Skip to content
  • Prenumerera på Inköpsrådets nyhetsbrev
Inköpsrådet
  • Nyheter
    • Arbetsmarknad
      • Karriär
      • Lön
    • Bransch
      • IT
      • Livsmedel
      • Samhällsbyggnad
      • Transport
      • Utbildning
      • Vård & omsorg
      • Övriga tjänster
    • Hållbarhet
      • Miljökrav
      • Sociala krav
    • Innovation
    • Juridik
      • Avtal
      • Korruption
      • Lagstiftning
      • Upphandlingsavgift
      • Överprövning
    • Praktiskt
      • Metod
      • Upphandlingsstöd
      • Utvärderingsmodell
    • Samhälle
      • EU
      • Insyn
      • Konkurrens
      • Politik
    • Upphandling
      • Dialog
      • Direktupphandling
      • Förfrågningsunderlag
      • Ramavtal
      • Uppföljning
      • Anbud
  • Domstolskoll
  • Karriär
    • Lediga jobb
    • Lönestatistik
    • Rekrytera smart med Inköpsrådet
  • Utbildning
  • Konferenser
    • Praxisdagen 5 nov Stockholm
    • Praxisdagen 26 nov Göteborg
  • Annonsera
    • Annonsera
    • Platsannonsera
  • Om oss
    • Kontakta oss
    • Integritetsspolicy

EU kartlägger hur molntjänst används

ExpertkommentarEn aktuell och uppmärksammad fråga är offentlig sektors användning av molntjänster. I min förra expertkommentar sammanfattade jag It-driftsutredningens slutbetänkande om varaktiga former för samordnad statlig it-drift. I denna kommentar tänker jag beröra ett annat initiativ på området, skriver Inköpsrådets expert Peter Nordbeck.

| 2022-03-14
Peter Nordbeck, advokat, Advokatfirman Delphi.

Som anges på Integritetskyddsmyndighetens, IMY, hemsida, ska ett stort antal dataskyddsmyndigheter inom EU undersöka hur molntjänster används inom offentlig sektor. Undersökningen är en koordinerad åtgärd som genomförs inom ramen för den Europeiska dataskyddsstyrelsen, EDPB.

Syftet är att ge en samordnad vägledning och tillhandahålla samordnade åtgärder för att främja en god efterlevnad av GDPR och säkerställa ett adekvat skydd av personuppgifter.

Ett frågeformulär har tagits fram som ska skickas ut till utvalda offentliga organ. Totalt kommer över 80 offentliga organ inom EU att omfattas av undersökningen som på ett övergripande plan behandlar:

  • utmaningar med efterlevnaden av GDPR när de offentliga organen använder molnbaserade tjänster, inklusive processer och skyddsåtgärder som är aktuella vid upphandling av molntjänster,
  • utmaningar relaterade till internationella överföringar,
  • användningen av kompletterande skyddsåtgärder, och
  • bestämmelser som reglerar förhållandet mellan personuppgiftsansvarig och personuppgiftsbiträde

IMY har valt ut strax över tio statliga myndigheter med en omfattande personuppgiftsbehandling från olika sektorer för att svara på frågeformuläret.

Svaren på frågeformulären kommer att analyseras av IMY, som betonar att undersökningen för svensk del inte är en tillsyn. Den syftar i stället till att ge IMY ökade kunskaper om användningen av molntjänster inom offentlig sektor för att kunna ta fram lämpliga nationella åtgärder – eventuellt en vägledning till organisationer som vill använda molntjänster – framöver.

Dessutom kommer resultaten av de åtgärder som vidtas på nationell nivå att aggregeras och analyseras av EDPB, som under 2022 kommer att publicera en rapport med resultaten av analysen. Resultaten kan dessutom komma att ligga till grund för en riktad uppföljning på EU-nivå.

Frågeformuläret
Frågeformuläret är relativt omfattande. Det spänner över nio sidor (inklusive en bilaga med definitioner) och omfattar 30 frågor, som i många fall kräver svar på detaljnivå. Om myndigheten använder sig av flera molntjänstleverantörer ska svaren lämnas för varje molntjänstleverantör.

