Behandling af følsomme personoplysninger i cloud-løsning

Publiceret 03-02-2011
Historisk afgørelse Offentlige myndigheder

Journalnummer: 2010-52-0138

1. Datatilsynet vender hermed tilbage til sagen vedrørende Odense Kommunes brug af Google Apps online kontorpakke med kalender og dokumenthåndtering.

Den 12. februar 2010 har Odense Kommune ved brug af Datatilsynets anmeldelsessystem anmodet om Datatilsynets forudgående udtalelse vedrørende kommunens påtænkte anvendelse af den nævnte cloudløsning.

Odense Kommune ønsker, at lærerne skal anvende løsningen, når der registreres oplysninger om planlægning af undervisningen og evaluering af undervisningsforløb samt de enkelte elevers faglige udvikling. Herudover foretager lærerne notater om klasser og elevers samarbejde og udarbejder skrivelser til forældrene vedrørende deres børn. Løsningen ønskes endvidere anvendt, når der planlægges og inviteres til møder og informeres om undervisningsrelaterede aktiviteter.

Ifølge Odense Kommune indgår der bl.a. følsomme oplysninger om helbredsforhold, væsentlige sociale problemer og andre rent private forhold.

Odense Kommune er ved breve 4. oktober og 15. november 2010 fremkommet med supplerende oplysninger.

2. Datatilsynet har behandlet sagen på et møde i Datarådet og skal herefter udtale følgende:

2.1. Ved iværksættelse af behandling af personoplysninger har den dataansvarlige myndighed eller virksomhed ansvaret for, at behandlingen af personoplysninger tilrettelægges således, at persondataloven og sikkerhedsbekendtgørelsen iagttages. Odense Kommune har som dataansvarlig myndighed bl.a. ansvaret for, at de oplysninger om borgerne, som kommunen behandler, til hver en tid er omgærdet med de fornødne sikkerhedsforanstaltninger.

Datatilsynet har ikke tidligere udtalt sig om anvendelse af en cloud-løsning på et konkret område. Den foreliggende sag vedrører personoplysninger af følsom karakter. Datatilsynet finder derfor, at der er behov for grundigt at overveje, om den beskrevne cloud-løsning vil leve op til de krav, som gælder, når en dansk forvaltningsmyndighed behandler sådanne oplysninger om borgere.

Som sagen foreligger, er det Datatilsynets opfattelse, at der på en række punkter, jf. nedenfor, er problemer i forhold til kravene i persondataloven1 og sikkerhedsbekendtgørelsen2. Det fører til, at Datatilsynet ikke er enig i Odense Kommunes vurdering af, at fortrolige og følsomme oplysninger om elever og forældre kan behandles i Google Apps.

Datatilsynet modtager gerne sagen til fornyet udtalelse, hvis Odense Kommune arbejder videre med sagen og søger efter løsninger på de påpegede problemstillinger.

På visse punkter vil der eventuelt skulle søges om en egentlig tilladelse fra Datatilsynet til den omhandlede behandling af følsomme personoplysninger, jf. nedenfor under pkt. 3.3.

I lyset af sagens principielle karakter og eventuelt vidtrækkende konsekvenser for borgerne i Odense Kommune bør beslutningen om, hvorvidt en løsning af denne karakter skal anvendes på dette område, efter Datatilsynets opfattelse tillige underkastes en vurdering i kommunens politiske organer.

2.2. Persondatalovens formål har tre led: For det første er det tilsigtet at sikre et fortsat højt beskyttelsesniveau i forhold til den enkelte borger. Samtidig er det hensigten, at loven skal være fleksibel og give mulighed for at behandle personoplysninger ved brug af moderne teknologier. Og endelig er det et formål med loven at gennemføre EU's direktiv om beskyttelse af personoplysninger3.

I tråd med dette har Datatilsynet generelt en positiv indstilling over for brug af nye teknologier, herunder som udgangspunkt også cloud computing. Samtidig ser Datatilsynet det som en af sine væsentlige opgaver at sætte fokus på, at den teknologiske udvikling også kan indebære en øget risiko i forhold til personers ret til privatliv og databeskyttelse.

Det niveau for databeskyttelse, som i Danmark er fastlagt ved persondataloven og sikkerhedsbekendtgørelsen, skal selvsagt som minimum iagttages. I forhold til de konkrete planer, som Odense Kommune har forelagt, opstår der imidlertid en række spørgsmål i forhold til denne lovgivning. Det gælder kort fortalt på fem punkter:

1) Eventuel overførsel af oplysninger til datacentre, som er beliggende i andre usikre tredjelande end USA, forudsætter, at der er et lovligt grundlag for overførslen, f.eks. at der er indgået en aftale baseret på EU-Kommissionens standardkontrakt, og at der er søgt tilladelse fra Datatilsynet.

