Revisionsrapport beträffande IT-området m m

Transkript

1 Sida 1(1) Datum Revisionen Till: Kommunstyrelsen För kännedom: Kommunfullmäktiges presidium Samtliga nämnder Revisionsrapport beträffande IT-området m m KPMG har av s revisorer fått i uppdrag att granska: Styrning och uppföljning av den centrala IT-funktionen. Hur kommunen säkerställer efterlevnad av personuppgiftslagen (PUL). Molntjänster som avtalats inom skolområdet. Revisionen önskar att kommunstyrelsen lämnar synpunkter på de slutsatser som finns redovisade i rapporten senast den 22 december Av svaret bör det framgå vilka eventuella åtgärder som ska vidtas och när de beräknas vara genomförda. Revisionen vill även uppmana övriga nämnder att beakta de synpunkter som framkommit i rapporten. Med vänliga hälsningar Bertil Wiklund Ordförande Postadress Revisionen Kramfors E-post kramfors.kommun@kramfors.se Besöksadress Torggatan 2 Telefon Fax Hemsida Organisationsnr

2 Styrning och uppföljning av den centrala IT-funktionen Efterlevnad av PuL Avtalade molntjänster inom skolområdet Revisionsrapport Offentlig sektor - kommuner och landsting KPMG AB 17 september 2014 Antal sidor: 10

3 Innehåll 1. Sammanfattning Bakgrund Iakttagelser och kommentarer 1 2. Bakgrund 3 3. Syfte 4 4. Avgränsning 4 5. Ansvarig styrelse 4 6. Metod 4 7. Granskningsnoteringar Styrning och uppföljning av den centrala IT-funktionen Styrningen och uppföljning IT-enhetens egen uppfattning om sitt uppdrag Verksamhetens uppfattning om IT-enheten Efterlevnad av personuppgiftslagen Molntjänster inom skolområdet 10

4 1. Sammanfattning 1.1 Bakgrund Kommun har en central IT-funktion för stöd och service till hela den kommunala verksamheten. Flera av verksamheterna inom kommunen är idag helt beroende av väl fungerande IT. Allt fler kommuner överväger att använda eller använder redan sig av så kallade molntjänster. Molntjänster innebär att exempelvis processorkraft, lagring och funktioner tillhandahålls av leverantörer som tjänster över Internet. När man använder en molntjänst för lagring av personuppgifter förloras den faktiska kontrollen över de personuppgifter som lagras. Datainspektionen har i ett antal tillsynsärenden på ett antal skolor i Sverige noterat att dessa inte efterlevde personuppgiftslagen (PuL). PuL omfattar inte bara skolområdet vilket innebär att kommunen även måste ha förutsättningar för att efterleva den i kommunens övriga verksamheter. Revisionen anser det väsentligt att säkerställa att den centrala IT-funktionen har möjlighet att erbjuda det stöd och samarbete som kommunens kärnverksamheter kräver och behöver. Vidare utesluter inte revisionen att det finns risk för att kommunen kan ha avtal eller har för avsikt att teckna avtal med molnleverantörer utan att ha tagit hänsyn till vad PuL föreskriver. Revisionen bedömer även att det finns risk för att hänsyn inte tas till PuL till exempel vid användandet av sociala medier, när skyddade adresser skall hanteras och vid publicering på hemsidor 1.2 Iakttagelser och kommentarer Från granskningen vill vi särskilt framhålla: IT-enhet verkar sedan i en nyinrättad organisation. Ansvar och arbetssätt är under förändring och mycket återstår. Företrädare för den centrala IT-funktionen utför inte sitt uppdrag efter något kommunövergripande styrande dokument i form av en IT-strategi eller motsvarande. Det är heller inte formaliserat och dokumenterat någon egen strategi. Däremot finns en kortfattad och övergripande hållen uppdragslista vilken är presenterad av kommunledningen för IT-Enheten (ITE). Kommunen har vid granskningstillfället ingen tjänstemannagruppering (IT-råd, IT-forum etc.) som har till uppgift att engagera, samordna, rådge och stödja förvaltningarna i de IT-relaterade delarna av verksamheten. Ansvarig för ITE uppger att man skulle vinna på ett tydligare formulerat uppdrag från politik och verksamhetsledning. Inte bara ITE: s egen verksamhet skulle vinna på det utan även all annan verksamhet som stöds av IT. Detta understryks när intervjuade användare uppger att en sammanhållen IT-funktion är en nödvändighet och nyttan av ITE ökat speciellt ny organisation av supporten. Däremot saknas intervjusvar om att omorganisationen bidragit till nytta i strategi och framtidsfrågor. ITE är i början på en längre resa och är väl medveten om det. Uppdraget, färdplanen på både kort och lång sikt, kan och bör bli tydligare beskrivet, vara formellt beslutade och över tid finnas i uppdaterade dokument vilka skall vara väl kommunicerade. En IT-strategi kan med fördel skrivas i samförstånd i ett IT-råd. Skolans förslag till IT-strategi är struktur- och innehållsmässig lämpad för att tjäna som uppslag och en initial mall för en strategi för hela kommunen Ett IT-råd skall finnas i kommunen. Det krävs för samsyn och samarbete. Vi rekommenderar att ett IT-råd snarast inrättas 1

