Vad säger personuppgiftslagen (PUL) om det här med molntjänster? Som jag förstår så säger PUL ingenting specifikt om molntjänsterna i sig.
Däremot ställer lagen en del krav som måste uppfyllas om du lagrar personuppgifter i strukturerad form oavsett om det är i molnet eller inte. Vad är då strukturerad? Det är en samling personuppgifter som har strukturerats för att underlätta sökning eller sammanställning av dem. Motsatsen kallas ostrukturerad och där gäller inte PUL eftersom det skulle försvåra för mycket i vår vardag (på ett ungefär). Allt det här beskrivs bra på Datainspektionens hemsida.
De skriver även: “Den som använder en molntjänst för lagring av personuppgifter, till exempel i ett löneregister, förlorar den faktiska kontrollen över de personuppgifter som lagras.” Här måste jag få protestera. Som ni säkert förstår så tycker vi på Molndrift att molntjänster är något positivt för många företag och organisationer. Däremot möts vi dagligen av personer som inte vill eller vågar använda tjänsterna eftersom “det inte går på grund av regelverk eller lagar eller tillsynsmyndigheter”. Vaddå inte går…? Varför kan vi inte börja titta på argumenten ordentligt för att reda ut om det går eller inte och anpassa molntjänster så att det uppfyller de lagar som organisationen lyder under?
Inom området för PUL har vi bl a de här kraven att förhålla oss till:
- Rollen som personuppgiftsansvarig – den som använder molntjänsterna är alltid personuppgiftsansvarig. Därmed ansvarar man för att personuppgifterna inte kommer användas för annat än det ändamål de lagras för. Personuppgifterna får ofta (det finns undantag) inte lämna EU/EES området. Förutom det behöver du upprätta avtal med molntjänstleverantören och dess underleverantörer om att de är personuppgiftsbiträden. Jag håller med om att det kan ta tid och innebära en del administration men situationen är inte unik för din del utan gäller de flesta av molntjänstleverantörens kunder. De bör därmed ha en process som kan hjälpa dig med detta. Om du t ex använder dig av en traditionellt outsourcad tjänst så har du dessutom samma ansvar.
- Risk och sårbarhetsanalys – det finns krav på att du som personuppgiftsansvarig måste genomföra en risk och sårbarhetsanalys för dina molntjänster. Om jag skulle gissa så tänker de flesta bolag ändå på det sättet och gör riskanalyser i samband med större förändringar och de analyserna leder till ökad insikt och att du kan förbättra din verksamhet så det finns många argument för att genomföra dem oavsett om du kör IT i molnet eller inte.
- Avtalet med personuppgiftsbiträden – reglerna för personuppgiftsbiträden är nog de som medför en del administration och kanske en del förhandling av klausuler i ett standardavtal. Bl a ställs krav på hantering av personuppgifter enligt svensk lag. Du behöver även ha en möjlighet att inspektera alla dina personuppgiftsbiträden. Ett personuppgiftsbiträde har dessutom samma skyldigheter som du som personuppgiftsansvarig avseende hur personuppgifter behandlas. Avtalen ska dessutom inte kunna ändras ensidigt av den ena parten.
Jag håller med om att de här reglerna kan upplevas som svåra att få igenom om du bara läser en av de större molntjänstleverantörs standardavtal. Det blir kanske lite David mot Goliat-känsla när du ska börja. Men situationen är nu sådan att de allra flesta svenska företag och organisationer har samma krav att leva upp till. Och de molntjänstleverantörer som agerar på den svenska marknaden känner till reglerna. Så vi föreslår att du helt enkelt pratar med din leverantör om det inte tydligt framgår hur ni ska gå till väga. Det finns flera aktörer på marknaden som har sitt tjänsteutbud anpassat för att uppfylla PUL. Så att hävda att vi “tappar kontrollen” tycker jag är ett snävt synsätt från Datainspektionens sida och moderna molntjänstleverantörer säger inte “det går inte”. De säger “vi tittar på reglerna i detalj, och hittar en lösning för att uppfylla dem”.