2) Den risikovurdering, som Odense Kommune har foretaget, er efter Datatilsynets opfattelse ikke tilstrækkelig. Datatilsynet vil anbefale, at man benytter ENISA's tjekliste.

3) Databehandleraftalen, som påtænkes alene at skulle bestå i elementer fra Googles generelle betingelser, lever ikke op til persondatalovens krav om, at Odense Kommune skal sikre, at Google udelukkende må handle efter instruks fra kommunen, ligesom det heller ikke fremgår af databehandleraftalen, at sikkerhedsbekendtgørelsen gælder for databehandlingerne hos Google.

4) Datatilsynet må stille spørgsmål ved, hvordan Odense Kommune kan leve op til persondatalovens krav om kontrol med, om sikkerhedsforanstaltningerne overholdes hos databehandleren, når kommunen ikke ved, hvor oplysningerne fysisk befinder sig.

5) Det er uoplyst eller kan ikke anses for tilstrækkeligt godtgjort ud fra det foreliggende, hvordan sikkerhedsbekendtgørelsens og persondatalovens krav vil blive opfyldt på en række punkter, herunder

a. Sletning af data, så de ikke kan genskabes.

b. Transmission og login. Det er ikke oplyst, om der sker kryptering mellem Google i Irland og Google Inc.'s forskellige datacentre. Med hensyn til login via internet med adgang til følsomme personoplysninger henstiller Datatilsynet brug af en løsning med flere faktorer, f.eks. digital signatur.

c. Kontrol med afviste adgangsforsøg. Der foreligger ikke oplysninger om automatisk afvisning ved forsøg på at tilgå data uden om Odense Kommunes login-server.

d. Med hensyn til logningskravet efter sikkerhedsbekendtgørelsens § 19 foreligger der ikke nærmere oplysninger om, hvilke oplysninger der logges, eller hvor længe loggen opbevares.

Nedenfor under pkt. 3-9 omtales Datatilsynets vurderinger vedrørende de forskellige problemstillinger i forhold til persondataloven og sikkerhedsbekendtgørelsen nærmere.

3. Overførsel af oplysninger til tredjelande

3.1. Odense Kommune har oplyst, at Google Ireland Limited er databehandler i forbindelse med kommunens brug af Google Apps.

Odense Kommune har endvidere oplyst, at oplysningerne fysisk befinder sig på  Google Inc.'s datacentre. Om disse datacentre har Google ifølge Odense Kommune oplyst følgende:

"Google applications run in a multi-tenant, distributed environment. Rather than segregating each customer's data onto a single machine or set of machines, Google Apps data from all Google customers (consumers, business, and even Google's own data) is distributed amongst a shared infrastructure composed of Google's many homogeneous machines and located across Google's many data centers."

Odense Kommune har oplyst, at Googles datacentre befinder sig i USA og i Europa, og at det primært er datacentre i Europa, som brugere i Europa og Danmark får deres data fra.

Odense Kommune har herudover oplyst, at Google er tilmeldt Safe Harbor-ordningen og således har forpligtet sig til at samarbejde med og indordne sig under datatilsynsmyndighederne inden for EU, og at Odense Kommune på baggrund heraf betragter virksomheden på linie med et sikkert tredjeland4.

Odense Kommune har endelig oplyst, at de datacentre i USA og Europa, hvor oplysningerne opbevares, er ejet af Google Inc.

Det fremgår af det amerikanske handelsministeriums hjemmeside, at Google Inc. har tilsluttet sig Safe Harbor-principperne, og at Google Inc. er underlagt Federal Trade Commissions beføjelser5

Datatilsynet har i forbindelse med sagens behandling telefonisk indhentet supplerende oplysninger fra det amerikanske handelsministerium, der har oplyst, at alle selskaber i Google Inc.-koncernen er omfattet af Google Inc.'s tilslutning til Safe Harbor-principperne.

3.2. Persondataloven indeholder i lovens § 27 særlige regler om, hvornår der må overføres oplysninger til lande uden for EU (tredjelande).

3.3. Odense Kommunes overførsel af oplysninger til databehandleren Google Ireland Limited i Irland udgør ikke en tredjelandsoverførsel omfattet af persondatalovens § 27, idet Irland er en EU-medlemsstat. 

Overførsel af oplysninger til datacentre, som befinder sig i EU-medlemsstater eller EØS-lande, udgør heller ikke en tredjelandsoverførsler omfattet af persondatalovens § 27.

