– Skytjenester er et godt verktøy for samarbeid med utenlandske forskere…
– Vi har har lurt litt på hvordan backup fungerer…
– IT-avdelingen bør kunne gi støtte for bruk av skytjenester.
På Høyden registrerer at sikkerhet ikke lå fremst i hjernebarken under vårens IT-samling på Solstrand denne uken.
Sensitive data i skyen
Forskere er som folk flest. De tar i stadig større grad i bruk enkle og gratis løsninger for lagring og deling av data på eksterne servere «i skyen». Ifølge Forbrukerrådet bruker 40 prosent av landets befolkning slike tjenester. De færreste leser brukervilkårene grundig før de trykker «Accept»-knappen.
Spørsmålet er hvor bevisste forskere er på å sikre eventuelle forskningsdata lagret i skyen. Lite er så ødeleggende for forskningens tillit som personopplysninger eller pasientdata på avveie.
Digital kultur
Det er en klar grense for hva man kan tillate seg å bruke kommersielle lagrings- og skytjenester til. Det er ikke bare snakk om personvernspørsmål, men også industrispionasje, mente førsteamanuensis og forsker på digital kultur ved UiB, Daniel Apollon, under paneldebatten på Solstrand, mandag.
– Er jeg paranoid…? – Nei, jeg tror ikke det.
«Patriot Act»
Om dataene er aldri så norske, betyr det lite når selskapet som tilbyr skylagringen befinner seg i et annet land. Som for eksempel i USA. Med hjemmel i den såkalte Patriot Act, kan amerikanske myndigheter kreve utlevert informasjon tilhørende skykunder fra selskaper med fast tilstedeværelse på amerikansk jord.
Det er ikke avgjørende hvorvidt serverne, hvor dataene er lagret, fysisk befinner seg i USA. Det holder at selskapet, et datterselskap, eller et selskapskontor, er registrert i USA. En nederlandsk forskningsrapport fra Universitetet i Amsterdam utredet de juridiske aspektene for høyere utdanning og forskning, og anbefalte EU-landene å arbeide videre med egne, nasjonale skytjenester.
Uninett - som drifter det digitale forskningsnettverket på vegne av norske universiteter og høyskoler - har utredet rammebetingelsene for en norsk, akademisk sky. Selskaper registrert i USA kan pålegge enkeltpersoner i skyselskaper å utlevere kunders data, samtidig som personen automatisk blir pålagt taushetsplikt. Hverken kunden, eller noen andre, får dermed vite at eventuelle sensitive data er overgitt utenforstående.
Risikobildet endrer seg dramatisk så snart det er snakk om noe annet enn åpne data. Dette utelukker bruk av amerikanske skytjenester hva gjelder forskningsdata, mener Uninetts arbeidsgruppe.
«Safe Harbour»
På den annen side skal sertifiseringsordningen «Safe Harbour» - en avtale mellom EU og amerikanske myndigheter om overføring av personopplysninger - garantere for sikker og konfidensiell lagring av data, også gjennom amerikanske selskaper.
Norge er rettslig bundet gjennom EØS-avtalen. Datatilsynet har fått flere henvendelser fra norske virksomheter om personopplysninger er tilstrekkelig beskyttet. Datatilsynet konkluderte så sent som i februar i år med at norske virksomheter fortsatt kan lagre personopplysninger på servere kontrollert av selskaper i USA.
Selskapene må være sertifisert gjennom Safe Harbour, og det er skykundens eget ansvar å undersøke om selskapet bak skytjenesten er sertifisert.
Skykunden har personvernansvaret
Skykunden, som for eksempel en norsk kommune, har ansvaret for å følge personopplysningsloven. Det innebærer at skykunden må informere de registrerte om at opplysninger om dem blir overført til USA, understreker Datatilsynet.
Det pålegger skykunden å risikovurdere tjenesten, gjennom risiko- og sårbarhetsanalyser. Det innebærer en vurdering av hva som kan gå galt, og graden av konsekvenser det kan få om personopplysninger kommer på avveie.
Velkommen etter
– Dette er en stor utfordring for UiB, sa IT-direktør Tore Burheim.
Finnes det en hemmelig sky i himmelen, spurte en tilhører på Solstrands IT-seminar.
Ja, den er på vei. Både Uninett og UiB, har for tiden under utvikling skytjenester som kan fungere som alternativer til utenlandske, kommersielle tilbydere. Da trenger norske forskere med sensitive data kun å forholde seg til det regelverket de allerede kjenner og opererer etter.
Gitt er gitt
Hvem eier filene dine, og hvor sikre er de? Forbrukerrådet har foretatt en enkel undersøkelse overfor de mest populære tjenestene om brukervilkårene, som svært få av oss leser før vi trykker på «Accept». Her er hva skytjenestene ber deg undertegne.
Et par av dem forbeholder seg retten til å bruke innholdet ditt i sine andre tjenester. Google Drive-tjeneste tar seg i følge Forbrukerrådet retten til å bruke dokumentene dine også etter at du avslutter kontoen.
LES OGSÅ UAs sak: Fortrolig informasjon var søkbar på Google
