Udtalelse i forbindelse med anmeldelse af "Google Apps - online kontorpakke med kalender og dokumenthåndtering"

Journalnummer: 2010-52-0138

Ifølge persondatalovens¹  § 45, stk. 1, nr. 1, skal der forinden iværksættelse af behandling, der omfatter oplysninger som nævnt i lovens § 7, stk. 1, og § 8, stk. 1, og som er omfattet af anmeldelsespligten i § 43, indhentes udtalelse fra Datatilsynet.

Datatilsynet har den 12. februar 2010 modtaget ovennævnte anmeldelse, hvoraf fremgår, at Odense Kommune er dataansvarlig myndighed. Behandlingen skal ifølge anmeldelsen påbegyndes den 1. august 2010.

Af anmeldelsen fremgår bl.a., at der vil blive behandlet følsomme personoplysninger om helbredsforhold, væsentlige sociale problemer og andre rent private forhold. Oplysningerne vil ifølge anmeldelsen blive slettet, når den omhandlede person forlader skolen.

I den anledning skal Datatilsynet udtale følgende:

Persondataloven indeholder i kapitel 11 bestemmelser om behandlingssikkerhed. Kravene til datasikkerheden omkring offentlige myndigheders behandlinger er nærmere udmøntet i sikkerhedsbekendtgørelsen², som endvidere giver Datatilsynet adgang til at komme med henstillinger over for den dataansvarlige myndighed vedrørende de trufne sikkerhedsforanstaltninger.

Efter Datatilsynets umiddelbare vurdering vil Odense Kommunes behandling af følsomme personoplysninger i Google Apps ikke kunne leve op til persondatalovens sikkerhedskrav. Tilsynet kan derfor ikke tiltræde, at behandlingen iværksættes den 1. august 2010 som beskrevet i anmeldelsen.

Datatilsynet har ved sagens behandling lagt til grund, at oplysningerne i Google Apps tilgås med brugernavn og adgangskode.

Datatilsynet lægger således til grund, at der indgår følsomme personoplysninger omfattet af persondatalovens §§ 7 og 8, at oplysningerne tilgås og behandles via internet, samt at der ikke anvendes digital signatur eller lignende.

Datatilsynet har i andre sammenhænge tilkendegivet overfor offentlige myndigheder, at der ved adgang til følsomme personoplysninger via internet skal anvendes digital signatur eller eventuelt som alternativ adgang fra kendte IP-adresser (med brugernavn og adgangskode).

Herudover rejser brugen af Google Apps en række yderligere spørgsmål. Da anmeldelsen imidlertid afvises allerede på grund af problemstillingen med digital signatur ved følsomme oplysninger, har tilsynet ikke fundet anledning til at komme ind på de øvrige problemstillinger, som opstår ved en dansk myndigheds eventuelle brug af Google Apps.

Hvis Odense Kommune kan begrænse anvendelsen af løsningen til almindelige, herunder eventuelt fortrolige, personoplysninger omfattet af persondatalovens § 6, vil Datatilsynet være indstillet på at vurdere en ændret anmeldelse.   I givet fald vil Datatilsynet til brug for sin vurdering af sagen have behov for nærmere oplysninger om, hvilken risikovurdering Odense Kommune har foretaget i forbindelse med den ønskede løsning, herunder hvordan kommunen vil leve op til kravene i persondataloven og sikkerhedsbekendtgørelsen.

I givet fald må som minimum følgende belyses:

1. om Odense Kommune har foretaget en risikovurdering og udfaldet af denne,
2. Odense Kommunes vurdering af den i følgebrevet omtalte SAS70 Type II Certification,
3. hvilken databehandleraftale, der er indgået eller forventes indgået mellem Odense Kommune og Google Inc., jf. persondatalovens § 42, stk. 2, og sikkerhedsbekendtgørelsens § 7,
4. om Odense Kommune har kontrol med, hvor oplysningerne fysisk befinder sig, herunder om oplysningerne alene vil befinde sig på den i anmeldelsen angivne danske adresse i Danmark, eller om de blive behandlet i et andet EU-land eller i et tredjeland³, og
5. såfremt oplysningerne behandles i et tredjeland, hvorledes Odense Kommune har tænkt sig at iagttage kravene i persondatalovens § 27,
6. hvorledes Odense Kommune vil iagttage sikkerhedsbekendtgørelsens § 9 omkring kassation af anvendte datamedier, herunder
7. hvorledes Odense Kommune har tænkt sig at sikre, at alle personoplysninger bliver slettet hos Google Inc. efter endt behandling,
8. om al behandling af fortrolige personoplysninger vil ske i krypteret form,
9. hvilke procedurer der vil blive anvendt ved tildeling af autorisationer, herunder
10. hvordan Odense Kommune vil kontrollere at kun autoriserede brugere får adgang,
11. om adgangskoder vil blive sendt via det åbne internet,
12. om en bruger vil kunne vælge at vedkommendes adgangskode huskes, så den ikke skal indtastes hver gang,
13. hvordan kravene til kontrol med afviste adgangsforsøg i sikkerhedsbekendtgørelsens § 18 vil blive iagttaget, samt
14. hvordan sikkerhedsbekendtgørelsens § 19 om logning vil blive iagttaget.

Odense Kommune bedes venligst meddele Datatilsynet, om kommunen fortsat ønsker at anvende Google Apps.

Datatilsynet vil være indstillet på også at drøfte de rejste spørgsmål på et møde, såfremt dette skønnes hensigtsmæssigt.

Datatilsynet afventer herefter svar fra Odense Kommune.

[1] Lov nr. 429 af 31. maj 2000 om behandling af personoplysninger med senere ændringer

[2] Bekendtgørelse nr. 528 af 15. juni 2000 om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning

[3] Ved et tredjeland forstås en stat, som ikke indgår i Det Europæiske Fællesskab, og som ikke har gennemført aftaler, der er indgået med Det Europæiske Fællesskab, og som indeholder regler svarende til direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (såkaldte EØS-lande).