Nyhetsbrev 3-2016

Användningen av molntjänster

Alltfler myndigheter överväger att skaffa molntjänster. Det är mer lockande att hyra tjänster som levereras via internet än att ha ett eget IT-system som körs på egna servrar i en egen datorhall. Exempel på sådana tjänster är Googles undervisningsappar och andra applikationer såsom Facebook och Gmail.

Datainspektionen vill nu uppmärksamma myndigheterna om vikten av att ställa krav på leverantörerna så att användningen av molntjänster helt säkert är laglig.

Den som är registeransvarig måste ha en laglig grund för att behandla personuppgifter. Det är viktigt att myndigheterna är medvetna om att de i egenskap av användare ansvarar för de personuppgifter som lagras hos molnleverantören. Myndigheterna är registeransvariga vilket innebär att de ska kunna vara säkra på att molnleverantören vidtar tillräckliga säkerhetsåtgärder för att skydda personuppgifter (data). Användaren av molntjänsten ansvarar även för att data som inte längre används gallras eller utplånas och att uppgifterna inte överförs till länder som saknar dataskyddslagstiftning eller vars lagstiftning inte ger en tillräckligt hög nivå gällande skyddet av personuppgifter. Det innebär rent konkret att myndigheter som behandlar känsliga personuppgifter såsom patientuppgifter eller omdömen om skolelever ska ha fortsatt kontroll över uppgifterna och kunna informera enskilda patienter och skolelever om behandlingen av deras personuppgifter.