I 2011 flyttet Narvik kommune virksomhet ut i nettskyen ved å velge Google Apps som e-postplattform. Nå har Datatilsynet talt, og konklusjonen er klar; bruk av Google Apps medfører brudd på personopplysningsloven.
Google Apps er en såkalt nettsky-tjeneste. Nettsky-tjenester er en form for outsourcing av en rekke ulikeartete IT-tjenester, som normalt har det til felles at de leveres som en tjeneste og over internett. Typiske eksempler er infrastruktur, databehandling og programvare levert over nett. Skytjenester krever gjerne liten eller ingen investering på forhånd og er skalerbare i forhold til virksomhetens behov. For en mer presis beskrivelse av skytjenester, se definisjonen utarbeidet av amerikanske National Institute of Standards and Technology.
Narvik kommune var våren 2011 første kommune i landet til å ta i bruk Google Apps som plattform for e-post. Kommunen ble raskt underlagt en inngående vurdering fra Datatilsynets side. Bakgrunnen for Datatilsynets gjennomgang var blant annet at Google lagrer dataene på ukjent sted i utlandet, slik at Narvik kommune ikke er kjent med hvor dataene befinner seg. I tillegg tilbyr Google Apps kun standardkontrakter.
IT-sjefen i Narvik kommune, Per Jacobsen, uttalte i sommer til digi.no at kommunen var klar over at det muligens forelå enkelte juridiske hindre ved overgangen til nettskyen. Ifølge Jacobsen var imidlertid Google Apps et så godt produkt at kommunen ikke kunne unngå å ta det i bruk.
Etter mer enn et halvt år med undersøkelser offentliggjorde Datatilsynet sin vurdering i form av varsel om vedtak 16. januar 2012. Konklusjonen er nedslående for Narvik kommune og Google; bruken av Google Apps medfører brudd på personvernlovverket.
I Datatilsynets brev kommer det frem at kommunen har hevdet at ingen sensitive personopplysninger skal sendes med e-post. Datatilsynet er imidlertid av den oppfatning at kommunen rent praktisk ikke kan forhindre dette. Datatilsynet legger også vekt på at uautoriserte forsendelser vil kunne bli liggende på Googles servere i lang tid. På denne bakgrunn kan Datatilsynet ikke se at kommunen har gjennomført tilstrekkelige tiltak for å sikre konfidensialitet, jf. personopplysningsforskriften § 2-11.
Hva angår muligheten for å sikkerhetsrevidere Google, hevder kommunen at dette vil gjøres av en tredjepart. Funn vil tilgjengeliggjøres i en revisjonsrapport som kommunen vil få tilgang til. Datatilsynet aksepterer ikke denne løsningen og skriver blant annet at det er uklart for tilsynet hvordan kommunen gjennom ovennevnte revisjonsrapporter skal kunne endre på hvordan databehandleren behandler kommunens data, all den tid kommunen vil mangle reell påvirkningskraft på Google Apps. På denne bakgrunn kommer Datatilsynet til at kommunen ikke har foretatt en tilstrekkelig risikovurdering, jf. personopplysningsforskriften § 2-4.
I henhold til personopplysningsloven § 15 kan en databehandler ikke behandle personopplysninger på vegne av en behandlingsansvarlig uten at det er inngått en databehandleravtale. Slik avtale foreligger ikke mellom Narvik kommune og Google. Datatilsynet fastslår at Googles standardavtale ikke er tilstrekkelig i forhold til hva som forventes av en databehandleravtale. Datatilsynet uttaler også at tilsynet ikke kan se at kommunen har anledning til å benytte en databehandler som ikke oppgir hvilket land opplysningene vil bli behandlet i og som en konsekvens av dette ikke gir en tilstrekkelig redegjørelse for sikkerhetstiltak, jf. personopplysningsloven § 29.
Datatilsynets samlede konklusjon er at Narvik kommune ikke i tilstrekkelig grad har forsikret seg om at bruken av Google Apps er i tråd med personopplysningsloven. Tilsynet fremhever at dette særlig gjelder inngåelse av en gyldig databehandleravtale i henhold til personopplysningsloven § 15, krav knyttet til overføring av personopplysninger til utlandet, jf. § 29 og ivaretakelse av kravene til informasjonssikkerhet i henhold til § 13.
Direktør i Datatilsynet, Bjørn Erik Thon, uttaler følgende til digi.no:
”Vi har gått igjennom og sett på kravene som stilles i lovverket opp mot Google Apps-produktet. Vi har sett på muligheten for å få informasjon om hvor dataene lagres, slik loven krever. Det vet ikke Narvik kommune, og det kan ikke Google forklare. Det samme gjelder kravene til å utføre sikkerhetsrevisjoner. De har heller ingen ordentlig databehandleravtale, slik personopplysningsloven krever … Totalt sett har ikke Narvik kommune mulighet for å gjennomføre det sikkerhetsregime som kreves av en norsk kommune, eller noen som driver med databehandling, sier Thon.”
Narvik kommune har fått frist på seg til 1. mars 2012 med å inngi merknader til varselet og til å utarbeide fremdriftsplan for lukking av avvikene Datatilsynet har avdekket. Klarer ikke kommunen å tilfredsstille tilsynets krav, kan det se ut som at spranget ut i nettskyen ble kortvarig i denne omgangen.
Rådmann i Narvik kommune, Wiggo Lauritzen, er imidlertid innstilt på å få til en løsning Datatilsynet kan akseptere:
”Vi har allerede gjort endringer på alle interne systemer som behandler personsensitive opplysninger. Alt det vesentlige av personsensitive prosesser går på egne systemer … Dette er et system som er kommet for å bli.”