Til Ministeriet for Videnskab, Teknologi og Udvikling
Positionspapir om cloud computing
Med henvisning til it- og telestyrelsens e-mail af 2. september 2011, skal Forbrugerrådet hermed afgive sine bemærkninger til regeringens positionspapir i anledning af Kommissionens høring om cloud computing.
Forbrugerrådet synes det er godt, at regeringen i sit svar til Kommissionen fremhæver, at den usikkerhed der i dag hersker om, hvorledes der kan opnås et tilstrækkeligt sikkerhedsniveau til at behandle forbrugernes oplysninger, skal tages alvorligt.
Forbrugerrådet er derfor tilfreds med, at regeringen henviser til diskussionspapiret ”Nye digitale sikkerhedsmodeller”, som netop kan danne grundlag for at øge sikkerheden i cloud computing. Forbrugerrådet har i forbindelse med den igangværende revision af databeskyttelsesdirektivet (95/46/EF) anbefalet Kommissionen at indarbejde et krav om ”privacy/security by design”, som indholdsmæssigt matcher de løsninger der fremstilles i regeringens diskussionsoplæg om nye digitale sikkerhedsmodeller.
Derfor er det også meget positivt, at regeringen i nærværende høring støtter Kommissionens overvejelser om at øge beskyttelsen af personoplysninger i forbindelse med revisionen.
Forbrugerrådet savner dog en henvisning til den længe ventede dansk udarbejdet Privacy Impact Assessment (PIA-håndbog). Det er netop relevant at tage en sådan anvendelse i forbindelse med virksomheders overvejelser om at skifte til cloud computing. På linje med nødvendigheden af at øge persondatabeskyttelsen ved at indføre et krav om privacy/security by design, bør PIA også fremhæves.
Endelig skal vi anbefale regeringen at adressere de juridiske problemstillinger. Et it-system placeret i cloud er typisk ensbetydende med, at tjenesterne er grænseoverskridende, og at der er flere parter involveret. I praksis medfører det en uklarhed i forhold til, hvilke lands regler, der finder anvendelse, hvem der er rette dataansvarlig og hvilke rettigheder, de forbrugere hvis data er gemt i clouden, har. På linje med sikkerhedsaspekterne er det vigtigt at foreslå Kommissionen at indføre en mere klar regel i forbindelse med direktivrevisionen om, at virksomheder, der retter deres tjenester mod EU-lande, er underlagt EU’s databeskyttelsesregler.
Uanset de mange besparelses- og effektiviseringsgevinster cloud computing kan give, mener Forbrugerrådet, at der på nuværende tidspunkt er store sikkerhedsmæssige og juridiske problemer i anvendelsen af cloud-teknologi, som det er nødvendigt at få løst gennem privacy-løsninger, hvor fx personhenvisninger fjernes fra data.
Hvis det ikke kan ske af frivillighedens vej ved hjælp af regeringens initiativer, bør anvendelse af cloud computing ved behandling af personoplysninger afvente den kommende revision af databeskyttelsesdirektivet.
