När man överväger att använda sig av en molntjänst är det viktigt att i god tid göra en genomgång av vilka lagliga krav det är som ställs och om man kan uppfylla dessa. Kontakta gärna personuppgiftsombudet Emma Svennerstam vid  Avdelningen för planering och ledningsstöd för stöd. Tänk också på att användandet av en molntjänst i vissa fall kan leda till att uppgifter som förs över till molntjänsten blir allmänna handlingar.

Stockholms universitet är personuppgiftsansvarigt för de personuppgifter som behandlas i en molntjänst, även om man anlitar en montjänstleverantör (med eller utan underleverantörer) för att utföra behandlingen.  Molntjänstleverantören som anlitas, inklusive dess underleverantörer, är endast personuppgiftsbiträden. Om Stockholms universitet ska använda sig av en molntjänst för att lagra personuppgifter så förlorar universitetet den faktiska kontrollen över dessa personuppgifter. Det är därför mycket viktigt att man säkerställer att personuppgiftslagen och andra lagar följs vid en sådan behandling av personuppgifter. För mer information om personuppgiftsansvarig och personuppgiftsbiträde, se rubriken ”Personuppgifter”.

Datainspektionen har gett ut ett informationsblad som heter ”Molntjänster och personuppgiftslagen”.

I informationsbladet anges att den personuppgiftsansvarige inför anlitande av molntjänstleverantör måste utföra:

  • Laglighetskontroll
  • Risk- och sårbarhetsanalys
  • Personuppgiftsbiträdesavtal
  • Kontroll av biträden
  • Kontroll av behandling i tredje land

I korthet innebär kraven följande:

Laglighetskontroll

Det första den personuppgiftsansvarige måste ta ställning till är om det överhuvudtaget är tillåtet att behandla de aktuella personuppgifterna enligt personuppgiftslagen. Läs mer under rubriken ”Tillåten behandling”.

När man har fastställt att den personuppgiftsansvarige får behandla dessa personuppgifter måste man ta ställning till om den behandling som molntjänstleverantören ska utföra även är tillåten enligt personuppgiftslagen. Ett personuppgiftsbiträde får endast behandla personuppgifter i enlighet med instruktioner från den personuppgiftsansvarige. Dessa instruktioner arbetas normalt fram av den personuppgiftsansvarige. I vissa fall har dock molntjänstleverantörer s.k. standardavtal som tecknas med kunder. Den personuppgiftsansvarige måste i sådana fall granska villkoren i dessa avtal och göra en bedömning utifrån personuppgiftslagen och den personuppgiftsansvariges risk- och sårbarhetsanalys om ett sådant standardavtal kan tecknas.

Enligt Datainspektionen måste den personuppgiftsansvarige bland annat:

  • avgöra om det finns risk för att personuppgifter kan komma att behandlas för andra ändamål än det ursprungliga
  • avgöra om molntjänstleverantören kan komma att lämna över personuppgifter till tredje land, om den överföringen i så fall har stöd i personuppgiftslagen
  • avgöra vilka säkerhetsåtgärder som måste vidtas
  • upprätta ett personuppgiftsbiträdesavtal med molnleverantören
  • se till att man följer övrig lagstiftning såsom t.ex. offentlighets- och sekretesslagen.

Risk- och sårbarhetsanalys

Innan den personuppgiftsansvarige anlitar en molntjänstleverantör måste en risk- och sårbarhetsanalys utföras för att avgöra om det ens är möjligt att använda sig av den erbjudna molntjänsten, vilken säkerhetsnivå som är lämplig och vilka åtgärder som måste vidtas. Kontakta informationssäkerhetssamordnaren Benita Falenius, IT-avdelningen vid SU, för mer information om och hjälp med att utföra en sådan analys.

Personuppgiftsbiträdesavtal

När en personuppgiftsansvarig ska anlita ett personuppgiftsbiträde så ska ett personuppgiftsbiträdesavtal tecknas. För mer information om personuppgiftsbiträdesavtal, se rubriken ”Personuppgiftsbiträde” på följande länk.

Datainspektionen har granskat flera personuppgiftsbiträdesavtal som gäller användning av molntjänster och har riktat kritik mot samtliga, se följande länk.

Kontroll av biträden

Den personuppgiftsansvarige måste kontrollera att personuppgiftsbiträdet samt eventuella underbiträden verkligen vidtar de säkerhetsåtgärder som krävs för att uppfylla kraven i personuppgiftslagen. Ju känsligare personuppgifter som behandlas desto högre krav ställs det på kontrollen men det blir också svårare att uppfylla säkerhetsåtgärderna med tanke på att personuppgiftsbiträdet kan behandla personuppgifter åt många olika kunder, anlita olika underleverantörer, behandla personuppgifterna i flera länder etc. 

Kontroll av behandling i tredje land

Den personuppgiftsansvarige måste säkerställa att personuppgiftsbiträdet eller eventuell underleverantör som kommer att behandla personuppgifter i ett land utanför EU/EES får göra det. Stockholms universitet måste alltså säkerställa att ett av undantagen från förbudet mot överföring till tredje land kan tillämpas om personuppgifter kommer att överföras till tredje land. För mer information, se rubriken ”Överföring av personuppgifter till tredje land” på följande länk.