Använd molntjänster på rätt sätt

Transkript

1 E-samhället i praktiken Använd molntjänster på rätt sätt Molntjänster kan spara pengar och göra information mer tillgänglig för kommuner och landsting. Den viktigaste bedömningen vid val av molntjänst är att hitta rätt typ av tjänst för rätt typ av information. Detta pm ger en överblick av ett antal rättsfrågor som stöd för kommuner och landsting som är intresserade av att använda sig av molntjänster. Molnet eller molntjänster används av olika aktörer för att beskriva tjänster som kan ha vitt skilda egenskaper, men det finns ingen entydig definition. Sammanfattningsvis kan molntjänster beskrivas som färdigpaketerade tjänster där lagring, datorkapacitet, programvara eller liknande levereras över Internet. En viktig fördel med molntjänster är att lagring av data utnyttjar datorkraft där den är billigaste. En annan fördel är att användarna enkelt och snabbt kan öka eller minska lagringsutrymmet efter sina behov, utan att själva behöva investera i serverhallar och egen utrustning. En tredje fördel är att den lagrade informationen blir lättare att komma åt, vilket passar vid mobilt arbetssätt. Tjänsterna brukar vara paketerade och kunderna väljer om de vill ansluta sig eller inte. Det finns små eller inga möjligheter att kunna anpassa tjänsterna efter egna förutsättningar eller behov. Vid köpet accepterar man ofta ett standardavtal som är lika för alla kunder. Molntjänster tillhandahålls ofta av internationella företag och information som hanteras i molnet kan i praktiken hanteras i många olika länder. Molnleverantören kan lyda under andra länders lagstiftning och tvingas överlämna sina kunders information till myndigheter där. 1 Kontaktpersoner Detta material har tagits fram av Center för esamhället (CeSam) på Sveriges Kommuner och Landsting /esamhallet. Kontaktperson är Jeanna Thorslund, juridisk expert, tel vx: , e-post: jeanna.thorslund@skl.se. 1 En utförlig beskrivning av molntjänster och deras förutsättningar finns beskriven i Guide till Molnet v.1.0, Cloud Sweden, oktober 2012,

2 Vanliga användningsområden av molntjänster i kommuner och landsting 2 (5) 1 Medarbetare lagrar och delar dokument Molnet IT-system levereras som tjänst IT-drift, lagring, kommunikation 1. Medarbetare lagrar och delar dokument Ofta ansluter medarbetare till en standardtjänst via redan installerade IT-lösningar i organisationen, t.ex. lagringsyta som ingår i verksamhetens plattform för e-post eller liknande. Alternativt kan medarbetaren på egen hand hitta lösningar via Internet som ger möjlighet till gratis lagring och delning av dokument. Typiskt för dessa lösningar är att medarbetare kan börja använda tjänsten utan beställning eller särskild installation och att det inte blir synligt för arbetsgivaren att ett nytt arbetssätt har startats. Exempel på denna typ av tjänster är Skydrive, Dropbox, Live, eller liknande. Om det är verksamhetsrelaterad information som hanteras på detta sätt bör man vara medveten om att molntjänsterna kan sakna flera funktioner som finns inbyggda i verksamhetens ordinarie lagringssätt. Det saknas t.ex. ofta säkerhetskopiering, back-up, och flera andra säkerhetsrelaterade funktioner. Tjänsterna är generellt olämpliga för information som innehåller sekretess eller som annars är känslig eller verksamhetskritisk. För dessa tjänster krävs att kommunen eller landstinget informerar personalen och går ut med instruktioner om hur olika typer av information bör lagras och hanteras. 2. IT-system levereras som tjänst Verksamheten kan välja att programvara eller applikationer ska tillhandahållas över Internet. Kommunen eller landstinget administrerar inte den stödjande infrastrukturen och programvaran är ofta standardiserad utan kundspecifika anpassningar. För denna typ av molntjänster kan verksamheten lättare välja tjänster som passar för den information som ska hanteras och som stödjer det arbetssätt som väljs. Här blir det viktigt att villkoren för tjänsten granskas, så att nödvändiga krav på bland annat hantering av personuppgifter finns med. 3. IT-drift, lagring och kommunikation Det är ofta IT-ansvariga inom en kommun eller ett landsting som väljer att delar av ITinfrastrukturen, lagring eller hela IT-driften tillhandahålls över nätet. För detta användningsområde

