Magnus BergströmDet säger Magnus Bergström, Datainspektionen, som en längre tid arbetat med ett tillsynsprojekt om molntjänster. Rapporten från projektet beräknas komma under september.

Främsta problemet är hur man uppfyller alla lagkrav för känsliga uppgifter.

– Oavsett teknik bestämmer lagstiftningen vad man får och kan göra. Tystnadsplikter och sekretess åsidosätts inte för att man börjar använda datorer och internet. Dataskyddsdirektivet mappar inte jättebra mot den tekniska verklighet vi har idag.

 

Dataskyddsdirektivet utgår från att den personuppgiftsansvarige är stark, dikterar alla villkor och bestämmer hur personuppgifter ska behandlas.

– När det handlar om säkerhet har rollerna nu blivit ombytta. Vi har jättestarka leverantörer, multimiljard-dollar-koncerner, och då är det inte den enskilda socialnämnden som dikterar villkoren.

Konsekvenserna är att det begränsar för vilka ändamål och vilken typ av uppgifter som kan behandlas i molntjänsterna.

 

– Ett annat problem vi upptäcker är att man saknar reella möjligheter att kontrollera sin leverantör. Om man inte kan få svar från sin leverantör kan man ju inte heller svara tillsynsmyndigheten. Hur uppfyller man då sitt ansvar som personuppgiftsansvarig? Med svårighet skulle jag säga.

 

Den personuppgiftsansvarige är alltid ansvarig. Ansvaret kan inte delegeras, bara arbetsuppgifter.

– Om man inte kan besvara frågor på ett klokt sätt är det i sig, som vi ser det, grund för att stänga av tjänsten, säger Magnus Bergström.