Foten ned for personopplysninger i skyen

Datatilsynet sier nei til bruk av nettskybaserte tjenester for håndtering av persondata. Begrunnelsen er at man i slike løsninger ikke oppfyller personopplysningslovens krav til håndtering av personopplysninger.  Betyr dette også kroken på døra for Google Analytics i offentlig sektor?

Konkret innebærer dette blant annet at Narvik kommune ikke får bruke blant annet Google docs, Calendar og Gmail som kontorstøtteverktøy der personopplysninger behandles. Datatilsynet konkluderer med at bruk av Google Apps innebærer at kommunen mister kontroll over opplysningene Google behandler gjennom nettskytjenestene. I praksis dikterer Google løsningene de leverer til kundene sine, mener Datatilsynet.

Vanskelig å kontrollere
Virksomheter som benytter Google-applikasjoner har i realiteten ikke mulighet til å kontrollere at personvernet blir ivaretatt i samsvar med norsk lov. Man vet for eksempel ikke hvor i verden personopplysningene blir lagret, hvilke sikringsrutiner som er etablert eller hvem som får tilgang til informasjonen. Datatilsynet mener derfor at Google ikke kan tilby denne typen tjenester til norske kommuner, offentlige etater eller andre virksomheter som håndterer personopplysninger. I teorien kan dette løses ved at det etableres en databehandleravtale, men denne vil i praksis være svært vanskelig å følge opp.

Hva med Google Analytics?
En slik policy innebærer at det også kan stilles spørsmålstegn ved analyseverktøyet Google Analytics. Verktøyet lagrer den besøkendes IP-adresse på Googles server for å kunne gi analyser av bl.a. demografi, antall unike besøkende, navigasjonsmønster, tid på nettsted, m.m. IP-adressen kan identifisere en enkeltperson, og er dermed å betrakte som en personopplysning i henhold til norsk lov.

Spesielt problematisk blir det når IP-adressen lagres sammen med søketermer som brukeren har benyttet – noe som kan gi uvedkommende helseinformasjon om enkeltpersoner.

Datatilsynet utreder nå hvilken holdning de offisielt skal ha til Google Analytics.  I Tyskland vurderer personvernmyndighetene å forby dette verktøyet og gi bøter til nettstedseiere som bruker det. Datatilsynet i Norge vil sannsynligvis ikke gå så langt, men vil kunne fraråde bruk av slike verktøy – ut fra samme begrunnelse som er gitt rundt Narvik kommunes bruk av Google Apps

Helsedirektoratet bruker Google Analytics på helsenorge.no for å overvåke besøksfrekvens og bruksmønster. Dette gir oss svært viktig informasjon i forhold til brukernes behov, hva de søker etter, hvordan de navigerer, osv. Vi vil derfor fortsatt bruke Google Analytics fram til Datatilsynet evt. fraråder dette, og vurdere aktuelle alternative verktøy etter dette.

 

Artikkelen er skrevet av admin

Emneord: | | | | |