Utanför Fort Europa
Lyckligtvis är det enkelt inom EU, men utanför ”Fort Europa” gäller det att landet kan anses garantera en hög säkerhetsnivå, en bedömning som är svår att göra. Inte minst eftersom de stora molnleverantörernas hemland, USA, inte anses vara tillräckligt tryggt.

Men i fallet med gränsöverskridande dataflytt går det att avtala sig fram. Det som krävs är att den registrerade, det vill säga personen var information behandlas, godkänner utflyttningen av data. Alternativt kan företaget som ska hantera informationen se till att anpassa sig till de så kallade Safe Harbour-reglerna (trygg hamn-reglerna), skapade av amerikanska Department of Commerce i samarbete med EU. Men notera att det här enbart innebär att data kan skickas till det aktuella företaget – personuppgiftsbiträdesavtal måste fortfarande tecknas.

Vidare blir ingenting enklare av att texten i Pul i många fall är öppen för tolkning. Säkerhetsnivån ska till exempel ställas mot hur känslig den lagrade informationen är, något som i många fall är knepigt att avgöra. Det finns en del exempel angivna i lagen, men den är knappast uttömmande i den här frågan.

Om informationen som lagras anses vara extra känslig får den dessutom bara lagras med den registrerades godkännande eller om det finns särskilda omständigheter. Om detta sker måste posterna lagras bakom mer avancerad säkerhet. Inloggning med namn och lösenord duger till exempel inte.

Allt det här borde innebära en relativt avancerad avtalsprocess, men vad som i praktiken sker är normalt att personuppgiftsbiträdet dikterar villkoren för hur informationen ska behandlas, i många fall utan att det finns klausuler för hur Pul ska hanteras. Detta är alltså inte korrekt enligt lagen om du ska spara personuppgifter.

Datainspektionen ser dig
Men trots alla hinder är det vanskligt att sätta på skygglapparna – att bortse från risken kan snabbt bli ett problem. Datainspektionen är nämligen en tillsynsmyndighet som håller koll på hur företag sköter sig. Myndigheten kan på eget initiativ utföra en inspektion och om det finns felaktigheter drar de sig inte för att tala om det, och i värsta fall kan de föra ärendet vidare.

Detta blev tydligt för tre organisationer i slutet av 2011. Salems kommun, Enköpings kommun och företaget Brevo blev noggrant synade av myndigheten. Samtliga fick underkänt, trots att de använde sig av vanliga och populära molntjänster: Google Apps, Dropbox respektive Microsoft Azure.I molnet gäller det att hålla ordning på om det finns underleverantörer,
och om dessa i så fall har rätt avtal påskrivna.

Vad säger juristen?

Anders ChristnerAnders Christner, advokat på firman Lindahl, vad bör företag som vill lagra personuppgifter i molnet tänka på?
– Den som anlitar en molnleverantör är alltid personuppgiftsansvarig och kan inte skylla på leverantören. Man måste tänka igenom vilka personuppgifter som man kommer att lagra i molnet. Vissa verksamheter har särskilda regler att ta hänsyn till, kreditinstituten till exempel.

Bör företag och myndigheter söka juridisk hjälp innan de skickar upp data i molnet?
– Ja, det är viktigt att man får hjälp med att förstå vad avtalet innebär, det gäller även avtal som har med Pul att göra.

Är det skillnad på om den fysiska maskinen står i eller utanför Sverige?
– För företag etablerade i Sverige är det ingen skillnad var maskinen står om den står inom EU. Även för ett företag som inte är etablerat i Sverige är svenska Pul tillämplig om behandlingen sker från maskiner placerade i Sverige.

Finns det anledning för bolag att göra en extern revision av sin molnlösning?
– Datainspektionen och andra myndigheter som har tillsyn över ett visst företag kan kräva att få göra extern revision. Företag som funderar att lämna ut affärskritiska uppgifter kan också fundera över om de har behov att kunna göra revision.