Umsögn um notkun skýjalausna hjá ríkisstofnunum
Persónuvernd hefur veitt umsögn um drög að viðmiðunarreglum um notkun skýjalausna hjá ríkisstofnunum. Í umsögn Persónuverndar er farið yfir hvernig meta skuli hverju sinni hvort yfir höfuð megi vista upplýsingar í tölvuskýi og þá hvernig. Þá er þar lýst því mati stofnunarinnar að í skýrslu um skýjalausnir frá KPMG, þar sem drögin eru sett fram, sé dregin upp of einföld mynd af því flókna skipulagslega, tæknilega og lagalega umhverfi sem slíkar lausnir byggjast á.
Reykjavík 28. júlí 2016
Efni: Umsögn Persónuverndar um drög að viðmiðunarreglum fyrir notkun skýjalausna hjá ríkisstofnunum
Hinn 27. maí 2016 barst Persónuvernd beiðni fjármála- og efnahagsráðuneytisins um skriflega umsögn um drög að viðmiðunarreglum fyrir notkun skýjalausna hjá ríkisstofnunum sem ráðuneytið fyrirhugar að gefa út. Í erindinu er vísað til skýrslu KPMG sem ráðuneytið lét vinna um helstu eiginleika og útfærslur skýjalausna, en í henni er jafnframt að finna drög að viðmiðunarreglum fyrir notkun skýjalausna hjá hinu opinbera. Með hliðsjón af framangreindu tekur eftirfarandi umsögn bæði til skýrslunnar sjálfrar, sem og draga að viðmiðunarreglunum.
Umsögnin tekur til notkunar opinberra aðila á skýjalausnum til þess að vinna, varðveita eða miðla persónuupplýsingum enda gilda lög nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga, og reglur settar samkvæmt þeim, einungis um persónuupplýsingar eins og þær eru skilgreindar í 1. tölul. 1. mgr. 2. gr. laganna.
1.
Hluti I - Skilgreiningar á tölvuskýjum
Í hluta I í skýrslu KPMG (hér eftir skýrslunni) eru raktir kostir og ókostir fjögurra tegunda tölvuskýja. Allar fjórar tegundirnar, þ.e. einkaský, almenn ský, blönduð ský og samfélagsský, eru settar fram sem hugsanlegir valkostir fyrir þjónustukaupa innan opinbera geirans. Að mati Persónuverndar þarf að vega og meta hvort og, eftir atvikum, hvaða tegund tölvuskýja henti opinberum aðilum með tilliti til eðlis þeirra persónuupplýsinga sem um ræðir og aðstæðna hverju sinni. Vinnslu eða hýsingu viðkvæmra persónuupplýsinga á almennu tölvuskýi, sem samnýtt er af fjölmörgum aðilum í þágu rekstrarhagkvæmni, verður að telja varhugaverða. Að öðru leyti getur notkun tölvuskýja við meðferð persónuupplýsinga oft aðeins komið til greina að undangengnu ítarlegu áhættumati sem þjónustukaupi framkvæmir á þeirri tölvuskýjaþjónustu sem hefur orðið fyrir valinu. Þá geta almenn ský, sem rekin eru fyrir fjölda viðskiptavina, falið í sér meiri áhættu fyrir ábyrgðaraðila, s.s. á skerðingu leyndar, aðgengileika og öryggis, en einkaský eða blönduð ský sem rekin eru á lokuðu neti og eru eingöngu aðgengileg viðkomandi þjónustukaupa. Geta tvær síðarnefndu tegundirnar í ákveðnum tilvikum, að mati Persónuverndar, verið best til þess fallin að tryggja leynd upplýsinga, nauðsynlega aðgangsstýringu og stjórn á upplýsingum þannig að dregið sé úr áhættu, sérstaklega þegar um ræðir hýsingu viðkvæmra persónuupplýsinga.
