tirsdag den 30. august 2011

Hvorfor er digitaliseringsstrategien forsvundet i valgkampen?

(Foto fra Digitaliseringsstrategien)

Den 19. august udkom regeringens samlede IT strategiudspil, der er udviklet i samarbejde med KL og regionerne. Men der har været meget stille om den i valgkampen indtil nu – og det er under alle omstændigheder synd, for der er mange gode tiltag – og også en hel del mere luftige ønsker – gemt i de 43 sider, som strategien er beskrevet på.

De 3 hovedspor: 'Slut med papirblanketter og brevpost', 'Ny digital velfærd', 'tættere offentligt digitalt samarbejde' ser ganske vist ud som noget. Vi har hørt før, men på en del væsentlige punkter er der nyt at hente. Overskriften og hovedformålet lyder som et valgløfte: ”Det gælder fremtidens Velfærd” og er en videreførelse af ideen om at digitalisering i 2020 skal frigøre 3 mia årligt fra den offentlige sektor og et øget samarbejde mellem den offentlige og private sektor bidrage til øget vækst. Men hovedmålene synes at være bedre kvalitet, større borgertryghed og højere effektivitet i den offentlige sektor, noget vi har hørt siden 2001.

Strategien er delt op i 12 initiativer eller fokusområder:

1. Effektiv digital kommunikation med borgerne satser på total digital kommunikation med borgerne fra 2014, elektronisk selvbetjening for alle og adgang til mobil selvbetjening. Men fortsat via borger.dk, på trods af at især mobilområdet nu eksploderer over hele Verden med APPs'er til alt og alle. Det vil i løbet af få år betyde farvel til de portaler, der i dag betragtes som ligeså sakrale som Keops-pyramiden. Men positivt, at der tages hensyn til de IT-svage i strategien, og der ser ud til at være en fornuftig tidsfølje for aktiviteterne.

2. Lettere vej til vækst for virksomhederne lover 'mindre bøvl', on line kommunikation, digital oprettelse af nye virksomheder, lettere at ansætte nye medarbejdere og automatisk posteringer til det offentlige – og en kryptisk med ikke særlig specificeret indsats om adgang til 'tilgængelige offentlige data'. Der er milevidt fra Regeringens IT strategi til den aggressive åbning af adgang til offentlige data, der finder sted i UK og i USA. Danmark rangerer på en 16. plads på en liste over OECD-landes adgang til offentlige data, og her mangler både retningslinier, fælles principper for datalagring og sikkerhed, og dermed går man glip af et stort potentiale for udnyttelse af data mining, der kunne kickstarte f.eks. gen-baseret forskning i sygdomsforebyggelse, fødevarer, styring af trafikmønstre for blot at nævne nogle eksempler.

3. Folkeskolen skal udfordre den digitale generation. Lyder godt, men indholdet er lidt hult, når man tænker på hvor mange penge der er spildt på at anskaffe interaktive tavler og PC'er, uden at man af den grund har formået at tage fat om lærernes kompetence og støtte til nye anvendelse af helt nye undervisningsformer. Det gælder især ønsket om at eleverne skal kunne vurdere kvaliteten af informationer på nettet og kunsten at samarbejde digitalt. Forskning er nævnt, men formidling og lærerinddragelse mangler. Ipad-æraen og de mobile enheder og APPs-verdenen kræver nytænkning over hele linien, og finansiering af udskiftning af PC'er, der måske er forældede allerede om et par år, det virker maskinfikseret.

4. Effektivt digitalt samarbejde med patienterne lover fuldt digitaliserede, kliniske arbejdspladser, samlet overblik over patienternes sundhedsoplysninger, sikker og konsistent kommunikation, og en handlingsplan for udbredelse af telemedicin og støtte til kronikere i eget hjem. I lyset af valgkampens tema om nedlæggelse af regionerne ville det måske være mere værd at have haft en helt overordnet diskussion om organisering af hele sundhedsområdet – fra forebyggelse til helbredelse og rehabilitering – før man igen begynder på del-løsninger. Men det er positivt, at man taler om et samlet overblik over patientens sundhedsoplysninger i stedet for at satse på 'én EPJ' – tiden er løbet fra mastodont-løsninger og det vigtigste må være at skabe sammenhæng og adgang til forståelige data på tværs af systemer og sektorer. Fælles medicinkort er bestemt en fornuftig og vigtig delaktivitet.