Derimod vil overførsel af oplysninger til datacentre i USA og visse lande i Europa udgøre en tredjelandsoverførsel omfattet af § 276.  Idet det er oplyst, at personoplysningerne fysisk befinder sig på Googles datacentre, som befinder sig i USA og Europa, må Datatilsynet lægge til grund, at der vil ske overførsel af oplysninger til tredjelande. Disse overførsler af oplysninger skal have hjemmel i persondatalovens § 27.

Det er Datatilsynets opfattelse, at det ud fra det i sagen oplyste må lægges til grund, at Google Inc.'s datacentre i USA er omfattet af Google Inc.'s tilslutning til Safe Harbor-principperne og således i lighed med Google Inc. er underlagt Federal Trade Commissions beføjelser. Det må herefter antages, at datacentrene i USA i overensstemmelse med EU-Kommissionens beslutning af 26. juli 2000 må antages at have et tilstrækkeligt beskyttelsesniveau. Overførsel af personoplysninger til disse datacentre vil således kunne ske i medfør af persondatalovens § 27, stk. 1.

Overførsel af oplysninger til datacentre, som er beliggende i andre usikre tredjelande end USA, kan alene ske, såfremt betingelserne i persondatalovens § 27, stk. 3 eller 4, er opfyldt. Det er uoplyst, hvorvidt alle Google Inc.'s datacentre i Europa ligger inden for EU/EØS.

Det må ud fra det i sagen oplyste lægges til grund, at der ikke i § 27, stk. 3, er hjemmel til at overføre oplysningerne til sådanne datacentre.

Det må endvidere ud fra det i sagen oplyste lægges til grund, at Odense Kommune hverken har indgået en aftale baseret på EU-Kommissionens standardkontrakt med disse datacentre eller har givet Google Ireland Limited et klart mandat til i Odense Kommunes navn og på Odense Kommunes vegne at indgå aftaler baseret på EU-Kommissionens standardkontrakt med sådanne datacentre. Overførsel kan således ud fra det foreliggende heller ikke ske efter persondatalovens § 27, stk. 4.

Hvis der skal benyttes datacentre i Europa - men uden for EU/EØS - kan der mellem Odense Kommune og de enkelte datacentre indgås en aftale baseret på EU-Kommissionens standardkontrakt, eller Odense Kommune kan give Google Ireland Limited et klart mandat til i Odense Kommunes navn og på Odense Kommunes vegne at indgå aftaler baseret på EU-Kommissionens standardkontrakt med de enkelte datacentre. Herudover vil der skulle søges om Datatilsynets tilladelse i medfør af persondatalovens § 27, stk. 4.

Til nærmere uddybning af anvendelsesområdet for reglerne kan henvises til artikel 29-gruppens arbejdsdokument nr. 1767, hvoraf fremgår, at overførsel af oplysninger fra en databehandler i EU til en underdatabehandler i et tredjeland bl.a. kan ske 1) i tilfælde, hvor der indgås en aftale baseret på EU-Kommissionens standardkontrakt direkte mellem den dataansvarlige i EU og underdatabehandleren i tredjelandet, og 2) i tilfælde, hvor databehandleren i EU får et klart mandat fra den dataansvarlige i EU til i dennes navn og på dennes vegne at indgå aftaler baseret på EU-Kommissionens standardkontrakt med underdatabehandlere i tredjelande.

4. Generelt om behandlingssikkerhed ved Odense Kommunes brug af Google Apps

4.1.1. Som dataansvarlig myndighed skal Odense Kommune sikre sig, at der træffes de fornødne sikkerhedsforanstaltninger, jf. persondatalovens § 41, stk. 3.

Det fremgår af sikkerhedsbekendtgørelsens § 14, at der kun må etableres eksterne kommunikationsforbindelser, hvis der træffes særlige foranstaltninger for at sikre, at uvedkommende ikke gennem disse forbindelser kan få adgang til personoplysninger.

I Datatilsynets vejledning til sikkerhedsbekendtgørelsen8 er det vedrørende sikkerhedsbekendtgørelsens § 14 forklaret, at de særlige sikkerhedsforanstaltninger skal træffes efter myndighedens vurdering af sikkerhedsrisici i det konkrete tilfælde, herunder med hensyntagen til karakteren af de omhandlede oplysninger. For at kunne fastlægge sikkerhedsniveauet er det nødvendigt, at den dataansvarlige foretager en samlet risikovurdering, som omfatter alle elementer i kommunikationsforbindelsen.

For at leve op til persondatalovens sikkerhedskrav, må den dataansvarlige efter Datatilsynets opfattelse foretage en risikovurdering i forhold til de forskellige aspekter af en mulig cloud-løsning, der påtænkes anvendt til behandling af følsomme personoplysninger.

