Med anledning av den nyligen uppdagade IT-skandalen inom Transportstyrelsen, där känsliga personuppgifter har gjorts tillgängliga för personer som inte innehar säkerhetsklassificering, tänkte jag att vi denna vecka ska titta lite närmare på personuppgifter och molntjänster och hur dessa bör behandlas för att undvika liknande situationer i framtiden.

Under 2015 publicerade Pensionsmyndigheten en omfattande analys av användandet av molntjänster för just personuppgifter, och den nya form av outsourcing som detta medför för myndigheter. I dagens blogginlägg tittar vi på analysen i ljuset av vad vi nu vet om hur Transportstyrelsen skötte sin outsourcing och den röra, bokstavligen talat, som rördes upp. I analysen tas många intressanta aspekter upp, både gällande de stora fördelar myndigheter kan dra av att använda molntjänster men även de farhågor och problem som finns och kan uppstå.

Säkerhet

Molntjänster medför många fördelar, inte minst för myndigheter som istället kan lägga ner tid och resurser på annat än IT-lösningar, men de medför även många frågetecken. När det kommer till personuppgifter är det framför allt säkerhetsfrågor som är av stor vikt och som gör att myndigheter kan ställa sig passiva till att ansluta sig till utvecklingen. GDPR ställer höga krav på att en hög teknisk och organisatorisk säkerhetsnivå ställs på hanteringen för att förhindra att personuppgifter missbrukas och redan i artikel 5 GDPR fastställs att personuppgifter ska behandlas på ett sätt som ”säkerställer lämplig säkerhet” och vidare i art. 32 fastställs att tekniska och organisatoriska åtgärder måste vidtas för att säkerställa en lämplig säkerhetsnivå som ställs i förhållande till risken med personuppgifterna. Med detta i beaktande kan man se att en stor prövning för molntjänstleverantörerna kommer vara att se till att just deras moln uppfyller de högt ställda tekniska kraven.

Kontrollfrågan

Datainspektionen har vidare identifierat en stor problematik i användandet av molntjänster. Det är dels att myndigheten förlorar kontroll över uppgifterna när de förts in i ”molnet”, och dels att många leverantörer av molntjänster använder standardiserade avtal som inte alltid är kompatibla med myndighetsutövning. Vidare är det inte helt ovanligt att molnleverantörer ofta lämnar över behandlingen av uppgifterna till underleverantörer som i sin tur kanske har underleverantörer. Med tanke på att den som använder moln för hantering av personuppgifter är personuppgiftsansvarig och alla som hanterar behandlingen är personuppgiftsbiträden behöver biträdesavtal upprättas dem emellan. Som personuppgiftsansvarig måste man därför vara på sin vakt i avtalet med personuppgiftsbiträdet i första steget så att man har kontroll över vilka personuppgiftsbiträdet i sin tur kan skriva biträdesavtal med (underleverantörer) Detta för att säkerställa full kontroll i hela kedjan. Om problemet med säkerhet är ett tekniskt problem så är detta ett organisatoriskt, hur ska molntjänstleverantörer göra sin organisation kompatibel med de krav som myndigheter kan komma att ställa gällande hantering av personuppgifter.

Slutsats

Molntjänster är ett viktigt verktyg i digitaliseringen av Sveriges myndigheter, men det kommer också med sina utmaningar. Utmaningar som måste lösas för att personuppgifter ska kunna hanteras i verktygen utan risk för incidenter, både stora och små. En av de viktigare aspekterna att titta på är själva strukturen med molnleverantör och underleverantörer, det är av största vikt att kontrollen över uppgifterna inte går förlorad i en lång kedja av underleverantörer utan att den behålls hos den personuppgiftsansvarige, men även att en adekvat skyddsnivå säkerställs på uppgifterna i molnet. I takt med att digitaliseringen och användandet av molntjänster blir större och intensivare, och med GDPRs framfart kommer säkerligen många intressanta frågeställningar uppstå. Vi håller er uppdaterade!

 

Du hittar mer information här:

 

Emma Lundin

support@gdprhero.se

046 – 273 1717

Innehållet i denna blogg innehåller allmän information och är inte att betrakta som rådgivning. Användning av denna information sker på egen risk.
Share This