"Dagens dataskyddslagstiftning är i vissa avseenden svår att förena med det som vi i dag kallar för molntjänster. "



Efter en försiktig start har molnet på allvar börjat bli ett alternativ för bolag och myndigheter. Många drömmer om att slippa hantera lokal infrastruktur och i stället helt fokusera på applikationer och tjänster. Men det finns ett problem som många förbiser: Personuppgiftslagen, Pul.


Lagen har EU-stöd
Lagen, som bygger på EU:s dataskyddsdirektiv, har bara ett dussintal år på nacken, men har ändå hunnit bli rejält omskriven och kritiserad. Många internetbaserade företag har haft svårt att förlika sig med det femtiotal paragrafer som lagen består av. Ännu fler har inte ens bemödat sig med att läsa igenom den, och det kan visa sig vara ett ödesdigert misstag när det är dags att kliva ut i molnet.

Lagens syfte är att skydda alla medborgares personliga integritet genom att reglera hur uppgifter om individer lagras och behandlas. Den förbjuder lagring av viss information och kräver hög säkerhet om du sparar känslig data. Brott mot bestämmelserna kan i värsta fall leda till hela två års fängelse.

Lagen gäller för alla tillfällen, men läget blir extra komplicerat just i molnet. Orsaken är att ansvaret för hur informationen hanteras ligger kvar hos ditt företag oavsett vem som sköter hanteringen i praktiken. Därför måste avtalen vara vattentäta.

Ägaren till informationen kallas för personuppgiftsansvarig och är ytterst ansvarig för hanteringen. Även om det låter som en individ omfattar begreppet framför allt juridiska personer – de anställda som praktiskt jobbar med uppgifterna anses normalt bara vara medhjälpare. Omständigheterna bestämmer vem som ska straffas om det går så långt.


Molnet måste godkännas
Molnleverantören blir å sin sida ett personuppgiftsbiträde, med allt som kommer med denna titel. Men för att den utnämningen ska vara godkänd krävs, enligt 30 paragrafen i Pul, att det finns ett personuppgiftsbiträdesavtal påskrivet där leverantören tar på sig det ansvaret. Åtagandet sker alltså inte per automatik bara för att någon annan hanterar informationen.

Just denna punkt är en knepig nöt att knäcka, eftersom reglerna långt ifrån alltid står inskrivna i standardavtalen. Internationella jättar är heller inte alltid villiga att skriva kontrakt med lokala regler, vilket inte gör någonting lättare, i synnerhet inte för mindre företag. De gör ofta bäst i att samtala med mindre leverantörer.

Det som gör skrivningen ännu värre är att den personuppgiftsansvarige förväntas ha kännedom om alla underleverantörer. Om dessa kan komma åt informationen måste de nämligen också ha skrivit på motsvarande avtal. Detta gäller till exempel såväl din irländska driftspersonal som din indiska supportavdelning.

Tyvärr slutar inte problemen här. Under paragraf 31 i Pul kan du till exempel läsa att det är den personuppgiftsansvariges skyldighet att se till att personuppgiftsbiträdet kan skydda informationen. Dessutom måste kontroller av molnleverantörens säkerhet utföras.

Även åtkomstloggar måste gå att få fram. De ska innehålla uppgifter om alla som kommit åt informationen på ett eller annat sätt. Det här gäller oavsett om det är den personuppgiftsansvarige eller personuppgiftsbiträdet som kikat på posterna.

Ytterligare ett problem är att det normalt är förbjudet att skicka Pul-skyddad data till ett annat land, och transport över gränserna är ju nära nog regel om du överväger att använda någon av de riktigt stora leverantörerna. Deras datorhallar står oftast i ett annat land än Sverige.


Safe harbour-principerna

Amerikanska Department of Commerce har tillsammans med EU tagit fram en uppsättning riktlinjer för att hjälpa företag anpassa sig till EU:s datalagringsdirektiv:

Förvarning: Enskilda personer måste informeras om att deras uppgifter samlas in och hur dessa ska användas.

Valfrihet: Enskilda personer måste ha möjlighet att välja bort insamling och vidare överföring av uppgifter om dem till tredje part.

Vidare överföring: Överföring av uppgifter till tredje part får endast ske till andra organisationer som följer samma regelverk för uppgiftsskydd.

Säkerhet: Rimliga ansträngningar måste göras för att förhindra förlust av insamlad information.

Dataintegritet: Information måste vara relevant och tillförlitlig för det ändamål den insamlades för.

Åtkomst: Enskilda personer måste kunna få tillgång till information som finns om dem och korrigera eller ta bort den om den är felaktig.

Verkställighet: Det måste finnas medel för att säkerställa regelverket.


Sida 1 / 3

Innehållsförteckning