Í 11. gr. laga nr. 77/2000 eru fyrirmæli um upplýsingaöryggi. Þar segir að ábyrgðaraðila sé skylt að gera viðeigandi tæknilegar og skipulagslegar öryggisráðstafanir til að vernda persónuupplýsingar gegn ólöglegri eyðileggingu, gegn því að þær glatist eða breytist fyrir slysni og gegn óleyfilegum aðgangi. Einnig hvílir sú skylda á ábyrgðaraðila að tryggja að einungis sé unnið með persónuupplýsingar á sanngjarnan, málefnalegan og lögmætan hátt, sbr. 1. tölul. 1. mgr. 7. gr. laganna. Þá skulu upplýsingar fengnar í yfirlýstum, skýrum og málefnalegum tilgangi og ekki unnar frekar í öðrum og ósamrýmanlegum tilgangi, sbr. 2. tölul. sömu málsgreinar. Persónuvernd bendir á að ábyrgðaraðilar þurfa að taka mið af framangreindum skyldum við mat á því hvort opinberir aðilar, sem margir hverjir vinna viðkvæmar persónuupplýsingar um stóran hluta íslensku þjóðarinnar, geti notast við tölvuský og, ef svo er, hvaða tegund slíkra skýja.
Á bls. 17 í skýrslunni eru nefnd dæmi um algengar tegundir hugbúnaðar, s.s. DropBox, GoogleApps o.fl. Persónuvernd bendir á að um notkun slíks hugbúnaðar fer samkvæmt ákvæðum laga nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga, þ.e. ef persónuupplýsingar eru unnar eða þeim miðlað um slíkan búnað. Í því felst m.a. að fara þarf að ákvæðum laganna sem lúta að heimildum til vinnslu, sbr. 8. og eftir atvikum 9. gr., upplýsingaöryggi, sbr. fyrrnefnt ákvæði 11. gr., 13. gr. um gerð vinnslusamnings milli ábyrgðar- og vinnsluaðila og 29. og 30. gr. um flutning persónuupplýsinga úr landi. Nánari umfjöllun um þessi ákvæði fylgir hér á eftir.
2.
Hluti II - Eiginleikar skýjalausna
a. Jákvæðir og neikvæðir eiginleikar skýjalausna
Það dylst engum að aukin skilvirkni og hagræðing í rekstri eru helsta tilefni þess að notkun hvers kyns skýjaþjónustu færist sífellt í aukana. Jafnframt þarf hins vegar að takast á við áleitin viðfangsefni á sviði upplýsingaöryggis, þ. á m. um aðgengileika, varðveislu og leynd persónuupplýsinga. Þá þarf m.a. að huga að álitaefnum um stjórn á persónuupplýsingum og flutning þeirra úr landi. Persónuvernd bendir á að umfjöllun um öryggi og gæði þjónustu á bls. 22 í skýrslunni er almenns eðlis og ekki sjálfgefið að sérhver þjónustusali skýjalausna fylgi bestu venjum og vottuðum gæðakerfum eins og þar er haldið fram. Þar að auki ítrekar Persónuvernd að það fellur í hlut ábyrgðaraðila vinnslu, þ.e. þess aðila sem tekur ákvörðun um að nýta sér tölvuskýjaþjónustu, að ganga úr skugga um að þjónustusali geti tryggt öryggi þeirra persónuupplýsinga sem unnið er með í tiltekinni tölvuskýjaþjónustu og fylgi öðrum ákvæðum laga nr. 77/2000. Í því sambandi er ekki nægilegt að treysta á vottanir eða bestu starfsvenjur þjónustuaðila þrátt fyrir að slíkt geti haft jákvæð áhrif á val á þjónustuaðila.
