Så din organisation har bestämt sig för att lägga ut vissa tjänster i en molntjänst. Ni har läst del 1 i vår artikelserie och sett till att ni har ett regelverk som tydligt reglerar vilka säkerhetsmekanismer och administrativa processer som ska implementeras inom olika nivåer av infoklassningsmodellen för att man ska kunna anse att regelverkets krav är uppfyllda.

Infoklassningsmodellen vägleder också användarna hur information ska klassificeras och därefter hanteras.

Därmed är kanske den svåraste delen gjord. Om ni verkligen har gjort det som jag precis har beskrivit har ni ett bra underlag för att kunna jämföra olika molntjänsters förmåga att leva upp till era krav (vi förutsätter att ni har koll på organisationens verksamhetskrav för informationsförsörjningen).

Men är allting klart då för att börja jämföra de molntjänster som ett antal företag vill sälja till er, bland annat med löfte om att de är säkra? Nej, troligen är det ytterligare några saker ni måste klara av innan ni kan starta. Även om ert regelverk för informations- och it-säkerhet är utformat för att leva upp till legala krav, så bör ni göra en rättsanalys som komplettering.

För att en rättsanalys ska bli rättvisande krävs en verksamhetsanalys som underlag. Denna bör beskriva hur hanteringen av företagets information är tänkt att gå till. Ju bättre verksamhetsanalysen är, desto mer rättvisande blir sannolikt rättsanalysen, och desto bättre kommer det gå för er att leva upp till legala krav.

Du ansvarar för att Pul följs

Hanteringen av personuppgifter och vad som krävs för att den ska vara tillåtet är ganska bra beskrivet av Datainspektionen.

Det man bör tänka på här är att den som använder en molntjänst för sin personuppgiftsbehandling också är så kallad personuppgiftsansvarig för behandlingen, även om den utförs av molntjänstleverantören eller någon som den leverantören i sin tur anlitar. Ansvaret för att personuppgiftslagen, Pul, följs ligger alltså kvar hos organisationen som lägger ut uppgifterna i en molntjänst. Molntjänstleverantören blir vad som kallas personuppgiftsbiträde, och är som leverantör också skyldig att se till att lagens krav uppfylls.

I princip samma sak gäller med annan lagstiftning, till exempel offentlighets- och sekretesslagen, OSL, som vi ska återkomma till strax.

Duger molntjänsten för dina data?

Innan en molntjänst tas i bruk måste den personuppgiftsansvarige bedöma om den personuppgiftsbehandling som man vill låta molntjänstleverantören utföra kommer att vara tillåten enligt personuppgiftslagen.

När man anlitar en molntjänstleverantör är man ofta hänvisad till de villkor som gäller enligt leverantörens standardavtal. I sådana fall måste den personuppgiftsansvarige granska de avtalsvillkor och riktlinjer som molntjänstleverantören erbjuder och bedöma personuppgiftsbehandlingen utifrån dessa.

Förutom en rättsanalys bör även en hot- och riskanalys genomföras. Den bör klargöra vilka åtgärder som ska övervägas när det gäller bland annat autentisering, behörighetsstyrning, behörighetskontroll, kommunikationssäkerhet, rutiner för säkerhetskopiering och datautplåning samt skydd mot obehörig åtkomst och skadlig programvara.

OSL – en luddigare lag

Säkerhetsmekanismer av det nyss nämnda slaget är normalt sådana som krävs när en myndighet hanterar uppgifter som ska skyddas enligt offentlighets- och sekretesslagen, OSL. I den ställs tydliga krav på skydd för informationen, men det framgår inte på vilket sätt den ska skyddas, och om informationen finns i en it-miljö framgår inte heller av lagen med vilka medel den ska skyddas.

Lagen har sitt ursprung i en tid när behandling av information gjordes på papper eller möjligen i stordatorer. Det finns en omfattande okunskap om hur lagen ska fungera i en it-miljö och de flesta jurister som tillämpar lagen saknar djupare kunskaper inom it.

I OSL regleras dock två grundläggande saker: röjning och behörighet. Det är inte tillåtet att ”röja” skyddsvärd information för någon som är ”obehörig”. För att förstå hur information som ska skyddas enligt något av lagens kapitel ska skyddas och med vad, krävs att man också förstår när ett röjande kan föreligga i en it-miljö och vem som är obehörig.

Sida 1 / 3

Innehållsförteckning