5 och det under ledning av kommunchefen. Det skall aldrig råda någon tvekan om att IT-rådets beslut är det som gäller i kommunen. Historiskt sett har det varit verksamhetsansvariga som beslutat om ändamålen med och medlen för behandling av personuppgifter. Vad vi förstår har inte respektive nämnd och därmed personuppgiftsansvariga (PuA) fått kännedom om detta och därmed inte fått/skaffat sig möjlighet att formellt och korrekt utöva sitt ansvar. Det är nytillträdd personuppgiftsombud (PuO) ambition att rätta till detta förhållande. Vi noterar även att det finns insikt om ett stort behov av inventering av register och kontrollåtgärder så att det finns personuppgiftsbiträdesavtal och att de är korrekt avfattade samt efterlevda. Det är inte orimligt att anta att kommunen inom BKU (Barn- kultur och utbildningsförvaltningen) använder sig av molntjänst. Uppdraget för detta avsnitt av granskningen är avgränsat att granska om ansvariga har och upprätthåller ändamålsenlig kontroll över externt lagrade personuppgifter. Erhållna dokument och intervjuer avseende systemet avseende It s learning leder oss till bedömningen att ansvariga själva måste reda ut, dokumentera och bedöma om rådande avtalsläge innebär att de personuppgifter som hanteras av alla inblandade parter är enligt PuL och kommunens egna regler. 2

6 2. Bakgrund Vi har av revisorerna i fått i uppdrag att granska: Styrning och uppföljning av den centrala IT-funktionen Hur kommunen säkerställer efterlevnad av personuppgiftslagen (PuL) 1 Molntjänster som avtalats inom skolområdet Kommun har en central IT-funktion för stöd och service till hela den kommunala verksamheten. Flera av verksamheterna inom kommunen är idag helt beroende av väl fungerande IT. För alla verksamheter handlar ett väl fungerande IT-stöd såväl om säkerhet som om möjlighet till en fungerande verksamhet utan driftstörningar. Allt fler kommuner överväger att använda eller använder redan sig av så kallade molntjänster. Molntjänster innebär att exempelvis processorkraft, lagring och funktioner tillhandahålls av leverantörer som tjänster över Internet. När man använder en molntjänst för lagring av personuppgifter förloras den faktiska kontrollen över de personuppgifter som lagras. Till detta kommer att molnleverantörer ofta använder sig av standardavtal, det vill säga i förväg definierade användarvillkor, och anlitar underleverantörer. Det är därför viktigt att den som tänker använda en, eller redan använder en eller flera molntjänster i sin verksamhet är medveten om de krav som ställs enligt personuppgiftslagen. Under år 2013 uppmärksammade Datainspektionen i ett antal tillsynsärenden att ett antal skolor i Sverige inte efterlevde PuL. PuL omfattar alla verksamheter i kommunen vilket innebär att kommunen även måste ha förutsättningar för att efterleva den i kommunens övriga verksamheter. Revisionen anser det väsentligt att säkerställa att den centrala IT-funktionen har möjlighet att erbjuda det stöd och samarbete som kommunens kärnverksamheter kräver och behöver. Vidare utesluter inte revisionen att det finns risk för att kommunen kan ha avtal eller har för avsikt att teckna avtal med molnleverantörer utan att ha tagit hänsyn till vad PuL föreskriver. Revisionen bedömer även att det finns risk för att hänsyn inte tas till PuL till exempel vid användandet av sociala medier, när skyddade adresser skall hanteras och vid publicering på hemsidor. 1 SFS 1998:204 3

