20 Jan Ny rapport från EDPB om molntjänster inom offentlig sektor!
Europeiska dataskyddsstyrelsen (EDPB) publicerade i veckan en rapport avseende offentlig sektors användning av molntjänster.[1] Rapporten har tagits fram inom ramen för ”The Coordinated Enforcement Framework”, vilket utgör en struktur för årligen återkommande samordnade aktiviteter mellan tillsynsmyndigheter inom EU/EES på dataskyddsområdet. Föremålet för 2022 års ”Coordinated Enforcement Action” var offentlig sektors användning av molntjänster, med särskilt fokus på efterlevnaden av dataskyddsförordningen[2].
Rapporten utgör en sammanställning av de resultat som tillsynsmyndigheter inom EU/EES samlat in avseende användningen av molntjänster inom offentlig sektor, och utgör en intressant läsning. Sammanlagt har ca 100 organisationer medverkat, och däribland 11 från Sverige.[3]
I rapporten noterar EDPB att organisationer inom offentlig sektor tenderar att brista på flera punkter vad gäller efterlevnaden av dataskyddsförordningen, vid upphandling och användningen av molntjänster. EDPB konstaterar att det finns flertalet utmaningar kopplat till användningen, och tillhandahåller en checklista som organisationer inom offentlig sektor bör beakta vid upphandling och användningen av molntjänster, där bland annat följande råd lyfts fram:
- Innan ett molntjänstavtal ingås bör en konsekvensbedömning genomföras i enlighet med artikel 35 i dataskyddsförordningen eller, om så inte krävs, en riskbedömning i enlighet med artikel 24 och 32 i dataskyddsförordningen. Genomförd bedömning ska regelbundet utvärderas, och likaså personuppgiftsbehandlingens förenlighet med bedömningen. För det fall en organisation ännu inte genomfört en bedömning enligt ovan, men använder en molntjänst, bör en bedömning genomföras omgående.
- Säkerställ att de involverade parternas roller är klart och otvetydigt bestämda, samt precist definierade i avtalet. Normalt intar molntjänstleverantörer rollen som personuppgiftsbiträde och den organisation som utkontrakterar en it-tjänst rollen som personuppgiftsansvarig. Enligt EDPB finns det däremot situationer där rollerna skulle kunna vara de omvända, samt situationer då ett gemensamt personuppgiftsansvar skulle kunna föreligga mellan molntjänstleverantör och utkontrakterande organisation. Till följd av att olika ansvar enligt dataskyddsförordningen är kopplat till rollerna är tydlighet vad gäller rollfördelningen viktig, särskilt för att säkerställa efterlevnad av dataskyddsförordningen.
- Förhandla kundspecifika molntjänstavtal med molntjänstleverantören och uppmärksamma riskerna med att acceptera molntjänstleverantörernas standardavtal som inte uppfyller kraven i dataskyddsförordningens artikel 28.3. Eftersträva anpassningar av personuppgiftsbiträdesavtalet till förutsättningarna i det enskilda fallet för att exempelvis undvika en omfördelning av roller mellan de involverade parterna. Samverka dessutom med andra organisationer inom offentlig sektor och använd allmänt tillgänglig information, när molntjänster upphandlas.
- Säkerställ kontroll över molntjänstleverantörers användning av underbiträden, samt dess möjlighet att anlita nya underbiträden under molntjänstavtalet. Utkontrakterande organisation bör säkerställa både insyn i vilka underbiträden som används, samt möjlighet att invända mot anlitandet av nya underbiträden för att få en större kontroll över den personuppgiftsbehandling som sker under molntjänstavtalet.
- Utvärdera huruvida tredjelandsöverföringar kan komma att genomföras under molntjänstavtalet, samt huruvida molntjänstleverantören är bunden av lagstiftning i tredje land som innebär att denne kan komma att behöva lämna ut personuppgifter till myndigheter i tredje land i strid med dataskyddsförordningen. Dataskyddsförordningen ställer upp särskilda krav för att tredjelandsöverföringar ska vara tillåtet, och EDPB understryker att särskilda åtgärder bör vidtas när molntjänstleverantören dessutom omfattas av lagstiftning i tredje land som innebär att myndigheter i tredje land kan få del av personuppgifter tillhöriga den utkontrakterande organisationen.
Det är uppskattat att EPPB valt att sammanställa resultatet av projektet i en innehållsrik och konkret rapport, med många intressanta inslag. Vi på Wikström & Partners är övertygade om att rapporten kommer få betydelse och påverkan på upphandling och utkontraktering av molntjänster inom offentlig sektor. Välkommen att kontakta oss för frågor avseende rapporten eller om juridiska frågor relaterade till användning av molntjänster i allmänhet!
Christina Wikström, advokat och partner, 070 691 68 00, christina@wikstrompartners.se och Anton Karlsson, biträdande jurist, 070 148 00 09, anton@wikstrompartners.se.
[1] https://edpb.europa.eu/system/files/2023-01/edpb_20230118_cef_cloud-basedservices_publicsector_en.pdf.
[2] Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG.
[3] Bl.a. Bolagsverket, Försäkringskassan och Skatteverket. Se s. 112, https://edpb.europa.eu/system/files/2023-01/edpb_20230118_annex_national_reports_cef_cloud-basedservices_publicsector_en.pdf.