Skytjenester i det offentlige ikke lenger i det blå

I næringslivet er skytjenester på god vei fra "hype" til "business as usual". Noen vil kanskje si at vi kommer litt sent til festen når vi nå har lagt fram Nasjonal strategi for bruk av skytjenester, skriver statssekretær Paul Chaffey i Computerworld.

Jeg vil si at tidspunktet er godt valgt. Det er nå de strategiske valgene må gjøres. Skyen blir vår nye IKT-infrastruktur. Samtidig vet vi at det er mye usikkerhet knyttet til bruk av skytjenester. Både private og offentlige virksomheter er redde for å gjøre feil, noe som svekker sikkerhet eller personvern, eller gjøre noe ulovlig.

Regelverket må klargjøres

Derfor er kanskje det viktigste vi har gjort i arbeidet med strategien å se nærmere på regelverket. Hvor er det bestemmelser som kan knyttes til bruk av sky? Få norske lover og forskrifter stiller krav til hvor data skal lagres eller behandles. Sikkerhetsloven er et unntak. Gradert informasjon må behandles i systemer som er godkjent av NSM, og det er gode grunner til å ønske å holde slik informasjon innenfor landets grenser.

Arkivloven er et annet. Det høres kanskje ikke ut som et stort problem at man må lagre arkivet sitt i Norge. Utfordringen blir tydeligere når man vet at nesten alle fagsystemer i stat og kommune produserer arkivdokumenter. Det vil si at så å si alle vil ha arkiv som vesentlig del av sin IKT-løsning. Kulturdepartementet har nå startet et arbeid med å revidere arkivforskriften, og vil vurdere endringer i loven som kan åpne for å lagre arkiv utenfor Norge. En forutsetning er selvsagt at system og leverandør kan sikre forsvarlig håndtering av arkivmaterialet.

Mange har tenkt at det må være problematisk å legge personopplysninger i skyen. Datatilsynet har gjort en viktig jobb med å avklare og formidle hvilke krav som gjelder. I utgangspunktet kan personopplysninger lagres og behandles innenfor hele EØS-området, i andre land som tilfredsstiller EUs krav til behandling av personopplysninger, eller av selskaper som bruker EUs standardavtaler. Vi følger nøye med utviklingen i EU på dette området.

Vi ønsker at flere offentlige virksomheter skal ta i bruk skytjenester fordi vi tror det kan gi både mer kostnadseffektive løsninger, mer fleksibilitet, og for en del virksomheter også bedre sikkerhet. I digitaliseringsrundskrivet krever vi derfor at statlige virksomheter må vurdere skytjenester når man skal gjøre endringer på IKT-området.

Viktig å vurdere risiko

Samtidig må jeg understreke at offentlige virksomheter skal vurdere risiko ved valg av nye IKT-løsninger. Slike vurderinger kan være krevende å gjøre. Som en oppfølging til strategien har vi derfor gitt Difi i oppdrag å tilby veiledning som vil kunne omfatte verktøy for risikovurdering, kost-nytte analyser, kontraktsoppfølging og databehandleravtaler.

Offentlig sektor er mangfoldig, men mange virksomheter ligner på hverandre. Det er rimelig å anta at landets nesten 3000 grunnskoler har relativt lik risikoprofil. Eller at de 4600 fastlegene behandler omtrent samme type personopplysninger. Og kommuner har langt på vei like IKT-behov. Jeg tror innsamling og tilrettelegging av gode eksempler og beste praksis vil gjøre veien til skyen lettere for mange.

I arbeidet med strategien har etater og kommuner etterlyst verktøy som kan gjøre det enklere å finne de rette tjenestene og ta stilling til hvilke leverandører man bør velge. Vi vil derfor vurdere om det offentlige trenger en form for markedsplass for skytjenester – inspirert av Storbritannias Digital marketplace. Dette arbeidet vil vi starte til høsten.

Norge må omstille seg til en ny hverdag uten oljeinntekter og med voksende demografiske utfordringer. Vi trenger da en effektiv offentlig sektor og en infrastruktur som fremmer innovasjon i næringslivet. Skytjenester kan bidra til å gi oss begge.