Datatilsynet: Pas på med skyen

Det er ikke uproblematisk at bruge cloud computing - men Microsofts Office 365 er nogenlunde i orden. Datatilsynet afgav i sidste uge et temmelig komplekst svar om tjenesten.

Foto: RAY STUBBLEBINE

Cloud computing er for længst blevet en veletableret trend - og tjenester som Dropbox, Google Drive, Apple iCloud eller Skydrive bruges i flæng af både private og virksomheder. Særligt erhvervslivet har kastet sig over Microsofts relativt nylancerede Office 365 - en kontorpakke, der i vid udstrækning benytter sig af cloud computing.

Men selv om det i dag er både let og meget brugervenligt at gemme sine dokumenter og andre data ude på nettet, er det ikke altid uproblematisk - og nu markerer det danske Datatilsyn i et svar om netop Office 365, at der er en række ting, der skal overholdes, før man kan kaste sig ud i brugen af sådanne netbaserede tjenester.

Data skubbes rundt

Office 365 har gennem længere tid været et ikke helt uproblematisk bekendtskab for virksomhedernes IT-ansvarlige, fordi så meget personfølsom data skubbes rundt mellem den enkelte virksomhed og så Microsofts servere i udlandet, ofte Irland eller USA, og samtidig har der været en del tvivl om sikkerheden i overhovedet at overdrage sådanne informationer til Microsoft.

Microsofts svar på bekymringerne har dels været at åbne det såkaldte Office 365 Trust center - og dels at indføre en række særlige foranstaltninger i Europa, hvor reglerne for behandling af persondata er ekstra stramme.

Tvivlen om netop Office 365 har sågar været så stor, at spørgsmålet tidligere på året blev rejst politisk af enhedslistens Stine Brix, der tilbage i april spurgte justitsminister Morten Bødskov (S) om juraen i sådanne cloud-tjenester og om offentlige og private virksomheder kan forvente, at de amerikanske myndigheder kan slå en klo i de danske data, uden at de danske myndigheder har en chance for at forhindre det.

Netop problematikken om at data, der vedrører danskere, kan ende med at havne uden for dansk og europæisk kontrol, er en af de helt store knuder i brugen af de nye cloudtjenester. Microsoft har dog tidligere garanteret, at selskabet overholder EU-lov, og selskabet driver således også et datacenter i Irland, der er omfattet af de europæiske regler.

Ventet med spænding

Da Office 365 er et ret udbredt produkt, har Datatilsynets udtalelse været ventet med spænding - men hvis man havde forventet en knivskarp holdning fra tilsynet, bliver man muligvis skuffet. Udtalelsen er nemlig en længere affære på hele ni sider - hvor i tilsynet dog utvetydigt fremhæver, at ansvaret ligger hos virksomhederne selv, og at en tilladelse til at overføre data til servere, der potentielt kan ligge helt uden for EU, kræver, at overflytningen anmeldes til Datatilsynet via en blanket.

På en blog på IT-mediet Version 2, tolker juraeksperten Peter Lunding Smith dog Datatilsynets svar som en egentlig blåstempling af tjenesten, omend blåstemplingen langt fra er soleklar.

Office 365 er blot en blandt mange eksempler på, at det kan være svært at navigere i de gråzoner, der opstår, når data flytter på nettet. Blandt andet har Odense Kommune over en del omgange spurgt tilsynet om lov til at bruge Googles cloudtjenester, og fået nej - og Datatilsynet har også tidligere advaret mod alt for frisk brug af backuptjenesten Dropbox.

I sidste uge offentliggjorde Google dog, at også Google er på vej med en særlig aftale med EU, så Googles tjenester fremover lovligt kan sælges og bruges af både europæiske og danske virksomheder og offentlige myndigheder.