5. Fart på brugen af teknologi i den sociale indsats er en glimrende målsætning, men at det nu skulle være nødvendigt at begynde med 'en udredning om udbredelse af velfærdsteknologi' er virkeligt at kaste håndklædet i ringen: Vi har MASSER af pilotprojekter bag os, det vi mangler er at kommunerne lever op til deres ansvar og satser langsigtet. Det er oven i købet muligt at få en fornuftig dialog med FOA og andre lønmodtagerorganisationer. Hvis Velfærdsteknologi skal være en dansk styrkeposition er det beskæmmende, at der ikke er flere konkrete forslag, herunder også et tilsagn fra KL om nu at begynde at satse. 'Styrket digital rehabiliteringsindsats' er ligeledes en luftig hensigtserklæring.

6. Digital, effektiv og forenklet beskæftigelsesindsats – Er det Amanda i en ny form? Digital selvbetjening hos udbetaling DK, digitale selvbetjeningsmuligheder generelt kombineret med efektiv screening mod snyd – men hvad med uddannelsesløft, opkvalificering af ledige, IKT-kompetencer for ledige ??

7. Digitale universiteter er jo dybest set beskæmmende, at vi ikke har fået det endnu. Kommunikation, optag, eksaminer er OK, men at universiteterne 'bør anvende fællesoffentlige IT-løsninger' leder tankerne hen på det berygtede VUE-projekt, for de der kan huske det. Indholdet af forskningen, brugen af højt avancerede IT-systemer, super-computing, deltagelse i globale samarbejder, kunne nok rykke betydeligt mere. Hvad med en effektiv markedsføring af danske universiteter gennem moderne tilbud om fjernundervisning til fjernere lande?

8. Effektiv miljøforvaltning på et fælles grundlag – herunder lettere adgang til offentlige miljødata, digitalt overblik over planer, bedre kvalitet i miljødata og lettere kommunikation for virksomhederne. Men hvor er miljøforandringerne og truslerne mod oversvømmelser, skybrud etc. henne? Området bærer måske præg af, at miljøministeriet har været droslet kraftigt ned under den nuværende regering, og at de gamle amters miljøindsats var så spredt, som den var.

9. Robust digital infrastruktur – konkret, vigtig og håndfast fokusområde – og ambitiøst at sigte mod et fælles overblik over IT-arkitekturen, men nødvendig. Også for at skabe forståelse for, at en Enterprise Architecture altså er mere end en IT-arkitektur, og at det er altafgørende for at sikre et samspil mellem ledelse og IT-funktioner uanset hvor i hierarkiet, man befinder sig. Men infrastruktur, der styres af IT, er altså også intelligent trafik, intelligente el-net, intelligent vand.- og kloak – og for den sags skyld intelligente bygninger. Også her er der vækstmuligheder at hente, hvis man satser lidt mere! Så godt fokusområde, men det kunne være endnu bedre!

10. Fælles grunddata for alle myndigheder – udmærket initiativ, men sigtet er for snævert: Det burde netop være adgang for alle (indenfor persondatalovens rammer/hensigt), så Open Government kunne realiseres og for at støtte mindre, men kreative virksomheders brug af offentlige data. 'En fælles datafordeler' – lyder interessant. Lad os høre mere. Forbedringer af personregistrering og bedre data om borgernes indkomst er nok marginalforbedringer i forhold til det bredere sigte.

