Cloud Computing i det offentlige

Datatilsynet er kommet med en udtalelse foranlediget af en henvendelse fra en kommune der ønskede at anvende Google Apps blandt andet til at behandle følsomme personoplysninger. Selvom vi nok kendte svaret i forvejen er Datatilsynet rare at være imødekommende og opstille hvilke krav der i hvert fald skal opfyldes før de vil overveje sagen nærmere:

  1. om [myndigheden] har foretaget en risikovurdering og udfaldet af denne,
  2. [myndighedens] vurdering af [den af leverandøren anførte sikkerhedscertificering],
  3. hvilken databehandleraftale, der er indgået eller forventes indgået mellem [myndigheden] og [leverandøren], jf. persondatalovens § 42, stk. 2, og sikkerhedsbekendtgørelsens § 7,
  4. om [myndigheden] har kontrol med, hvor oplysningerne fysisk befinder sig, herunder om oplysningerne alene vil befinde sig på den i anmeldelsen angivne danske adresse i Danmark, eller om de blive behandlet i et andet EU-land eller i et tredjeland, og
  5. såfremt oplysningerne behandles i et tredjeland, hvorledes [myndigheden] har tænkt sig at iagttage kravene i persondatalovens § 27,
  6. hvorledes [myndigheden] vil iagttage sikkerhedsbekendtgørelsens § 9 omkring kassation af anvendte datamedier, herunder
  7. hvorledes [myndigheden] har tænkt sig at sikre, at alle personoplysninger bliver slettet hos [leverandøren] efter endt behandling,
  8. om al behandling af fortrolige personoplysninger vil ske i krypteret form,
  9. hvilke procedurer der vil blive anvendt ved tildeling af autorisationer, herunder
  10. hvordan [myndigheden] vil kontrollere at kun autoriserede brugere får adgang,
  11. om adgangskoder vil blive sendt via det åbne internet,
  12. om en bruger vil kunne vælge at vedkommendes adgangskode huskes, så den ikke skal indtastes hver gang,
  13. hvordan kravene til kontrol med afviste adgangsforsøg i sikkerhedsbekendtgørelsens § 18 vil blive iagttaget, samt
  14. hvordan sikkerhedsbekendtgørelsens § 19 om logning vil blive iagttaget.

Som omtalt i Bender von Haller Dragsteds vidensbase er denne udtalelse interessant i forbindelse med cloud computing og følsomme personoplysninger, efter min opfattelse helt generelt.

De spørgsmål Datatilsynet vil have svar på før de overhovedet kan tage reelt stilling til sagen er naturligvis specifikt rettet mod følsomme personoplysninger. Som virksomhed er det vigtigt at overveje samme punkter i forbindelse med interne informationer; kan vi stole på at informationerne er under vores kontrol, er sikkerheden tilstrækkelig, hvordan håndterer vi nedbrud?

Listen kunne omformuleres generelt til disse punkter:

  1. foretag en risikovurdering, herunder vær bevidst om eventuelle risici,
  2. foretag en kritisk vurdering af eventuelle certificeringer,
  3. hvor vil oplysningerne fysisk befinde sig, herunder overvej spredning og rettigheder, også i tilfælde af leverandørs ophør med drift,
  4. hvordan sikres at oplysninger ikke er tilgængelige af tredjemænd,
  5. hvordan sikres at oplysninger kan slettes permanent,
  6. i hvilket omfang oplysningerne lagres og transmiteres i krypteret form,
  7. hvilke procedurer der anvendes ved tildeling af adgang,
  8. i hvilket omfang det kan kontrolleres at kun autoriserede brugere får adgang,
  9. hvilke procedurer der anvendes ved afviste adgangsforsøg,
  10. om adgangskoder sendes i krypteret form, og om adgangskoder kan gemmes i det anvendte klientprogram, med mulighed for genanvendelse,
  11. hvilke procedurer der er for logning.
Dette indlæg blev udgivet i IT sikkerhed og tagget , , . Bogmærk permalinket.

4 svar til Cloud Computing i det offentlige

  1. Pingback: Overvejelser ved Cloud Computing | Hennings blog

  2. Pingback: Datatilsynet har nu nok stadig ret | Hennings blog

  3. Pingback: Modig beslutning fra Lavabit (med opdatering) | Hennings blog

  4. Pingback: Engelske patientjournaler uploadet til Google? | Hennings blog

Skriv et svar

Udfyld dine oplysninger nedenfor eller klik på et ikon for at logge ind:

WordPress.com Logo

Du kommenterer med din WordPress.com konto. Log Out / Skift )

Twitter picture

Du kommenterer med din Twitter konto. Log Out / Skift )

Facebook photo

Du kommenterer med din Facebook konto. Log Out / Skift )

Google+ photo

Du kommenterer med din Google+ konto. Log Out / Skift )

Connecting to %s