Det har ju skrivits lite om PUL och offentlig sektor det senaste i samband med molntjänster. Jag skulle bara vilja belysa att problemet är ännu vidare i sin omfattning. Jag kommer här att måla upp ett väldigt vanligt scenario så kan ni ju själva uppskatta hur vanligt detta är!
Ett företag har säljare som aktivt bearbetar sina befintliga samt nya kunder. För att underlätta säljarbetet har man ett säljstödsystem, CRM. I detta registrerar man kundnamn, kontaktperson, telefon, mail, men man registrerar också kundernas fritidsintressen (golf, segling, motorsport) och familjeförhållanden, t.ex. två döttrar i tonåren och en nyfödd. Detta är mycket vanligt och görs för att kunna hålla en personlig och avslappnad kontakt med kunden vid återkommande samtal; t.ex. ”Har du seglat nått i sommar?” ”Hur går det med sonen han fyller väl ett år snart?” I värsta fall registrerar man även åsikter om kunden: Trevlig men pratar mycket, Grinig jävel, etc.
Brott 1.
Har man ett sådant register skall detta anmälas till Datainspektionen och en personuppgiftsombud skall utses. Redan här brister många företag och detta görs inte.
Om man sedan flyttar eller bygger upp ett sånt här register i form av en molntjänst blir detta ytterligare mer komplicerat. Här finns minst två aspekter till att ta extra stor hänsyn till.
1. Molnleverantören måste känna till att det finns personuppgifter i systemet och uppfylla de säkerhetskrav som ställs enligt personuppgiftslagen. Ett så kallat personuppgiftsbiträdesavtal skall tecknas mellan kunden och molntjänstleverantören.
2. Det är förbjudet att överföra personuppgifter till tredje land som inte håller ”adekvat skyddsnivå”. Här måste man alltså veta var uppgifterna lagras.
Brott 2.
Personuppgiftsbiträdesavtal med molnleverantören saknas. Hur lätt tror ni det är att få till ett dylikt avtal med t.ex. Microsoft eller Google om man vill använda deras CRM och registrera personuppgifter?
Brott 3.
Molntjänstleverantören lagrar informationen i tredje land.
Detta är några punkter, men det finns ju fler uppenbara, t.ex. vad håller leverantören för säkerhetsnivå, hur sköts backuptagning etc. etc.
Vad kan då konsekvensen bli om inte dessa lagar följs. Ja, förutom att man kan straffas för lagbrott så kan man tänka sig ett scenario där privat information om svenska medborgare helt plötsligt blir sökbar på internet eller börjar säljas till olika aktörer. Man kan söka upp information om barn, familj, sjukdomar, fritidsintressen, personliga beteenden och personliga omdömen. Man kan dessutom utsättas för väldigt riktad reklam av alla de sorter som ingen annan skulle kunna känna till. Ingen trevlig värld att leva i! Man kan se en trend på forum som t.ex. Facebook att fler och fler låser ner sina profiler och man får anta att detta beror på att man inte vill skylta för hela världen med sina privata angelägenheter. Inte så trevligt då om det ändå dyker upp i andra sammanhang!
För att skydda sig kan man då antingen:
a) Undvika personuppgifter helt
b) Anlita en leverantör som kan hantera informationen i enlighet med personuppgiftslagen
c) Sköta det i egen regi
Underlaget till denna artikel baseras på egen erfarenhet i IT-branschen sedan 1990, Handbok i informationsäkerhetsarbete från SIS (bygger på ISO standarden 17799), PUL samt information från Datainspektionen.
Andra artiklar om PUL och molntjänster finns här:
- Vårdmoln bromsas av EU-direktiv – Computer Sweden
- Dags för avtal om molntjänster – Computer Sweden
- Datainspektionen granskar molnanvändning – Computer Sweden
- Molntjänsterna bryter mot lagen – Computer Sweden
- Kommuners hantering av personuppgifter granskas – PC för Alla
- Kräv servrar i Sverige – Computer Sweden
- Stockholmsmejl går via USA – Computer Sweden
- Pul-stormen hotar molnet – TechWorld