11. Digitaliseringsklar lovgivning er nok en af de vigtigste fornyelser inden IT strategien; ike så meget den nødvendige lovgivning om digital selvbetjening, og om retsvirkning af digitale breve, men især om principperne for 'digitaliseringsklar lovgivning' – og så regler for cloud computing. De bedre rammer for IT-udbud og indkøb haster meget og må være lavthængende frugter – især i lyset af ønsket om at bidrage til vækst.

12. Det sidste fokusområde handler om styringen af den projektportefølje, som digitaliserings-strategien vil afstedkomme; koordination, implementering, klar ansvarsfordeling er vigtige, og forudsætter en veldefineret Enterprise Architectur. Dokumentation for at strategiens mål realiseres er også et krav til hensigtsmæssige business cases som grundlag for igangsætning af porteføljens delprojekter. Men hvordan tænker man at fortsætte styring på tværs af sektorerne? Domænebestyrelser uden reel magt er vel ikke nok til at sikre succes'en?

Alt i alt kommer digitaliseringsstrategien godt nok paletten rundt – men den mangler på nogle fundamentale områder, som ville have været vigtige at have med i en valgkamp, der handler både om vækst og velfærd:

Meget mere fokus på hele mobile Government-området

Virkelig slagkraft strategi for at åbne alle offentlige data – Open Government

Mere fokus på uddannelse og støtte til folkeskolens lærere for at udnytte nye muligheder

Gennemtænkt struktur for hele sundhedsområdet med en sammenhængende Enterprise Arkitektur i stedet for delløsninger

Vi behøver ikke flere udredninger om velfærdsteknologi – kom i gang og giv kommunerne incitament til at sætte det i værk

Hvordan opkvalificerer vi ledige? Med halvdelen af den arbejdsduelige befolkning på overførsel, er det ikke administrationen af pengene, der er vigtige, men derimod at udnytte potentialet

International markedsføring af danske universiteter og en indsats for at tiltrække udenlandske studerende – on line eller in person

Miljøforvaltning og robust infrastruktur – men hvad med hele området om klima, intelligente el-net, vej-net, kloak-net, huse...

Moderniserede regler for offentlige indkøb, der også støtte nye, innovative virksomheder og Public-Private-Partnership til glæde for innovation og vækst er vigtigt og haster

Digitaliseringslovgivning er et godt initiativ – det burde have en stor rolle i debatten, det handler jo om at sikre persondata men smidiggøre anonymiseret brug heraf – også i cloud computing

Endelig mangler strategien en klar diskussion om organiseringen af styringen af det videre forløb – uden en fast 'Governance model', er der meget, der kan køre af sporet.

Se også Version 2 blog om digitaliseringsstrategien

fredag den 12. august 2011

Cloud Computing – Are the Security Risks real - or is Legislation lagging behind technical Opportunities?

fig 1. Cloud Computing concepts and threats

In Denmark the discussion between Security freaks and the avant garde computer nerds has raged this summer om the question whether or not the Public Sector in Denmark should pursue the use of Cloud computing aggressively. (My blog – in Danish – covers this discussion). The con's are led by the IT Council for Security, while the pro's – amazingly – is lead by the Minister of Science, Charlotte Sahl-Madsen, who sees the opportunity to involve a number of innovative, small companies in utilizing the vast amount of public data until now stored away in departmental systems, bunkers or behind firewalls.

Gartner Group has recently publicized it's 'Hype Cycle' for Cloud Computing that points to the observation that the concept is probably currently at the very top of the Hype and bound to go through the 'Trough of Disillusionment' before we start to see real large scale, public use of the technology.

The opponents are pointing to 3 reasons why the public sector should be extremely careful to deploy CC at a large scale:

  1. Cloud Computing should comply with all existing legislation concerning data security.

  2. Cloud Computing solutions should obey to 'best practices' and common accepted standards that the providers should be certified to guarantee

  3. Critical data should obey to national and EU standards in emergencies – currently demanding that critical data (Citizen Records, Health Records, State Financial Records, Military and police records) should be guarded and kept within full physical control of the responsible departments/public organizations.

