Stockholms universitet är personuppgiftsansvarigt för de personuppgifter som behandlas i en molntjänst, även om man anlitar en montjänstleverantör (med eller utan underleverantörer) för att utföra behandlingen.  Molntjänstleverantören som anlitas, inklusive dess underleverantörer, är personuppgiftsbiträden. Om Stockholms universitet ska använda sig av en molntjänst för att t.ex. lagra personuppgifter så förlorar universitetet den faktiska kontrollen över dessa personuppgifter. Det är därför mycket viktigt att man som personuppgiftsansvarig säkerställer att dataskyddsförordningen och andra tillämpliga lagar följs vid en sådan behandling av personuppgifter. 

Den som överväger att använda sig av en molntjänst måste i god tid gå igenom de krav som ställs enligt dataskyddsförordningen och övriga tillämpliga lagar för att avgöra om det finns hinder eller risker med användning av en molntjänst. Det är viktigt att man som första steg fastställer vad det är för slags personuppgifter som man vill behandla i en molntjänst och varför. Vissa delar av verksamheten vid Stockholms universitet kan nämligen vara olämpliga eller rentav olagliga att lägga i molntjänster varför kontakt med Stockholms universitets dataskyddsombud ska tas.  Man måste bland annat utreda om det är känsliga eller sekretessbelagda personuppgifter som ska hanteras och det är också viktigt att klargöra om personuppgifterna återfinns i allmänna handlingar eller inte. En behandling av personuppgifter i molntjänst kan nämligen leda till att handlingar som inte är allmänna kan komma att betraktas som expedierade till molntjänstleverantören. Detta skulle innebära att uppgifterna ändrar status till att bli allmänna handlingar. 

Integritetsskyddsmyndigheten anger att man inför användande av molntjänst måste utföra följande:  

  • Laglighetskontroll
  • Risk- och sårbarhetsanalys
  • Personuppgiftsbiträdesavtal
  • Kontroll av biträden
  • Kontroll av behandling i tredje land

Laglighetskontroll

Innan man fattar ett beslut om att börja använda en molntjänst måste Stockholms universitet först ta ställning till om det överhuvudtaget är tillåtet att behandla de aktuella personuppgifterna enligt dataskyddsförordningen.

När man har fastställt att Stockholms universitet får behandla dessa personuppgifter måste man därefter ta ställning till om även den behandling som molntjänstleverantören ska utföra är tillåten. Ett personuppgiftsbiträde får endast behandla personuppgifter i enlighet med instruktioner från den personuppgiftsansvarige. Dessa instruktioner arbetas normalt fram av den personuppgiftsansvarige. I många fall har dock molntjänstleverantörer s.k. standardavtal som tecknas med kunder. Den personuppgiftsansvarige måste i sådana fall granska villkoren i dessa avtal och göra en bedömning utifrån dataskyddsförordningen och den personuppgiftsansvariges risk- och sårbarhetsanalys om ett sådant standardavtal kan tecknas eller ej. 

Det är viktigt för laglighetsprövningen att veta vilka leverantörer som ska hantera personuppgifterna, hur personuppgifterna kommer att hanteras och var informationen kommer att lagras geografiskt. Dataskyddsförordningen ställer långtgående krav på att Stockholms universitet ska ha insyn i och kunna kontrollera den behandling av personuppgifter som utförs av ett personuppgiftsbiträde.

Enligt Integritetsskyddsmyndigheten måste den personuppgiftsansvarige bland annat:

  • avgöra om det finns risk för att personuppgifter kan komma att behandlas för andra ändamål än de ursprungliga
  • avgöra om molntjänstleverantören kan komma att lämna över personuppgifter till tredje land, och om den överföringen i så fall har stöd i dataskyddsförordningen
  • bedöma vilka säkerhetsåtgärder som måste vidtas för att skydda personuppgifterna
  • upprätta ett personuppgiftsbiträdesavtal med molnleverantören
  • se till att man följer övrig lagstiftning, såsom t.ex. offentlighets- och sekretesslagen, arkivlagen eller eventuella speciallagstiftningar.

