Nasjonal strategi for bruk av skytenester

Til innhaldsliste

3 Skytenester og utfordringar i regelverket

Ei interdepartemental arbeidsgruppe har gått gjennom lover og forskrifter og vurdert kva for regelverk som skaper utfordringar for bruk av skytenester. Gruppa har òg sett fram forslag til moglege endringar. Motivasjonen med arbeidet har vore å oppretthalde vern av personopplysningar, god tryggleik og sikring av viktige dokument for ettertida. I arbeidet har gruppa vurdert intensjonen i lovverket opp mot dagens teknologiske verkelegheit, og vurdert om det er mogleg å vareta denne intensjonen samtidig som ein opnar for å utnytte det potensialet som ligg i skyteknologien.

I vurderinga av regelverket opp mot skytenester, er det først og fremst reguleringa av kor ein kan lagre data som gir utslag. Det finst ikkje regelverk som eksplisitt regulerer bruken av teknologien skytenester bygger på, men gjennom å stille krav til at data skal lagrast innanfor eit geografisk område, kan ei lov eller forskrift sette grenser for bruken av allmenne skytenester.

Det er to viktige lover – i tillegg til tryggingslova – som klart stiller slike krav til kor data skal lagrast: arkivlova og bokføringslova. 16 Personopplysningslova stiller òg krav til lagring og behandling av data, men desse krava set ikkje like store grenser for kva land personopplysningane kan lagrast eller behandlast i.

Arkivlova

Offentlege organ har plikt til å ha arkiv som er innretta slik at dokumenta er trygga som informasjonskjelder for samtid og ettertid, jf. arkivlova §6. Offentlege organ må derfor stille krav til leverandørar av skytenester om tilgjenge, konfidensialitet og integritet (sjå kapittel 4 for meir om vilkår for bruk av skytenester i offentleg sektor).

I §9 bokstav b i arkivlova heiter det at arkivmateriale ikkje kan « førast ut or landet» . Lagring av arkiv i ei skyteneste som bruker serverar utanfor Noreg vil dermed stride mot lova, sjølv om verksemda sjølv har vurdert at innhaldet i arkivet er av ein slik karakter at det kan lagrast i utlandet. Riksarkivaren kan gi særskilt samtykke til slik lagring. Dette følgjer av arkivlova §9 bokstav b.

Arkivlova med tilhøyrande forskrifter regulerer ikkje bruken av skytenester for private personar, organisasjonar og private verksemder. Riksarkivaren kan fastsette at private rettssubjekt med offentleg tilknyting skal følge forskrift for offentlege arkiv, jf. arkivlova §§19 og 20.

Kulturdepartementet har sett i gang arbeid med revisjon av arkivforskrifta og vil i den samanhengen vurdere om det òg er behov for endringar i arkivlova. Intensjonen med arbeidet er mellom anna å tilpasse arkivregelverket til digitalisering. I samband med revisjonen ønsker departementet å vurdere behov for endring slik at offentlege organ kan ta i bruk skytenester med serverar utanfor Noreg for arkiv.

Riksarkivaren vurderer òg kva krav som skal stillast for å kunne gi særskilt samtykke til lagring av arkiv i skytenester med serverar utanfor Noreg. Riksarkivaren tar sikte på å ha dette klart i løpet av våren 2016.

Bokføringslova

Bokføringslova var tidlegare ei av dei lovene som la dei største hindringane i vegen for digitalisering i næringslivet, fordi lova stilte krav om fysisk lagring av rekneskap. Etter ein revisjon av lova, kan nå det meste av rekneskapsmateriale lagrast digitalt. Fordi rekneskap og fakturahandtering er område som eignar seg godt som tenester i nettskya, er krav til lagring av bokføringsdata spesielt interessant å vurdere nærare.

Bokføringslova fastset i dag at bokføringspliktige kan «oppbevare elektronisk regnskapsmateriale i et annet EØS-land dersom avtale eller overenskomst med det aktuelle landet sikrer norske skatte- og avgiftsmyndigheter tilfredsstillende adgang til regnskaps informasjonen i oppbevaringstiden, og slik oppbevaring ikke vil være til hinder for effektiv norsk politietterforskning.» Av forskrifta til lova går det fram at det berre er dei nordiske landa som tilfredsstiller desse krava per i dag. Ei bedrift kan dermed lagre rekneskapsdata i ei skyteneste som er basert i Norden, dersom det er sendt melding til Skatteetaten om dette. Det kan vere vanskeleg å finne allmenne skytenester som kan garantere lagring i Norden. Dette skaper utryggleik, særleg hos mindre verksemder som ser at dei kan redusere kostnadane sine med å bruke skytenester for rekneskap og fakturabehandling.