The Minister of Science requests a new look at Data Security, and even EU is expected to produce a suggestion to ease the European Directives on data protection to stimulate use of Cloud Computing.

But what are the facts and what are the real security challenges in Cloud Computing? Are there any new technological developments that will ensure that legislations' intents are obeyed even if the rigorous requirements for 'physical control and inspection' can not be performed in it's original sense?

First we need to agree on what Cloud Computing is and what is isn't. In February 2009 the UC Berkeley Adaptive Distributed Systems Laboratory gave out a technical report describing the phenomenon.

They point out that Cloud Computing refers to both the applications delivered as services over the internet and the hardware and systems software that provide these services. The applications themselves are labelled Software as a Service. The underlying HW and SW is described as the cloud. When a cloud is made available on a pay-as-you-go manner, we call it a Public Cloud. The service being sold is called Utility Computing. In contrast to this, a Private Cloud refers to internal data centers or data centers not made a available to other that one customer (or a coherent set of customers). The Private Cloud is dismissed from the Berkeley sense of Cloud Computing, even if pricing and to a certain degree scalability might be at least similar to 'Real Cloud Computing'.

Now the business model of Cloud Computing in it's original form thus consist of this 'value chain': we have the SaaS user, the end user that buys the services, web applications. He might buy these services from a SaaS-Provider, who can be seen as a Cloud User, that buys the underlining HW and basic SW capabilities from a Cloud Provider. Of course the Cloud Provider and SaaS provider might be one and the same organization.

The various classes of Utility Computing that are offered through individual business models, vary of course (Amazon, Microsoft Azure, Google, IBM etc.) and the various types are reflected in various models for computation models (Virtual Machines running on 'Hypervisors' or a 'farm' of VM's), by various storage models including variations of DB SW provisioning and finally various Network models from pre-defined IP address spaces, dynamic allocation, fixed topologies, 'elastic zones' etc.

This variation reflects the lack of common standards but is of course a result of the intense competition in the marketplace. But is has led to new definitions a part from SaaS that are used commonly: Platform-as-a service – typically major application areas, SAP for instance – and Infrastructure-as-a service. Especially the latter variation leads to the conclusion that the organization that buys IaaS simply buys the basic building blocks and otherwise are left with the responsibility to populate the Cloud by his own applications and development tools. This type of Cloud business model is especially appealing to SW developers, while the PaaS model is aiming at solving enterprise (or Government institutions') problems.

To confuse the matter more, the terms 'Community Cloud' and 'Hybrid Cloud' have risen recently – the former simply refers to a private cloud with many tenants (municipalities, agencies for instance) while Hybrid indicates that some of the applications in the portfolio in running in the Public Cloud while other services within the portfolio remains in the Private Cloud.

The application opportunities that have occurred the last couple of years as a result of this combination of highly scalable, robust 'back end' systems and an aggressive 'pay-as-you-go' pricing model covers interesting areas like mobile interactive applications, large scale batch processing jobs, heavy data analytical computation jobs, to more straight-forward desktop services solutions avoiding tedious updating and installation of new SW at each and every employees desktop.

The economics of Cloud Computing explains why the Berkeley-team did not want to include 'Private Clouds' in the definition: The huge requirements of back-end capacity and the real need for economy of scale makes it almost mandatory that the players are very large companies that can afford the risk of large scale investments – and on the other hand are able to manage and balance load in an extremely efficient way. Sharp changes in capacity demand, seasonal fluctuations, including back-up requirements, fall-over facilities etc. plus of course traffic bottlenecks in communication equipment clearly makes the unit costs of Cloud Providers competitive compared to traditional Data Centers. This is the major argument for US CIO Vivek Kundra's Federal Cloud Strategy 'Cloud First', announced February 2011, where it is stated that at least 20 Billion US $ out of the total 80 billion $ spent by federal agencies in 2011 could be saved by moving to the cloud.

Other economic benefits of moving to the Cloud as stated by Vivek Kundra are the improved productivity in application development, fast response time to rising needs, better linkage to emerging technologies and alignment with private sector innovation.

