Molntjänster - vilka är riskerna och vad säger PUL? ADVOKAT HANS NICANDER

Transkript

1 Molntjänster - vilka är riskerna och vad säger PUL? ADVOKAT HANS NICANDER

2 Avtalstypen Molntjänst - Funktionalitet online via Internet - Köp av/ abonnemang på en tjänst - Olika innehåll, olika nivåer SaaS, PaaS, IaaS - Enkelhet, överblickbarhet, flexibilitet, skalbarhet - Inget investeringsbehov, trygghet - DOCK risker; informationshantering, åtkomst, säkerhet, kontroll över och återfående av data, PUL 2

3 Molnet i det offentliga - PUL inga särregler för offentlig sektor - DI: Särskilda hänsyn när stor mängd/känsliga data, ingående risk- och sårbarhetsanalys - Patientdatalagen, försvar, polis m.fl. - Lag om offentlig upphandling (LOU) ramavtal Kontorsstöd som molntjänst Programvaror och tjänster Offentlighets- och sekretesslagen, begränsa åtkomst, kryptering, stark autentisering m.m. - Arkivlagen, krav på bevarande 3

4 Molnet i det offentliga - Vissa myndighetsföreskrifter/allmänna råd, t.ex. - Finansinspektionen FFFS 2014:1 10 kap. Uppdragsavtal FFFS 2014:5 2 kap Informationssäkerhet, 3 kap IT-verksamhet - JO-beslut Allvarlig kritik mot vårdgivare, VGR/ SLL, journalföring av patientuppgifter via molnet (JO , dnr ) 4

5 Att tänka på inför ett avtal - Risk- och sårbarhetsanalys - Vem är leverantören? - Leverantörsvänliga avtalsvillkor vanligt! - Specifikationen, vad ingår i tjänsten? Ändringar? - Servicenivåer (SLA) - Ansvar för kommunikationen/uppkoppling mot internet? - Krav på kunden? Kundens data, format, ej virus 5

6 Att tänka på inför ett avtal/ forts. - Säkerhetskopior, redundans? Kan informationen återskapas? - Krav på behöriga användare hos kunden? - Lev. rätt att anlita underleverantörer? - Hur och av vem behandlas av personuppgifter? - Lev. egen användning av kunddata? - Felansvar, brister i tjänsten avhjälpande, nedsättning, vårdslöshet? 6

7 Att tänka på inför ett avtal/ forts. - Utebliven betalning/avtalsbrott, rätt att avbryta, stänga av tjänsten? - Upphörande/Exit, återlämnande av data - Radering, anonymisering (lev. rätt till ersättning?) - Ansvarsfriskrivningar - direkt/indirekt skada, förlust av data, maxbelopp skadestånd 7

8 Personuppgiftslagen (PUL) - Personuppgifter: All slags information som direkt eller indirekt kan hänföras till en fysiskperson som är i livet - Behandling: Varje åtgärd eller serie av åtgärder som vidtas i fråga om personuppgifter - Personuppgiftsansvarig: Den som bestämmer ändamålen med behandlingen, dvs. kunden - Personuppgiftsbiträde: Den som utför behandling för den p-ansvariges räkning - Svensk lag gäller om den p-ansvarige etablerad i Sverige el. använder utrustning i Sverige 8

9 PUL kräver särskilt avtal - Personuppgiftsbiträdesavtal måste upprättas - Skriftligt, urskiljbart från övriga avtalsvillkor - Behandlingen ska ske i enlighet med instruktioner från den personuppgiftsansvarige - Säkerställas en lämplig säkerhetsnivå m h t a) tekniska möjligheter, b) kostnader, c) risker och d) hur känslig informationen är - Krav på uppföljning och kontroll 9

10 Krav på ett personuppgiftsbiträde - Biträdet ska tillämpa svensk lag - Avtalsvillkoren får inte ensidigt kunna ändras av biträdet - Information om/ ändring av underleverantörer måste lämnas - Uppföljning ske att biträdet följer kraven från den p-ansvarige (revision) - Säkerställa förutsättningar utreda misstankar om obehörig åtkomst 10

11 Underleverantörer - Huvudbiträde underbiträde - Avtal med varje eller med stöd av fullmakt för huvudbiträdet - Huvudbiträdet ansvarar för anlitat underbiträde - Ansvar också direkt mot p-ansvarig - Ska åläggas samma skyldigheter som huvudbiträdet har gentemot p-ansvarige - Gäller inom resp. utanför EU/EES 11

12 Kund "Personuppgi?s- ansvarig Bestämmer ändamålen Personuppgi?sbiträdesavtal Underbiträdes- avtal Underbiträde Dri?, lagring EU/EJ EU? Molntjänstleverantör Personuppgi?s- biträde Handla på instruk(on Underbiträdes- avtal Underbiträde Support, utveckling EU/EJ EU? 12

13 Förbud mot överföring till tredje land - Gäller till länder som saknar adekvat skyddsnivå - Gäller länder utanför EU/EES - Undantag bl.a. om: - Samtycke från den registrerade - EU:s standardavtalsklausuler - Safe Harbor-principerna - Binding Corporate Rules (BCR) 13

14 Tillsynsärenden Datainspektionen - Brevo AB (Windows Azure) Dnr Salems kommun (Google Apps) Dnr , Förvaltningsrätten i Stockholm, dom , mål nr Enköpings kommun (Dropbox) Dnr Sollentuna kommun (Google Apps for Education) Dnr Ale kommun (Office 365) Dnr Malmö kommun (Google Apps for Education) Dnr

15 Två standardavtal för molntjänster - IT & Telekomföretagen Allmänna Bestämmelser Cloud Computing version Svensk Programvaruindustri (SPI) - OBS Leverantörsvänliga! - Cloud Sweden kompetensnätverk, checklistor m.m. 15

16 Advokat Hans Nicander Nicander Advokatbyrå Tel

17