4.1.2. Odense Kommune har oplyst, at kommunen har gennemført en risikovurdering. Kommunen har vedlagt denne som bilag til kommunens e-post af 4. oktober ("Risikovurdering vedr. Google Apps - Sammenfatning"). Af risikovurderingen fremgår bl.a. følgende:

"Risikovurdering blev gennemført i overensstemmelse med principperne for risikovurdering beskrevet i DS484 standarden; metoden følger ikke DS-484 slavisk men har mindre modifikationer som beskrevet nedenfor."

Odense Kommune har endvidere oplyst, at kommunens vurdering af risikoen i forhold til de opgaver, Google Apps skal anvendes til, er en "middel" risiko for tab af fortrolighed ved oprettelse af dokumenter samt "middel" risiko for tab af integritet ved deling af dokumenter, mens alle øvrige områder er vurderet til at have "lav" risiko.

For så vidt angår den i sagen omtalte SAS 70 Type II Certification har Odense Kommune henvist til det ved e-post af 4. oktober 2010 fremsendte dokument "Google SAS70 Audit i forhold til Odenses brug af Google Apps", hvori følgende konkluderes:

"Gennemførelsen af en SAS70 Type II Audit hos Google betyder at uafhængige revisorer har kontrolleret og verificeret Google sikkerhedspraksis indenfor de områder af Google Apps, Google som leverandør til Odense Kommune er ansvarlig for. På basis heraf finder Odense Kommune Googles sikkerhedspraksis betryggende i forhold til persondatalovens krav om opbevaring og sletning af data."

Odense Kommune har desuden oplyst, at kommunen har haft indsigt i de kontrolmål, kontrolpolitikker, kontrolprocesser og implementerede kontroller, som Google har, samt i den refererede SAS 70 Type II-rapport. Odense kommune har videre oplyst, at auditoren selv vælger, hvilke datacentre de ønsker at besøge. Hvert år har de auditeret minimum et datacenter i USA og et datacenter i EU. Næste besøg er nye/andre datacentre. Målet er, at alle datacentre, hvor Google Apps data placeres, skal have audit inden for 3 år fra oprindelig SAS 70 Type II-certificering i 2008.

Endelig har Odense Kommune ved e-post af 4. oktober 2010 fremsendt dokumentet "Security Backgrounder - Google Apps Messaging and Collaboration Products" til Datatilsynet. Heraf fremgår følgende vedrørende sikkerhed ved data, som opbevares i Google Apps (s. 6):

"Encryption is a commonly accepted way to protect data and Google regularly considers encryption for each of its applications. However, while encryption secures data, it also negatively impacts the speed of search and collaboration. For this reason, Google consciously decided not to encrypt Google Apps data at rest on its systems. The data is, however, "obfuscated" or masked using proprietary algorithms. This makes the data very difficult to read, because access to Google's proprietary tools is required to unscramble the masked data. In combination with the company's restricted access policy and use of strong authentication mechanisms, the masking of data at rest maintains both the usability and privacy of data."

4.2. Datatilsynet må ud fra det i sagen oplyste lægge til grund, at Odense Kommune har gennemført en risikovurdering ud fra principperne i DS 484. Det vil sige, at risikovurderingen ikke fuldt ud følger DS 484, men har mindre modifikationer. Datatilsynet må endvidere lægge til grund, at Odense Kommune ikke har foretaget en risikovurdering, der forholder sig til den specifikke kontekst, hvori oplysningerne fra kommunen vil blive behandlet hos Google.

Odense Kommune har endvidere tilkendegivet, at kommunen ikke har vurderet den teknologi, som anvendes i den omhandlede cloud-løsning hos Google.

Det fremgår af den ovenfor i afsnit 4.1.2. citerede "Security Backgrounder - Google Apps Messaging and Collaboration Products", at "Google consciously [has] decided not to encrypt Google Apps data at rest on its systems." Datatilsynet finder herefter at måtte lægge til grund, at oplysninger, der opbevares hos Google Ireland Limited og Google Inc.'s datacentre, ikke er krypteret.

Odense Kommune har ikke i det fremsendte materiale foretaget en vurdering af risici forbundet med manglende kryptering hos Google Ireland Limited og Google Inc.'s datacentre. Dette er således et eksempel på et punkt, hvor Odense Kommune efter Datatilsynets opfattelse er indstillet på i givet fald at løbe en uafklaret risiko. 

Henset til den generelt forøgede risiko, der efter Datatilsynets opfattelse må antages at være forbundet med cloud computing, er det overordnet set Datatilsynets vurdering, at Odense Kommune ikke har foretaget en tilstrækkelig risikovurdering, og at kommunen således ikke har levet op til persondatalovens § 41, stk. 3.