3 3 (5) av molntjänster, finns det goda möjligheter för verksamheten att välja en lämplig lösning på motsvarande sätt som vid andra förändringar inom IT. Upphandling och inköp Tjänsten kan köpas in utan upphandling om kostnaden inte överskriver tröskelvärdet. Inköp av en molntjänst ska följa gängse inköpsrutiner inom respektive kommun eller landsting. Molntjänster har ofta en låg eller ingen kostnad och avtalet kan tecknas genom ett klick direkt hos tjänsteleverantören. I flera fall ingår lagringsutrymme som en del i en annan tjänst som verksamheten redan använder och medarbetarna kan då utan särskild beställning eller åtgärd börja använda den. Det kan vara värdefullt att chefer ger interna rekommendationer till medarbetare om molntjänster, för att säkerställa att informationshanteringen, som molntjänsten medför, ligger i linje med verksamhetens krav. Standardavtal Det som kännetecknar standardavtal är att de är utformade på förhand och att det finns liten eller ingen möjlighet att göra individuella anpassningar. För molntjänster som man ansluter sig till genom ett klick i en webbtjänst brukar det inte finnas möjlighet till att ens ställa frågor om vad avtalet innebär. Flera stora tjänsteleverantörer kan även vara svåra att kontakta och i dessa situationer bör man vara medveten om att det i princip saknas möjlighet att påverka avtalet. Samma gäller om leverantören under avtalstiden förändrar villkoren. Dessa tjänster bör bara väljas för informationshantering som inte är kritisk eller väsentlig för verksamheten, utan som kan förloras eller komma på avvägar utan större negativ påverkan. De bör inte heller väljas om det finns behov av att hantera större mängder av personuppgifter eller om det gäller känsliga personuppgifter. För andra typer av molntjänster, t.ex. där drift eller tjänster i molnmiljö upphandlas, kan det finnas goda möjligheter till utformning av avtalet och villkoren, precis som vid andra upphandlingar. För den som vill granska ett standardavtal kan det vara bra att åtminstone kontrollera hur följande områden regleras: 1. Kommer leverantören att använda sig av underleverantörer? a. Leverantören ska kunna ansvara för underleverantören och även kunna ange vilka underleverantörer som anlitas. b. Om personuppgifter ska hanteras krävs personuppgiftsbiträdesavtal med leverantören, men även med underleverantörer, se vidare i avsnitt om Personuppgifter. 2. Var kommer informationen att lagras? a. När personuppgifter ska hanteras är huvudregeln att lagringen måste ske i ett land inom EU/EES-området. 3. Var kommer informationen att bearbetas? a. Flera leverantörer skiljer mellan lagring och bearbetning, så även om de garanterar att lagringen sker inom EU/EES kan de ändå bearbeta den utanför. Detta kan strida mot reglerna i PuL, där lagring och bearbetning båda faller inom det övergripande begreppet behandling av personuppgifter. 4. Vem har rätt att få åtkomst till informationen?