Um helstu álitaefni við notkun skýjalausna er fjallað á bls. 24-25 í skýrslunni. Í áliti nr. 5/2012 um tölvuský frá svokölluðum 29. gr. - vinnuhópi, sem skipaður er forstjórum evrópskra persónuverndarstofnana, er farið yfir það sem tölvuskýjaþjónusta hefur í för með sér fyrir persónuvernd og kröfur sem persónuverndarlöggjöf gerir til sambands ábyrgðaraðila og vinnsluaðila á tæpum 15 blaðsíðum. Meðal annars er þar fjallað um samnýtingu fleiri en eins ábyrgðaraðila á búnaði til vinnslu persónuupplýsinga, t.a.m. skort á gagnsæi um flutning slíkra upplýsinga út fyrir EES, sem og möguleika ábyrgðaraðila á að fullnægja upplýsingaskyldu sinni gagnvart hinum skráða, eyðingu upplýsinga, aðgengi að þeim, hreyfanleika o.fl. Ein helsta niðurstaða álitsins er sú að ábyrgðaraðilar verða að framkvæma áhættumat áður en þeir taka ákvörðun um að nýta sér þjónustu hjá tilteknum tölvuskýjaveitanda. Í álitinu er lögð höfuðáhersla á að það er ábyrgðaraðili vinnslunnar sem ber ábyrgð á því að velja tölvuskýjaþjónustu sem uppfyllir skilyrði tilskipunar 95/46/EB (og þar með laga nr. 77/2000). Þá er tekið fram að hið opinbera þarf að gæta sérstakrar varúðar þegar þörf fyrir notkun skýjalausna er metin. Þannig segir á bls. 23 í álitinu að það sé grundvallaratriði fyrir stjórnvöld að meta hvort miðlun, vinnsla eða hýsing persónuupplýsinga fyrir utan landsteina tiltekins ríkis geti haft í för með sér óásættanlega áhættu fyrir öryggi og friðhelgi borgara þess eða ríkisins – og þá sérstaklega ef um ræðir gagnagrunna sem innihalda viðkvæmar persónuupplýsingar, t.d. um heilsufar. Álitið má nálgast á eftirfarandi vefslóð: http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2012/wp196_en.pdf.
Að mati Persónuverndar er sá þáttur skýrslunnar er lýtur að helstu álitaefnum, sem á reynir við notkun tölvuskýjaþjónustu, mjög rýr. Notkun slíkrar þjónustu vekur upp margvíslegar spurningar út frá sjónarmiðum um persónuvernd og gildandi löggjöf þar að lútandi og eru slíkum sjónarmiðum gerð lítil skil í skýrslunni, s.s. um skort á stjórnun upplýsinga eftir að þær hafa verið fluttar í tölvuský. Dregur skýrslan því upp jákvæðari og einfaldari mynd af möguleikum opinberra aðila til notkunar tölvuskýjaþjónustu en tilefni er til.
b. Reynsla erlendis
Athygli vekur að umfjöllun í skýrslu KMPG um reynslu erlendis frá, á bls. 4, tekur einungis mið af ríkjum sem standa utan Evrópusambandsins (ESB) og Evrópska efnahagssvæðisins (EES) en réttarkerfi þeirra eru almennt ólík því sem er hérlendis. Þrátt fyrir að ítarlegri umfjöllun megi finna um skýjaþjónustu í Finnlandi, á bls. 26-28 í skýrslunni, vekur Persónuvernd athygli á að önnur lönd sem nefnd eru í þessum samanburði eru eingöngu Ástralía, Bretland, Bandaríkin, Kanada og Nýja-Sjáland.
Samkvæmt auglýsingu nr. 228/2010 um flutning persónuupplýsinga til annarra landa teljast Kanada og Nýja-Sjáland til ríkja sem veita persónuupplýsingum fullnægjandi vernd í skilningi 29. gr. laga nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga. Ástralía og Bandaríkin teljast hins vegar til landa sem ekki veita fullnægjandi persónuupplýsingavernd og fer um flutning til þeirra samkvæmt 30. gr. laga nr. 77/2000. Að mati Persónuverndar hefði betur farið á því að birta umfjöllun um reynslu af notkun skýjalausna í þeim löndum sem Ísland ber sig hvað oftast saman við, þ. á m. Norðurlöndunum sem byggja á svipaðri réttarhefð og Ísland, sem og öðrum löndum innan ESB og EES sem byggja persónuverndarlöggjöf sína á tilskipun Evrópusambandsins nr. 95/46/EB.
Þá er ekki loku fyrir það skotið að ákvörðun um úrsögn Bretlands úr Evrópusambandinu geti haft áhrif á þarlenda persónuverndarlöggjöf, mögulega á þann veg að Bretland teljist til ríkis sem ekki veiti persónuupplýsingum fullnægjandi vernd þrátt fyrir að ríkið teljist veita hana nú. Slíkt gæti haft áhrif á hvaða gagnaflokka má vinna með þar, sbr. umfjöllun á bls. 37 í skýrslunni, en samkvæmt henni tilheyrir Bretland svæði 2 og er tekið fram að vistun og vinnsla allra gagnaflokka sé heimil á því svæði.
