SKEPTISK: – Gmail er nok et sikkert epostsystem, men kildevernet er en utfordring, mener DT-journalist og NJ-tillitsvalgt Lars Johnsen. Foto: Kristine G. Kjelsrud, Drammens Tidende
– Redaktørene må våkne
DT-journalist og NJ-tillitsvalgt Lars Johnsen er svært skeptisk til Amedias valg av Google Apps. Les hva Datatilsynet mener.
Lars Johnsen er næringslivsjournalist i Drammens Tidende og styremedlem i Norsk Journalistlags konsernlag i Amedia (NJA). Han er mer engasjert enn de fleste i datateknologi og tilhørende sikkerhet. Johnsen er kritisk til at Amedia som første store mediekonsern i Norge skifter ut dagens PC-baserte epostprogram Outlook med Googles nettbaserte Gmail, en beslutning Journalisten fortalte om tidligere onsdag.
Utfordrer redaktørene
Johnsen og NJA har hatt møte med de konserntillitsvalgte i Amedia om saken, og motforestillingene mot Gmail tas nå opp med konsernledelsen.
– Problemet er kildevernet, noe vi må være bevisste på. Hvordan skal vi for eksempel sikre at tipsere kan føle seg trygg på at det de sender til oss forblir anonymt? Det virker ikke som redaktørene i Amedia har tenkt på dette. De bør absolutt gjøre noe med saken, sier Johnsen.
Han er overrasket over at verken redaktører eller andre journalister i Amedia synes å være informert om overgangen til Google Apps og Gmail.
Johnsen forteller at han fikk henvendelser fra datakyndige i DT som lurte på om redaksjonen visste hva den gjorde ved å gå over til Google. Nettopp med tanke på kildevernet.
– Det gjorde at jeg sjekket videre med folk som har kunnskaper om temaet. Inntrykket er at Google sannsynligvis har det sikreste epostsystemet, med tanke på hackerangrep og datasikkerhet. Derimot er kildevernet utsatt. Det er strenge norske regler for myndighetenes tilgang til epostservere, men de gjelder ikke for Gmail. Google er omfattet av amerikanske lovregler.
Begjærer innsyn
I et notat om saken viser DT-journalisten til at amerikanske myndigheter og etterretningsorganer kan begjære å få innsyn i Google-brukeres eposter, uten at brukerne får vite det.
– Det samme kan jo teoretisk skje med norske brukere. Google offentliggjør jevnlig oversikter over forespørsler fra ulike lands myndigheter, om utlevering av informasjon fra Gmail-kontoer. Ifølge Google kommer norske myndigheter hvert år med flere tiltalls slike forespørsler. Norske myndigheter kan jo teoretisk også samarbeide med de amerikanske. Dette er viktig å tenke på, spesielt i lys av det USAs justisdepartement har gjort i forhold til nyhetsbyrået Ap og Fox Television.
Overvåket journalister
USAs justisminister Eric Holder er i hardt vær etter at det ble kjent at myndighetene overvåket journalister i nyhetsbyrået AP og tv-kanalen Fox News, for å finne ut hvor journalistene fikk sine lekkasjer fra.
Johnsen understreker at man selvsagt ikke skal bli helt paranoid. Men han mener samtidig at saken bør være en vekker og en utfordring for både journalister og redaktører i Amedia.
Klarsignal fra Datatilsynet
Etter en grundig gjennomgang avklarte Datatilsynet i 2012 at Narvik kommune kan benytte Google Apps og Gmail. Tilsynet omgjorde sin opprinnelige holdning om at den nettbaserte Google-løsningen brøt med personvernlovverket. Dette skjedde etter at Google endret på sin standard databehandleravtale med kommunen.
Partene må inngå en slik avtale når en virksomhet setter ut hele eller deler av sin behandling av personopplysninger til en underleverandør.
Basert på erfaringene med Narvik kommune har direktør for tilsyn- og sikkerhetsavdelingen i Datatilsynet, Helge Veum, følgende råd til Amedia:
– Først og fremst må selskapet ha bevissthet om hvilken informasjon de velger å sende ut. Du må kjenne opplysningene dine og vite hvordan de bør beskyttes, både med hensyn til konfidensialitet og ved at man sikrer seg backup.
Ingen varslingsplikt, men…
– Amedia sier at konsernet ikke trenger noen godkjenning fra Datatilsynet, fordi konsernet ikke vil være berørt på samme måte som virksomheter som er underlagt spesielle restriksjoner i forhold til håndtering av persondata. Er det korrekt?
– Det stemmer at Amedia ikke har noen drøftings- eller varslingsplikt overfor oss. Det er også et stort unntak i Personopplysningsloven for behandling av personopplysninger som gjelder utelukkende for journalistiske formål. Men unntaket er ikke komplett. Loven gjelder for informasjonssikkerhet, internkontroll og databehandlere, det vil si bruk av tredjeparter.
Må sikre opplysninger
Veum understreker at mediebedrifter må gjøre samme jobben med informasjonssikkerhet som Narvik kommune.
– Også medier har en plikt, som følge av Personopplysningslovens paragraf 13, til å sikre opplysninger, gjøre risikovurderinger og ha kontroll på underleverandører. Som Google i dette tilfellet. Den som velger å ta i bruk Google skal styre dem med hard hånd.
– Er det mulig?
– Amedia må inngå en databehandleravtale som gir dem kontroll med sikringen av opplysninger og en god oppfølging av sikkerheten hos Google. Også de store aktørene har forstått trykket fra personvernmyndighetene. Det vil jo være et ønske både fra kundesiden, myndighetene og leverandøren at disse aktørene også skal kunne brukes til å behandle personopplysninger.
Blir et valg
Ifølge Veum handler det til slutt om man skal velge å stole på leverandøren og den inngåtte databehandleravtalen, og følge den opp i form av sikkerhetsrevisjoner utført av en ekstern tredjepart. Slik Narvik kommune har gjort.
Veum mener det er vesentlig hvor beskyttelsesverdig informasjon et selskap har, og i hvilken grad løsningene gir god nok informasjonssikkerhet. Han minner om at det finnes informasjon som det uansett ikke er trygt å sende på epost, og at dette må vurderes i hvert enkelt tilfelle.
– Epost er nå én ting, men der man beveger seg inn på graving og sammenstilling av dokumenter må man spørre om sikkerheten er god nok ved bruk av denne typen leverandørtjenester. Det gjelder blant hvilke løsninger de kan tilby for kryptering av dokumenter.