Børn- Og Ungeforvaltningen Skoleafdeling Pædagogisk Medie Center Tolderlundsvej 2. 3.sal 5000 Odense C www.odense.dk www.pmc.odense.dk Tlf. 63757677 Fax 66190025 E-mail aps@odense.dk Svar til Datatilsynet angående J. nr. 2010-52-0138 Odense Kommunes svar på Datatilsynets 14 spørgsmål i forbindelse med anmeldelse af "Google Apps - online kontorpakke med kalender og dokumenthåndtering" Der vedlægges separate dokumenter til belysning af følgende: Odense Kommunes risikovurdering vedrørende den anmeldte anvendelse af Google Apps (Bilag00) Udveksling af login- og brugeroplysninger i Odenses Google Apps løsning (Bilag01) Googles SAS70 Audit i forhold til Odenses brug af Google Apps (Bilag02) Google Apps General Terms (Bilag03). Google SAS70 Audit Confirmation letter (Bilag04) Google SAS70 Audit Summary (Bilag05) Google Apps Security (Bilag06) DATO 4. oktober 2010 REF. APS JOURNAL NR. 2010/128262 001 EKSPEDITIONSTIDER Mandag - Torsdag 08.00-16.00 Fredag 08.00-13.00 Venlig hilsen Alan Sørensen Leder af PMC Odense Kommune Børn- og Ungeforvaltningen Pædagogisk MedieCenter Tolderlundsvej 2, 3. sal 5000 Odense C Direkte tlf.: 63757678 eller Lokal 57678 mailto: aps@odense.dk 1/5
I det følgende vises Datatilsynets 14 spørgsmål og Odense Kommunes svar til de enkelte spørgsmål startes med Svar: 1. om Odense Kommune har foretaget en risikovurdering og udfaldet af denne, Svar: Ja, Odense Kommune har gennemført risikovurdering og den er vedlagt som bilag (Bilag00). Odense Kommunes vurdering af risikoen i forhold til de opgaver Google Apps skal anvendes til er en Middel risiko for tab af fortrolighed ved oprettelse af dokumenter samt Middel risiko for tab af integritet ved deling af dokumenter, mens alle øvrige områder er vurderet til at have Lav risiko. 2. Odense Kommunes vurdering af den i følgebrevet omtalte SAS70 Type II Certification, Svar: Se venligst det vedlagte dokument om Googles SAS70 Audit i forhold til Odenses brug af Google Apps (Bilag01). Heri konkluderes følgende: Gennemførelsen af en SAS70 Type II Audit hos Google betyder at uafhængige revisorer har kontrolleret og verificeret Google sikkerhedspraksis indenfor de områder af Google Apps, Google som leverandør til Odense Kommune er ansvarlig for. På basis heraf finder Odense Kommune Googles sikkerhedspraksis betryggende i forhold til persondatalovens krav om opbevaring og sletning af data. 3. hvilken databehandleraftale, der er indgået eller forventes indgået mellem Odense Kommune og Google Inc., jf. persondatalovens 42, stk. 2, og sikkerhedsbekendtgørelsens 7, Svar: Databehandleraftalen fremgår af pkt. 1.4 og 1.5 i Google Apps General Terms (Bilag03). Pkt. 1.4 beskriver hvorledes den dataansvarlige (Odense Kommune) giver databehandleren (Google Ireland Ltd) instruks til behandling af den dataansvarliges personoplysninger på dennes vegne, jf. persondatalovens 42, stk. 2. Pkt. 1.5 sikrer, at databehandleren (Google) skal iværksætte passende beskyttelsesforanstaltninger mod, at personoplysninger hændeligt eller ulovligt tilintetgøres m.v., jf. lovens 42, stk. to, jf. 41, stk. 3. 4. om Odense Kommune har kontrol med, hvor oplysningerne fysisk befinder sig, herunder om oplysningerne alene vil befinde sig på den i anmeldelsen angivne danske adresse i Danmark, eller om de blive behandlet i et andet EU-land eller i et tredjeland3, og Svar: Oplysningerne befinder sig fysisk på leverandøren Googles datacentre. Om disse datacentre oplyser Google følgende: 2/5
Google applications run in a multi-tenant, distributed environment. Rather than segregating each customer s data onto a single machine or set of machines, Google Apps data from all Google customers (consumers, business, and even Google s own data) is distributed amongst a shared infrastructure composed of Google s many homogeneous machines and located across Google s many data centers. Googles datacentre befinder sig primært i USA. 5. såfremt oplysningerne behandles i et tredjeland, hvorledes Odense Kommune har tænkt sig at iagttage kravene i persondatalovens 27, Svar: Google er tilmeldt Safe Harbor ordningen og har således forpligtiget sig til at samarbejde med og indordne sig under datatilsynsmyndighederne indenfor EU. På basis af Googles deltagelse i Safe Harbour ordningen betragter Odense Kommune virksomheden på linie med et sikkert tredjeland. Herudover henvises der generelt til afsnittet om Googles SAS70 Audit i forhold til Odenses brug af Google Apps for dokumentation af hvorledes Google som databehandler har truffet de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med loven. 