Datainspektionen inleder nu ett projekt som ska klargöra vilka krav personuppgiftslagen ställer på de organisationer som använder så kallade molntjänster.
Allt fler överväger att skaffa molntjänster. I stället för att ha IT-system som körs på egna servrar i en egen datorhall, hyr man tjänster som levereras via Internet. Som kund vet man inte var servrarna står och data lagras, bara att de finns någonstans i leverantörens ”moln”. Ännu mer komplicerat kan det bli om den som levererar molntjänsten i sin tur hyr exempelvis lagring från ytterligare en annan molnleverantör.
Datainspektionen inleder nu ett projekt som ska granska hur företag, myndigheter och andra organisationer använder molntjänster.
– Målet med projektet är att öka medvetenheten om vilka krav som personuppgiftslagen ställer vid outsourcing och användning av molntjänster, förklarar Ulrika Andersson som leder projektet.
Det är den organisation som använder molntjänster som ansvarar för de personuppgifter som lagras hos molnleverantören. För den personuppgiftsansvarige gäller det att säkerställa att molnleverantören vidtar lämpliga säkerhetsåtgärder för att skydda data. Det är även den organisation som använder molntjänster som ansvarar för att uppgifter som inte längre behövs gallras eller utplånas och att uppgifter inte överförs till länder som saknar dataskyddslagstiftning som ger en adekvat nivå för skyddet av personuppgifter.
Inom ramen för projektet ska ett urval organisationer inspekteras på plats. Dessutom ska ett antal molnrelaterade frågor ställas vid övriga inspektioner som myndigheten utför under året. Projektet beräknas vara slutfört till sommaren.