It is tempting to argue that the huge difference between the European 'Cloud Scepticists' and Vivek Kundra is that US is desperately in need of savings and in any case not very concerned about privacy, the Europeans have a more than 10 year legislation on privacy, now adopted in almost all EU countries and at least in some countries (led by Germany) this plays a very large role in public opinion. This is the reason why the EU Commission has requested an in depth study of legal and technical implications of Cloud Computing in light of the EU 94/46 Directive. These changes are not due to occur before spring 2012.

OK, but where are the REAL risks?

Looking at Figure 1 we can identify 4 classes of risks of malicious, unauthorized access:

  • End user access – non-authorized attempts to gain access to read, steal, modify data, DOS etc.

  • Inter-Cloud Access using external services to hide malware, worms, trojan horses etc.

  • Tenant related 'insider' attempts to gain un-authorized access

  • Cloud Provider administrator 'insider' attacks

Add to these risks the risk of errors in a shared physical environment if instances of VM and in particular data are not kept isolated from other tenant's.

Let us try to address the question of how a secure cloud solution could be established following the 3 items mentioned by the Danish Council for IT Security.

  1. Comply with Data Protection laws.
    Their first concern is that a cloud and Saas-provider should comply with the current legislation. This has as it's root the requirement that it should be guaranteed that only authorized persons get access to data that contains PID (Personally Identifiable Data).

    You could argue that this is first and foremost the responsibility of the department that collects and stores the data to ensure access rights and to ensure that the Cloud provider follows the requirements in this respect: logs access as well as access attempts, prevents unauthorized access to customer data also by his own staff. Ultimately this requires for the government agency that wants to move to the cloud that it maintains a security organization that issues or controls issuance of access certificates and up-to-date Access Control Lists.
    It is likewise a requirement for any procurement and contracts with cloud providers.

  2. Cloud provider should adapt 'best practices' and standards and be certified.
    Best Standards are at this stage only emerging, and it may be a tough requirement, before internal standardization agencies and governments agree on this. But there are practices that could help guide the Cloud Vendor. (See also Google's White Paper on Cloud Security)

    First of all the psychological fears of privacy breaches could be avoided if the cloud provider could guarantee against intruders passing the firewall and accessing user data, we already discussed the first level of this. The second layer attack could be hidden in the cross-application communication that will eventually occur when external clouds exchange services and data with the tenants of one cloud operator. It might be simple things like services for currency exchange calculations, or it might be much more SOA-like, cross domain data analytics – for instance health care research across several EHR-systems.
    The more basic services to protect against things like VLAN-spoofing and firewall configuration errors should in any case be part of a contract with a trusted provider, but the Achilles-heal is the second type: access to primary data across a number of domains.
    We will discuss this in more detail later to see if there are some technological development ahead.

  3. The 3rd requirement from the Security Council concerns national security regulations. These requirements are probably more difficult to deal with if legislation is taken literally: that inspectors should be able to physically identify data bases and storage devices. That is, of course unless you are able to prove that a) The data are protected from any 3rd party reading and interpretation, and b) that even if the case of destruction you are able to re-construct data in a secure way. One would think that Vivek Kundra had this in mind but came to the conclusion that all major cloud providers are deeply rooted in US.

    There are, however, some inconsistencies in the current legislation; while it is understood that no foreign power should gain access to a complete Person Registration system, it is questionable why a financial system and related data should be considered 'strategic' if the data are duplicated and can be reproduced. This is the position of the Danish Minister of Science. But the intention as specified in national legislation to keep strategic data within the country seems to be more like a legal problem – especially if the true meaning of the word 'Control' can be solved in other ways. If you have full back up/recovery of data, full duplication and secured your data by top class (maybe even dynamic) encryption of data you could argue that you, the data owner has full control.