6. hvorledes Odense Kommune vil iagttage sikkerhedsbekendtgørelsens 9 omkring kassation af anvendte datamedier, herunder Svar: I den samlede løsning anvendes der dels datamedier hos Google og dels i forbindelse med login-løsningen, som befinder sig hos Odense Kommune. Kassation af datamedier hos Google beskrives i forbindelse med svar på spørgsmål 7. For datamedierne i login-løsningen hos Odense Kommune kan der oplyses at Odense Kommune har en aftale om destruktion af edbmateriale (harddiske) med ekstern firma (Odense Renovation), hvor destruktionen foregår, så det ikke er muligt at gendanne data igen. Oplysninger i Odense Kommune er loginoplysninger og log-oplysninger om brugerens adgang til Google Apps. 7. hvorledes Odense Kommune har tænkt sig at sikre, at alle personoplysninger bliver slettet hos Google Inc. efter endt behandling, Svar: Den følgende tekst på engelsk er Google s egen beskrivelse af hvorledes det sikres at personoplysninger bliver slettet efter endt behandling og forholdene omkring kassation af datamedier. Via den førnævnte SAS70 Type II audit, som er gennemført af uafhængig revisor, føler Odense Kommune sig sikre på, at alle personoplysninger bliver slettet hos Google Inc. efter endt behandling. Deleted Data After a Google Apps user or Google Apps administrator deletes a message, account, user, or domain, and confirms deletion of that item (e.g., empties the 3/5
Trash), the data in question is removed and no longer accessible from that user s Google Apps interface. The data is then deleted from Google s active servers and replication servers. Pointers to the data on Google s active and replication servers are removed. Dereferenced data will be overwritten with other customer data over time. Media Disposal When retired from Google s systems, disks containing customer information are subjected to a data destruction process before leaving Google s premises. First, policy requires the disk to be logically wiped by authorized individuals. The erasure consists of a full write of the drive with all zeroes (0x00) followed by a full read of the drive to ensure that the drive is blank. Then, another authorized individual is required to perform a second inspection to confirm that the disk has been successfully wiped. These erase results are logged by the drive s serial number for tracking. Finally, the erased drive is released to inventory for reuse and redeployment. If the drive cannot be erased due to hardware failure, it must be securely stored until it can be destroyed. Each facility is audited on a weekly basis to monitor compliance with the disk erase policy. Herudover henvises til dokumentet Googles SAS70 Audit i forhold til Odenses brug af Google Apps (Bilag02). 8. om al behandling af fortrolige personoplysninger vil ske i krypteret form, Svar: Det er i Google Apps muligt at sikre at al behandling af oplysninger sker i krypteret form via Secure Sockets layer (SSL) / Transport Layer Security (TLS) session encryption. Odense Kommune anvender denne kryptering. Krypteringsniveauet er 128bit RC4. 9. hvilke procedurer der vil blive anvendt ved tildeling af autorisationer, herunder Svar: Udgangspunktet for autorisationer til Google Apps er skolernes brugerkatalog Active Directory (AD), der indeholder alle elever og lærere på skolerne, og som giver disse brugernavn og password til undervisningsnetværket. Alle brugere i AD et provisioneres til Google ved hjælp af et batchscript, der kører én gang i døgnet. Oprettelse af eleverne i AD et sker, når de indskrives på skolen og oprettes i kommenens elevadministrationsprogram TEA. En gang i døgnet kører batchscript, der synkroniserer AD med ændringer i elevadministrationsprogrammet. Lærerne oprettes i AD et efter bestilling af skoleledelsen. Bestillingen foregår via en opgave i vores administrative helpdesk-system, som kun bestemte brugere fra skolernes administration har adgang til. 10. hvordan Odense Kommune vil kontrollere at kun autoriserede brugere får adgang, 4/5
Svar: Kun bruger oprettet i kommunens AD kan logge på Google Apps. Se eventuelt bilaget Udveksling af login- og brugeroplysninger i Odenses Google Apps løsning (Bilag01). 11. om adgangskoder vil blive sendt via det åbne internet, Svar: Adgangskoder sendes ikke via det åbne internet. Elevernes adgangskoder fremsendes til klasselærerne via kommunens lukkede First Class postsystem, og lærerne adgangskoder fremsendes til skolens ledelse via det lukkede administrative postsystem Notes. 12. om en bruger vil kunne vælge at vedkommendes adgangskode huskes, så den ikke skal indtastes hver gang, Svar: Det er ikke muligt at få browseren til at huske adgangskoder. Dette er sikret ved et javascript på login-siden og anvendelse af en unik sessionid til hvert login-forsøg. 13. hvordan kravene til kontrol med afviste adgangsforsøg i sikkerhedsbekendtgørelsens 18 vil blive iagttaget, samt Svar: Alle loginforsøg registreres i en log på Odense login-server. Logfilen inspiceres månedligt af administrator og der følges op på konti, der har flere end 5 fejllogin i perioden. Kontoen lukkes og der tages kontakt til brugeren. 14. hvordan sikkerhedsbekendtgørelsens 19 om logning vil blive iagttaget. Svar: Google Apps foretager den nødvendige logning. Google Apps Premium kunder kan via Googles support-funktion rekvirere en kopi af loggen. 5/5