Till innehållet
Svensk Försäkring varnar för nätfiske.
Läs mer
PrivatFöretag
5 min lästid

Välj GDPR-kompatibla molntjänster

Publicerad: 2024-11-05

Senast ändrad: 2024-11-07

Molntjänster underlättar verksamhetsdriften för företag av alla storlekar, men det är upp till det enskilda företaget att granska molntjänsternas GDPR-förenlighet innan företaget börjar använda dem. Särskilt viktigt är det om företaget väljer en leverantör som verkar utanför EU. I den här artikeln går i igenom igenom vad som utmärker en GDPR-kompatibel molntjänst och vilka fallgropar företag bör undvika.

Kan ge säkrare it-tjänster

Molntjänsternas framväxt har underlättat för många företag, som inte längre behöver ha alla tjänster och all kompetens internt. I stället kan arbetsuppgifter överlämnas till specialiserade molntjänster inom olika verksamhetsområden. Ett företag kan exempelvis ha tre tjänsteleverantörer: en som driver företagets webbplats, en annan som har hand om företagets nyhetsbrev och en tredje som sköter bokföringstjänsten. 

Uppdelningen gör, åtminstone i teorin, att företaget får bättre och säkrare it-tjänster jämfört med om företaget hade skött allt i egen regi, eftersom företaget kan fokusera på sin huvudverksamhet.

Hantering av personuppgifter kräver avtal

Vid användning av en ny molntjänst måste företaget undersöka vilka eventuella personuppgifter som överförs till molntjänsten. En molntjänst för nyhetsbrev kan exempelvis inte skicka nyhetsbrev utan att åtminstone hantera en lista med mejladresser till företagets kunder och prenumeranter. Det innebär att företaget måste teckna ett personuppgiftsbiträdesavtal med tjänsteleverantören.

Företaget fortsätter att vara och hållas ansvarigt för personuppgiftsbehandlingen medan tjänsteleverantören utför personuppgiftsbehandlingen på uppdrag av företaget. Tjänsteleverantörenkallas då ett personuppgiftsbiträde.

På tillsynsmyndigheten IMY:swebbplats finns mer information om när ett personuppgiftsbiträdesavtal behövs och vad som ska finnas med i avtalet. Där finns också länkar till standardiserade avtal som företag kan använda kostnadsfritt.

Standardiserade avtal

Det är ovanligt att små företag skriver egna personuppgiftsbiträdesavtal med leverantörer av molntjänster. Dagens molntjänster är ofta standardiserade produkter och har begränsade möjligheter till anpassning. Många molntjänster erbjuder ett eller flera standardiserade personuppgiftsbiträdesavtal. Om företaget inte kan acceptera något av de föreslagna avtalen får företaget helt enkelt välja en annan molntjänst. 

Var hamnar personuppgifterna?

För att ett företag ska kunna använda en molntjänst måste tjänsteleverantören följa GDPR. Leverantörer som tillgängliggör personuppgifter för mottagare i länder utanför EU svårare att följa GDPR. Företaget bör därför säkerställa att personuppgifterna aldrig tillgängliggörs i otillåtna länder innan val av molntjänst.

Så länge en tjänsteleverantör enbart tillgängliggör personuppgifterna inom EU är den territoriella frågan inget problem. Det är inte heller något problem om personuppgifterna överförs till EES-länderna som står utanför EU-samarbetet (Island, Liechtenstein och Norge) eller något av länderna som finns på EU-kommissionens lista över länder med adekvatskyddsnivå .

Geografisk placering är ingen garanti

En vanlig missuppfattning är att servrarnas geografiska placering avgör var personuppgifterna tillgängliggörs. Så är inte fallet. Bara för att en amerikansk tjänsteleverantör har sina servrar på Irland betyder det inte att personuppgifterna stannar inom EU. Detta är värt att ha i åtanke, eftersom många tjänsteleverantörer är just amerikanska.

För närvarande finns USA med på listan över länder med adekvat skyddsnivå. Så har det inte alltid varit. Den amerikanska övervakningslagstiftningen har historiskt gjort det svårt för amerikanska tjänsteleverantörer att hantera EU-medborgares personuppgifter på ett GDPR-förenligt vis. EU och USA har gjort flera försök för att avtala sig runt problematiken.

Avtal med USA

För att kunna överföra personuppgifter till en amerikansk molntjänst måste tjänsteleverantören ha anslutit sig till avtalet Data Privacy Framework som gäller sedan juli 2023. USA:s handelsdepartement driver en publikt tillgänglig databas där det går att se vilka tjänsteleverantörer som har valt att ansluta sig (se Data Privacy Framework List ).

Om leverantören inte har anslutit sig till avtalet eller tillgängliggör personuppgifter i ett land utan adekvat dataskydd måste personuppgifterna skyddas genom en så kallad totalsträckskryptering (även kallat end-to-end-kryptering).

Sådan kryptering gör att molntjänsten lagrar personuppgifterna utan att ge tjänsteleverantören tillgång till dem. Det innebär samtidigt att molntjänsten inte kan göra något automatiserat med personuppgifterna. Totalsträckskryptering kan därför bara användas i ett fåtal sammanhang, till exempel för säkerhetskopiering.

Observera att traditionell transportkryptering (SSL-/TLS-kryptering) inteförhindrar att tjänsteleverantören får tillgång till personuppgifterna.

Mer information om personuppgiftsöverföring till länder utanför EU finns på IMY:s webbplats .

Leverantörerna kan anlita underbiträden

När ett företag anlitar en tjänsteleverantör som personuppgiftsbiträde kan tjänsteleverantören i sin tur anlita underbiträden i ett eller flera led. Vilka underbiträden som tjänsteleverantören får anlita regleras av personuppgiftsbiträdesavtalet. Företaget skriver inte avtal med varje underbiträde i hela kedjan, men bör ändå granska vilka underbiträden som tjänsteleverantören anlitar.

Personuppgifter måste kunna raderas och exporteras

Personerna vars personuppgifter företaget hanterar måste kunna få sina personuppgifter exporterade, korrigerade och raderade. Innan ett företag börjar använda en molntjänst måste företaget därför se till att företaget kan exportera, korrigera och radera personuppgifterna från molntjänsten på samma sätt som om företaget hade hanterat personuppgifterna i egen regi.

Mer information om de registrerade personernas rättigheter finns på IMY:s webbplats .

Sammanfattning

  • Många molntjänster hanterar personuppgifter. Om företaget vill överföra personuppgifterna som företaget ansvarar för till molntjänsten krävs ett personuppgiftsbiträdesavtal.
  • Företag kan överföra personuppgifter till molntjänster i länder inom EU/EES och länder som är med på EU-kommissionens lista över länder med adekvat dataskydd. Annars krävs ytterligare skyddsåtgärder.
  • Personuppgifter som hanteras av molntjänster eller molntjänsternas underbiträden måste kunna exporteras, korrigeras och raderas på samma sätt som om personuppgifternas hanteras i företagets regi.