Exempel på frågor är:

  • Om känsliga personuppgifter som till exempel hälsouppgifter behandlas, eller ekonomiska uppgifter.
  • För vilken funktion som tjänsten används (till exempel intern administration eller service till medborgarna).
  • Om molntjänstleverantören behandlar telemetridata (data som genereras genom användning av tjänsten, även för säkerhetsändamål) eller diagnostikdata som härstammar från det offentliga organets verksamhet. Frågorna avser bland annat för vilka syften som molntjänstleverantören använder uppgifterna och den rättsliga grunden för molntjänstleverantörens behandling.
  • Vilken process och eventuell riskbedömning som gjorts inför anlitande av en molntjänstleverantör.
  • Har det gjorts någon konsekvensbedömning och vilka är erfarenheterna (positiva och negativa) av att genomföra en konsekvensbedömning avseende dataskydd i samband med anlitande av molntjänstleverantörer?
  • Används nationella/internationella standarder eller ledande praxis vid bedömning av molntjänstleverantören (till exempel ISO 27001/ISO 27701)?
  • Har organisationen upplevt lagstiftningsrelaterade utmaningar vid användning av molnet (till exempel strikta regler för offentliga organs användning av molnbaserade tjänster)?
  • Beskrivning av hur skyldigheterna i Artikel 28 GDPR om innehållet i personuppgiftsavtal har uppfyllts.
  • Har organisationen följt EDPB:s rekommendationer kring överföring av personuppgifter till tredje land? Avsnittet är omfattande och innehåller bland annat frågor som:
    • om det mot bakgrund av Schrems II-domen kontrollerats att det inte finns något i det tredje landets lagstiftning och/eller praxis som förbjuder mottagarna att uppfylla sina avtalsenliga skyldigheter för att säkerställa att den skyddsnivå för personuppgifter för fysiska personer som garanteras inom EES inte undergrävs.
    • om organisationen kontrollerat att kompletterande säkerhetsåtgärder kan genomföras i praktiken och att det inte finns något i det tredje landets lagstiftning och/eller praxis som hindrar dem från att tillämpas, för att säkerställa att den nivå på uppgiftsskyddet för fysiska personer som garanteras inom EES inte undergrävs.
  • Finns det villkor om servicenivåer och uppsägning av avtal?
  • Hur säkerställs efterlevnaden av kraven gentemot molntjänstleverantören?

Några reflektioner
Initiativet från EDPB och EU:s dataskyddsmyndigheter att kartlägga hur molntjänster används inom offentlig sektor är en av flera åtgärder på senaste tid som syftar till att belysa utmaningarna med och skapa klarhet och förutsebarhet i användningen av molntjänster inom offentlig sektor. Sådana initiativ är välkomna.

Besvarandet av frågorna i formuläret lär bli tidskrävande, särskilt om det finns flera molntjänstleverantörer som myndigheten använder sig av. Det kräver vidare en ingående kunskap om de eventuella molntjänstavtal som har tecknats och de bedömningar som gjordes inför anlitandet av molntjänstleverantören.

Även om frågorna har fokus på dataskydd i samband med molntjänster, kan även tillämpningen av OSL:s regler vid utlämnande av uppgifter komma att aktualiseras med hänsyn till frågan om lagstiftningsrelaterade utmaningar vid användning av molnet.

Vissa frågor är inte typiska för dataskyddsområdet – bland annat frågorna om servicenivåavtal och möjligheten att säga upp avtalet om molntjänsten. I stället för dessa frågor tankarna till andra typer av regulatoriska krav, till exempel de som gäller inom finansiell sektor. Dessa områden är naturligtvis viktiga även för offentlig sektor.

Frågorna som ställs lär vidare ytterligare inskärpa vikten av att ha en process för anlitandet av molntjänstleverantörer och göra en riskbedömning inför en utkontraktering.

Kravet på att i vissa fall göra en konsekvensbedömning enligt GDPR ställs också på sin spets. Detsamma gäller för kravet på att göra en så kallad Transfer Impact Assessment, TIA, enligt den modell som EDPB förespråkar inför en överföring av personuppgifter till land utanför EU/EES.

Som jag skriver ovan är IMY tydlig med att undersökningen inte utgör en tillsyn i Sverige. Svaren från undersökningen kommer inte heller att användas för att inleda tillsyn av de utvalda myndigheterna. Det blir intressant att se vilka möjliga nationella åtgärder som kan komma att beslutas med anledning av analysen av svaren på frågeformulären och vad en riktad uppföljning på EU-nivå kan innebära. Jag återkommer om detta i en expertkommentar längre fram.

