Datatilsynet Borgergade 28, 5. 1300 København K Att. Sten Hansen Børn- Og Ungeforvaltningen Skoleafdeling Pædagogisk Medie Center Tolderlundsvej 2. 3.sal 5000 Odense C www.pmc.odense.dk www.odense.dk Tlf. 63757677 Fax 66190025 E-mail aps@odense.dk Odense Kommunes svar på Datatilsynets uddybende spørgsmål fra 2. november 2010 angående anmeldelse af behandlingen "Google Apps - online kontorpakke med kalender og dokumenthåndtering" Ad 1) Har OK foretaget andre risikovurderinger af den teknologi der anvendes i Google Apps Google Apps er en Cloud-ydelse i kategorien Software-as-a-Service. Odense Kommunes betragter Google Apps som en betalbar serviceydelse. Der er altså ikke tale om anskaffelse af en teknisk løsning. For så vidt som denne ydelse kan overholde Odense Kommunes forretningsmæssige såvel som lovbundne krav ser Odense Kommune det som mindre relevant hvilke konkrete teknologier Google anvender. Odense Kommune forventer i øvrigt at Google hele tiden optimerer og ændrer sin teknologi i forhold til ydelse og sikkerhed. Odense Kommune har i vurderingen af Google Apps naturligvis lagt vægt på ydelsens evne til at overholde kravene i persondataloven såvel som i sikkerhedsbekendtgørelsen herunder DATO 15. november 2010 REF. aps JOURNALNR. JOURNALNR EKSPEDITIONSTIDER Mandag - Torsdag 08.00-16.00 Fredag 08.00-13.00 Fysisk og organisatorisk sikkerhed Autorisationer og styring af adgang til data Logning af søgninger, dataadgangsforsøg og dataadgang Sikker sletning af data På basis af de af Odense Kommune tidligere fremsendte svar og Google s SAS70 Type II revision og overholdelse af Safe Harbour aftalen er Odense Kommune betrygget i at persondatalovens krav overholdes for den anmeldte løsning. Ad 2) Har Odense Kommune specifikt foretaget en vurdering af risici i forbindelse med anvendelse af "multi-tenant, distributed environment"? 1/6
Odense Kommune lægger som nævnt ovenfor Googles SAS70 certificering såvel som det faktum at Google er tilmeldt Safe Harbour ordningen til grund for at antage Google opbevarer og behandler data med tilstrækkelig sikkerhed til at opfylde persondatalovens krav i forhold til den anmeldte løsning. Odense Kommune har således ikke foretaget nogen formel individuel vurdering af teknologien multi-tennant, distributed environment. Odense Kommune har dog noteret sig at Google har opnået den amerikanske regerings FISMAcertificering 1 i forbindelse med løsninger der anvender den nævnte teknologi. Derudover anvender Google uafhængige sikkerhedseksperter til løbende at lave "penetration tests" i Google Apps miljøet, dvs. test af sikkerheden internt på et Apps domæne og mod andre Apps domains. Odense Kommune betragter generelt ikke risici ved Googles tekniske miljø som værende større end de risici der findes i mange af de miljøer, som den offentlige sektor i dag anvender til løsninger hvor persondata behandles. Ad 3) Er Odense Kommune bekendt med publikationen "Cloud computing - Benefits, risks and recommendations for information security" udgivet af ENISA i november 2009? Odense Kommune er bekendt med det nævnte dokument, men har ikke anset det for at have nogen formel status hvorfor det blot er anvendt som baggrundsmateriale. Ad 3a) Har Odense Kommune gennemført den i kapitel 6 anbefalede specifikke risikovurdering? Odense har som nævnt kun anvendt ENISA s guide til baggrund. Odense kan dog konstatere at anbefalingerne er i god tråd med DS484 og med de overvejelser og tiltag som Odense har foretaget vedrørende den anmeldte løsning. Den ansvarsfordeling mellem kunde og udbyder, som foreslås for Softwareas-a-Service-løsninger på side 66 i den nævnte guide er netop den ansvarsfordeling, som Odense har etableret i forhold til den anmeldte løsning. Ad 3b) Hvorledes vurderer Odense Kommune den planlagte anvendelse af Google Apps på baggrund af "note to governments"? ENISA s anbefaling, som Datatilsynet henviser til, vedrører så vidt Odense Kommune kan se alle typer af Cloud computing og dækker alle former for public cloud-udbydere. Anbefalingen må således antages at være givet ud fra en såkaldt laveste fællesnævner vurdering. Odense Kommune er som tidligere nævnt betrygget i at det er sikkert at anvende Google Apps i den konkrete situation til den præcis den anmeldte løsning efter de konkrete undersøgelser som Odense har dokumenteret i sine svar til Datatilsynet. I øvrigt ser det for Odense Kommune ud som om at anbefalingen i ENISAdokumentet, med sine henvisninger til data classification og anvendelse af 1 FISMA er populært sagt den amerikanske regerings udgave af DS484 eller ISO/IEC 17799. Læs mere på http://www.nist.gov/itl/csd/sma/fisma.cfm og http://www.google.com/apps/intl/en/government/trust.html 2/6
