Datainspektionen har endast mindre synpunkter på molntjänstavtal – intressant utveckling på området för användning av molntjänster i offentliga verksamheter

Datainspektionen har genomfört en granskning av Ale kommuns användning av molntjänsten Office 365 i sin skol-, förskole- och fritidsverksamhet. Tidigare granskningar av molntjänster har i flera fall föranlett kritik från Datainspektionen, bland annat på grund av att avtalen ger personuppgiftsbiträdet rätt att behandla personuppgifter för egna ändamål och att det inte framgår av avtalet vilket bolag som är personuppgiftsbiträde. Se till exempel besluten rörande Salems kommun (överklagat till förvaltningsrätten) och Sollentuna kommun. Beslutet avseende Ale kommun är intressant eftersom avtalet inte föranleder omfattande kritik från Datainspektionen.

I beslutet avseende Ale kommun finner Datainspektionen att avtalet mellan Utbildningsnämnden i Ale kommun (”nämnden”) och molntjänstleverantören Microsoft uppfyller de flesta krav som ställs på ett personuppgiftsbiträdesavtal. Personuppgiftsbiträdet får inte hantera kommunens uppgifter för egna ändamål. Därtill ger avtalet tillräckliga garantier för att molntjänstleverantören raderar de personuppgifter som användarna har raderat.

Den enda synpunkten som Datainspektionen har på har på avtalet är att det inte ger nämnden, som är personuppgiftsansvarig, rätt till nödvändig information om i vilka länder biträdets underleverantörer är lokaliserade och behandlar personuppgifter. Att ha tillgång till sådana uppgifter är enligt Datainspektionen en förutsättning för att nämnden ska kunna fullgöra skyldigheten enligt 31 § st. 2 PUL för en personuppgiftsansvarig att förvissa sig om att personuppgiftsbiträdet kan genomföra de säkerhetsåtgärder som måste vidtas och se till att personuppgiftsbiträdet verkligen vidtar åtgärderna.

Beslutet utgör en ny spännande utveckling på området för användning av molntjänster i offentliga verksamheter.

Datainspektionens beslut finns i sin helhet att läsa här.