Det er mogleg å søke dispensasjon for å lagre i andre land. Slike dispensasjonar blir gitte regelmessig for lagring av opplysningar i utlandet som ein del av ei felles rekneskapsløysing innan eit konsern eller ei liknande samanslutning. Det er eit vilkår at ein må kunne ha elektronisk tilgang til rekneskapsopplysningane frå Noreg.

Hensikta med krava til lagring er at Skattedirektoratet skal få tilgang til bokføringsdata for kontroll. Ei verksemd som ønsker å bruke skytenester som behandlar eller lagrar data utanfor Norden, kan derfor gjere dette så lenge ein kopi av rekneskapen blir overført til Noreg eller eit anna godkjent land så snart som mogleg, og seinast sju månadar etter at rekneskapsåret er slutt.

Regjeringa vil følge med på kva initiativ som kjem frå EU på dette området, og vurdere om det kjem tiltak som kan tilfredsstille krava i lova om å sikre norske styresmakter tilgang til informasjonen, slik at det kan opnast for lagring i fleire land enn i dag.

Arbeid i EU – Digital Single Market

Det finst fleire land som har liknande reglar som Noreg på dette området. EU-kommisjonen la i mai 2015 fram sin Digital Single Market (DSM) Strategy . Initiativ for å møte avgrensingar i den frie flyten av data innanfor EØS-området og unødige restriksjonar på lagring eller behandling av data, er ein viktig del av DSM-strategien. Rekneskap og bokføringsdata er identifisert som eit område der det ofte er krav om lagring innanfor dei enkelte landa.

Tryggingslova

Formålet med tryggingslova er å motverke truslar mot sjølvstendet og tryggleiken til staten og andre vitale nasjonale tryggleiksinteresser. I tillegg skal lova bidra til å ta i vare rettstryggleiken til den enkelte, og trygge tilliten til og kontrollen med tryggingstenesta. Lova gjeld for forvaltningsorgan, og for verksemder som leverer tryggleiksgradert utstyr og -tenester til forvaltningsorgan.

Tryggingslova og verneinstruksen stiller krav til forvaltning av informasjonssystem som gjer at det ikkje er formålstenleg å lagre slik informasjon hos utanlandske leverandørar. Det er berre Nasjonalt tryggingsorgan (NSM) som eventuelt kan godkjenne og gi tillating til bruk av slike tenester for graderte dokument. NSM må godkjenne alle informasjonssystem som skal behandle, lagre eller sende gradert informasjon. Elektroniske dokument som er omfatta av verneinstruksen skal behandlast på same måten som dokument som er gradert avgrensa etter tryggingslova.

Regjeringa har oppnemnt eit utval som skal foreslå nytt lovgrunnlag for førebyggande nasjonal tryggleik (Tryggingsutvalet). Forslaget frå utvalet skal sikre at nytt regelverk tar omsyn til teknologisk utvikling, demografiske endringar og endra tryggleikssituasjon. Utvalet skal levere rapport hausten 2016.

Særskilt om personopplysningar og teieplikt

Eit område der mange føler seg utrygge, men der regelverket i utgangspunktet ikkje legg spesielle hindringar i vegen for bruk av skytenester, er lagring av personopplysningar. Reguleringa av dette området gir likevel viktige rammer for bruken av allmenne skytenester.

Personopplysningslova fastset at personopplysningar «kan bare overføres til stater som sikrer en forsvarlig behandling av opplysningene», og ein kan derfor ikkje utan vidare overføre slike data til land utanfor EØS-området. Det finst likevel ein del unntak. Blant anna kan enkeltoverføringar godkjennast på førehand av Datatilsynet, og dersom det er inngått avtale med databehandlaren gjennom standardkontraktane til EU, vil det vere lovleg grunnlag for overføring av data. I tillegg er enkelte land utanfor EU, som Canada, Australia og Sveits, godkjende av EU som trygge mottakarstatar. Tidlegare kunne ein òg overføre data til verksemder i USA som var sertifiserte etter Safe Harbour . Denne ordninga blei kjend ulovleg av EU-domstolen hausten 2015, men det er venta at ho blir erstatta av ei ny ordning – EU-US Privacy Shield.