So it seems that there are technical ways around at least most of the issues – but how real is the idea to have all public institutions manage the access rights, secure encryption of the data and still be able to exchange and exploit data across institutional borders in a 'community-like' public cloud environment? Let us assume that all policy aspects are solved, agreements of responsibilities between tenant of cloud provider (and SaaS-provider) are put in place, SLA's established, certification of best practices – then is the idea of a grand scheme of encrypted data at all feasible?

Already in 2009 the IBM researche Craig Gentry suggested a method of what he called Homomorphic computing which would enable users with appropriate access rights to access and calculate on encrypted data across domains in a way where the final result could be decrypted and produce the same result as if the operation had been performed on the 'raw' data. If this is a feasible and economic practical solution, then most of the obstacles of putting sensitive data in the Cloud have disappeared. But as usual, there is no such thing as a free meal. At the current state of development, the computational requirements for this 2-step encryption method are enormous, at least at present enough to turn the economic advantages of Cloud Computing off. So we will still have to wait for the costs of computing to come down – and as it seems we are already getting beyond Moore's law and accelerating developments, it is now believed that homomorphic encryption will become economical feasible within the next 5 years. And when it will be solved, the interim requirements of close control with the Cloud provider might be reduced.

But then we need in any case to agree on and clean the standards, define and refine policies, practice and implement large scale ID-management and authorization. In any case the answer to the question whether the technical risks of cloud computing are real is yes, and it will be solved. Eventually.


tirsdag den 9. august 2011

Cloud Computing i den offentlige sektor – En død sild eller ...??


Henover sommeren har der været en hel del artikler om det offentliges brug eller ikke brug af Cloud Computing. Rådet for IT-sikkerhed nedkom med en pressemeddelelse den 18. juni med budskabet: 'Vent med Cloud Computing i den offentlige sektor', som blev kraftigt kritiseret af Børsen i juli, hvor Jesper Frederiksen beskyldte Rådet for at være bagstræbende og for at forhindre den offentlige sektor i at opnå massive besparelser. Selv IT- og Telestyrelsen gik ind i debatten og erklærede sig uening med Rådet for Større IT sikkerhed. (Se ComOn's udlægning: 'Rend og Hop'!)

Parallelt hermed har Videnskabsministeren hele foråret er klæret sig som varm fortaler for mere brug af Cloud Computing i det offentlige: Videnskabsministeren siger ja til cloud-løsninger i det offentlige og har udtalt, at 'Persondataloven forvirrer for meget' og hun har derfor nedsat en arbejdsgruppe, der skal se på, om der kan laves lovændringer, så det bliver nemmere at bruge Cloud Computing i det offentlige.

Så hvad er op og ned i den diskussion?

Rådet for større IT sikkerhed anbefaler, at det er uomgængeligt at 4 krav skal opfyldes, før nye offentlige cloud løsninger etableres:

  • Sikkerhedsforholdene hos leverandøren skal kunne verificeres ved fysisk inspektion og certificering af leverandøren, der sikrer overholdelse af EU og dansk lovgivning

  • Der skal være løsninger for nødberedskab

  • Der skal være klare aftaler, der sikrer at data forbliver i myndighedernes varetægt og lagres inden for EU's grænser

  • Kritiske IT løsninger som forsvar, politi og CPR bør under alle omstændigheder være fuldstændigt under statens kontrol

I det hele taget mener Rådet, at manglen på standarder og gennemsigtighed hos leverandørerne gør det højst umuligt at anvende andet en 'privat cloud', d.v.s. en lukket anvendelse af principperne i Cloud Computing, men helt under det offentliges kontrol – muligvis via en tredjepart, men under alle omstændigheder inden for landets grænser.

