Molntjänstleverantörer ska beakta PuL

I en debattartikel i Offentliga Affärer nummer 3 2013 påstås felaktigt att Kammarkollegiets ramavtal kontorsstöd som molntjänst inte är förenligt med Googles integritetspolicies och användarvillkor. Tvärtemot vad artikelförfattarna hävdar, förpliktar det statliga ramavtalet molntjänstleverantörerna att beakta personuppgiftslagen (PuL) och den enskilda myndighetens instruktioner gällande ändamålet med personuppgiftsbehandlingarna, samt de krav på tekniska och organisatoriska säkerhetsåtgärder som myndigheten ställer vid anskaffning av molntjänsten.

Vidare påstås vad som närmast måste förstås som att Kammarkollegiet genomförde upphandlingen utan kommunikation med omvärlden eller vetskap om vad som pågår där. Hade artikelförfattarna bemödat sig om att läsa den allmänt tillgängliga informationen på Kammarkollegiets webbsida för de statliga ramavtalen, www.avropa. se, kunde en korrekt bild ha förmedlats av ramavtalet i stället för de felaktigheter som nu publicerats på Offentliga Affärers debattsida.
Kommunikation med Datainspektionen
När statens inköpscentral vid Kammarkollegiet arbetade fram förfrågningsunderlaget till upphandlingen, hade både projektledare och ansvarig jurist (det vill säga undertecknad) omfattande kommunikation med både Datainspektionen och alla de stora molntjänstleverantörerna. Syftet var att ta fram så ändamålsenliga krav och avtalsvillkor som möjligt, avseende både teknik och kommersiella och personuppgiftsrelaterade frågeställningar, vilka kompliceras av att upphandlande myndigheters data skickas runt hela världen i ett otal stora datacentra när molntjänsten används. Dessutom bidrog ett antal upphandlande myndigheter med värdefull input.
Kammarkollegiets projektgrupp strävade redan från början efter att säkerställa att just PuL:s regler inte sattes på undantag, utan i stället möjliggöra för den upphandlande myndighet som vill avropa kontorsstöd som molntjänst, att göra det med så goda grundförutsättningar som ett ramavtal kan medge.
Laglighetsprövning
Naturligtvis är det så, precis som artikelförfattarna påtalat, att en myndighet eller kommun som vill använda en molntjänst måste utföra ett omfattande förarbete. Dels måste en laglighetsprövning göras, för att säkerställa att det överhuvudtaget är juridisk möjligt att använda molntjänsten. Vidare måste en risk- och sårbarhetsanalys göras i förhållande till bland annat den tänkta personuppgiftsbehandlingen – vilka personuppgifter ska behandlas och av vem, vilka allmänna och särskilda risker finns det med behandlingen, vilka säkerhetsåtgärder måste vidtas för att hantera dessa risker med mera. Sammantaget, utifrån vad jag sett i de tillsynsärenden Datainspektionen genomfört samt kunnat konstatera efter leverantörs- och myndighetskontakter, är det min uppfattning att vidden av detta förarbete lätt underskattas. Då finns det en påtaglig risk att användandet av molntjänsten strider mot lagen – både PuL och LOU, men kanske också annan lagstiftning.
Ytterst är det alltid den som avropar molntjänsten som ansvarar för att avropet är lagenligt – inte Kammarkollegiet. Kammarkollegiet har tagit sitt ansvar. Dels genom att upphandla en populär typ av tjänst som nyttjas brett inom hela det offentliga Sverige och vars användning ökar dag för dag. Men också genom att ta fram personuppgiftsbiträdesavtal som beaktar överföringar av personuppgifter till tredje land, genom att ta fram kommersiella villkor som säkerställer att kundens intressen balanseras mot molntjänstleverantörens på ett rimligt sätt, och genom att tillhandahålla en vägledning där myndigheterna uppmanas att vidta de åtgärder som krävs för att myndigheten inte ska bryta mot PuL när de köper en molntjänst. Skulle en kommun eller myndighet använda det statliga ramavtalet som grund, dristar jag mig till att påstå att organisationen, förutsatt att den gjort ett gott förarbete, skulle klara en tillsyn från Datainspektionen på ett mycket bättre sätt än vad vi sett hittills.
Tillsynsmyndighetens roll att säkerställa efterlevande av PuL är en komplicerad uppgift. Få hade kunnat föreställa sig tjänster som Google Apps och liknande i början av 1990-talet, när dataskyddsdirektivet arbetades fram inom EU. Det finns knappast en enda organisation, privat eller offentlig, som inte använder någon form av molntjänst idag. Emellertid är tillsynsmyndigheter inte rättskällor. Deras tillsynsbeslut kan överklagas, och är det ett område som vore behjälpt av vägledande avgöranden så är det molntjänsternas.
Björn Larsson, ansvarig jurist inom ramavtalsområdet kontorsstöd som molntjänst hos Statens inköpscentral vid Kammarkollegiet.