systemer der har Common Criteria certifications, vedrører data, der er klassificeret af hensyn til rigets sikkerhed som beskrevet i Statsministeriets sikkerhedscirkulære nr. 204 af 7. december 2001. For god ordens skyld skal det oplyses at data i den anmeldte løsning ikke falder ind under nogle af de klassifikationer, som Statsministeriets sikkerhedscirkulære definer, og derfor kan betragtes som uklassificerede i denne kontekst. Ad 4a) Hvad betyder "Unqualified Opinion" i forbindelse med konklusionen på SAS70-revisionen? Google forklarer betydningen af Unqualified Opinion i følgende tekst på engelsk: "It means, that there is no qualifications for the affirmative opinion, no issues or exceptions were found. The alternative is a qualified opinion which is Auditor finds Google Apps to be secure with the exception of xyz. This is not our case." Iøvrigt henvises til følgende citat fra http://sas70.com/sas70_faqs.html: At the conclusion of a SAS No. 70 service auditor's examination ("SAS 70 audit"), the service auditor renders an opinion on the following: 1. Whether or not the service organization's description of controls is presented fairly. 2. Whether or not the service organization's controls are designed effectively. 3. Whether or not the service organization's controls are placed in operation as of a specified date. 4. Whether or not the service organization's controls are operating effectively over a specified period of time. (Type 2 only). When the service auditor concludes that the above items have been accomplished, the service auditor renders what is referred to as an "unqualified opinion." While a SAS 70 audit is technically not a "pass" or "fail" audit, the receipt of an unqualified opinion from the service auditor is often referred to as "passing" the audit. Ad 5a) og 6) Har Odense Kommune kendskab til og indblik i de kontrolmål, kontrolpolitikker, kontrolprocesser og implementerede kontroller, som Grant Thornton har revideret hos Google? Odense Kommune har haft indsigt i de kontrolmål, kontrolpolitikker, kontrolprocesser og implementerede kontroller Google har, som er blevet revideret af revisionsfirmaet Grant Thornton og dokumenteret i en SAS70 Type IIrapport. Ad 7) Er Odense Kommune bekendt med indholdet i SAS70 Type IIrapporten? Ja, Odense Kommune har haft indsigt i indholdet i den refererede SAS70 Type II rapport. Det er også muligt at give Datatilsynet indsigt i denne rapport. 3/6
Ad 7a) Kan Odense Kommune oplyse på hvilke lokationer revisionsfirmaet Grant Thornton foretog revision? Auditoren vælger selv hvilke datacenters som de ønsker at besøge. Hvert år har de auditeret minimum 1 US datacenter og 1 EU datacenter. Næste besøg er nye/andre datacenters. Målet er at alle datacenters hvor Apps data placeres skal have audit indenfor 3 år fra oprindelig SAS70-II certificering i 2008. I øvrigt oplyser Google følgende: Det er ikke korrekt at Google's datacentre primært befinder sig i USA. Der er adskillige datacentre i Europa. Det er primært her brugere i Europa og Danmark får deres data fra. Derved bliver performance hurtigere for brugeren og Google sparer dyr båndbredde, da det er vores båndbredde der anvendes til at levere data fra data center til data center globalt og herfra ud på offentlig Internet med HTTPS. Der er også datacentre i andre dele af verden, men her gemmes ikke Apps data. Ad 8) Hvad lægger Odense Kommune til grund for at revisionen foretaget i juli 2008 er dækkende for situationen hos Google ultimo 2010? Den seneste SAS70 rapport er fra Juli 2009 til Juli 2010, hvilket løbende bliver opdateret. Google forpligtiger sig til at denne opdateres hver 12-18 måned. Google er også FISMA certificeret, hvilket kræver at Google hvert kvartal skal aflevere en status rapport omkring sikkerhed, m.m. i Googles miljø, til