Budskapet fra både Regjeringen, Direktoratet for e-helse, samt tilsynsmyndigheter er at skytjenester kan benyttes til behandling av personopplysninger, inkludert særlige kategorier av personopplysninger.
Skytjenester er mist like godt sikret som tjenester driftet og forvaltet i egen organisasjon, og skyleverandører bruker store ressurser på cybersikkerhet og videreutvikling av forsvarsmekanismer for å beskytte sine skytjenester og kunder.
Bruk av Skytjenester er underlagt de samme strenge krav til sikkerhet som for tjenester som driftes av Norsk helsenett eller Norsk helsenett sine underleverandører og tredjepartsleverandører. I tillegg vildet bli gjennomført risikovurderinger for hver tjeneste som vurderer bruk av sky.
Regjeringens digitaliseringsrundskriv (2017)
Digitaliseringsrundskrivet er en sammenstilling av pålegg og anbefalinger om digitalisering i offentlig sektor. I rundskriv nr. H-7/17 trekker Regjeringen frem følgende om skytjenester, som bygger videre på Nasjonal strategi for bruk av skytjenester fra kommunal- og moderniseringsdepartementet.
«Bruk av skytjenester kan gi økt fleksibilitet og mer kostnadseffektiv bruk av IKT. Virksomheter som etablerer nye eller oppgraderer eksisterende fagsystemer eller digitale tjenester, eller endrer eller fornyer avtaler knyttet til drift, skal vurdere skytjenester på linje med andre løsninger. Når det ikke foreligger spesielle hindringer for å ta i bruk skytjenester, og slike tjenester gir den mest hensiktsmessige og kostnadseffektive løsningen, bør en velge slike tjenester. Spesielle hindringer kan for eksempel være særlige krav til sikkerhet og sårbarhet, eller eksisterende systemer og infrastruktur som gjør at bruk av skytjenester ikke vil være kostnadseffektivt. Det er en forutsetning at valgt løsning tilfredsstiller virksomhetens krav til informasjonssikkerhet. Dette krever at virksomheten kjenner verdien av egne data og systemer, og at det gjennomføres en risikovurdering.»
En oppsummering av Regjeringens prinsipper for etablering av skytjenester:
- Skytjenester skal vurderes på linje med andre løsninger når en står overfor større endringer eller omlegginger av IKT-system eller -drift:
o ved innkjøp av nye system eller større oppgraderinger
o ved større utskiftninger av maskinvare
o når eksisterende driftsavtaler opphører - Når skytjenester gir den mest hensiktsmessige og kostnadseffektive løsningen, og det ikke ligger spesielle hindringer i veien for å ta i bruk slike tjenester bør en velge å bruke skytjenester.
- Den valgte løsningen må tilfredsstille virksomhetens krav til informasjonssikkerhet. Dette krever at virksomheten kjenner verdien av egne system og data, og gjør en risikovurdering av den valgte løsningen.
Direktoratet for e-helses rapport om bruk av private leverandører
Helse- og omsorgsdepartementet ga i juni 2017 Direktoratet for e-helse i oppdrag å gjennomgå informasjonssikkerheten ved bruk av private leverandører i helse- og omsorgssektoren.
Rapporten «Informasjonssikkerhet ved bruk av private leverandører i helse- og omsorgstjenesten» (Rapportnummer IE-1012) inneholder forslag til rutiner og kriterier som kan danne grunnlag for videre arbeid med informasjonssikkerhet ved bruk av private leverandører.
Direktoratet for e-helses rapport fremhever at det ikke er grunnlag for å konkludere med at noen typer tjenester aldri kan overlates til private leverandører. I gjeldene rett er det ikke noe forbud mot at norske virksomheter benytter nasjonale eller utenlandske, private leverandører fra EU/EØS-området. Ved bruk av globale leverandører (utenfor EU/EØS) er det særskilte krav som må oppfylles, eksempelvis risikovurdering av alle tjenester som kan gi tilgang til person- og helseopplysninger.
Norm for informasjonssikkerhet og personvern i helse og omsorgstjenesten (Normen)
I 2016 publiserte arbeidsgruppen for Norm for informasjonssikkerhet og personvern i helse og omsorgstjenesten, en veileder i bruk av skytjenester til behandling av helse- og personopplysninger.
Formålet er å gi veiledning til personvern- og informasjonssikkerhetsutfordringene ved bruk av skytjenester slik at virksomheten kan etterleve kravene i Normen.
I Normen fremgår det at skytjenester er tatt i bruk i offentlig forvaltning, og det antas at flere tjenester vil bli tilgjengelige som skytjenester for helse- og omsorgstjenesten i fremtiden.
Videre fremkommer det av Normen at virksomhetens leder er ansvarlig for personvernet og informasjonssikkerhet i virksomheten, og at det er databehandlingsansvarlig som beslutter om skytjenester skal tas i bruk for et definert formål. Leverandøren er ansvarlig for å etterleve Normen.
Nasjonal strategi for bruk av skytjenester
Kommunal- og moderniseringsdepartementet (KMD) har utarbeidet en nasjonal strategi for bruk av skytjenester. Rapporten er fra 2016 og beskriver noen viktige hensyn man må ta i vurderingen av bruk av skytjenester, herunder krav til informasjonssikkerhet og personvern. En sentral del av arbeidet med strategien har vært å gjennomgå og vurdere potensielle hindringer og utfordringer i relevant regelverk for bruk av skytjenester og hva som bør gjøres med disse. Videre har en sentral del av arbeidet med strategien vært å tydeliggjøre regelverket for bruk av skytjenester, for å forhindre at det ikke er komplisert eller uklart.
I vurderingen av om regelverket skaper utfordringer eller er til hinder for bruk av skytjenester, er det først og fremst regulering av hvor data lagres som gir utslag. Det finnes ikke regelverk som eksplisitt regulerer bruken av teknologien skytjenester bygger på, men gjennom å stille krav til at data skal behandles innenfor et geografisk område, kan lov eller forskrift sette grenser for bruken av allmenne skytjenester. Dette gjelder først og fremst arkivloven som stiller krav til at arkivverdig informasjon ikke kan føres ut av landet.
Personvernregelverket oppstiller i prinsippet ingen hindring for å ta i bruk skytjenester. Rapporten ble skrevet før personvernforordningen trådte i kraft, men utgangspunktene er de samme. Dersom personopplysninger overføres til land som er etablert utenfor EØS-området, og som ikke er underlagt personvernforordningens regler, gjelder spesielle krav for overføringen slik at beskyttelsesnivået som gjelder i EØS-området ikke undergraves. Man må i tillegg gjøre grundige personvernkonsekvens- og risikovurderinger i forkant, inngå tilfredsstillende databehandleravtaler, og kunne revidere/kontrollere sine leverandører jevnlig.