Jussen rundt nettskyen er tåkete

Juridiske uklarheter rundt bruken av nettskyen skaper problemer. Nå vil juristene rydde opp, og hjelpe til med å forske frem en ny sky.

Å beskytte opplysninger og personlig informasjon er viktig for privatpersoner, myndigheter og arbeids- og næringsliv i alle sektorer. Problemene jusforskerne skal finne løsninger på, handler nettopp om konfidensialitet og i hvilken grad skytjenestene overholder relevante lover og regler. Illustrasjonsfoto: Colourbox.com

Norge ligger i tet internasjonalt i bruk av digitale løsninger. Vi forventer i dag å ha tilgang på og kunne dele data og informasjon på de mange stedene vi oppholder oss. Nettskyen har derfor blitt svært populær, og Drop-box og liknende tjenester brukes mye og av mange. Kanskje av deg også? Men det er ikke bare du og jeg som ser verdien av å bruke nettskyen til bilder og tekster. Næringsliv, helsevesen og det offentlige snuser også på mulighetene skyen gir.

Skyen er tåkete og uklar

Men hva skjer med private data eller informasjon som organisasjoner og næringsliv laster opp i skyen? Er det et trygt sted for personopplysninger, virksomhetssensitiv informasjon, helseopplysninger og liknende? Kan vi være trygge på at uvedkommende ikke får tilgang til informasjon vi laster opp?

Dette er noe vi må vurdere, sier førsteamanuensis Tobias Mahler ved Det juridiske fakultet, UiO. Han forsker på juridiske problemstillinger knyttet til skytjenester.

- Skyen er ennå tåkete og uklar når det gjelder sikkerhet og innsyn. I tillegg har brukere som regel liten forståelse for hva som skjer med opplysninger vi laster opp i skytjenester. De fleste vet heller ikke hvor dataene lagres og i hvilke land.

- Et eksempel er bruk av Dropbox. Amazon er underleverandør for Dropbox og leier ut serverplass til dem. Det du legger inn i Dropbox-folderen blir antagelig lagret på serveren til Amazon som du sannsynligvis ikke vet hvor ligger. Serveren kan ligge i USA, men brukere flest har ikke innsikt i det, eller hva det innebærer juridisk.

- Når du laster opp innhold fra Norge til en server i et annet land, kan det gjelde regler fra begge landene for hvem som kan ha tilgang til informasjonen, og hva som kan gjøres med den. Europeisk personvernrett sier èn ting, og amerikansk rett kan si noe annet. For eksempel at data må kunne utleveres til National Security Agency (NSA).

I forbindelse med Snowden-saken har det for eksempel vist seg at amerikansk etterretning har tilgang til informasjon i nettskyen.

Neste generasjons skytjenester

Å beskytte opplysninger og personlig informasjon er viktig for privatpersoner, myndigheter og arbeids- og næringsliv i alle sektorer. Problemene Mahler og hans team av jusforskere skal finne løsninger på, handler nettopp om konfidensialitet og i hvilken grad skytjenestene overholder relevante lover og regler.

- Vi ønsker oss it-systemer som legger til rette for at juridiske regler følges automatisk, forteller Mahler. Foto: Colourbox.com

- Å finne løsninger som ivaretar virksomhetskritisk informasjon, helseopplysninger og andre sensitive opplysninger i skyen blir svært viktig i tiden som kommer, forteller Mahler.

Teknikk og juss hånd i hånd

Gjennom det storte internasjonale prosjektet Coco-cloud kommer bl.a. jusforskerne og informatikere sammen, for å finne løsninger for neste generasjons skytjenester gjennom forskning og utvikling.

- Oppdraget er å forske på hvordan tekniske løsninger og jussen i samspill kan sikre at fremtidens skytjenester ivaretar datasikkerhet og hvordan sensitiv informasjon kan deles med andre via nettskyen.

Planen er å bidra til å utvikle skytjenester som i sin utforming og funksjon tar hensyn til disse behovene.

- Vi ønsker oss it-systemer som legger til rette for at juridiske regler følges automatisk, gjennom at it-systemene ikke skal tillate annet. Rettsreglene skal være innebygget i systemet.

- Juridiske prinsipper må derfor komme inn tidlig i utviklingen av it-systemene, og det er her vi kommer inn, forteller forskeren.

- Mine juristkolleger og jeg skal i hovedsak se på de rettslige aspektene knyttet til bruken av skytjenestene; på ulike lovreguleringer for skytjenester og deling av sensitive data i ulike land. Personopplysningsretten står sentralt i dette arbeidet.

Sikker utveksling av helseopplysninger

Prosjektet tar utgangspunkt i «caser» som beskriver typiske situasjoner hvor skytjenestene skal kunne brukes trygt.

Ett av casene går ut på at helsevesenet skal kunne legge røntgenbilder og annet grafisk materiale i en sky, slik at leger og pasient skal kunne får tilgang til materialet. Pasienten skal selv styre hvem som skal få tilgang til informasjonen.

Hvis du som pasient har behov for å reise til et annet land for å få behandling, skal du trygt kunne dele informasjonen i nettskyen med leger i dette landet. Det er du som pasient som avgjør hvor lenge legen skal ha tilgang, og bilder og sensitiv informasjon skal ikke kunne videreformidles til andre uten ditt samtykke.

Målet er bedre informasjonsutveksling i helsevesenet og gjennom det et bedre behandlingstilbud.

- Vi samarbeider med en spansk tilbyder av it-tjenester inne helse. Caset tar utgangspunkt i en spansk pasients behov for og bruk av skytjenester, men dette er like relevant for oss i Norden, forteller Mahler.

- Ønsket er at pasienten skal kunne gi tilgang til bildene til et bestemt formål og sette ulike begrensninger for tilgangen, som for eksempel tidsbegrensning, og at andre ikke kan kopiere data eller sende dem videre. Caset blir et eksempel for hvordan vi kan tenke oss bruksmønstre.

Brukerstyring blir viktig

Prosjektet ser også på to andre caser. Alle har det samme utgangspunktet, nemlig at brukerstyring er viktig i fremtidens skytjenester.

Tobias MahlerFørsteamanuensis ved Institutt for privatrett ved UiO, Tobias Mahler. Copyright: UiO.

- Du som bruker skal være med på å bestemme hvem som skal ha dine opplysninger. Det er du som skal ha nøkkelen til dette, forteller Mahler.

Han understreker at han og kollegene som juridiske forskere ikke skal utvikle selve produktene.

- Vår primæroppgave er forskningen, så får bedriftene lage systemene. Kanskje setter vi i gang med kritikk av disse systemene om noen år.

- Prosjektet gir oss en fantastisk mulighet til å jobbe med et utviklingsmiljø, men vi har en viss distanse. Nettopp fordi vi skal forske, mens de skal utvikle, oppsummerer Mahler.

Av Jorunn Kanestrøm
Publisert 12. feb. 2014 10:51 - Sist endret 13. feb. 2014 10:00