den amerikanske regering. Ad 9) Kan Odense Kommune afkræfte, at Google ensidigt kan ændre aftalevilkårene? Odense Kommune er ikke enig i, at Google ensidigt og uden kommunens accept kan ændre aftalevilkårene. Af de generelle vilkår ( Google Aps General Terms ) fremgår af pkt. 16.13 således, at ændringer af vilkårene kun kan ske skriftligt. Pkt. 1.2(b) indeholder (meget naturligt) en klausul om, at der over tid kan ske justeringer i nogle af de generelle vilkår på Googles hjemmeside, som udgør en del af parternes aftalegrundlag. Det fremgår dog videre, at dette i givet fald vil blive varslet overfor kunden. Og er der tale om væsentlige ændringer, som kunden ikke kan tiltræde, så kan kunden modsætte sig, at ændringen får virkning i resten af abonnementsperioden. Endeligt fremgår det af Googles privacy policy, at Google ikke reducerer dine rettigheder i henhold til denne politik til beskyttelse af personlige oplysninger uden dit udtrykkelige samtykke. Ad 10) Kan Odense Kommune pege på, hvor i den fremsendte databehandleraftale det fremgår, at Google alene handler efter instruks fra Odense Kommune? Instruksen fremgår af pkt. 1.4 i de generelle vilkår, jf. følgende: Customer aknowledges that it has chosen to have its End Users personal data processed by Google as part of the Services within the scope of the Services capabilities, which are reflected in the Google Privacy Policies. Customer therefore instructs Google to provide the Services and process End 4/6
User personal data in accordance with the Google Privacy Policies and Google agrees to do the same. The Google Privacy Policies are hereby incorporated by reference into this Agreement. Aftalen indeholder en beskrivelse af the Services, dvs. de ydelser og den databehandling, som Google foretager for kommunen som led i aftalen. Google er tilmeldt Safe Harbour-ordningen 2. Safe Harbor beskriver rollerne som Data Controller og Data Processor. Odense Kommune er efter dette regelsæt Data Controller, Google er Data Processor. Data Processor agerer i henhold til Safe Harbor, efter instruks fra Data Controller. Det er på den baggrund Odense Kommunes opfattelse, at instruksen er tilstrækkelig konkret og specifik til, at opfylder kravene hertil i persondatalovens 41, stk. 1. Ad 11) Kan Odense Kommune pege på, hvor i den fremsendte databehandleraftale det fremgår, at reglerne i sikkerhedsbekendtgørelsen gælder for behandlingen hos Google? Af de generelle vilkårs pkt. 1.5 fremgår, at Google skal iværksætte de fornødne tiltag til sikring af, at persondata ikke hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, kommer til uvedkommendes kendskab eller misbruges. Det fremgår dog ikke eksplicit, at reglerne i Sikkerhedsbekendtgørelsen gælder for Googles persondatabehandling på Odense Kommunes vegne. Odense Kommune vil derfor for god ordens skyld bede Google om en bekræftelse herpå. Ad 12) Hvorledes vil Odense Kommune aktivt påse, at de krævede sikkerhedsforanstaltninger i henhold til sikkerhedsbekendtgørelsen overholdes af Google? Odense Kommune vil bede Google om at bekræfte, at it-sikkerhedsrevisionen omfatter en kontrol af, at de krævede sikkerhedsforanstaltninger i henhold til Sikkerhedsbekendtgørelsen overholdes af Google. Ad 13 og 14) I en situation, hvor nogen forsøger at tilgå Odense Kommunes konto i Google Apps direkte via internettet uden at gå via Odense-serveren,...hvordan sikres kontrol med afviste adgangsforsøg? I en situation, hvor nogen forsøger at tilgå Odense Kommunes konto i Google Apps direkte via internettet uden at gå via Odense-serveren,...hvordan sikres af afviste adgangsforsøg kommer til rette vedkommendes kendskab? Det er kun administratorkontoen, der kan tilgås direkte udenom Odenseserveren. Denne konto bruges alene til opsætning af systemet, og har ikke adgang til de enkelte brugeres konti. 2 Se Google Apps Security and Privacy documentation http://www.google.com/support/a/bin/answer.py?hl=en&answer=60762 5/6
Mht. logning af afviste adgangsforsøg henvises til svar 14 i tidligere brev: Google Apps foretager den nødvendige logning. Google Apps Premium kunder kan via Googles support-funktion rekvirere en kopi af loggen. Venlig hilsen Alan Peder Sørensen Leder af PMC Direkte tlf. 63757678 E-mail aps@odense.dk 6/6