Etter at EU-domstolen kjende Safe Harbour-avgjerda til kommisjonen ugyldig, har ein vore nøydd til å ta spesielle omsyn når ein har inngått kontraktar som fører til at data blir overførte til USA. Fram til ei ny ordning er på plass, må ein bruke avtalar som dekker EU sine standardkontraktar for personopplysningar, og ein må varsle Datatilsynet.

EU-US Privacy Shield

EU-US Privacy Shield er eit rammeverk som skal beskytte rettane til EU-borgarar når data om dei blir overførte til verksemder i USA. Det nye rammeverket vil stille strenge krav til verksemdene om å beskytte personopplysningar. I tillegg er det krav til at amerikanske styresmakter må følgje opp og handheve rammeverket.

Det skal vere klare reglar for, og god kontroll med, når amerikanske styresmakter kan få tilgang til data som er overførte til USA innanfor det nye rammeverket. Dette var eitt av dei områda EU-domstolen meinte ikkje var varetatt under Safe Harbour.

Kjelde: European Commission press release: EU Commission and United States agree on new framework for transatlantic data flows: EU-US Privacy Shield , 2. februar 2016

Mange verksemder er usikre på om dei må ta omsyn til Snowden-avsløringane når dei skal vurdere om dei kan bruke skytenester. Til tross for den debatten avsløringane til Edward Snowden har utløyst, er ikkje norsk lovgiving eller praksis når det gjeld behandling og lagring av personopplysningar, eller andre opplysningar som er underlagde teieplikt, endra. Ulike land kan sjølve gi reglar for korleis for eksempel tryggingsorgan får tilgang til data nasjonalt for å kjempe mot terror eller kriminalitet. Det skaper utfordringar når ulike land som driv utstrakt utveksling av data har ulikt syn på kva som er greitt og ikkje når det gjeld retten til å overvake data og kommunikasjon. Dette er ikkje noko det enkelte landet kan løyse på eiga hand; desse utfordringane må løysast på internasjonalt plan.

Ny personvernforordning i EU

EU har lenge arbeidd for å få på plass eit nytt regelverk for behandling av personopplysningar. I dag gjeld personverndirektivet innanfor EØS-området. Direktivet er implementert på ulike måtar i ulike land, og dette gjer det tungvint å tilpasse seg for verksemder som opererer i fleire ulike land, slik bedrifter som tilbyr skytenester gjerne gjer.

Ei personvern forordning vil, i motsetning til eit direktiv, automatisk bli lov i alle land innanfor EU, og det er sannsynleg at ho vil tatt inn i EØS-avtalen.

Landa i EU er nå einige om kva den nye forordninga skal innehalde. Dei områda av forordninga som er mest relevante for bruken av skytenester er:

  • Tidligare var det den behandlingsansvarlege som hadde ansvaret dersom data gjekk tapt, uvedkommande fekk tilgang til data eller liknande. I den nye forordninga vil både behandlingsansvarleg og databehandlar få dette ansvaret. Det blir dermed eit større ansvar på skyleverandøren når denne er databehandlar.
  • Det vil bli ein rett å kunne ta med seg data når ein vil skifte leverandør (krav til portablilitet). Denne retten gjeld i utgangspunktet forbrukarar, men når stadig fleire leverandørar må utvikle mekanismar for å handtere dette, er det truleg at det vil påverke forretningsmarknaden òg.
  • Kundar – både forbrukarar og verksemder (og eventuelt verksemda sine kundar som er ramma) – skal bli varsla raskt etter datainnbrot eller ved tap av data.
  • Data kan førast ut av EU dersom ein bruker dei ordningane som EU-kommisjonen har vedtatt.
  • Forordninga gjeld for alle verksemder som er etablerte i EØS-området. Ho gjeld òg for verksemder som behandlar personopplysningar om EØS-borgarar som følge av at dei tilbyr varer og tenester i EØS-området, uavhengig av kor verksemdene er etablerte.
  • Det vil bli viktigare for alle verksemder som forvaltar personopplysningar å overhalde regelverket. Dersom ein bryt reglane kan ein få gebyr på inntil 4 prosent av global årleg omsetting.