Datatilsynet vil anbefale Odense Kommune at anvende den fremgangsmåde, der er skitseret af ENISA i publikationen "Cloud computing - Benefits, risks and recommandations for information security", herunder den tjekliste, som findes på s. 71-82 i ENISA's publikation.

5. Persondatalovens regler om databeskyttelseskrav ved anvendelse af en ekstern databehandler

5.1. Odense Kommune vil efter det oplyste benytte Google Ireland Limited som databehandler i forbindelse med Google Apps.

Med hensyn til kravet om databehandleraftale har Odense Kommune oplyst, at databehandleraftalen mellem Odense Kommune og Google Ireland Limited fremgår af pkt. 1.4 og 1.5 i "Google Apps General Terms".

Afsnit 1.4 og 1.5 i "Google Apps General Terms" har følgende ordlyd:

"1.4  Privacy Policies. Customer acknowledges that it has chosen to have its End Users personal data processed by Google as part of the Services within the scope of the Services' capabilities, which are reflected in the Google Privacy Policies. Customer therefore instructs Google to provide the Services and process End User personal data in accordance with the Google Privacy Poli-cies and Google agrees to do the same. The Google Privacy Policies are hereby incorporated by reference into this Agreement. Customer agrees to protect the privacy of End Users by complying with a policy communicated to End Users which is no less protective than the Google Privacy Policies.

1.5 Data Protection. In Section 1.4 and Section 1,5, the terms "personal data", "processing", "data controller" and "data processor" shall have the mean-ings ascribed to them in the EU Directive. For the purposes of this Agree-ment and in respect of the personal data of End Users, the parties agree that Customer shall be the data controller and Google shall be a data processor. Google shall take and implement appropriate technical and organisational measures to protect such personal data against accidental or unlawful de-struction or accidental loss, alteration, unauthorised disclosure or access."

5.2. Offentlige myndigheders overladelse til en databehandler skal ske i overensstemmelse med kravene i persondataloven og sikkerhedsbekendtgørelsen.

5.3.1. Persondatalovens krav om instruks og databehandleraftale

Persondatalovens § 41, stk. 1, stiller krav om, at personer, virksomheder m.v., der udfører arbejde under den dataansvarlige eller databehandleren, og som får adgang til oplysninger, kun må behandle disse efter instruks fra den dataansvarlige.

Herudover stiller persondatalovens § 42, stk. 2, bl.a. krav om, at det skal fremgå af databehandleraftalen, at databehandleren alene handler efter instruks fra den dataansvarlige.

Hvis alene de af Odense Kommune omtalte generelle krav skal udgøre databehandleraftalen, vil dette krav være beskrevet således: "Customer … instructs Google to provide the Services and process End User personal data in accordance with the Google Privacy Policies and Google agrees to do the same." (jf. pkt. 1.4 i "Google Apps General Terms").

Denne bestemmelse i aftalen forpligter efter Datatilsynets vurdering alene Google Ireland Limited til at behandle personoplysningerne i overensstemmelse med Google Inc.'s egen Privacy Policy. Odense Kommune instruerer således alene Google Ireland Limited til at behandle oplysningerne i overensstemmelse med Google Inc.-koncernens egne retningslinjer. En sådan instruks må efter Datatilsynets opfattelse anses for - rent materielt - at være uden indhold.

Hertil kommer, at det ikke synes at kunne udelukkes, at Google Ireland Limited ensidigt kan ændre aftalevilkårene i virksomhedens generelle betingelser, ligesom der ikke er noget i databehandleraftalen, der forhindrer Google Inc. i ensidigt at ændre virksomhedens Privacy Policy. Det er på den baggrund Datatilsynets opfattelse, at Odense Kommune reelt ikke har nogen kontrol over, hvorledes oplysningerne vil blive behandlet. Det må efter tilsynets vurdering antages, at det reelt er Google Ireland Limited - og Google Inc. - der bestemmer, hvorledes personoplysningerne vil blive behandlet.

Datatilsynet er på denne baggrund ikke enig i, at en databehandleraftale, der alene består i de to afsnit (1.4 og 1.5) fra "Google Apps General Terms", lever op til kravet i § 42, stk. 2, om, at det skal fremgå af databehandleraftalen, at databehandleren alene handler efter instruks fra den dataansvarlige. Tilsynet er heller ikke enig i, at en aftale med dette indhold i tilstrækkeligt omfang sikrer, at Google Ireland Limited kun behandler oplysningerne efter instruks fra Odense Kommune, jf. herved tillige persondatalovens § 41, stk. 1.

