Molntjänster - vilka är riskerna och vad säger PUL? ADVOKAT HANS NICANDER
Avtalstypen Molntjänst - Funktionalitet online via Internet - Köp av/ abonnemang på en tjänst - Olika innehåll, olika nivåer SaaS, PaaS, IaaS - Enkelhet, överblickbarhet, flexibilitet, skalbarhet - Inget investeringsbehov, trygghet - DOCK risker; informationshantering, åtkomst, säkerhet, kontroll över och återfående av data, PUL 2
Molnet i det offentliga - PUL inga särregler för offentlig sektor - DI: Särskilda hänsyn när stor mängd/känsliga data, ingående risk- och sårbarhetsanalys - Patientdatalagen, försvar, polis m.fl. - Lag om offentlig upphandling (LOU) ramavtal Kontorsstöd som molntjänst Programvaror och tjänster 2014 - Offentlighets- och sekretesslagen, begränsa åtkomst, kryptering, stark autentisering m.m. - Arkivlagen, krav på bevarande 3
Molnet i det offentliga - Vissa myndighetsföreskrifter/allmänna råd, t.ex. - Finansinspektionen FFFS 2014:1 10 kap. Uppdragsavtal FFFS 2014:5 2 kap Informationssäkerhet, 3 kap IT-verksamhet - JO-beslut Allvarlig kritik mot vårdgivare, VGR/ SLL, journalföring av patientuppgifter via molnet (JO 2014-09-09, dnr 3032-2011) 4
Att tänka på inför ett avtal - Risk- och sårbarhetsanalys - Vem är leverantören? - Leverantörsvänliga avtalsvillkor vanligt! - Specifikationen, vad ingår i tjänsten? Ändringar? - Servicenivåer (SLA) - Ansvar för kommunikationen/uppkoppling mot internet? - Krav på kunden? Kundens data, format, ej virus 5
Att tänka på inför ett avtal/ forts. - Säkerhetskopior, redundans? Kan informationen återskapas? - Krav på behöriga användare hos kunden? - Lev. rätt att anlita underleverantörer? - Hur och av vem behandlas av personuppgifter? - Lev. egen användning av kunddata? - Felansvar, brister i tjänsten avhjälpande, nedsättning, vårdslöshet? 6
Att tänka på inför ett avtal/ forts. - Utebliven betalning/avtalsbrott, rätt att avbryta, stänga av tjänsten? - Upphörande/Exit, återlämnande av data - Radering, anonymisering (lev. rätt till ersättning?) - Ansvarsfriskrivningar - direkt/indirekt skada, förlust av data, maxbelopp skadestånd 7
Personuppgiftslagen (PUL) - Personuppgifter: All slags information som direkt eller indirekt kan hänföras till en fysiskperson som är i livet - Behandling: Varje åtgärd eller serie av åtgärder som vidtas i fråga om personuppgifter - Personuppgiftsansvarig: Den som bestämmer ändamålen med behandlingen, dvs. kunden - Personuppgiftsbiträde: Den som utför behandling för den p-ansvariges räkning - Svensk lag gäller om den p-ansvarige etablerad i Sverige el. använder utrustning i Sverige 8
PUL kräver särskilt avtal - Personuppgiftsbiträdesavtal måste upprättas - Skriftligt, urskiljbart från övriga avtalsvillkor - Behandlingen ska ske i enlighet med instruktioner från den personuppgiftsansvarige - Säkerställas en lämplig säkerhetsnivå m h t a) tekniska möjligheter, b) kostnader, c) risker och d) hur känslig informationen är - Krav på uppföljning och kontroll 9
Krav på ett personuppgiftsbiträde - Biträdet ska tillämpa svensk lag - Avtalsvillkoren får inte ensidigt kunna ändras av biträdet - Information om/ ändring av underleverantörer måste lämnas - Uppföljning ske att biträdet följer kraven från den p-ansvarige (revision) - Säkerställa förutsättningar utreda misstankar om obehörig åtkomst 10
Underleverantörer - Huvudbiträde underbiträde - Avtal med varje eller med stöd av fullmakt för huvudbiträdet - Huvudbiträdet ansvarar för anlitat underbiträde - Ansvar också direkt mot p-ansvarig - Ska åläggas samma skyldigheter som huvudbiträdet har gentemot p-ansvarige - Gäller inom resp. utanför EU/EES 11
Kund "Personuppgi?s- ansvarig Bestämmer ändamålen Personuppgi?sbiträdesavtal Underbiträdes- avtal Underbiträde Dri?, lagring EU/EJ EU? Molntjänstleverantör Personuppgi?s- biträde Handla på instruk(on Underbiträdes- avtal Underbiträde Support, utveckling EU/EJ EU? 12
Förbud mot överföring till tredje land - Gäller till länder som saknar adekvat skyddsnivå - Gäller länder utanför EU/EES - Undantag bl.a. om: - Samtycke från den registrerade - EU:s standardavtalsklausuler - Safe Harbor-principerna - Binding Corporate Rules (BCR) 13
Tillsynsärenden Datainspektionen - Brevo AB (Windows Azure) Dnr 691-2012 - Salems kommun (Google Apps) Dnr 1351-2012, Förvaltningsrätten i Stockholm, dom 2014-07-01, mål nr 15410-13 - Enköpings kommun (Dropbox) Dnr 256-2011 - Sollentuna kommun (Google Apps for Education) Dnr 890-2012 - Ale kommun (Office 365) Dnr 1475-2013 - Malmö kommun (Google Apps for Education) Dnr 358-2014 14
Två standardavtal för molntjänster - IT & Telekomföretagen Allmänna Bestämmelser Cloud Computing version 2010 - Svensk Programvaruindustri (SPI) - OBS Leverantörsvänliga! - Cloud Sweden www.cloudsweden.se kompetensnätverk, checklistor m.m. 15
Advokat Hans Nicander Nicander Advokatbyrå hans.nicander@nicander.se Tel. 070-752 05 17 www.nicander.se 16