Cloud computing kan ofte være en utmerket løsning. Men det finnes også uværsskyer, og man må kle seg etter været.
Bing Hodneland arrangerer frokostseminar om “cloud computing” tirsdag 30. april 2013. Gå hit for mer informasjon og påmelding.
Hva er «cloud computing»?
«Cloud computing» – det er et av mange ganske innholdsløse buzzwords som IT-bransjen er så flink til å finne på. Det finnes ingen sky. Skal man bruke meteorologiske metaforer ville tåke passe bedre. Det kan omfatte datalagring, databehandling og programvare som er tilgjengelig for bruker via nettet.
Noen ganger kan vi høre at vi med skytjenester kan forholde oss til databehandling omtrent som vi forholder oss til strømleveranser: Vi kobler oss til en kontakt i veggen, og behøver ikke tenke så mye på hvor kraftverket eller datasenteret er. Men det er den ikke helt uvesentlige forskjell at vi sender våre data til datasenteret hvor dataene behandles. Vi sender ikke noe til kraftselskapene.
Våre data behandles et eller annet sted, og dette stedet befinner seg et eller annet sted på landjorden. Vi vet bare ikke hvor. Våre data og prosesseringen kan flyttes fra et sted til annet for å utnytte kapasiteten på best mulig måte, uten at vi merker noe til det eller blir orientert om slike flyttinger.
Ofte uproblematisk
I mange situasjoner er bruk av skytjenester helt uproblematisk. Jeg har ingen betenkeligheter med å bruke tjenester som Dropbox, Google Drive og Gmail til dokumenter som verken er sensitive, forretningskritiske, og hvor det ikke stilles særskilte krav til oppbevaring av data. Jeg vet ikke hvor data som er lastet opp på disse tjenestene faktisk befinner seg, og har heller ikke noe spesielt behov for å vite det.
Men vi må være klar over hva gratistjenester koster. Et selskap som Google tilbyr ikke sine tjenester av godhet. Vi betaler med opplysninger om oss selv, som blant annet brukes for å spisse markedsføringen som er rettet mot oss.
Bokføringsdata
Dersom det stilles bestemte krav til oppbevaring eller behandling av data, blir bildet et annet. Etter bokføringsloven § 13 skal regnskapsmateriale oppbevare i Norge i ti år etter regnskapsårets slutt. I forskriftene er det gjort noen unntak fra dette, og det kan gjøres unntak i enkelttilfeller. Den bokføringspliktige er selv ansvarlig for at regnskapsmateriale blir oppbevart i samsvar med lovens krav, selv om oppbevaringen er satt bort til andre. Hvis man ikke vet hvor en tjenesteyter oppbevarer de aktuelle data, da kan tjenesten ikke brukes for oppbevaring av regnskapsdata. Det vil i praksis utelukke mange skytjenester.
Personopplysninger
Etter personopplysningsloven § 29 kan personopplysninger bare overføres til stater som sikrer forsvarlig behandling av opplysningene. Alle land som har gjennomført EUs personverndirektiv anses for å sikre forsvarlig behandling. I praksis betyr det at slike opplysninger kan overføres til alle land innenfor EU/EØS-området. Opplysninger kan også overføres til land som er godkjent av Europakommisjonen og til enkeltbedrifter i USA som har sluttet seg til «Safe Harbor». Overføring kan også være basert på samtykke fra de registrerte eller på avtaler som sikrer tilstrekkelig personvern. Bindende konsernregler kan også godtas.
Hvis man har gjort hjemmeleksene sine før tjenestene tas i bruk, risikerer man ikke i ettertid på legg om stansing, overtredelsesgebyr eller andre ubehageligheter
Reglene har ulike begrunnelser
De to nevnte regelsettene har helt ulik begrunnelse. Men de har det til felles at de kan begrense muligheten til å benytte skytjenester.
Bokføringsreglene skal sikre at bokføringsdata skal være tilgjengelig for norske myndigheter. Det er derfor ikke noen restriksjoner for så vidt gjelder å overføre eller behandle data, så lenge dataene blir oppbevart i Norge eller i et godkjent land.
Personopplysningsloven skal sikre at personopplysninger blir behandlet forsvarlig, og man tillater derfor ikke overføring til land hvor man ikke kan være sikker på at så skjer. At de samme personopplysningene også oppbevares i Norge, avhjelper ikke dette. Dette innebærer at data heller ikke kan speiles hvis kravene til behandling av personopplysninger ikke er tilfredsstilt der speilserveren befinner seg.
Krav til hvor opplysninger behandles
Når kravene gjelder behandlingen og ikke bare selve oppbevaringen, vil det også kunne gjelde bruk av nettbaserte applikasjoner. Google Apps og Microsoft Office 365 er to slike sett av applikasjoner som man ikke uten videre kan bruke ved behandling av personopplysninger, noe henholdsvis Narvik og Moss kommune fikk erfare. Det betyr ikke at slike tjenester ikke kan brukes. Datatilsynet godkjente bruken i de to tilfellene. Men som Datatilsynets direktør, Bjørn Erik Thon, sa etter dette vedtaket:
«Dette er ingen blancofullmakt til å benytte nettskytjenester, men hvis en del forutsetninger er på plass, og en virksomhet gjennomgår en grundig og god risikoanalyse, vil det kunne være en akseptabel løsning.»
Avtaleregulering
Når det ikke er lovbestemte krav til behandling eller oppbevaring, vil mange spørsmål kunne håndteres gjennom avtaler. Man bør bare ha lest og vurdert dem før man klikker på «I agree» om det er viktige tjenester.
Konkursrisiko
Men ikke alt kan reguleres gjennom avtale. Går tilbyderen konkurs, vil konkursreglene overstyre de fleste avtaler. Foto Knudsens kunder fikk merke noe av dette da Foto Knudsen gikk konkurs, og det i en viss periode var usikkert hva som ville skje med alle bildene som var oppbevart hos dem. Heldigvis ordnet det seg for deres kunder. Det kan være ille å miste sine feriebilder. Mister man, eller mister man i en lengre periode tilgang til forretningskritiske data og applikasjoner, da kan det bli katastrofe.
Konkursrisikoen må man leve med uansett hva slags tjenesteyter det gjelder. Gjelder det forretningskritiske data må vi nøye vurdere våre samarbeidspartnere, enten de er i skyen eller i kjelleren. Men når tåken letter og vi ser at vår databehandler er et helt annet sted enn vi trodde, da kan ulikheter i de enkelte lands regler gi noen ubehagelige overraskelser.
Regulering av myndigheters innsyn og inngrep i en virksomhet vil også kunne variere fra land til land.
Ingen skyfri himmel
Det ville vært en selvmotsigelse om cloud computing skulle vært en skyfri himmel. Det kan komme snø, regn, torden og lynnedslag. Det behøver ikke være noe problem. Vi må bare ha forberedt oss, kledd oss rett og være oss bevisst når vi må holde oss innendørs.
Artikkelen er opprinnelig skrevet for Hegnar.no og er også publisert hos Bing Hodneland.