finnes lover og regler som unntaksvis krever at noen typer data må ligge innenfor Norges grenser, men i hovedsak kan tjenester – også de med sensitive personopplysninger – utsettes til andre EU-land og sidestilte land, men også innen EU er landvurderinger en relevant del av anskaffelsesprosessen.
En vesentlig komponent man alltid har ansvaret for er egne data. En skyleverandør kan ha det beste verktøyet og de beste prosessene for å sikre data, men det hjelper lite hvis funksjonaliteten ikke tas i bruk eller brukes feil. Og det er viktig å skjønne at man godt kan håndtere persondata sikkert, men samtidig behandle dem feil i henhold til personvernlovgivning. Ingen skyløsninger kan «automatisk» behandle data i henhold til lovgivning – det er det kun du som behandlingsansvarlig som kan, og har ansvaret for.
Datatilsynet tilbyr veiledning og retningslinjer for å oppfylle kravene om «innbygd personvern» på sine nettsider, som egner seg både for egne løsninger, tjenesteutsetting og skytjenester. Ja, vi kan ha tillit til skytjenester, men det krever bestillerkompetanse, inkludert kompetanse knyttet til personvern.
Av Eirik Gulbrandsen, senioringeniør i Datatilsynet