Molntjänster i offentlig sektor - så säkerställer du rätt hantering av personuppgifter

Digitaliseringen är viktig för svensk offentlig sektor för att förenkla, effektivisera och förbättra sin service till landets medborgare. För att lyckas med den digitala transformationen är en av de viktigaste nycklarna användningen av molntjänster. Samtidigt har EU:s GDPR-förordning och domslut som Schrems II fastslagit att det vilar ett stort ansvar på organisationer att säkerställa att känslig data hanteras korrekt i molnet och att man därför behöver en tydlig strategi för hur data ska hanteras i molntjänster innan de införs på bred front.

Svenska regioner, kommuner och myndigheter kan använda molntjänster. Men det handlar om att förstå vilka molntjänster de kan använda – och till vad.

Tydligare lagkrav för hantering av personuppgifter

Dataskyddsförordningen GDPR och Europadomstolens domslut i fallet Schrems II har gjort att ansvarsfrågan för vad som får lagras i vilka molntjänster blivit högaktuell. I fallet Schrems II drog juristen Max Schrems Facebook inför rätta för att ha överfört hans personuppgifter till Amerikanska servrar utan hans medgivande. Hans personuppgifter hade därmed inte skyddats i enlighet med EU:s grundläggande rättigheter, menade han. Och Europadomstolen gav Max Schrems rätt. Detta domslut har gett ringar på vattnet och har gjort det tydligare för företag och organisationer vad lagkraven kopplade till dessa frågor innebär i praktiken.

– I sin dom ogiltigförklarade Europadomstolen Privacy Shield och gjorde även avtalsmekanismer, så kallade SCC, obrukbara. Man hänvisade till utformningen av amerikansk lagstiftning och primärt FISA (Foreign Intelligence Surveillance Act) som gör det möjligt för amerikansk underrättelsetjänst att ta del av information ifrån andra länder via kommunikationsleverantörer utan att röja att denna typ av inhämtning pågår, säger Rakeel Khawar, DPO på Iver.

Också Cloud Act spelar in i hur Svenska organisationer bör tänka kring sitt val av molnleverantör. Cloud Act är en amerikansk lag som trädde i kraft i mars 2018 och ger stöd för amerikanska justitiedepartementet att få tillgång till bland annat kunduppgifter utan vare sig godkännande eller medgivande av dataexportörer och - importörer. Detta strider mot de krav som GDPR ställer vid överföring av personuppgifter utanför EU/EES och det är därför ytterst viktigt för organisationer inom EU att ha koll på sina leverantörers huvudsakliga verksamhetsställe. Detta för att kunna säkerställa att personuppgifter hanteras på rätt sätt, menar Rakeel Khawar;

– Personuppgifter i EU-länder ska inte föras över till ett så kallat tredje land, alltså länder utanför EU/EES. Domen i fallet Schrems II innebär att lagkraven på svenska företag och organisationer, när det gäller personuppgifter och GDPR, har blivit tydligare. Visst kan du använda molntjänster, trots EU:s GDPR-förordning. Men gör det på rätt sätt och med rätt leverantör, annars kan det bli dyra sanktionsavgifter.

Förtydligandet av förordningen har samtidigt inneburit att hanteringen av personuppgifter och hur väl företaget eller organisationen efterlever GDPR, blivit en viktig förtroendefråga.

– Om organisationer inte tar lagar och förordningar på allvar och börjar lagra personuppgifter på rätt sätt så kommer förtroendet att gå i botten. Frågan alla organisationer borde ställa sig är; Har vi råd att inte följa GDPR?, för om man missar detta kan organisationen snabbt tappa förtroendet.

Användande av molntjänster i offentlig sektor

Hur ska man då tänka inom offentlig sektor när man väljer molntjänster i sin organisation för att säkerställa regelefterlevnad? Det första steget enligt Rakeel Khawar är att titta på vilken typ av data det är man ska hantera i molnet.

– Vid val av molntjänster inom offentlig sektor är det viktigt att man som organisation kartlägger vilken typ av data man kommer att lagra och hantera. Om det data man hanterar inte innehåller några inslag av personuppgifter går det bra att använda sig av molntjänster från de stora globala aktörerna. Men ska man däremot använda molnlösningar för till exempel HR-system eller andra processer som hanterar information om medarbetare eller en myndighets persondata, måste man säkerställa att informationen lagras i Europa - och inte överförs till tredje land. Man behöver då en leverantör som kan garantera detta. Där är Ivers molnlösning compliant cloud ett bra exempel, då det är en lösning med inbyggd regelefterlevnad som addresserar just de här frågorna, säger Rakeel Khawar.

För att säkerställa regelefterlevnad vid hantering av personuppgifter behöver organisationer inom offentlig sektor få till genomtänkta och smidiga helhetslösningar på detta område. Rakeels råd till kunder är att gå grundligt till väga och koppla frågan om GDPR och persondata till organisationens övergripande molnstrategi.

– Organisationer behöver en robust molnstrategi som besvarar frågor om vad det är som ska transformeras, vilket moln som är lämpligt för en viss applikation eller tjänst och till sist - hur vi går till väga. Riskanalyser och informationsklassning, dvs hur olika typer av data ska hanteras och lagras, är A och O för att säkerställa regelefterlevnad, säger Rakeel Khawar.

Genom att skapa en robust molnstrategi från början kan organisationer på ett framgångsrikt sätt bygga in säkerheten i lösningen, menar han.

– Genom att utgå ifrån en övergripande molnstrategi för hela organisationen kan du säkerställa att regelefterlevnad och personlig integritet byggs in i såväl strategi som lösning och du riskerar inte kostsamma efterhandskonstruktioner.

Vill du veta mer om hur du bör gå tillväga för att forma din organisations övergripande molnstrategi? Kontakta oss så hjälper vi dig!