4 4 (5) a. En grundförutsättning måste vara att det är tydligt reglerat att kommunen eller landstinget äger informationen både under avtalstiden men även efter avslut. Leverantören ska inte ha rätt att utifrån sina egna behov disponera över informationen. b. Tänk på detta särskilt i lösningar där bilder ska hanteras. Då kan det finnas upphovsrätt för fotograf att ta hänsyn till. 5. Vad händer med informationen när avtalet avslutas? 6. Kan man få ut logginformation så att det kan kontrolleras vem som har haft åtkomst till informationen? 7. Vilken säkerhet finns för informationen? 2 Observera att detta inte är en uttömmande lista det kan finnas behov av att säkerställa fler frågor beroende på vilken typ av information som ska hanteras. Personuppgifter När personuppgifter ska hanteras i en molntjänst ställs krav i personuppgiftslagen, PuL 3. Som personuppgift räknas alla uppgifter som direkt eller indirekt kan användas för att identifiera en individ. Molntjänster för e-post, lagring av dokument med personnamn innebär att personuppgifter kommer att hanteras och reglerna i PuL blir aktuella. Den nämnd inom kommunen eller landstinget som ansvarar för verksamheten där personuppgifterna används, är personuppgiftsansvarig, dvs. juridiskt ansvarig för hanteringen. Nämnden har då ett ansvar att självständigt se till att hanteringen följer reglerna i PuL. Om man låter någon annan part hantera personuppgifterna på uppdrag, i en molntjänst eller i drift av verksamhetssystem eller liknande, är det fortfarande nämnden som är ytterst ansvarig för hanteringen. Uppdragstagaren, leverantören av molntjänsten, räknas som ett personuppgiftsbiträde och den personuppgiftsansvarige ska i ett skriftligt avtal instruera biträdet om hur personuppgifterna får hanteras och vilka säkerhetsåtgärder som ska skydda uppgifterna. ett så kallat personuppgiftsbiträdesavtal. Om leverantören anlitar underleverantörer för lagring, bearbetning, support eller annan behandling av personuppgifterna, måste man teckna ett direkt avtal även med dessa. Ett alternativ är att ge den huvudsakliga leverantören ett mandat att ingå avtal med underbiträden. Mer information om biträdesavtal finns i Datainspektionens infoblad om molntjänster, se länk nedan. Sammanfattningsvis innebär bestämmelserna i PuL att den som vill använda en molntjänst bland annat måste: Kontrollera att lagring och bearbetning av personuppgifterna kommer att ske inom EU/EES-området Tydliggöra i avtalet att kommunen eller landstinget är personuppgiftsansvarig, även för den del av informationshanteringen som sker hos leverantör och underleverantörer Säkerställa att molntjänster med standardavtal uppfyller de krav som gäller för den typ av personuppgifter som ska hanteras. o Se till att det finns ett särskilt PuL-biträdesavtal med leverantören eller att standardavtalet innehåller de punkter som krävs. 2 I Guide till Molnet finns fördjupad information om standardavtal och säkerhet. 3 Personuppgiftslagen (SFS 1998:204)

5 Datainspektionen är tillsynsmyndighet inom området och har tagit fram ett särskilt informationsblad om molntjänster där dessa och andra frågor beskrivs mer i detalj (sök på internet på datainspektionen molntjänster ); Sekretess och säkerhet För information som innehåller sekretess eller som annars är känsliga enligt PuL ställs högre krav på säkerhet för att skydda informationen. Som känsliga räknas enligt PuL uppgifter om etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening och uppgifter som rör hälsa eller sexualliv samt brottsuppgifter. För hantering av information som innehåller sekretess eller som annars är känslig enligt PuL krävs normalt dessa säkerhetsåtgärder: Krypterad överföring när uppgifterna ska kommuniceras över öppna nät som t.ex. Internet. Stark autentisering vid åtkomst till informationen, två-faktors inloggning som t.ex. e- legitimation eller engångslösenord. Möjlighet att kunna följa upp vem som har haft åtkomst till informationen. Det finns en mängd andra aspekter som behöver övervägas för att fastställa vilka säkerhetsåtgärder som krävs för att skydda informationen och för att bedöma om den aktuella molntjänsten är lämplig. Denna bedömning görs ofta i en risk- och sårbarhetsanalys. Hantering av allmänna handlingar Information som lagras i en molntjänst för en kommuns eller ett landstings räkning kommer att innefatta allmänna handlingar och då måste verksamheten kunna säkerställa att informationen är tillgänglig för att lämnas ut om någon begär det. Av bestämmelserna i Offentlighets- och sekretesslagen, OSL 4, framgår i kapitel 4-6 att alla myndigheter ska ha en god ordning och struktur för sina allmänna handlingar. För att kunna klara dessa grundläggande krav förutsätts att de IT-stöd som används av verksamheterna uppfyller baskrav på t.ex. säker tillgänglighet och drift. Om molntjänster används som enda lagringsställe för allmänna handlingar måste tjänsten granskas så att driftavbrott eller förändringar i tjänsten inte medför att handlingar kan gå förlorade. Det finns även krav på att tjänsten måste kunna klara att informationen efter myndighetens beslut ska gallras och att den då kan tas bort. För tjänster som är utvecklade för den amerikanska marknaden är det vanligt med den omvända principen, att lagrad information inte ska kunna tas bort. Svenska myndigheter måste även kunna ha möjlighet att arkivera information som behöver bevaras. De IT-lösningar som väljs behöver då även hantera arkivuttag. Mer information om molntjänster Cloud Sweden har flera skrifter om molntjänster ur olika aspekter och har även tagit fram en handbok; Datainspektionen har en temasida om molntjänster (sök på internet på datainspektionen molntjänster ). 5 (5) 4 Offentlighets- och sekretesslagen (SFS 2009:400)