7 3. Syfte Syftet med granskningen är att besvara följande frågor: 4. Avgränsning Finns det ett tydligt definierat uppdrag för kommunens centrala IT-funktion? Hur har den centrala IT-funktionen mottagit sitt uppdrag och hur arbetar de för att uppfylla det? Hur uppfattar kärnverksamheten den centrala IT-funktionens uppdrag och hur uttrycker man sitt behov av stöd och service? Vilka molntjänster används eller kommer att användas inom skolområdet under 2014? Har Barn- kultur och utbildningsnämnden, eller har de för avsikt under 2014, att såsom personuppgiftsansvariga gjort/göra en bedömning av om deras användning, planerade användning, av molntjänst följer lagen? Vilka kommunövergripande åtgärder har vidtagits (finns i styrdokument) för att säkerställa att personuppgifter hanteras korrekt även om ansvaret ligger på respektive nämnd/ styrelse? Finns det personuppgiftsombud utsedda och, ur ett kommunövergripande perspektiv, på vilket sätt styrs, organiseras och kontrolleras deras arbete? På vilket sätt och i vilken omfattning kontrollerar personuppgiftsombuden att PuL efterlevs? Finns det en kommunövergripande kunskap om vilka gällande personuppgiftsbiträdesavtal som finns upprättade i kommunen och gäller för 2014? Vilka kontrollåtgärder har vidtagits för att säkerställa att dessa efterlevs? Vilka personuppgiftsbiträdesavtal har upprättats, skall uppdaterats eller förnyas under 2014? Granskningen är översiktlig och berör enbart kommunen och därmed inte de kommunala bolagen. 5. Ansvarig styrelse 6. Metod Granskningen avser kommunstyrelsen samt nämnder. Granskningen har genomförts genom dokumentstudier och intervjuer med berörda tjänstemän. Rapporten är saklighetsgranskad genom chefen för Stöd och Service försorg. 4

8 7. Granskningsnoteringar 7.1 Styrning och uppföljning av den centrala IT-funktionen Styrningen och uppföljning Iakttagelserna nedan skall ses ur perspektivet att kommunens IT-enhet sedan verkar i en nyinrättad organisation. Väsentligt nytt är att den numer är sammanhållen och verkar för alla verksamheter inom kommunen. IT-Enheten (ITE) består av tio personer inklusive chef. Den ansvarar för drift av ca 80 datoriserade verksamhetsstöd installerade på över 100 servrar. ITE administrerar 2000 användarkonton och 1500 epostkonton. Till det tillkommer ansvaret för ca 1000 persondatorer. Verksamheten hålls samman med kommunikationslösningar till ca 150 arbetsplatser. Företrädare för den centrala IT-funktionen utför 2014 inte sitt uppdrag efter något kommunövergripande styrande dokument i form av en IT-strategi eller motsvarande. IT-funktionen har heller inte formaliserat och dokumenterat någon egen strategi eller ytterligare/andra styrmedel för sin verksamhet. Vi noterar i sammanhanget att det finns ett förslag till IT-strategi för skolan upprättad inom BKU daterad Förslaget innehåller läroplansmål, inriktningsmål, IT-riktlinjer, beskrivning om satsningar under höstterminen 2013 och därtill en pedagogisk motivering. I dokumentet finns en genomförandeplan med detaljerade aktiviteter och ansvar som sträcker sig från 2013 till ITE anges ha del i ansvaret för att genomföra 8 av 14 angivna aktiviteter. Kommunen har vid granskningstillfället ingen tjänstemannagruppering (IT-råd, IT-forum etc.) som har till uppgift att engagera, samordna, rådge och stödja förvaltningarna i de IT-relaterade delarna av verksamheten. Det uppges finnas en budget för ITE däremot ingen årlig verksamhetsplan där mål, prioriteringar, och resursfördelning framgår på en praktisk detaljnivå. I en plan hade det rimligen även framgått hur nödvändig kunskapsförsörjning likväl som kunskapsutveckling skall hanteras. Vad vi förstår skall det under hösten 2014 beslutas om nivåer och enas om mätbara mål för ITE. Det som däremot finns är en uppdragslista presenterad för ITE av kommunledningen. Av den framgår att ITE skall ansvara för: Ett gemensamt administrativt nät för samtliga anställda i. Tydliggörande av systemansvar för verksamhetssystemen. Standardisering av teknik och program i syfte att effektivisera. Centraliserad hantering av skrivare och kopiatorer. Nytt e-postsystem som omfattar alla anställda. 5

