Som anges på Integritetskyddsmyndighetens, IMY, hemsida, ska ett stort antal dataskyddsmyndigheter inom EU undersöka hur molntjänster används inom offentlig sektor. Undersökningen är en koordinerad åtgärd som genomförs inom ramen för den Europeiska dataskyddsstyrelsen, EDPB.
Syftet är att ge en samordnad vägledning och tillhandahålla samordnade åtgärder för att främja en god efterlevnad av GDPR och säkerställa ett adekvat skydd av personuppgifter.
Ett frågeformulär har tagits fram som ska skickas ut till utvalda offentliga organ. Totalt kommer över 80 offentliga organ inom EU att omfattas av undersökningen som på ett övergripande plan behandlar:
- utmaningar med efterlevnaden av GDPR när de offentliga organen använder molnbaserade tjänster, inklusive processer och skyddsåtgärder som är aktuella vid upphandling av molntjänster,
- utmaningar relaterade till internationella överföringar,
- användningen av kompletterande skyddsåtgärder, och
- bestämmelser som reglerar förhållandet mellan personuppgiftsansvarig och personuppgiftsbiträde
IMY har valt ut strax över tio statliga myndigheter med en omfattande personuppgiftsbehandling från olika sektorer för att svara på frågeformuläret.
Svaren på frågeformulären kommer att analyseras av IMY, som betonar att undersökningen för svensk del inte är en tillsyn. Den syftar i stället till att ge IMY ökade kunskaper om användningen av molntjänster inom offentlig sektor för att kunna ta fram lämpliga nationella åtgärder – eventuellt en vägledning till organisationer som vill använda molntjänster – framöver.
Dessutom kommer resultaten av de åtgärder som vidtas på nationell nivå att aggregeras och analyseras av EDPB, som under 2022 kommer att publicera en rapport med resultaten av analysen. Resultaten kan dessutom komma att ligga till grund för en riktad uppföljning på EU-nivå.
Frågeformuläret
Frågeformuläret är relativt omfattande. Det spänner över nio sidor (inklusive en bilaga med definitioner) och omfattar 30 frågor, som i många fall kräver svar på detaljnivå. Om myndigheten använder sig av flera molntjänstleverantörer ska svaren lämnas för varje molntjänstleverantör.
Exempel på frågor är:
- Om känsliga personuppgifter som till exempel hälsouppgifter behandlas, eller ekonomiska uppgifter.
- För vilken funktion som tjänsten används (till exempel intern administration eller service till medborgarna).
- Om molntjänstleverantören behandlar telemetridata (data som genereras genom användning av tjänsten, även för säkerhetsändamål) eller diagnostikdata som härstammar från det offentliga organets verksamhet. Frågorna avser bland annat för vilka syften som molntjänstleverantören använder uppgifterna och den rättsliga grunden för molntjänstleverantörens behandling.
- Vilken process och eventuell riskbedömning som gjorts inför anlitande av en molntjänstleverantör.
- Har det gjorts någon konsekvensbedömning och vilka är erfarenheterna (positiva och negativa) av att genomföra en konsekvensbedömning avseende dataskydd i samband med anlitande av molntjänstleverantörer?
- Används nationella/internationella standarder eller ledande praxis vid bedömning av molntjänstleverantören (till exempel ISO 27001/ISO 27701)?
- Har organisationen upplevt lagstiftningsrelaterade utmaningar vid användning av molnet (till exempel strikta regler för offentliga organs användning av molnbaserade tjänster)?
- Beskrivning av hur skyldigheterna i Artikel 28 GDPR om innehållet i personuppgiftsavtal har uppfyllts.
- Har organisationen följt EDPB:s rekommendationer kring överföring av personuppgifter till tredje land? Avsnittet är omfattande och innehåller bland annat frågor som:
- om det mot bakgrund av Schrems II-domen kontrollerats att det inte finns något i det tredje landets lagstiftning och/eller praxis som förbjuder mottagarna att uppfylla sina avtalsenliga skyldigheter för att säkerställa att den skyddsnivå för personuppgifter för fysiska personer som garanteras inom EES inte undergrävs.
- om organisationen kontrollerat att kompletterande säkerhetsåtgärder kan genomföras i praktiken och att det inte finns något i det tredje landets lagstiftning och/eller praxis som hindrar dem från att tillämpas, för att säkerställa att den nivå på uppgiftsskyddet för fysiska personer som garanteras inom EES inte undergrävs.
- Finns det villkor om servicenivåer och uppsägning av avtal?
- Hur säkerställs efterlevnaden av kraven gentemot molntjänstleverantören?
Några reflektioner
Initiativet från EDPB och EU:s dataskyddsmyndigheter att kartlägga hur molntjänster används inom offentlig sektor är en av flera åtgärder på senaste tid som syftar till att belysa utmaningarna med och skapa klarhet och förutsebarhet i användningen av molntjänster inom offentlig sektor. Sådana initiativ är välkomna.
Besvarandet av frågorna i formuläret lär bli tidskrävande, särskilt om det finns flera molntjänstleverantörer som myndigheten använder sig av. Det kräver vidare en ingående kunskap om de eventuella molntjänstavtal som har tecknats och de bedömningar som gjordes inför anlitandet av molntjänstleverantören.
Även om frågorna har fokus på dataskydd i samband med molntjänster, kan även tillämpningen av OSL:s regler vid utlämnande av uppgifter komma att aktualiseras med hänsyn till frågan om lagstiftningsrelaterade utmaningar vid användning av molnet.
Vissa frågor är inte typiska för dataskyddsområdet – bland annat frågorna om servicenivåavtal och möjligheten att säga upp avtalet om molntjänsten. I stället för dessa frågor tankarna till andra typer av regulatoriska krav, till exempel de som gäller inom finansiell sektor. Dessa områden är naturligtvis viktiga även för offentlig sektor.
Frågorna som ställs lär vidare ytterligare inskärpa vikten av att ha en process för anlitandet av molntjänstleverantörer och göra en riskbedömning inför en utkontraktering.
Kravet på att i vissa fall göra en konsekvensbedömning enligt GDPR ställs också på sin spets. Detsamma gäller för kravet på att göra en så kallad Transfer Impact Assessment, TIA, enligt den modell som EDPB förespråkar inför en överföring av personuppgifter till land utanför EU/EES.
Som jag skriver ovan är IMY tydlig med att undersökningen inte utgör en tillsyn i Sverige. Svaren från undersökningen kommer inte heller att användas för att inleda tillsyn av de utvalda myndigheterna. Det blir intressant att se vilka möjliga nationella åtgärder som kan komma att beslutas med anledning av analysen av svaren på frågeformulären och vad en riktad uppföljning på EU-nivå kan innebära. Jag återkommer om detta i en expertkommentar längre fram.
Peter Nordbeck
Advokat, Advokatfirman Delphi
Kommentatorerna ansvarar för sina egna kommentarer