3.
Hluti III - Innleiðing skýjalausna
a. Íslenskt lagaumhverfi
Þriðji hluti skýrslunnar ber yfirskriftina Lagalegt umhverfi, og hefst hann á bls. 30. Þar kemur fram að ákvæði sem taka sérstaklega til notkunar skýjalausna í lagalegu umhverfi opinberra stofnana varði einkum takmarkanir á landfræðilegri staðsetningu við vinnslu gagna. Er sjónum nær eingöngu beint að því í hvaða landi vinnsla persónuupplýsinga fer fram. Þá eru þrjú atriði dregin út - ábyrgð, aðgengi og varðveisla - með takmarkaðri tilvísun til þeirra lagaákvæða sem við eiga um hvert einstakt atriði.
Hvað varðar umfjöllun um aðgengi að gögnum bendir Persónuvernd á að aðgengi er einungis einn þáttur upplýsingaöryggis. Aðrir þættir - ekki síður mikilvægir - felast í því að ábyrgðaraðili skal tryggja leynd og að upplýsingar skuli vera áreiðanlegar og réttar. Hvað varðar umfjöllun um varðveislu bendir Persónuvernd á að samkvæmt 26. gr. laga nr. 77/2000 er heimilt að varðveita persónuupplýsingar svo lengi sem málefnaleg ástæða er til. Slík ástæða getur m.a. byggst á fyrirmælum í lögum eða ef enn er unnið með þær í samræmi við upphaflegan tilgang. Það er málefnalegt og um leið lögskylt fyrir stjórnvöld að varðveita gögn í málum sem þau hafa haft til meðferðar. Að mati Persónuverndar er óljóst hver tilgangur með upptalningu fyrrnefndra þriggja atriða er í skýrslunni.
Í umfjöllun um gagnaflokka með landfræðilegri takmörkun, sem hefst á bls. 31 í skýrslunni, er vísað til þess að ríkar kröfur eru gerðar til vinnslu tiltekinna trúnaðarupplýsinga, s.s. um öryggi ríkisins, varnarmál eða samskipti við önnur ríki. Þrátt fyrir að ekki sé að finna landfræðilega takmörkun á því hvar vinnsla fer fram í einstökum sérlagabálkum bendir Persónuvernd á að um flutning allra persónuupplýsinga úr landi gilda ákvæði 29. og 30. gr. laga nr. 77/2000. Á bls. 37 í skýrslunni er landsvæði gagnaflokka lýst nánar. Þar er því haldið fram að persónuupplýsingar sé heimilt að vinna á svæðum 1 og 2, þ.e. hérlendis og í ríkjum sem uppfylla tilskipun nr. 95/46/EB, ásamt fleiri löndum sem tilgreind eru í auglýsingu Persónuverndar nr. 228/2010, með síðari breytingum. Persónuvernd bendir á að flutningur persónuupplýsinga úr landi er háður fleiri atriðum en einungis landfræðilegri staðsetningu vinnsluaðila, m.a. og þá sérstaklega hvort ábyrgðaraðili hafi gengið úr skugga um að öryggi persónuupplýsinga sé nægilega tryggt í vörslu þriðja aðila, hvar svo sem hann er staddur í heiminum. Nánar tiltekið felst í þessu að áður en persónuupplýsingar eru sendar aðila í öðru landi ber, með sama hætti og ef um ræddi innlendan aðila, að ganga úr skugga um að öllum kröfum laga nr. 77/2000 sé fullnægt.
Bent er á að í umfjöllun um persónuupplýsingar, sem hefst á bls. 33 í skýrslunni, er röng tilvísun í númer persónuverndarlaga en þau eru númer 77/2000 en ekki 34/2008 eins og þar greinir. Þá er að mati Persónuverndar óþarft að vísa til ákvörðunar framkvæmdastjórnar ESB nr. 2000/520/EB, frá 26. júlí 2000, um s.k. öruggar hafnir, á bls. 34 í skýrslunni sem eitt skilyrða 30. gr. laga nr. 77/2000 sem heimila flutning persónuupplýsinga úr landi. Vissulega er tekið fram að ákvörðunin hafi verið felld úr gildi með dómi Evrópudómstólsins á árinu 2015 en þegar af þeirri ástæðu er umfjöllunin óþörf.
b. Drög að viðmiðunarreglum fyrir innleiðingu skýjalausna
Á bls. 38 í skýrslunni eru sett fram drög að viðmiðunarreglum fyrir notkun ríkisstofnana á skýjalausnum í 22 liðum.