9 En organisatorisk sammanhållen IT-funktion underställd kommunstyrelsen och som skall stödja hela kommunen. Utveckla support och helpdesk för att möta verksamheternas olika krav. Det framgår inga aktiviteter, ansvar, prioriteringar, tidsramar etc av uppdragslistan. Tidigare nämnd budget är enligt uppgift inte funktionindelad (drift, support, utveckling, utbildning etc.) utan skiljer endast på drift och investeringar. I det sammanhanget noterar vi att mobiltelefoni inklusive s k smart-phones och telefonväxel inte ingår utan hanteras var för sig under andra ansvar än ITE. Vad gäller investeringar så samlas inte dessa i ett ansvar. Mjukvara inklusive kostnader för införandet nya system belastar inte sällan andra delar av verksamheten. En samlad bild av investeringen likväl som en känd och säkerställd kostnad blir därför svår att få. ITE har dokumenterat kommunens datoriserade verksamhetsstöd. Förteckningen innehåller förvaltningsuppgifter i form av personer likväl som uppgifter om hur systemen skall hanteras ur ett informationssäkerhetsperspektiv. Däremot saknas uppgifter om det finns en förvaltningsplan. Vad som bedömts som samhällsviktiga system framgår likväl om det finns reservrutiner och/eller kontinuitetsplaner att följa vid systembortfall. ITE: s del av uppdraget att vidmakthålla informationssäkerhet i kommunen framgår av flera styrande dokument. De förvaltningsplaner som finns uppges inte följa en kvalitetssäkrad mall för att därmed säkerställa funktion. Huruvida reservrutinerna för förtecknade system är testade framgår inte och det saknas även uppgift om reservrutiner finns för ett antal högt prioriterade system. Vi ställer oss tveksamma till om systemlistan är fullständig när en molntjänst (It s learning) saknas i förteckningen. ITE har inte medverkat när avtalet med leverantören av It s learning ingicks och har inte tillgång till avtalets innehåll. ITE är en utförarenhet och tar betalt för sina tjänster. Prissättningen är enligt uppgift under revidering. Vid granskningstillfället används inte SLA 2 för att beskriva de villkor som gäller för levererade tjänster. Det sker ingen regelbunden uppföljning av att ITE når sina mål. Vad vi förstår av intervjusvar så finns inte heller några kontrollmål med vidhängande kontrollmoment i internkontrollplanen för Detta är vad vi förstår ett förhållande som kan komma att ändras för ITE Kommentarer ITE är i början på en längre resa och är väl medveten om det. Uppdraget, färdplanen på både kort och lång sikt, kan och bör bli tydligare beskrivet, vara formellt beslutade och över tid finnas i uppdaterade dokument vilka skall vara väl kommunicerade. En IT-strategi kan med fördel skrivas i samförstånd i ett IT-råd. Skolans förslag till IT-strategi är struktur- och innehållsmässig lämpad för att tjäna som uppslag och en initial mall för en strategi för hela kommunen. Vi får under granskningen ingen uppgift om 2 SLA en förkortning av Service Level Agreement. Ett avtal som upprättas mellan verksamheten och ITE med avsikt att specificera och garantera en överenskommelse om nivå av service och stöd. 6

