Lagring av personuppgifter - Dos and don’ts (2)
Detta är andra delen av mitt inlägg om hur man ska förhålla sig vid hantering av personuppgifter. Har ni inte läst första delen av mitt inlägg rekommenderar jag att ni gör det innan ni läser detta inlägg. Ni hittar första delen här: http://langate.se/blogg/621/lagring-av-personuppgifter-dos-and-donts/
Outsourcad IT
I förra delen av mitt inlägg diskuterade jag hur man ska hantera personuppgifter, men hur gör man om man inte sköter all IT inom organisationen? Om man istället outsourcar sin IT till ett annat företag blir detta företag ett så kallat personuppgiftsbiträde. Om skolan som jag nämnde i första delen av detta inlägg hade valt att använda Googles tjänster skulle styrelsen för skolan fortfarande vara personuppgiftsansvarig, medan Google skulle bli skolans personuppgiftsbiträde.
Det är inget fel eller konstigt med att lägga ut sin IT till externa företag men som personuppgiftsansvarig måste man vara ytterst tydlig i det kontrakt man upprättar med personuppgiftsbiträdet så PUL eller den kommande dataskyddsförordningen åtföljs. Det är nämligen fortfarande så att styrelsen är personuppgiftsansvarig, det ansvaret kan aldrig delegeras till personuppgiftsbiträdet. Detta gäller givetvis inte specifikt skolor, det gäller alla som behandlar personuppgifter och använder sig av en annan part för hanteringen av dessa.
Hur kan det gå till i praktiken?
Just kontraktsdelen har varit problematisk för andra skolor visade det sig, Salems och Simrishamns kommuner har tidigare mottagit kritik för hur kontrakten med Google utformats. Kritiken gällde bland annat hur stort utrymme Google gavs att använda personuppgifterna i egna syften, när information skulle raderas samt bristfällig information till kommunerna kring vilka underleverantörer Google använde sig av. Kritiken av avtalet som Salems kommun hade med Google lades fram av Datainspektionen 2011, efter omarbetat avtal, ytterligare kritik från Datainspektionen och överklagande till förvaltningsrätten blev till slut ett avtal godkänt så sent som mars 2015. Att det tagit så lång tid vittnar om att det inte är helt enkelt att göra rätt. Det ska också tilläggas att Salems och Simrishamns kommuner är långt ifrån de enda som fått kritik, de är däremot två kommuner som varit tidigt ute med att använda molntjänster från Google i skolsammanhang och därför tvingats agera isbrytare.
Tack vare deras idoga arbete finns det idag tydligare instruktioner och vill man kan man titta på avtalet i sin helhet mellan Google och Simrishamns kommun. Ett annat tydligt exempel på hur snårigt det kan vara att outsourca sin IT är den nuvarande ”IT-skandalen” som hittills fått två ministrar och ett statsråd att avgå. I dagsläget är det oklart vilken information som hanterats av vem och om det alls föreligger några brister i det personuppgiftsbiträdesavtal Transportstyrelsen tecknat med IBM. Sannolikt kommer vi få vänta ett bra tag till innan härvan nystats ut.
Så sammanfattningsvis, oavsett om du arbetar på en stor statlig myndighet eller en liten kommun på Österlen gäller det att hålla tungan rätt i mun om du ska hantera personuppgifter.
Rickard Nilsson