Datasikkerhed i GSfE – justitsministeriets betænkning 1565

8. december 2017 meddelte Datatilsynet Hedensted Kommune tilladelse til at anvende Google Apps for Education (i dag hedder samme produkt G Suite for Education) til at behandle personoplysninger.

Hedensted Kommune har ikke for nuværende planer om at behandle personoplysninger i G Suite for Education.

Tilladelsen nævner i indledningen justitsministeriets betænkning 1565, kapitel 5.16; en betænkning, der blev offentliggjort den 24. maj 2017, og således er en del af forklaringen på datatilsynets behandlingstid https://www.version2.dk/artikel/datatilsynet-efter-tre-aar-kommune-maa-godt-bruge-google-folkeskole-administration.

Kapitel 5.16 i betænkningen er 10 sider langt http://justitsministeriet.dk/sites/default/files/media/Pressemeddelelser/pdf/2017/bet_1_1.pdf
side 551-561, og indleder med definitioner hvorefter gældende ret præciseres gennem datatilsynets praksis: Dialogen med Odense Kommune.

De 5 punkter listet i betænkningen følger her, med konkret besvarelse indsat under hver

  • 1: Overførsel af oplysninger til tredjelande
    • Er på et lovligt grundlag med en aftale baseret på EU-standardkontrakten
  • 2: Risikovurdering i henhold til persondatalovens §41, stk. 3
    • Er udført efter ENISA’s tjekliste
  • 3: Databehandleraftalen bestod alene af Google’s generelle betingelser
    • I dag anvendes tilrettede EU-standardkontrakter
  • 4: Kontrol med håndteringen af data
    • Jf Artikel 29-gruppens anbefalinger udført via:
      Rapporter fra auditeringer samt adgang til en dpo ved Google
  • 5: Overholdelse af sikkerhedsbekendtgørelse og persondatalov
  • 5a. Sletning af data
    • I dag garanteres dette af Google
  • 5b. Transmission og login
    • I dag er alle transmissioner krypterede
    • Ved en evt. ibrugtagning med personoplysninger, ville vi skifte til 2-faktor login
  • 5c. Kontrol med afviste adgangsforsøg
    • Indbygget i administrationskonsollen
  • 5d. Sikkerhedsbekendtgørelsens logningskrav

Kapitlet beskriver også forhold omkring IT-universitetets anvendelse af 0ffice 365, og Artikel 29 -gruppens arbejde, og afslutter med at præcisere, at databeskyttelsesforordningen giver mulighed for at (også) offentlige aktører kan høste gevinsterne ved cloud computing, og at dette skal ske indenfor gældende lovgivning; f.eks. kravene heri til databehandleraftaler, til behandlingssikkerheden, til
tredjelandsoverførsler og til konsekvensanalyser.

Betænkningens kapitel 5.16 peger således på, at man med en aftale baseret på EU-standardkontrakter og en risikovurdering udført efter ENISA’s tjekliste https://www.enisa.europa.eu/publications/cloud-computing-risk-assessment s. 71-82, aktiveret 2-faktor login, dedikeret funktion til håndtering af incidents samt den nødvendige registreringspraksis blandt medarbejderne, – i følge min vurdering (jeg er ikke jurist) – ville kunne behandle følsomme data i skyen.

Indledningen henviser samtidig til en vejledning om cloud computing. Vejledningen har Datatilsynet, Justitsministeriet, Erhvervsstyrelsen og Digitaliseringsstyrelsen som afsendere, og forventes offentliggjort primo 2018.

Om forfatteren

Thomas Skovgaard har skrevet 143 artikler for CPU Hedskole

1 kommentar til "Datasikkerhed i GSfE – justitsministeriets betænkning 1565"

  • Lasse Bager Jensen 10:53 AM 21/8/2018

    Hej Thomas
    Virkelig godt arbejde. Vi er mange (lærere og konsulenter), der ønsker at bruge GSfE til mere end vi gør i øjeblikket.
    Er der sket mere i denne sag, eller er der noget jeg kan gøre for at hjælpe sagen bedre på vej?
    Vh. Lasse Bager Jensen “Inkarneret GSfE bruger og fortaler”
    Digitaliseringskonsulent i Haderslev Kommune
    Arb.Mob. 23997240

Skriv et svar

Din e-mailadresse vil ikke blive publiceret. Krævede felter er markeret med *