Sikkerhedsbekendtgørelsens § 7 stiller endvidere krav om, at det fremgår af databehandleraftalen, at reglerne i sikkerhedsbekendtgørelsen ligeledes gælder for behandlingen ved databehandleren. Hvis databehandleren er etableret i en anden medlemsstat, skal det herudover fremgå af aftalen, at også de bestemmelser om sikkerhedsforanstaltninger, som er fastsat i lovgivningen i den medlemsstat, hvor databehandleren er etableret, gælder for denne. Databehandleren skal dermed leve op til både de danske sikkerhedskrav og kravene i databehandlerens hjemland.

For at leve op til persondatalovens sikkerhedskrav skal det således tillige fremgå af Odense Kommunes databehandleraftale med Google Ireland Limited, at reglerne i den danske sikkerhedsbekendtgørelse gælder for de databehandlinger, som Google Ireland Limited foretager som databehandler for Odense Kommune. Dette krav, kan Datatilsynet ikke konstatere, er opfyldt.

5.3.2. Persondatalovens krav til kontrol med databehandleren

Når en dataansvarlig overlader en behandling af oplysninger til en databe-handler, skal den dataansvarlige sikre sig, at databehandleren kan træffe de i § 41, stk. 3-5, nævnte tekniske og organisatoriske sikkerhedsforanstaltninger, og påse, at dette sker. Dette følger af persondatalovens § 42, stk. 1.

Det fremgår herudover af sikkerhedsvejledningen, at den dataansvarlige aktivt skal sikre, at de krævede sikkerhedsforanstaltninger overholdes hos databehandleren, og at det i den sammenhæng kan være relevant at indhente en årlig revisionserklæring fra en uafhængig tredjepart.

Odense Kommune har vedrørende dette oplyst, at kommunen vil bede Google om at bekræfte, at it-sikkerhedsrevisionen omfatter en kontrol af, at de krævede sikkerhedsforanstaltninger i henhold til sikkerhedsbekendtgørelsen overholdes af Google.

Odense Kommune har vedrørende spørgsmålet om, hvor oplysningerne fysisk befinder sig, oplyst, at oplysningerne befinder sig på leverandøren Googles datacentre, og at disse befinder sig i USA og i Europa.

Datatilsynet går derfor ud fra, at Odense Kommune ikke er bekendt med, præcis hvor oplysningerne fysisk befinder sig. Datatilsynet må på den baggrund stille spørgsmål ved, om Odense Kommune vil være i stand til aktivt at sikre, at de krævede sikkerhedsforanstaltninger overholdes hos datacentrene. På det foreliggende grundlag er det tilsynets umiddelbare opfattelse, at kravene i persondatalovens § 42, stk. 1, om kontrol med databehandlere ikke kan anses for opfyldt.

6. Sletning af personoplysninger

6.1. Odense Kommune har oplyst, at der i den samlede løsning anvendes datamedier dels hos Google, dels i forbindelse med login-løsningen, som befinder sig hos Odense Kommune.

For så vidt angår datamedierne i login-løsningen hos Odense Kommune har kommunen oplyst, at kommunen har en aftale om destruktion af edb-materiale (harddiske) med et eksternt firma, hvor destruktionen foregår, så det ikke er muligt at gendanne data.

For så vidt angår datamedier hos Google har Odense Kommune oplyst, at Google oplyser følgende vedrørende sikring af, at personoplysninger bliver slettet efter endt behandling, og vedrørende kassation af datamedier:


"Deleted Data
After a Google Apps user or Google Apps administrator deletes a message, ac-count, user, or domain, and confirms deletion of that item (e.g., empties the Trash), the data in question is removed and no longer accessible from that user's Google Apps interface.

The data is then deleted from Google's active servers and replication servers. Pointers to the data on Google's active and replication servers are removed. Dereferenced data will be overwritten with other customer data over time.

Media Disposal
When retired from Google's systems, disks containing customer information are subject to a data destruction process before leaving Google's premises. First, pol-icy requires the disk to be logically wiped by authorized individuals. The erasure consists of a full write of the drive with all zeroes (0x00) followed by a full read of the drive to ensure that the drive is blank.

Then, another authorized individual is required to perform a second inspection to confirm that the disk has been successfully wiped. These erase results are logged by the drive's serial number for tracking.

Finally, the erased drive is released to inventory for reuse and redeployment. If the drive cannot be erased due to hardware failure, it must be securely stored until it can be destroyed. Each facility is audited on a weekly basis to monitor compliance with the disk erase policy."

Odense Kommune har endelig oplyst, at kommunen via den fremsendte SAS 70 Type II-rapport, som er udarbejdet af en uafhængig revisor, føler sig sikker på, at alle personoplysninger bliver slettet hos Google Inc. efter endt behandling.