10 skolans IT-strategi blivit formellt antagen. Vi kan dock notera att ITE medverkat i en del av de aktiviteter som omnämns. Skall verksamheten i kommunen i väsentlig grad förstås av ITE: s medarbetare och skall alla medarbetes IT-kunskaper kontinuerligt utvecklas krävs samsyn och samarbete. Vi rekommenderar att ett IT-råd snarast inrättas och det under ledning av kommunchefen. Det skall aldrig råda någon tvekan om att IT-rådets beslut är det som gäller i kommunen. Förutom kommunchef och chefen för ITE skall ett IT-råd bestå av ledande företrädare omfattande alla verksamheter i kommunen. Resultatet av IT-rådets arbete skall kunna fungera som underlag för politiska beslut likväl som vara vägledenade för hur IT integreras i verksamheten till den grad att IT inte längre behövs som prefix till ordet verksamhet. Med hänvisning till den beydelse det datoriserade verksamhetsstödet har för kommunens förmåga att nå uppsatta mål är det rimligt att till betydelsen proportionerliga kontrollåtgärder genomförs enligt avsnitt i internkontrollplanen. Vi ser positivt på att det inte verkar uteslutet att ITE kommer att genomföra interkontrollprojekt på detaljnivån under Med hänvisning till denna gransknings inriktning noterar vi att ITE inte ur vare sig drift eller informationssäkerhetsperspektivet blivit involverade när avtal ingåtts med en molntjäntleverantör. Det är olyckligt att ITE: s kunskaper och ansvar inom dessa områden inte verkar ha använts. Även personuppgiftsansvariga och personuppgiftsombudet har en mycket viktig funktion att fylla när molntjänster skall upphandlas, införas och förändras IT-enhetens egen uppfattning om sitt uppdrag Uppgiftslistan ovan nämnd är central när ITE beskriver sitt uppdrag. Utvecklad support tillsammans med drift och en ambition att utveckla både sig själva och kommunen med stöd av modern IT präglar vardagen. Man är på väg men når inte alltid alla de mål man själva satt. Ansvarig för ITE har ibland otydliga befogenheter i beslutssituationer. ITE har samtidigt representation i ett antal ledningsgrupper. ITE: s verksamhet uppges skulle vinna på ett tydligare formulerat uppdrag från politik och verksamhetsledning. Inte bara den egna verksamheten utan all verksamhet som stöds av IT anses vinna på detta. Kommentarer ITE: s insikter och ambitioner motiverar att de erhåller en tydligare styrning på kort och lång sikt. ITE: s kunskaper är väsentliga för arbetet i ett IT-råd och de har kvalifikationerna för att påbörja och i fölängningen medverka i att kommunen kan ta beslut om en gemensam IT-strategi. 7

11 7.1.3 Verksamhetens uppfattning om IT-enheten Vi har frågat representanter för den sociala verksamheten, skolan och kommunledningsförvaltningen. Sammanfattningsvis framkommer följande: Införandet av en organisatorisk sammanhållen IT-funktion var en nödvändig åtgärd som i tydligt förbättrat IT-stödet till verksamheten. Det framhålls att kvaliteten och hanteringshastigheten av support och stöd blivit bra. Man behöver inte själv söka den enskilda specialisten utan det tar helpdesk hand om. Ingenting framkommer om omorganisationen bidragit till nytta i strategi och framtidsfrågor 7.2 Efterlevnad av personuppgiftslagen Kommunen har dokumenterade allmänna riktlinjer för behandling av personuppgifter enligt personuppgiftslagen (PuL). Det finns även ett styrdokument som beskriver hur en begäran om registerutdrag skall hanteras. Förutom dessa dokument finns utsedda kontaktpersoner avseende de register som kommunen själva för. Vi räknar till sammanlagt 34 register i det dokument som senast uppdaterades någon gång under Kommunen har sedan PuL trädde i kraft haft ett gemensamt personuppgiftsombud (PuO) för alla nämnder/styrelser. Under 2014 tar nuvarande kommunsekrerteraren över den rollen. Valet är protokollfört hos kommunstyrelsen och av det framgår att man rekommenderar samtliga nämnder att göra detsamma. Vidare framgår att beslut av ny PuO även skall anmälas till Datainspektionen. Historiskt sett har det varit verksamhetsansvariga som beslutat om ändamålen med och medlen för behandling av personuppgifter. Vad vi förstår har inte respektivet nämnd och därmed personuppgiftsansvariga (PuA) fått kännedom om detta och därmed inte fått/skaffat sig möjlighet att formellt och korrekt utöva sitt ansvar. Det är nytillträdd PuO ambition att rätta till detta förhållande. Tidigare PuO meddelar att det historiskt förekommit två (2) förfrågningar om registerutdrag. Hanteringen av dessa uppges ha följt det som föreskrivs i styrdokumenten. 8