Í lið eitt um ábyrgð færi að mati Persónuverndar betur á því að notast við skilgreiningu 1. tölul. 1. mgr. 2. gr. laga nr. 77/2000 á hugtakinu ábyrgðaraðila. Auk þess minnir Persónuvernd á að ábyrgð felst ekki eingöngu í því að tryggja að þjónustuaðili uppfylli kröfur um útfærslu og afhendingu skýjaþjónustu, eins og fram er sett í skýrslunni. Að auki þarf ábyrgðaraðili m.a. að gera áhættumat áður en ákvörðun er tekin um vinnslu og útbúa vinnslusamning við þjónustuveitanda þar sem fram komi hvort og, eftir atvikum, hvert persónuupplýsingar eru fluttar.
Í lið tvö um áhættumat mætti að mati Persónuverndar útfæra mun nánar hvað felst í framkvæmd slíks mats. Í því sambandi skal bent á að samkvæmt 3. gr. reglna nr. 299/2001 um meðferð persónuupplýsinga, sbr. 11. og 12. gr. laga nr. 77/2000, skal ábyrgðaraðili gera skriflegt áhættumat í þeim tilgangi að tryggja vernd persónuupplýsinga og skapa forsendur fyrir vali á öryggisráðstöfunum, sbr. III. kafla reglnanna. Í umræddu ákvæði er áhættumat skilgreint sem mat á hættunni á því að óviðkomandi fái aðgang að persónuupplýsingum, geti breytt upplýsingunum eða skert öryggi þeirra að öðru leyti. Kemur fram að áhættumat skal einnig taka til athugunar á umfangi og afleiðingum hættunnar m.t.t. eðlis þeirra persónuupplýsinga sem unnið er með. Þá segir að tilgreina skuli hvað geti farið úrskeiðis, hvaða áhrif slíkt geti haft á öryggi upplýsinganna og hvaða líkur séu á slíku. Með vísan til framangreinds bendir Persónuvernd á að fjalla þarf nánar um tilgang, gerð og framkvæmd áhættumats í drögum að umræddum viðmiðunarreglum, en fyrir liggur að gerð áhættumats getur verið flókin í framkvæmd.
Í lið 3 um staðsetningu er fjallað um staðsetningu á vinnslu gagna. Persónuvernd telur betur fara á að vísa til flutnings úr landi í samræmi við venju og ákvæði laga nr. 77/2000. Einnig vísar Persónuvernd hér almennt til lagaramma um flutning persónuupplýsinga úr landi, sbr. 29. og 30. gr. laga nr. 77/2000 og auglýsingu nr. 228/2010. Leiðir af honum að flutningur er í mörgum tilvikum óheimill án sérstaks leyfis Persónuverndar.
Í lið 4 um trúnaðarflokkun er fjallað um skyldu til að framkvæma trúnaðarflokkun á gögnum. Að mati Persónuverndar er lykilatriði við ákvörðun um notkun tölvuskýjaþjónustu að greina viðkomandi upplýsingar, þ.e. hvort um ræði persónuupplýsingar og, ef svo er, hvort þær teljist almennar eða viðkvæmar. Vinnsla viðkvæmra persónuupplýsinga er háð strangari kröfum en vinnsla almennra upplýsinga og þarf að huga að því við alla meðferð og varðveislu slíkra upplýsinga.
Í lið 5 um eignarhald er fjallað um að ábyrgðaraðili skuli tryggja eignarhald og aðgengi að gögnum. Að mati Persónuverndar þyrfti í þessu samhengi einnig að fjalla um stjórn á þeim upplýsingum sem unnar eru í tölvuskýjaþjónustu svo að ábyrgðaraðili geti framfylgt réttindum einstaklinga, t.d. leiðrétt, breytt eða í vissum tilvikum eytt persónuupplýsingum.