6.2. I Datatilsynets vejledning til sikkerhedsbekendtgørelsens § 9 er det om sletning af datamedier anført:

"Ved kassation af lagringsmedier og udstyr, som indeholder personoplysninger, bør lagringsmedierne destrueres eller afmagnetiseres, så der ikke er mulighed for at læse indholdet. Hvis den dataansvarlige frem for at destruere lagringsmedier afhænder disse med henblik på genbrug, skal de lagrede oplysninger slettes effektivt ved overskrivning.

Datatilsynet anbefaler, at der til overskrivning af datamedier anvendes et special-program, som overskriver data flere gange i overensstemmelse med en anerkendt specifikation (f.eks. DOD 5220.22-M)

Ved reparation af udstyr skal lagrede oplysninger, så vidt det er muligt, ligeledes slettes forinden."

Det fremgår herudover af persondatalovens § 5, stk. 5, at indsamlede oplysninger ikke må opbevares på en måde, der giver mulighed for at identificere den registrerede i et længere tidsrum end det, der er nødvendigt af hensyn til de formål, hvortil oplysningerne behandles.

6.3. For så vist angår datamedier hos Google Ireland Limited og Google Inc.'s datacentre fremgår det af det fremsendte materiale, at oplysninger på diske, som skal genbruges, bliver overskrevet, og at der herefter foretages en kontrol af, om oplysningerne er blevet overskrevet. Det fremgår endvidere, at medier, der ikke kan genanvendes, opbevares, indtil de bliver destrueret. Det fremgår ikke, hvorledes disse diske vil blive destrueret.

Det er Datatilsynets opfattelse, at det ikke ud fra det i sagen oplyste er muligt at vurdere, om den sletning af datamedier, som Google Ireland Limited og Google Inc.'s datacentre foretager, er tilstrækkelig. Datatilsynet finder det således uklart, hvorvidt oplysningerne slettes på en sådan måde, at det ikke herefter er muligt at genskabe oplysningerne fra Google's servere. Tilsynet finder det på den baggrund vanskeligt at anse kravene til sletning i sikker-hedsbekendtgørelsens § 9 og persondatalovens § 5, stk. 5, for opfyldt.

7. Transmission og login

7.1. I forbindelse med den påtænkte behandling af personoplysninger vil der blive transmitteret oplysninger fra Odense Kommunes servere til Google Apps. Der vil herudover blive transmitteret oplysninger internt mellem Google Ireland Limited og Google Inc.'s forskellige datacentre.

Odense Kommune har oplyst, at det i Google Apps er muligt at sikre, at al behandling af oplysninger sker i krypteret form via Secure Sockets layer (SSL)/Transport Layer Security (TLS) session encryption. Odense Kommune har videre oplyst, at kommunen anvender denne kryptering, og at krypteringsniveauet er 128bit RC4.

7.2. Det fremgår ikke af sagens oplysninger, hvorvidt der foretages kryptering ved transmission af oplysninger internt mellem Google Ireland Limited og Google Inc.'s forskellige datacentre.

7.3. I det af Odense Kommune ved e-post af 4. oktober 2010 fremsendte bilag "Udveksling af login- og brugeroplysninger mellem Odense Kommunes brugerkatalog og Google Apps skoleløsning" er det beskrevet, at der ved bruger-login foregår en validering af brugernes autorisation på Odense Kommunes login-server.

Af dette bilag fremgår endvidere, at brugere af Google Apps godt kan befinde sig fysisk uden for Odense kommune (på internettet). Datatilsynet må således lægge til grund, at medarbejdernes opkobling til Odense Kommunes login-server kan ske via internettet.

Der indgår ifølge det oplyste følsomme personoplysninger omfattet af persondatalovens §§ 7 og 8 i den påtænkte behandling af oplysninger, og oplysningerne kan tilgås via internet.

Da adgang til følsomme personoplysninger via internettet efter Datatilsynets opfattelse kræver særlig høj sikkerhed, henstiller Datatilsynet, at der anvendes digital signatur eller anden løsning med flere faktorer i et sådant tilfælde.

8. Kontrol med afviste adgangsforsøg

8.1. Odense Kommune har oplyst, at alle loginforsøg registreres i en log på kommunens login-server, at logfilen inspiceres månedligt af administrator, og at der følges op på konti, der har flere end 5 fejl-login i perioden. Kontoen lukkes herefter, og der tages kontakt til brugeren.

Som svar på spørgsmål fra Datatilsynet har Odense Kommune ved e-post af 15. november 2010 supplerende oplyst, at det kun er administratorkontoen, der kan tilgås direkte uden om Odense-serveren. Denne konto bruges alene til opsætning af systemet, og har ikke adgang til de enkelte brugeres konti.

