Mar 28, 2025
Moln och Person data inom offentlig sektor
Trillade på en rapport från Integritetsskyddsmyndigheten (IMY) som fick mig att fundera. Hur säker är vår person data hos våra myndigheter som använder moln-tjänster (vilket många gör).
Rapporten har titta på sju myndigheter och hur de använder moln-tjänster, hur mogna de är i att upphandla, implementera och även följa upp att person data följer regler och lagar.
Jag brukar ju ofta vara relativt konkret och fyrkantig i vad jag skriver, men här väljer jag mer att lägga ut en del stycken från rapporten som får mig att fundera. Jag är helt enkelt inte tillräckligt kunnig på området just vad avser våra myndigheter och hur de förväntas hantera vår data.
Övergripande
Enligt undersökningen synes molntjänster huvudsakligen användas som verksamhetsstöd och för behandling av anställdas uppgifter, men det förekommer att även känsliga personuppgifter om medborgare behandlas.
Logiskt och troligt väntat, även om jag kan känna viss oro över att känsliga personuppgifter om medborgare behandlas av molnleverantörer. Nu framgår det inte vilka leverantörer det är dvs om de är svenska eller t.ex icke-EU / amerikanska.
Hur mycket moln-tjänster använder myndigheterna?
11 av de största myndigheterna tillfrågades och 7 svarade. Av dessa används från ett tiotal moln-tjänster och uppåt.
Kunskap hos myndigheter och molnleverantörer om dataskydd och person data
Utifrån myndigheternas svar är det oklart om det vid överföring av uppgifter till tredje land alltid finns stöd för överföringen i form av ett tillämpligt överföringsverktyg i kapitel V i dataskyddsförordningen.
... i kombination med ...
Enligt myndigheterna uppges vissa molntjänstleverantörer ha bristande kunskaper om grundläggande dataskyddsregler, vilket ställer stora krav på upphandlande myndigheter.
Känns inte som en bra kombination alls!
Även svar som detta rörande ansvar, väcker en del frågor
... några myndigheter lämnar inte ett konkret svar eller uppger att det är oklart ur ansvarsfördelningen ser ut.
Positiva delar
Några positiva reflektioner så vi inte drunknar i att leta fel.
Samtliga myndigheter uppger att myndigheten har processer och rutiner för att anskaffa molntjänster.
Samtliga myndigheter uppger att de undersöker var uppgifterna lagras vid anskaffande av molntjänster.
Det verkar som att molnleverantörerna är villiga att göra avtalsuppdateringar vad avser att föra ut person data till tredje land.
De flesta myndigheterna uppger att det varit möjligt åtminstone i viss utsträckning, exempelvis gällande överföring av personuppgifter till tredje land.
Utmaningar för myndigheterna
Det kan omöjligt vara lätt för myndigheter som vill använda moln-tjänster för sina applikationer och data mm. Det framgår tydligt av rapporten att viljan att göra rätt finns, men att utmaningar finns vad avser flexibilitet och kunskap hos båda parter. Dock tolkar jag det som att våra myndigheter verkligen vill göra rätt och gör sitt yttersta, även om kunskapsfrågan verkar vara en utmaning. På leverantörs-sidan blir det lite fler dimensioner då både kunskapen rörande (svenskt) dataskydd är begränsad, men även att leverantörerna i sig är oflexibla och inte så pigga (vad jag tolkar rapporten som) på att anpassa avtalen för myndigheternas krav på ansvar, att följa lagar och roller som krävs (dock vad gäller data till tredje land verkar de vara flexibla, som nämnts innan).
Slutsats
Min tolkning av rapporten är att våra myndigheter vill använda molnet även fast det inte alltid finns kunskap, lagstöd eller leverantörer som kan möta upp dessa krav.
Givet utvecklingen inom IT så känns det ändå som en naturlig utveckling. Jag gissar dock att det just nu råder lite oro inom flera myndigheter vad avser dessa frågor och hur det skall hanteras. I en värld när alla parter har respekt och förtroende för varandra så brukar vi i Sverige fungera väldigt bra, vi bygger trots allt mycket av det vi gör på förtroende, men när delar av omvärlden skakar om dessa värderingar blir det komplext och klurigt för oss.
Notering
Värt att notera att ovan är baserat på enbart denna rapport, så kan finnas andra rapporter och vinklar som inte framgår till fullo här. Dessutom är rapporten, som är från 2022, även övergripande så där det kanske låter som att myndigheterna bryter mot regler och lagar mm så är det inte prövat eller ens undersökt, utan det är endast baserat på de svar som IMY fått.
Rapporten skall troligt ses som en information. Det är EDBP dvs den Europeiska Dataskyddsstyrelsen som begärt att dess medlemmar skall göra detta. Vissa länder valde att göra det som en tillsyn, IMY valde att göra det som en undersökning i syfte att få en större förståelse. Rapporten är från 2022 och det kan även finnas nyare information tillgänglig som jag inte sett.