Fordelene med en overgang til en offentlig skytjeneste er mange, men det må likevel gjøres vurderinger av hvordan personopplysninger sikres i skyen.
Fordelene med en overgang til skybaserte tjenester er mange. Når IKT-tjenester og systemer flyttes til skyen, ivaretas ansvaret for drift og vedlikehold av maskinvare og programvare av leverandøren. Dette gir virksomheten økt forutsigbarhet med tanke på kostnader, og muligheter for innsparing når det gjelder behovet for teknisk personell og kostnader forbundet med oppgradering av programvare og IT-support. Skybaserte tjenester oppdateres kontinuerlig og brukere har enklere tilgang til siste versjon av programvaren. Endringer blir fordelt utover tid slik at brukere får en mer sømløs opplevelse og behovet for opplæring og kursing i forbindelse med oppgraderinger blir mindre. Skytjenester gir også bedre tilgjengelighet og mindre nedetid. Teknologien som tilbys gjennom bruk av offentlige skytjenester (public cloud), er ledende når det gjelder informasjonssikkerhet, innovasjonsmuligheter og skalerbarhet.
Allikevel har mange virksomheter innenfor helse- og sosialsektoren vært tilbakeholdne med å ta i bruk offentlige skytjenester. Dataene disse virksomhetene er ansvarlige for er av en mer sensitiv karakter enn i mange andre bransjer, og kravene til informasjonssikkerhet og personvern er dertil høyere. Særlig har det vært krevende å navigere i personvernlovgivningen etter den mye omtalte Schrems II-dommen (avsagt av EU-domstolen i 2020).
I denne dommen underkjente EU-domstolen måten Facebook overførte personopplysninger til USA fordi beskyttelsesnivået til opplysningene ikke var like høyt som i EU/EØS. Dommen skapte store praktiske utfordringer for alle virksomheter som overfører personopplysninger til USA på ulike måter. Da alle de store public cloud-leverandørene er i amerikansk eie, og bruk av disse skytjenestene dermed utgjorde en risiko for overføring av personopplysninger til USA, har det vært knyttet stor usikkerhet til om bruk av public cloud for personopplysninger kunne skje i tråd med GDPR.
Denne utfordringen virker nå å være løst. Sommeren 2023 ble EU og USA enige om et nytt rammeverk for personvern: EU-U.S. Data Privacy Framework. EU-kommisjonen har deretter besluttet at USA er et land det kan overføres personopplysninger til på samme måte som om det var en europeisk virksomhet, under forutsetning av at virksomheten det overføres opplysninger til står på listen over virksomheter som er sertifisert under EU-U.S. Data Privacy Framework. Alle de store skytjenesteleverandørene er sertifisert. EU-kommisjonens beslutning kalles en adekvansbeslutning, og det betyr at den enkelte dataansvarlige virksomhet ikke behøver å gjøre en egen landvurdering når det er snakk om å overføre opplysninger til de sertifiserte virksomhetene i USA. Det innebærer at det nå er enklere for virksomheter å overføre personopplysninger til USA, jfr. Datatilsynets informasjon om endringene. Helse- og omsorgsdepartementet har også kommentert beslutningen, og understreker at dette forenkler helsesamarbeidet med USA. – Det er bra for Norge at EU og USA nå har vedtatt dette rammeverket, slik at helse- og omsorgstjenesten kan ha USA som samarbeidspart og at disse skyløsningene kan inngå i verktøykassa, sier helse- og omsorgsminister Ingvild Kjerkol.
Nei, for selv om spørsmålet om overføringsgrunnlag til USA anses løst, gjelder fortsatt de andre generelle reglene i personvernforordningen. Det betyr at det ikke finnes svar med to streker under. Virksomheten må gå grundig til verks for å risikovurdere om personvernet anses tilstrekkelig ivaretatt når sensitive personopplysninger skal flyttes til en offentlig skytjeneste, jf. GDPR art 32. Det er virksomheten som er ansvarlig for dataene som må vurdere om informasjonssikkerhet, personvern og pasientsikkerhet i tilstrekkelig grad ivaretas ved flytting av opplysninger til skybaserte tjenester.
Selv om det anskaffes en skytjeneste med datalagring, hvor det i praksis er leverandøren som ivaretar at sikkerheten for dataene er tilstrekkelig, er det likevel dataansvarlig virksomhet som må kunne dokumentere at de tiltakene leverandøren beskriver anses å gi et egnet sikkerhetsnivå. For å gjøre dette, må dataansvarlig virksomhet ha innsyn i hvordan leverandøren sikrer dataene, og gjøre en selvstendig vurdering av om det anses sikkert nok. Som dataansvarlig virksomhet er det viktig å forstå hvordan dataene håndteres ved overgang til skytjenester, slik at ansvarsforhold og risiko kan vurderes og dokumenteres. Det er derfor avgjørende med et godt samarbeid med leverandøren når disse vurderingene skal gjøres, og at leverandøren viser full åpenhet og gir kunden innsikt i hvordan dataene behandles og sikres i skyløsningen.
Normen for informasjonssikkerhet og personvern i helse- og omsorgssektoren (Normen) utga sommeren 2023 Veileder i bruk av skytjenester til behandling av helse- og personopplysninger - ehelse. I tillegg til å beskrive ulike skytjenester, gis det veiledning til hva virksomheten må passe på ved anskaffelser av skytjenester, samt anbefalinger til risikostyring og sikkerhetstiltak ved bruk av skytjenester og leverandøroppfølging. I veilederen oppstilles det eksempler på hva som bør inngå i risikovurderingen. Dette inkluderer vurderinger knyttet til:
Datatilsynet har laget en sjekkliste som et godt utgangspunkt for å få oversikt over de generelle grunnleggende kravene virksomheten må etterleve når personopplysninger behandles.
Nylig gjennomførte Datatilsynet brevkontroll med 93 kommuner og fylkeskommuner. Også her finnes det tips til virksomhetene. I forhold til skytjenester, er det punktet om sikkerhetsstrategi og risiko- og sårbarhetsvurderinger som er særlig relevant. Om virksomheten utarbeider en sikkerhetsstrategi, vil det være lettere å vurdere om etablering av skyløsninger er i samsvar med virksomhetens mål og nivå for akseptabel risiko. Risikovurderingen av aktuell løsning kan også med fordel kobles til virksomhetens mål i sikkerhetsstrategien.
Norsk helse- og sosialsektor har mye å vinne på å ta i bruk skytjenester, og det finnes god veiledning til personvern- og informasjonssikkerhetsansvarlige som skal i gang med risikovurderinger. Et godt samarbeid med leverandøren er alltid en forutsetning for å gjennomføre gode vurderinger. Som leverandør tar vi vårt ansvar som databehandler på største alvor. Overfor våre kunder har vi full åpenhet om avtaleforholdene med skytjenesteleverandøren, slik at dataansvarlig virksomhet kan vurdere sitt ansvar helhetlig. Vi har også konsulenter som kan bistå kunden med å gjennomføre og dokumentere de nødvendige vurderingene slik at overgangen til skybaserte tjenester gjøres på en trygg og effektiv måte.