Molntjänster och personuppgifter

”Med personuppgifter avses all slags information som direkt eller indirekt kan kopplas till en fysisk person som är i livet. Exempel på sådan information är namn, personnummer och kundnummer. En bild kan också vara en personuppgift om det går att se vem personen/personerna på bilden är.” – datainspektionen.se

 

Kontroll över data och ansvar

Vi kommer i denna artikel lyfta några viktiga punkter samt ge länkar till viktig information. Personuppgiftslagen gäller ju inte bara molntjänster utan även andra former av register och personuppgiftsbehandling. Men vi ska inte gå in på djupet utan fokuserar på just Microsofts molntjänster och var man kan hitta viktig information.

Det inledande citatet från Datainspektionens hemsida visar på vilken komplex fråga personuppgifter kan vara. All information som kan kopplas till en fysisk person omfattas i princip av lagen. Vad innebär det då för ett företag som hyr en molntjänst?

Det är alltid företaget, den som anlitar molnleverantören som är personuppgiftsansvarig och ålagd att följa Personuppgiftslagen (PuL). Det är alltså den juridiska personen som är personuppgiftsansvarig. Tjänsteleverantören benämns i regelverket som personuppgiftsbiträde.

Behandlar man mycket personuppgifter inom organisationen så kan det vara lämpligt att utse ett personuppgiftsombud som har till uppgift att kontrollera att personuppgifter behandlas på ett korrekt sätt.

Läs mer om PuL:
http://www.datainspektionen.se/lagar-och-regler/personuppgiftslagen/

Läs mer om personuppgiftsombud:
http://www.datainspektionen.se/personuppgiftsombud/mer-om-personuppgiftsombud/

 

Microsoft och molnet

Skillnaden med en molntjänst mot ett system som körs ”in-house” är att man kanske inte alltid har full kontroll på hur säkerhet, infrastruktur och datamodell är utformat för en molntjänst och vilka som har tillgång till data som lagras. Bygger man ett eget system eller driftsätter ett standardsystem på egna servrar i sitt lokala intranät så har man ju andra förutsättningar att styra behörigheter och vidta säkerhetsåtgärder som krävs.

Med ”Internet of things” och dagens uppkopplade värld så är skillnaden i access till Internet inte längre så stor mellan egna system och molntjänster. Distansarbete och fjärråtkomst ställer också krav på tillgänglighet till företagets data oavsett om det är en egen server eller en molntjänst.

Detta kan vara ett argument för att faktiskt välja en molntjänst framför egen drift, förutsatt att leverantörens tjänst uppfyller kraven i PuL.

Microsoft har valt att göra sitt yttersta för att uppfylla EU:s krav. Detta gör man genom att erbjuda sina kunder att teckna avtal enligt EU:s standardklausuler gällande databehandling. Redan 2012 fick Microsoft ett godkännande från Datainspektionen som gör det möjligt för myndigheter, företag och organisationer att lagra personuppgifter i molnet i enlighet med personuppgiftslagen.

Mer om Microsoft Office 365 och EU:s standardklausuler:
https://products.office.com/sv-se/business/office-365-trust-center-eu-model-clauses-faq

Datainspektionen ger godkännande till Microsofts molntjänst:
https://blogs.technet.microsoft.com/microsoftnyheter/2012/09/04/datainspektionen-ger-godknnande-till-microsofts-molntjnst/

 

Nya regler 2018

Den svenska Personuppgiftslagen kommer ersättas av en ny EU-förordning den 25:e maj 2018 (http://www.datainspektionen.se/fragor-och-svar/eus-dataskyddsreform/allmanna-fragor/#A1b). Detta kommer ställa krav på alla organisationer att se över sin hantering av personuppgifter. Många områden är likvärdiga med dagens regler men på andra håll har stora förändringar gjorts. Det tillkommer också krav samt att Sverige kommer utforma kompletterande bestämmelser som ännu inte är klara. Läs mer på Datainspektionens hemsida för detaljer kring den nya EU-förordningen.

Vägledning inför den nya dataskyddsförordningen 2018:
http://www.datainspektionen.se/lagar-och-regler/eus-dataskyddsreform/forberedelser-for-personuppgiftsansvariga/