”Utmaning för myndigheter att hitta molntjänster som uppfyller GDPR”

I mars i år inledde 22 nationella dataskyddsmyndigheter i Europa en undersökning om användningen av molnbaserade tjänster inom offentlig sektor, genom att ett frågeformulär skickades till totalt över 80 offentliga organ i EU. Svaren på frågeformulären har analyserats på nationell nivå. Dessutom kommer resultaten av de nationella åtgärderna att aggregeras och analyseras för att skapa djupare insikter i ämnet och möjliggöra riktad uppföljning på EU-nivå.

IMY skickade frågeformuläret till 11 statliga myndigheter som IMY bedömer behandlar stora mängder personuppgifter och har erfarenhet av att använda molntjänster. Sju myndigheter svarade på formuläret. IMY har sammanställt svaren i en rapport som finns att hämta i slutet av denna sida. En sammanfattande rapport på EU-nivå kommer från EDPB vid årsskiftet.

– Samtliga svenska myndigheter som deltar i enkäten uppger att det är utmaning att hitta molntjänster som är förenliga med dataskyddsregelverket. Ofta kan det vara svårt att förhandla med molntjänstleverantörer och därmed svårt att på påverka utformningen av eller villkoren för användningen av molntjänsterna, säger Stina Almström som är jurist på IMY och som tagit fram den svenska rapporten.

Enligt den svenska undersökningen används molntjänster huvudsakligen som verksamhetsstöd och för behandling av anställdas uppgifter, men det förekommer att även känsliga personuppgifter om medborgare behandlas.

– En förutsättning för att behandlingen av personuppgifter ska vara förenlig med GDPR när en organisation anlitar externa leverantörer för olika tjänster, är att det är tydligt vem som är personuppgiftsansvarig respektive personuppgiftsbiträde. Undersökningen indikerar dock att det finns utmaningar för myndigheterna att fastställa rollfördelningen.

Samtliga sju myndigheter uppger att de har processer och rutiner för att anskaffa molntjänster och merparten att konsekvensbedömningar genomförs innan en molntjänst anskaffas.

– Molntjänster överför ofta personuppgifter på något sätt till länder utanför EU vilket ger juridiska utmaningar. Utifrån de svar vi fått är det oklart om det vid överföring av uppgifter till länder utanför EU, det vill säga tredje land, alltid finns juridiskt stöd för överföringen.

Enligt myndigheterna uppges vissa molntjänstleverantörer ha bristande kunskaper om grundläggande dataskyddsregler, vilket ställer stora krav på upphandlande myndigheter. Det handlar till exempel om vad som är personuppgifter och en personuppgiftsbehandling, om roll- och ansvarsfördelningen för personuppgiftsansvarig och personuppgiftsbiträde samt personuppgiftsbiträdets ansvar vid anlitande av underbiträden.

– Det har även framkommit information om att det kan vara svårt att ingå avtal med molntjänstleverantörer, då avtalsvillkor inte alltid är transparenta och ofta uppdateras ensidigt.