8.2. Det fremgår af sikkerhedsbekendtgørelsens § 18, at der skal foretages registrering af alle afviste adgangsforsøg. Hvis der inden for en fastsat periode er registreret et nærmere fastsat antal på hinanden følgende afviste adgangsforsøg fra samme arbejdsstation eller med samme brugeridentifikation, skal der blokeres for yderligere forsøg. Der skal løbende ske opfølgning i myndigheden.

8.3. Odense Kommune har ikke redegjort for, hvorledes kommunen vil sikre, at der sker kontrol med afviste adgangsforsøg i tilfælde, hvor nogen forsøger at tilgå Odense Kommunes konti i Google Apps uden at gå via Odense Kommunes login-server. Odense Kommune har endvidere ikke oplyst, hvordan kommunen vil sikre, at systemets automatiske afvisning af yderligere forsøg på adgang kommer til rette vedkommendes kendskab i tilfælde, hvor nogen forsøger at tilgå Odense Kommunes konti i Google Apps uden at gå via Odense Kommunes login-server.

Som sagen foreligger, mener Datatilsynet umiddelbart ikke, at Odense Kommune har godtgjort, at kravet om kontrol med afviste adgangsforsøg i sikkerhedsbekendtgørelsens § 18 kan iagttages, hvis nogen forsøger at tilgå data uden om kommunens login-server.

9. Logning

9.1. Datatilsynet spurgte ved brev af 25. juni 2010 Odense Kommune, hvordan sikkerhedsbekendtgørelsens § 19 om logning vil blive iagttaget.

Odense Kommune har ved e-post af 4. oktober 2010 svaret, at Google Apps foretager den nødvendige logning, og at Google Apps Premium-kunder via Googles supportfunktion kan rekvirere en kopi af loggen.

9.2. Det fremgår af sikkerhedsbekendtgørelsens § 19, stk. 1, at der skal foretages maskinel registrering (logning) af alle anvendelser af personoplysninger. Registreringen skal mindst indeholde oplysning om tidspunkt, bruger, type af anvendelse og angivelse af den person, de anvendte oplysninger vedrørte, eller det anvendte søgekriterium. Loggen skal opbevares i 6 måneder, hvorefter den skal slettes. Myndigheder med et særligt behov kan opbevare loggen i op til 5 år.

Sikkerhedsbekendtgørelsens § 19, stk. 2-5, indeholder en række undtagelser hertil.

9.3. Det er ikke oplyst, hvordan Google Ireland Limited og Google Inc.'s datacentre foretager logning af anvendelser af personoplysninger, hvilke oplysninger der logges, eller hvor længe loggen opbevares. Som sagen foreligger, mener Datatilsynet således ikke, at det kan anses for godtgjort, at kommunen vil kunne leve op til logningskravene i sikkerhedsbekendtgørelsens § 19.

10. Som anført indledningsvist er det Datatilsynets opfattelse, at der på en række punkter er problemer i forhold til kravene i persondataloven og sikkerhedsbekendtgørelsen. Det fører til, at Datatilsynet ikke er enig i Odense Kommunes vurdering af, at fortrolige og følsomme oplysninger om elever og forældre kan behandles i Google Apps.

Datatilsynet modtager som nævnt gerne sagen til fornyet udtalelse, hvis Odense Kommune arbejder videre med sagen og søger efter løsninger på de påpegede problemstillinger.

Det er i øvrigt Datatilsynets opfattelse, at beslutningen om, hvorvidt en teknisk løsning af denne karakter skal anvendes på dette område, tillige bør underkastes en vurdering i kommunens politiske organer.

Datatilsynet foretager sig på det foreliggende grundlag ikke yderligere i sagen.

 

1 Lov nr. 429 af 31. maj 2000 om behandling af personoplysninger med senere ændringer

2 Justitsministeriets bekendtgørelse nr. 528 af 15. juni 2000, som ændret ved bekendtgørelse nr. 201 af 22. marts 2001, om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning

3 Europa-Parlamentet og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger

Odense Kommune har i den forbindelse henvist til Google Apps' Security and Privacy documentation, www.google.com/support/a/bin/answer.py

5 safeharbor.export.gov/companyinfo.aspx

6 Dette vil være tilfældet, såfremt datacentret befinder sig i et europæisk land, som ikke er en EU-medlemsstat eller et EØS-land.

7 FAQs in order to address some issues raised by the entry into force of the EU Commission Decision 2010/87/EU of 5 February 2010 on standard contractual clauses for the transfer of personal data to processors established in third countries under Directive 95/46/EC

8 Datatilsynets vejledning nr. 37 af 2. april 2001 til bekendtgørelse nr. 528 af 15. juni 2000 om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning.