15 och 16 april 2015 Universitetet och Datainspektionen i Molnet reflektioner över en gryende praxis Göteborgs universitet
Definition från Wikipedia Datormoln molntjänster - är IT-tjänster som tillhandahålls över Internet som traditionellt sköts på egen dator men i detta fall sköts av någon annan Tekniken innebär att stora skalbara resurser, t.ex. processorkraft, lagring och funktioner, tillhandahålls som tjänster på Internet Användare behöver inte ha den tekniska kunskapen eller kontrollen över infrastrukturen d.v.s. köper tjänsten Göteborgs Universitet
Exempel på molntjänster Google Apps (kontorsprogram) Microsoft Exchange Online (e-post) Gmail (e-post) Flickr (bilder) Dropbox (fillagring) Icloud (fillagring m.m.) Office 365 (Microsoft 365, en kontorslösning) Göteborgs Universitet
Allmänt regelverket Personuppgiftslagen Offentlighets- och sekretesslagen Myndighetsspecifika registerförfattningar Interna styrdokument Göteborgs universitet
Fråga om det är möjligt att behandla personuppgifter i en molntjänst Datainspektionens inspektionsbeslut Salems kommunstyrelse Google Apps Enköpings kommunstyrelse Dropbox Malmö Stad Goggle Apps for Education Ale kommun Office 365 Simrishamns kommun Goggle Apps for Education Göteborgs universitet
Fråga om det är möjligt att behandla personuppgifter i en molntjänst Artikel 29-arbetsgruppen för skydd av personuppgifter Yttrande 5/2012 om datormoln (cloud computing) http://ec.europa.eu/justice/data-protection/index_sv.htm Datainspektionens vägledning september 2011 http://www.datainspektionen.se/documents/faktabladmolntjanster.pdf Göteborgs universitet
Kritik av besluten avser brister i relation till PuL information till användarna PuA :s instruktion till PuB ändamål/endast för PuA räkning och svensk lag ska gälla reglera säkerhetsåtgärder för skydd av personuppgifter transparens för PuA/kontroll! inte tydligt förbud mot att PuB för egna ändamål vid avtals upphörande/radering av uppgifter information om underleverantörer lokalisering och vilken typ av uppdrag de utför Göteborgs universitet
. och vad händer i molnet? Göteborgs Universitet
Vad är det som händer? Vi måste ta hänsyn till gällande regelverk och ta ställning till de risker och andra omständigheter som kan uppstå i samband med att vi ingår avtal där behandling av personuppgifter och/eller integritetskänsligt material kommer att behandlas! Detta måste matchas mot regelverket Göteborgs Universitet
Personuppgiftslagen (1998:204) Göteborgs Universitet
Känsliga personuppgifter, personnummer, uppgift om lagöverträdelser PuL 13-22 PuL 9 Grundläggande krav på behandling av personuppgifter Lagligt och korrekt Ytterligare krav på personuppgiftsansvarig PuL 50b Tredje landsöverföring PuL 33-35 Tillåten behandling PuL 10 Säkerhetsregler PuL 30-32 Samtycke
Personuppgift Göteborgs Universitet
All slags information som direkt eller indirekt kan hänföras till en person i livet Direkta Indirekta Objektiva Subjektiva Krypterade Personuppgift Namn, adress, postnummer, personnummer, IP-nummer, e- postadress, hälso- och sjukdomsuppgifter, registreringsnummer för fordon, bild- ljudupptagningar m.m. Är eller kan identifieras EJ!!! Avlidna och icke födda Juridiska person men väl enskild firma
Personuppgiftsansvarig det anlitande lärosätet och Personuppgiftsbiträde molntjänstleverantören och dess underbiträden Göteborgs Universitet
Personuppgiftsansvarig den som ensam eller tillsammans med andra bestämmer ändamålen med behandlingen och medlen för behandlingen Medhjälpare fysisk person som under den personuppgiftsansvariges ledning behandlar personuppgifter (t.ex. den anställde) Registrerad den som uppgiften avser (t.ex. fysisk person) Personuppgiftsbiträde icke anställd (molntjänstleverantören och underbiträden)
Tredjeland och tredjelandsöverföring Göteborgs Universitet
Överföring av personuppgifter till tredje land omfattar tre paragrafer (33-35 ) och def. av tredje land 1. 33 - principiellt förbud mot överföring till tredje land tillåten endast vid adekvat skyddsnivå 2. 34 - undantag från förbudet t.ex. samtycke 3. 35 - bemyndigande för regeringen/ Datainspektionen meddela föreskrifter för undantag från överföringsförbudet i 33 3 - en stat som inte ingår i EU eller är ansluten till EES
Säkerhet Göteborgs Universitet
Personuppgifts biträdesavtal Instruktion eller lag Säkerhet PuL 30-32 Tekniska och organisatoriska åtgärder Särskilda Säkerhets åtgärder DI Lärosätets egen ITsäkerhets policy och IT- säkerhets regler Säkerhet vid behandling av personuppgifter DIFS särskilda föreskrifter
och detta innebär Ansvar för att regelverket följs Personuppgiftslagen Offentlighets- och sekretesslagen Myndighetsspecifika registerförfattningar Göteborgs universitet
Laglighetskontroll Instruktion där det framgår vad som ska behandlas och på vilket sätt ofta finns redan standardavtal take it leave it Bedömning utifrån egen risk- och sårbarhetsanalys Göteborgs universitet
Konklusion Göteborgs Universitet April 2012
Personuppgiftsbiträdesavtal Syftet med avtalet uppfylla PuL:s krav enligt (30 andra stycket) PuB åtar sig bara behandla personuppgifterna i enlighet med PuA/instruktioner PuA:s gällande regelverk PuB vidta (PuL 31 första stycket) lämpliga tekniska och organisatoriska åtgärder Ta ställning till underbiträden/ingår i avtalet eller särskilda avtal Tillåta inspektioner av DI/annan Skadeslöshet PuB PuA Villkor vid upphörande av och tvisteklausul Svensk lag ska gälla Göteborgs Universitet
Det kan konstateras: Personuppgiftsansvarig inte själv har kontroll över lagringen Krävs t.ex. kontroll i avtalet autentisering behörighetskontroll kommunikationssäkerhet rutiner för säkerhetskopiering skydd för obehörig trafik skadlig programvara Reflexion: problemet: Stor tillit för lite koll Göteborgs Universitet
Information Aktuella tillsynsbeslut www.datainspektionen.se Lagtexter www.riksdagen.se Mall för risk- och sårbarhetsanalys Sveriges kommuners och landsting ENISA Göteborgs universitet
Kontakt, universitetsjurist 031 786 1092 Kristina.Ullgren@gu.se Göteborgs universitet