Hoppa till innehåll på sidan

Användning av molntjänster inom offentlig sektor

Inom ramen för ett samarbete inom den Europeiska dataskyddsstyrelsen (EDPB) genomförde IMY tidigare i år en undersökning om statliga myndigheters användning av molntjänster. Nu har de övergripande slutsatserna sammanställts i en rapport.

Integritetsskyddsmyndigheten, IMY, har genomfört en undersökning av offentliga myndigheters användning av molntjänster. Undersökningen har utförts inom ramen för en samordnad åtgärd inom Europeiska dataskyddsstyrelsen, EDBP. Sju myndigheter har svarat på ett frågeformulär som rör myndighetens användning av molntjänster. Då underlaget är begränsat kan enbart övergripande slutsatser dras.

Samtliga myndigheter uppger att det är utmaning att hitta molntjänster som är förenliga med dataskyddsregelverket. Det framkommer att det ofta kan vara svårt att förhandla med molntjänstleverantörer och därmed svårt att på påverka utformningen av eller villkoren för användningen av molntjänsterna.

Enligt undersökningen synes molntjänster huvudsakligen användas som verksamhetsstöd och för behandling av anställdas uppgifter, men det förekommer att även känsliga personuppgifter om medborgare behandlas.

Undersökningen indikerar att det finns vissa utmaningar för myndigheterna att fastställa rollfördelningen mellan personuppgiftsansvarig och personuppgiftsbiträde eller gemensamt personuppgiftsansvar.

Samtliga myndigheter uppger att de har processer och rutiner för att anskaffa molntjänster och merparten att konsekvensbedömningar genomförs innan en molntjänst anskaffas.

Utifrån myndigheternas svar är det oklart om det vid överföring av uppgifter till tredje land alltid finns stöd för överföringen i form av ett tillämpligt överföringsverktyg i kapitel V i dataskyddsförordningen.

Enligt myndigheterna uppges vissa molntjänstleverantörer ha bristande kunskaper om grundläggande dataskyddsregler, vilket ställer stora krav på upphandlande myndigheter. Det handlar till exempel om vad som är personuppgifter och en personuppgiftsbehandling, om roll- och ansvarsfördelningen för personuppgiftsansvarig och personuppgiftsbiträde samt personuppgiftsbiträdets ansvar vid anlitande av underbiträden. Undersökningen pekar också på att molntjänstleverantörer i vissa fall felaktigt uppger att de har skyddsmekanismer i form av anonymisering och
pseudonymisering.

En sammanfattande rapport av den samlade åtgärden kommer från EDPB under 2023.

Användning av molntjänster inom offentlig sektor – en sammanställning av en undersökning av sju myndigheter

16 november 2022

DI-2022-1985

Pdf, 152 kB

Läs dokumentet (pdf, 152 kB)

Senast uppdaterad: 24 november 2022