Í lið 6 um samning er fjallað um samning milli ábyrgðaraðila og þjónustuaðila. Samkvæmt 13. gr. laga nr. 77/2000 getur ábyrgðaraðili vinnslu heimilað að annar aðili, sk. vinnsluaðili, vinni með persónuupplýsingar á hans vegum að hluta eða í heild, sbr. 5. tölul. 2. gr. laganna, en aðili sem veitir tölvuskýjaþjónustu myndi teljast slíkur vinnsluaðili. Nauðsynlegt er að gera vinnslusamning milli aðila um þá vinnslu, t.d. hýsingu. Um slíkan samning og samband ábyrgðaraðila og vinnsluaðila að öðru leyti er að finna nánari fyrirmæli í 13. gr. laganna. Í ákvæðinu eru settar fram form- og efniskröfur til vinnslusamnings, þ. á m. að fram skuli koma að vinnsluaðila sé einungis heimilt að starfa í samræmi við fyrirmæli ábyrgðaraðila. Þá segir í umræddu ákvæði laganna að ábyrgðaraðila sé einungis heimilt að semja við vinnsluaðila hafi hann áður sannreynt að viðkomandi vinnsluaðili geti framkvæmt viðeigandi öryggisráðstafanir og viðhaft innra eftirlit. Til þess að meta framangreint er nauðsynlegt fyrir ábyrgðaraðila að framkvæma áhættumat, sem tekur m.a. mið af því hvort um almennar eða viðkvæmar persónuupplýsingar er að ræða, áður en gengið er frá vinnslusamningi við tiltekinn þjónustuveitanda. Staðlaðir samningsskilmálar sem lagðir eru fram af þjónustuveitanda, eins og algengt er um tölvuskýjaþjónustur, fullnægja ekki í öllum tilvikum framangreindum kröfum 13. gr. laga nr. 77/2000. Af þeim ástæðum leggur Persónuvernd áherslu á nauðsyn þess að samningur um tölvuskýjaþjónustu, sem nær til persónuupplýsinga, sé skýr og í samræmi við 13. gr. laga nr. 77/2000., en það felur m.a. í sér að heiti samnings þarf að bera skýrt með sér að um slíkan samning sé að ræða. Leggur stofnunin til að liður 6 sé aðlagaður að framangreindu.
Í liðum 11, 12 og 13 er fjallað um „gagnaheilindi“, „raunlægt öryggi“ og „innra öryggi“. Athygli vekur að ekki er sérstakur almennur liður um upplýsingaöryggi. Víða í hérlendri löggjöf er fjallað um net- og upplýsingaöryggi en ekki ávallt á heildstæðan hátt. Einstök lagaákvæði vísa til ólíkra þátta upplýsingaöryggis. Í 11. og 12. gr. laga nr. 77/2000, sbr. reglur Persónuverndar nr. 299/2001, um öryggi persónuupplýsinga, má finna heildstæða lýsingu á kröfum til upplýsingaöryggis, þ.e. einkum að tryggja skuli leynd persónuupplýsinga, áreiðanleika og aðgengi. Telur Persónuvernd ekki unnt að veita leiðbeiningar um þá þjónustu sem hér um ræðir án þess að geta sérstaklega um upplýsingaöryggi.
Í lið 21 um undirverktaka mætti útfæra nánar að þjónustuaðila sé óheimilt að leita til undirverktaka án samþykkis ábyrgðaraðila og að undangengnu áhættumati ábyrgðaraðila á þeirri vinnslu sem undirverktaka verði falin. Hin lagalega ábyrgð samkvæmt lögum nr. 77/2000 hvílir á ábyrgðaraðila og í því felst m.a. að ganga úr skugga um að persónuupplýsingar séu nægilega vel tryggðar hjá vinnsluaðila og undirvinnsluaðilum.
Loks mætti einnig að mati Persónuverndar bæta við lið um tilgang vinnslu. Þar mætti taka fram að ábyrgðaraðili skuli tryggja að tiltekinn þjónustuaðili vinni eingöngu með persónuupplýsingar í samræmi við upphaflegan tilgang vinnslunnar og að frekari vinnslu í öðrum og ósamrýmanlegum tilgangi sé óheimil, sbr. ákvæði 2. tölul. 1. mgr. 7. gr. laga nr. 77/2000.