Risk- och sårbarhetsanalys

Av artikel 32 i dataskyddsförordningen framgår att den personuppgiftsansvarige ska vidta lämpliga organisatoriska säkerhetsåtgärder för att säkerställa en säkerhetsnivå som är lämplig för behandlingen. Att genomföra en risk- och sårbarhetsanalys är ett exempel på en sådan säkerhetsåtgärd. Innan den personuppgiftsansvarige anlitar en molntjänstleverantör måste en risk- och sårbarhetsanalys utföras för att avgöra om det ens är möjligt att använda sig av den erbjudna molntjänsten, vilken säkerhetsnivå som är lämplig för behandlingen och vilka åtgärder som måste vidtas. 

Ju större integritetsrisker en viss personuppgiftsbehandling innebär desto högre krav ställs det på säkerhetsåtgärderna. Det som kan avgöra storleken på integritetsrisken är t.ex. antalet personer som uppgifterna avser, mängden uppgifter som behandlas om varje person och känsligheten hos de behandlade personuppgifterna. Autentisering, behörighetsstyrning, behörighetskontroll, kommunikationssäkerhet, rutiner för säkerhetskopiering och utplåning samt skydd mot obehörig åtkomst och skadlig programvara ska beröras i risk- och sårbarhetsanalysen. 

När man behandlar känsliga personuppgifter, uppgifter om lagöverträdelser och sekretesskyddade uppgifter, kräver Integritetsskyddsmyndigheten bland annat att det ska finnas stark autentisering vid överföring av uppgifter i öppet nät och att uppgifterna ska skyddas med kryptering. När sådana uppgifter behandlas ställs ofta krav på åtkomstkontroller där den personuppgiftsansvarige regelbundet och systematiskt följer upp vem som har haft åtkomst till vilka uppgifter.

Personuppgiftsbiträdesavtal

När en personuppgiftsansvarig ska anlita ett personuppgiftsbiträde måste ett personuppgiftsbiträdesavtal tecknas som ska innehålla den information och de krav som ställs enligt dataskyddsförordningen. Ofta har molntjänstleverantörer egna standardavtal med begränsad möjlighet till ändringar men det fråntar inte Stockholms universitet ansvaret att ha ett personuppgiftsbiträdesavtal som uppfyller kraven i dataskyddsförordningen.

Kontroll av biträden

Den personuppgiftsansvarige måste kontrollera att personuppgiftsbiträdet samt eventuella underbiträden verkligen vidtar de säkerhetsåtgärder som krävs för att uppfylla de krav som följer av dataskyddsförordningen. Ju känsligare personuppgifter som behandlas desto högre krav ställs det på kontrollen, men det blir också svårare att uppfylla säkerhetsåtgärderna med tanke på att personuppgiftsbiträdet kan behandla personuppgifter åt många olika kunder, anlita olika underleverantörer, flytta informationen, behandla personuppgifterna i flera länder etc. Ju mer insyn i molntjänstleverantörens och eventuella underleverantörers verksamhet desto lättare är det att utöva nödvändig kontroll av hur leverantören behandlar personuppgifterna enligt dataskyddsförordningen.

Kontroll av behandling i tredje land

Om personuppgifter kommer att behandlas av personuppgiftsbiträden i ett land utanför EU/EES måste den personuppgiftsansvariga säkerställa att personuppgiftsbiträdet eller eventuell underleverantör som kommer att behandla personuppgifterna får göra det. Stockholms universitet måste alltså se till att ett av undantagen från förbudet mot överföring till tredje land kan tillämpas och att övriga regler i dataskyddsförordningen följs. Undantag från förbud mot överföring av personuppgifter till tredje land får ske i följande situationer: 

Beslut om adekvat skyddsnivå

  • Lämpliga skyddsåtgärder, exempel på detta är standardavtalsklausuler eller bindande företagsbestämmelser, BCRs
  • Särskilt tillstånd av Integritetsskyddsmyndigheten
  • Samtycke eller i andra särskilt angivna situationer
  • Överföring vid enstaka tillfällen