IT-og Telestyrelsen er ikke enig i IT sikkerhedsrådets konklusion og de fremhæver, at de har gode erfaringer med cloud computing til tre systemer, især eFaktura og Nemhandel. Når Datatilsynet indtil nu ikke har godkendt Odense Kommunes skolevæsens brug af Google Apps, mener man i ITST at det løser sig, når kommunen finder nye formuleringer. I øvrigt henviser man til det arbejde, der er udført i IT Sikkerhedskomiteen om De juridiske rammer for Cloud Computing 17.5 2011

På hjemmesiden Digitaliser.dk, har der løbende kørt diskussioner om brug af cloud computing. I bloggen skrevet af Marie Munk: Partly Cloudy er hun især positiv overfor brugen af standard SW (SAAS – Software as a Service), men i det hele taget indstillet på at det offentlige kan gå foran og afprøve nye serviceformer. Men ser vi Private versus Public Cloud – Niels Pagh Rasmussens kommentar – er denne mere på linie med Rådet for IT Sikkerhed. Og der har da været en del eksempler på brølere – f.eks. omtalen af at Cloud-fejl i køreprøvesystem påtales af Datatilsynet .

EU er i fuld gang med en revision af diverse regler og direktiver, der kommer i spil når man overvejere Cloud Computing. Det fremgår af denne artikel: Charlotte Sahl-Madsen positiv overfor lovændringer der forhindrer regnskabsdata, at arbejdet skal være tilendebragt den 31. august 2011, så kommissionen i starten af 2012 kan komme med nye forslag, herunder også om de regler, der i dag begrænser at nationale regnskabsdata kan flyde frit over grænserne. Man må formode, at man også vil tage stilling til, hvordan den gamle 'Safe Harbour' regel kan opdateres. Safe Harbor – Certificering af data centre i udlandet var den regel, der gjorde det muligt at overlade Europæiske, Schweiziske og Amerikanske Data til certificerede datacentre i hinandens lande. Problemet med Safe Harbour er imidlertid, at i de mere end 10 år den har været i kraft har der aldrig været nogen klage eller sagsanlæg, på trods af at man antager at ca. 1/3 af datacentrene ikke lever op til certificeringen. Dertil kommer, at hele ånden bag Safe Harbour er blevet ødelagt efter 9/11 af Patriot Act – indkskrænket beskyttelse af persondata blev resultatet, så man kan forvente, at US efteretningstjenester har fin adgang til de persondata fra udlændinge, der befinder sig i US.

Ikke desto mindre har især den amerikanske CIO Vivek Kundra udarbejdet en national strategy:

'Cloud First' – Vivek Kundra's national cloud strategy – der peger på særdeles omfattende besparelsesmuligheder ved at flytte federale og statslige datacentre til Cloud Computing.

I lyset af den amerikanske finanskrise, er det nok overvejende sandsynligt, at det vætigste argument her nok snarere er besparelsespotentialet. Samt en formodning om, at da cloud-lverandørerne typisk er amerikansk ejede virksomheder, har man de nødvendige håndtag – samt et noget mere afslappet forhold til persondata. Hør Vivek Kundra tale om Cloud: Vivek Kundra – US CIO – understreger vigtigheden af at flytte offentlige løsninger til cloud computing

Ud over USA er også Australian langt fremme med anbefalinger til anvendelse af Cloud Computing, og man beskriver i strategien fra april 2011, hvordan pilot applikationer som eTax og Business Reporting bliver evalueret. Denne rapport er en glimrende oversigt over muligheder, og den indeholder i øvrigt Gartner Groups 'Hype Cycle' for Cloud computing.

Medens den Australske model er meget åben over for applikationer, der liogger i 'Public Cloud'. Er UK's CIO-committee mere forsigtige og peger på anvendelser indenfor 'the G-Cloud' – d.v.s. En privat cloud der deles på tværs af ministerier og forvaltninger i UK.

Diskussionerne er langt fra overstået, og det bliver spændende at se, hvordan diskussionen mellem Rådet for større IT Sikkerhed og IT- og Telestyrelsen/Videnskabsministeriet udvikler sig.

For fuldstændighedens skyld kan man med fordel læse rapporten om

Cloud Computing i den offentlige sektor fra 2009 og måske også Google Apps Security White Paper for at se, hvad Cloud Leverandørerne har i tankerne.