12 Det finns enligt tidigare PuO fyra (4) stycken personuppgiftsbiträdesavtal med tjänsteleverantörer vilka anses gälla under Vi erhåller ytterligare ett från administrativ chef. Detta avtal visar sig vara identiskt med ett av de fyra redovisade nedan. När vi erhåller huvudavtalet avseende It s learning (skolsystemet som beskrivs som en molntjänst) finner vi ytterligare ett med IST Education Arena. Avtalets motpart är Ådalens Gymnasieförbund och innehållet avviker i utformning och innehåll från övriga fyra. Logica (nuvarande CGI 3 ) från 2011 och gäller tills vidare Sveriges kommuner och landsting (SKL) 2013 och gäller tills vidare Inera 4 från 2013 och gäller så länge personuppgiftsbiträdet (PuB) behandlar personuppgifter. Avtalet är av arten att Inera äger rätt att via fullmakt under vissa förutsättningar teckna personuppgiftsbiträdesavtal med vårdgivare för kommunens räkning. Pulsen Integration AB 5 från 2013 och gäller så länge personuppgiftsbiträdet behandlar personuppgifter. Historiskt har inga kontroller utförts för att säkerställa att avtalen efterlevs. Några utbildningar om hur PuL skall förstås och efterlevas har historiskt inte utförts. Kommentarer Vi ser postivt på att det genomförs åtgärder så att PuA utövar sitt ansvar genom att involveras i besluten om ändamålen med och medlen för behandling av personuppgifter. I åtgärdsarbetet bör även ingå en inventering för att säkerställa att PuO har kännedom om alla register som kommunen för. Inventeringen torde även ge inskter om omfattning av behovet av revidering av befintliga avtal, PuB: s efterlevnad av befintliga avtal samt behovet av att upprätta ytterligare avtal. Inventeringen torde även identifiera behovet av utbildningsinsatser och vilka kontrollmål som bör definieras i internkontrollplanen. I inventeringen skall även de avtal tas med som Inera upprättat via sin fullmakt. I samband med detta bör det säkerställas att Inera upprättat alla avtal som täcker kommunens behov. Vi bedömer även att det finns ett behov av att kontrollera om Ådalens Gymnasieförbunds avtal är efterlevt och om det kan finnas motiv för att teckna ett nytt när det nu verkar vara BKU (Barn- kultur och utbildningsförvaltningen i ) som är avtalspart. 3 CGI är en stor internationell aktör inom IT-området som erbjuder en stor variation av tjänster till över 250 svenska kommuner. 4 Inera koordinerar landstingens och regionernas gemensamma e-hälsoarbete och utvecklar tjänster till nytta för invånare, vård- och omsorgspersonal och beslutsfattare. Tidigare var Inera ett utförarbolag som fick uppdrag via landstingens beställarkansli Center för ehälsa i samverkan, CeHis. Under 2013 beslutade ägarna att inte ha längre ha en beställar-/utförarmodell så från 2014 bildar CeHis och Inera en gemensam organisation med namnet Inera - Landsting och regioner i samverkan för e-hälsa. 5 Pulsen är ett av Sveriges större IT-företag med ca 650 anställda i koncernen. Företaget är privatägt och har en lång tradition av expansion genom långsiktighet. Detta har resulterat i mångåriga kundrelationer, inte minst med landets kommuner. Huvudverksamheten är IT-relaterad men koncernen består även av fastighets- och förvaltningsrelaterad verksamhet. 9

13 7.3 Molntjänster inom skolområdet Det uppges finnas en (1) molntjänst inom BKU och det planeras enligt uppgift inte att införas någon ytterligare. Tjänsten benämnd It s learning är dock vad vi kan bedöma av erhållet huvudavtal inte en molntjänst. Med tanke på dateringen av avtalet (juni 2009) är det föga förvånande då sådana tjänster inte fanns vi den tiden. Värt att notera att avtalspart (kund) vi den tiden var Ådalens Gymnasieförbund. Under 2013 har det tecknats tilläggsavtal. Avtalspart nu är BKU. I tilläggsavtalen hänvisas till huvudavtalet med tillägg av avtalsvillkoren för alla licenser och tjänster. I ett tilläggsavtal rubricerat Extra licenser och lagring daterat framkommer i texten att kommunen årsvis och i förskott betalar drift och lagring av data. Erhållna avtalsdokument hänger inte ihop. Kunden är inte densamma. Huvudavtalet indikerar inte en molntjänst vilket tilläggsavtalen gör. I huvudavtalet gör leverantören sekretessutfästelser och det finns ett personuppgiftsbiträdesdokument om än inte undertecknat. Förutsättningarna för användningen av It s learning har uppenbarligen förändrats över åren och vi utesluter inte att det kan finnas ytterligare dokument som beskriver och reglerar förhållandet mellan leverantör och den som är betalande kund idag. Kommentarer Uppdraget för detta avsnitt är avgränsat till att granska om ansvariga har och upprätthåller ändamålsenlig kontroll över externt lagrade personuppgifter. Erhållna dokument och intervjuer leder oss till bedömningen att ansvariga själva måste reda ut, dokumentera och bedöma om rådande avtalsläge innebär att de personuppgifter som hanteras av alla inblandade parter är enligt PuL och kommunens egna regler. KPMG, dag som ovan Lars Anteskog Projektansvarig 10