4.
Niðurstaða
Ákvörðun um notkun skýjaþjónustu hjá opinberum aðilum krefst nákvæmrar greiningar á efnahagslegum, lagalegum, tæknilegum og siðferðislegum álitaefnum. Nauðsynlegt er að hið opinbera marki sér sérstaka stefnu um notkun skýjalausna hjá stjórnvöldum þar sem í samræmi við framangreint sé tekin afstaða til annars vegar þess hvort stjórnvöld geti yfir höfuð vistað viðkvæmar persónuupplýsingar um einstaklinga á tölvuskýi, og þá hvaða upplýsingar, og hins vegar til þess hvers konar tegundir skýjalausna séu ásættanlegar í þeim tilvikum. Viðmiðunarreglur um notkun skýjalausna gætu í kjölfarið byggt á slíkri almennri stefnumótun hins opinbera og útfært hana nánar.
Vega þarf og meta hverju sinni hvort yfir höfuð séu forsendur til vistunar persónuupplýsinga, sem unnið er með hjá opinberum aðila, í tölvuskýi. Sé það á annað borð talið koma til greina þarf að taka afstöðu til þess hvaða tegund tölvuskýja (einkaský, almenn ský, blönduð ský, samfélagsský) henti best með tilliti til eðlis þeirra persónuupplýsinga sem fyrirhugað er að vinna með og aðstæðna hverju sinni. Leggja verður til grundvallar að einkaský eða blönduð ský, sem rekin eru á lokuðu neti og eru eingöngu aðgengileg viðkomandi þjónustukaupa, séu best til þess fallin að tryggja upplýsingaöryggi. Engu að síður getur það verið verulegum vafa undirorpið hvort þau geti talist fullnægjandi fyrir vistun ýmissa upplýsinga sem meðhöndla þarf af ítrustu varkarni og í samræmi við ströngustu öryggiskröfur. Á það m.a. við um viðkvæmar persónuupplýsingar sem varðveittar eru á ábyrgð opinberra aðila, s.s. upplýsingar í barnaverndarmálum og hjá heilbrigðisstofnunum.
Í þessu sambandi er vakin athygli á því að sveitarstjórnar- og nýsköpunarráðuneyti Noregs (n. Kommunal- og moderniseringsdepartementet) gaf út stefnu um notkun skýjaþjónustu í Noregi þann 18. apríl 2016. Stefnuna má nálgast á eftirfarandi vefslóð: https://www.regjeringen.no/no/dokumenter/nasjonal-strategi-for-bruk-av-skytenester/id2484403/.
Umfjöllun skýrslunnar um jákvæða og neikvæða eiginleika skýjalausna, sem og um íslenskt lagaumhverfi, er að mati Persónuverndar ekki nægilega efnismikil og álitaefnum, m.a. þeim er lúta að gildandi löggjöf um persónuvernd, eru ekki gerð nægileg skil. Skýrsla KPMG dregur af þeirri ástæðu upp jákvæðari og einfaldari mynd af möguleikum opinberra aðila til notkunar tölvuskýjaþjónustu en efni standa til. Einnig færi vel á því að greina stefnur og útfærslur á notkun tölvuskýjaþjónustu í öðrum ríkjum innan EES, sem og hinum Norðurlöndunum sem búa við sams konar lagahefð og hérlendis, fremur en að miða nær eingöngu við ríki sem standa utan svæðisins.
Það er því mat Persónuverndar að í skýrslunni sé dregin upp of einföld mynd af því flókna skipulagslega, tæknilega og lagalega umhverfi sem skýjalausnir byggja á. Slík einföldun er til þess fallin að draga úr ábyrgð þeirra ábyrgðaraðila sem taka til skoðunar hvort unnt sé að notast við skýjalausnir í starfsemi sinni með tilliti til krafna sem settar eru fram í lögum nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga.
Persónuvernd er reiðubúin til að taka þátt í frekari samvinnu við ráðuneytið til að tryggja að viðmiðunarreglur og leiðbeiningar til ríkisstofnana um notkun skýjalausna samrýmist ákvæðum laga nr. 77/2000.