Forordninga vil truleg gjelde frå 2018.

Teieplikt

Etter forvaltningslova har «[e] nhver som utfører tjeneste eller arbeid for et forvaltningsorgan» teieplikt for opplysningar om personlege forhold og forretningsrelaterte opplysningar som det vil vere viktig å halde hemmeleg av konkurranseomsyn. Om ei offentleg verksemd inngår ein avtale med eit privat firma om å behandle eller lagre data, vil teieplikta òg gjelde dei i dette firmaet som eventuelt får kjennskap til informasjon som er omfatta av teieplikta. Dersom ein bruker leverandørar som igjen bruker underleverandørar, er det viktig å sikre at teieplikta er omfatta av dei avtalane som gjeld.

E-forvaltningsforskrifta seier at risikoen for ulovleg innsyn ved bruk av elektronisk kommunikasjon må «være forebygget på tilfredsstillende måte». Forskrifta seier òg at «forvaltningsorganet skal opplyse generelt om hvordan taushetsbelagte opplysninger og personopplysninger sikres under behandling i forvaltningsorganet.» Dette gjeld ved bruk av IKT generelt, og er ikkje spesielt for bruk av skytenester.

Tilsyn

Innan fleire sektorar er det behov for å kunne kontrollere IKT-systema som blir brukte i behandlinga av verksemdene sin informasjon. Ei rekke tilsynsorgan praktiserer derfor såkalla «tilsyn på staden» innan sitt ansvarsområde. Eit krav frå eit tilsyn om fysisk kontroll av IKT-systema vil vere vanskeleg å møte for verksemder som bruker skytenester. Dei fleste skyleverandørar vil for eksempel ønske å avgrense talet på personar som får sleppe inn i datasentera, fordi uautoriserte personar er ein trussel mot tryggleiken.

Krav til trygging av IKT-system og infrastruktur kan òg gjere det vanskeleg for verksemdene å avgjere om dei kan bruke skytenester eller ikkje. Krava i regelverket til trygging av IKT-system for ulike sektorar er ofte kompliserte. For verksemder som er underlagde fleire ulike sektorregelverk (for eksempel verksemder som tilbyr både kraft og kommunikasjonstenester) er det ei utfordring at krava i dei ulike sektorane ikkje er harmoniserte. Dette kjem som oftast til utrykk i samband med tilsyn og tilsyna si praktisering av eige regelverk.

Regjeringa vil sjå på tilsynsfunksjonen innan fleire sektorar samla for å vurdere forhold rundt auka bruk av skytenester. Spørsmål om praktisering av tilsyn på staden, tilsyn over landegrenser og krav til trygging av system er aktuelle tema som fleire tilsyn møter, og der det er bruk for å etablere ein felles praksis. Eit sentralt spørsmål er bruken av tredjepartsrevisjonar, og korleis ein kan sikre at dei verksemdene som gjer slike revisjonar er reelt uavhengige.

Tiltak:Fjerne utryggleik som kjem av at regelverket er uklart når det gjeld bruk av skytenester

Regjeringa vil:
  • Revidere arkivforskrifta og eventuelt delar av arkivlova for blant anna å tilpasse arkivregelverket betre til digitalisering. Som ein del av dette vil ein vurdere behov for endring slik at offentlege organ kan ta i bruk skytenester med serverar utanfor Noreg for arkiv.
  • Vurdere grunnlaget og handlingsrommet for å utvide tilgangen til å lagre bokføringsdata utanfor Noreg. På dette området er det òg viktige initiativ i gang i EU, som Noreg vil følge tett
  • Harmonisere praksis for tilsyn så langt som mogleg, slik at verksemdene ikkje opplever motstridande krav knytte til skytenester frå ulike tilsyn
  • Bidra i EU sitt arbeid med å få på plass sameinte kriterium (standardar, sertifiseringsordningar og liknande) for skytenester

Fotnotar

16.

Kommunal- og moderniseringsdepartementet (2015): Kartlegging av hindringer i lovverket for bruk av skytjenester. Rapport fra interdepartemental arbeidsgruppe med deltakelse fra Finansdepartementet, Justis- og beredskapsdepartementet, Kommunal- og moderniseringsdepartementet, Kulturdepartementet, Kunnskapsdepartementet, Nærings- og fiskeridepartementet og Samferdselsdepartementet