Peter Nordbeck
Advokat, Advokatfirman Delphi  

 

Få din fråga om upphandling besvarad
Skickar

Läs mer: Expertkommentar

Kommentatorerna ansvarar för sina egna kommentarer

Lämna ett svar Avbryt svar

Din e-postadress kommer inte publiceras. Obligatoriska fält är märkta *

Fler artiklar

Lediga jobb

Helsingborgs stad söker två upphandlare

Upphandlare till Tullverket

Avtalscontroller till Strålsäkerhetsmyndigheten

Svenska kraftnät söker verksjurist inom upphandling

  • Rekrytera rätt kompetens med Inköpsrådet

Peter Nordbeck

Peter Nordbeck har över tjugo års erfarenhet av att arbeta med it-rättsliga frågor. Han fokuserar på outsourcing, molntjänstavtal och dataskydd och biträder klienter både inom privat och offentlig sektor. Vanliga ärenden är upprättande av avtal vid upphandlingar och risk- och sårbarhetsanalyser när myndigheter och andra enheter inom offentlig sektor tänker anlita molntjänstleverantörer. Han föreläser regelbundet om it-avtal, molntjänster och dataskydd.
ANNONS FRÅN UPPHANDLING24

Så lär du dig skriva bättre avtal

Avtalet är kärnan i affären och avtalsrätten i sig regleras inte i LOU. Därför är det viktigt att du som upphandlare sätter dig in i hur du formulerar korrekta avtal och vad du bör tänka på för att säkerställa en bra affär.

Håll dig informerad

Prenumerera på Inköpsrådets kostnadsfria nyhetsbrev.

Prenumerera, v2
Specialområde *
Sending

Risk för skada rimligt skäl för sekretessRisk för skada rimligt skäl för sekretess
Planera för effektivt hållbarhetsarbetePlanera för effektivt hållbarhetsarbete
Kreditbetyg — en ständig frågaKreditbetyg — en ständig fråga
Tveksamt om EU-dom ger klarhetTveksamt om EU-dom ger klarhet
En dag med många nya insikterEn dag med många nya insikter
Regler om onormalt låga anbud upprörRegler om onormalt låga anbud upprör
Diskussionen fortsätter efter ny domDiskussionen fortsätter efter ny dom
Ny lag relevant för offentlig sektorNy lag relevant för offentlig sektor

Nytt från Upphandling24

  • Bort med ”onödiga lagkrav”
  • Nya besked om bygghärvan
  • Snöbollen från Svalöv
  • EU stöttar materielköp
  • Vill att kungen upphandlar
  • Tävling pressar Paradisets nota
  • Köper inte Ystads förklaring

Senaste inläggen

  • Risk för skada rimligt skäl för sekretess
  • Planera för effektivt hållbarhetsarbete
  • Kreditbetyg — en ständig fråga
  • Tveksamt om EU-dom ger klarhet
  • En dag med många nya insikter
  • Regler om onormalt låga anbud upprör
  • Diskussionen fortsätter efter ny dom
  • Ny lag relevant för offentlig sektor
  • Inte fel direktupphandla från eget bolag
  • Avvikelser – då gäller det hålla rätt kurs
  • Datum på domen räknas inte alltid
  • Jaga skurkar OCH effektiva miljökrav
  • Ofta svårt tillämpa sanktioner
  • Upphandlingsmyndigheten kritiseras
  • Krav på finansiell ställning kan leda fel

Aktuella utbildningar

Delta på distans eller på plats i Stockholm. Valet är ditt.

  • Leda upphandlingar effektivt | 21 november
  • Praktisk avtalsrätt inom LOU och LUF | 28 november
  • LOU på två dagar | 4-5 december
  • Hållbar upphandling | 11 december
  • Kvalificerad entreprenad­upphandlare | 11-12 mars 2025
  • Anbudsutvärdering | 18 mars 2025
  • Få fart på er avtals­förvaltning | 19 mars 2025
  • Ramavtal – fördjupningskurs | 1 april 2025
  • Entreprenadupphandling och AMA AF | 8 maj
  • Agil upphandling | Våren 2025
  • Kvalificerad IT-upphandlare – Steg 2 praktisk tillämpning | Våren 2025
  • Säkerhetsskyddad upphandling | Våren 2025
  • Kvalificerad IT-upphandlare | Våren 2025