Jussen rundt nettskyen er tåkete

Den digitale nettskyen er fortsatt uklar når det gjelder sikkerhet og innsyn. I tillegg har brukerne ofte liten forståelse for hva som skjer med opplysningene i skyen.

(Foto: Colourbox)

Norge ligger i tet internasjonalt i bruk av digitale løsninger. Vi forventer i dag å ha tilgang på og kunne dele data og informasjon på de mange stedene vi oppholder oss.

Nettskyen har derfor blitt svært populær, og Drop-box og liknende tjenester brukes mye og av mange. 

Men det er ikke bare du og jeg som ser verdien av å bruke nettskyen til bilder og tekster. Næringsliv, helsevesen og det offentlige snuser også på mulighetene skyen gir. 

Skyen er tåkete og uklar

Men hva skjer med private data eller informasjon som organisasjoner og næringsliv laster opp i skyen? Er det et trygt sted for personopplysninger, virksomhetens ssensitive informasjon, helseopplysninger og liknende? Kan vi være trygge på at uvedkommende ikke får tilgang til informasjon vi laster opp?

Dette er noe vi må vurdere, sier førsteamanuensis Tobias Mahler ved Det juridiske fakultet på Universitetet i Oslo. Han forsker på juridiske problemstillinger knyttet til skytjenester.

– Skyen er ennå tåkete og uklar når det gjelder sikkerhet og innsyn. I tillegg har brukere som regel liten forståelse for hva som skjer med opplysninger vi laster opp i skytjenester. De fleste vet heller ikke hvor dataene lagres og i hvilke land.

Et eksempel er bruk av Dropbox. Amazon er underleverandør for Dropbox og leier ut serverplass til dem. Det du legger inn i Dropbox-folderen blir antagelig lagret på serveren til Amazon som du sannsynligvis ikke vet hvor ligger. Serveren kan ligge i USA, men brukere flest har ikke innsikt i det, eller hva det innebærer juridisk.

Når du laster opp innhold fra Norge til en server i et annet land, kan det gjelde regler fra begge landene for hvem som kan ha tilgang til informasjonen, og hva som kan gjøres med den.

Europeisk personvernrett sier èn ting, og amerikansk rett kan si noe annet. For eksempel at data må kunne utleveres til National Security Agency (NSA).

I forbindelse med Snowden-saken har det for eksempel vist seg at amerikansk etterretning har tilgang til informasjon i nettskyen.

Løsninger for neste generasjons skytjenester

Å beskytte opplysninger og personlig informasjon er viktig for privatpersoner, myndigheter og arbeids- og næringsliv i alle sektorer.

Problemene Mahler og hans team av jusforskere skal finne løsninger på, handler nettopp om konfidensialitet og i hvilken grad skytjenestene overholder relevante lover og regler. 

– Å finne løsninger som ivaretar virksomhetskritisk informasjon, helseopplysninger og andre sensitive opplysninger i skyen blir svært viktig i tiden som kommer, forteller Mahler.

Teknikk og juss hånd i hånd

Gjennom prosjektet Coco-cloud kommer jusforskerne og informatikere sammen for å finne løsninger for neste generasjons skytjenester gjennom forskning og utvikling.

Oppdraget er å forske på hvordan tekniske løsninger og jussen i samspill kan sikre at fremtidens skytjenester ivaretar datasikkerhet og hvordan sensitiv informasjon kan deles med andre via nettskyen.

Planen er å bidra til å utvikle skytjenester som i sin utforming og funksjon tar hensyn til disse behovene.

– Vi ønsker oss it-systemer som legger til rette for at juridiske regler følges automatisk, gjennom at it-systemene ikke skal tillate annet. Rettsreglene skal være innebygget i systemet, forteller forskeren.

– Juridiske prinsipper må derfor komme inn tidlig i utviklingen av it-systemene, og det er her vi kommer inn.

– Mine juristkolleger og jeg skal i hovedsak se på de rettslige aspektene knyttet til bruken av skytjenestene; på ulike lovreguleringer for skytjenester og deling av sensitive data i ulike land, sier Mahler.

Personopplysningsretten står sentralt i dette arbeidet. 

Sikker utveksling av helseopplysninger

Prosjektet tar utgangspunkt i typiske situasjoner der skytjenestene skal kunne brukes trygt.

Ett av casene går ut på at helsevesenet skal kunne legge røntgenbilder og annet grafisk materiale i en sky, slik at leger og pasient får tilgang til materialet. Pasienten skal selv styre hvem som skal få tilgang til informasjonen.

Førsteamanuensis ved Det juridiske fakultet på Universitetet i Oslo, Thobias Mahler, forsker på juridiske problemstillinger rundt skytjenester.

(Foto: UiO)

Hvis du som pasient har behov for å reise til et annet land for å få behandling, skal du trygt kunne dele informasjonen i nettskyen med leger i dette landet.

Det er du som pasient som avgjør hvor lenge legen skal ha tilgang, og bilder og sensitiv informasjon skal ikke kunne videreformidles til andre uten ditt samtykke.

Målet er bedre informasjonsutveksling i helsevesenet og gjennom det et bedre behandlingstilbud.

– Vi samarbeider med en spansk tilbyder av it-tjenester innen helse. Her er utgangspunktet en spansk pasients behov for og bruk av skytjenester, men dette er like relevant for oss i Norden, forteller Mahler.

– Ønsket er at pasienten kan gi tilgang til bildene til et bestemt formål og sette ulike begrensninger for tilgangen, som for eksempel tidsbegrensning, og at andre ikke kan kopiere data eller sende dem videre.

– Dette blir et eksempel for hvordan vi kan tenke oss bruksmønstre, sier Mahler.

Brukerstyring blir viktig

Prosjektet ser også på to andre caser. Alle har det samme utgangspunktet, nemlig at brukerstyring er viktig i fremtidens skytjenester.

– Du som bruker skal være med på å bestemme hvem som skal ha dine opplysninger. Det er du som skal ha nøkkelen til dette, sier Mahler.

Han understreker at han og kollegene som juridiske forskere ikke skal utvikle selve produktene.

– Vår primæroppgave er forskningen, så får bedriftene lage systemene. Kanskje setter vi i gang med kritikk av disse systemene om noen år.

– Prosjektet gir oss en fantastisk mulighet til å jobbe med et utviklingsmiljø, men vi har en viss distanse. Nettopp fordi vi skal forske, mens de skal utvikle, oppsummerer Mahler.

Leave a Reply

Your email address will not be published.