Varför undersöka hur myndigheter använder molntjänster?
Nyligen gick den Europeiska dataskyddstyrelsen, EDPB, ut med ett pressmeddelande där det framgick att ett drygt tjugotal av EU:s dataskyddsmyndigheter ska genomföra en gemensam undersökning av hur offentliga organ använder molntjänster.
Den här gemensamma undersökningen genomförs inom ett nyinrättat ramverk för samordnade åtgärder kallat Coordinated Enforcement Framework, CEF.
– Syftet med det här ramverket är att effektivisera tillämpningen och samarbetet mellan EU:s dataskyddsmyndigheter och är en central del i EDPB:s strategi för 2021-2023, förklarar Stina Almström.
Varför just molntjänster? Och varför just offentliga organ?
– Vi vet att offentliga organ, både på nationell nivå och EU-nivå ofta har svårigheter och utmaningar med att få tag på it-produkter och -tjänster som uppfyller EU:s dataskyddsregler. Med den här undersökningen vill vi få bättre förståelse för vilka dessa utmaningar är och hur vi kan arbeta för att främja en god efterlevnad av dataskyddsförordningen.
Vissa dataskyddsmyndigheter kommer att göra denna undersökning i form av tillsyn andra inte. Hur gör vi i Sverige?
– I Sverige kommer vi inte att genomföra tillsyner utan skickar i stället ett frågeformulär till ett antal utvalda myndigheter för att undersöka hur myndigheter arbetar när de anskaffar molntjänster. Vi kommer inte heller att använda svaren från undersökningen till att inleda tillsyn av någon av dessa myndigheter. Syftet är att vi ska få bättre kunskap och förståelse för hur anskaffningen av molntjänster går till och därigenom kunna ta fram exempelvis vägledning och kunskapshöjande åtgärder. Vi har valt ut strax över tio statliga myndigheter som vi hoppas vill medverka i undersökningen. Det är myndigheter från olika sektorer som hanterar stora mängder personuppgifter och som vi bedömer har stor erfarenhet av att använda molntjänster.
Varför genomför IMY inte tillsyn?
– Det finns ett uppdämt behov av vägledning kring utmaningen att både kunna använda molntjänster och uppfylla reglerna i dataskyddsförordningen. I Sverige vill vi därför först skaffa oss bättre bild av marknaden och svårigheterna för att på så sätt identifiera var eventuella brister i regelefterlevnaden finns. Utifrån denna information kan vi sedan ta ställning till vad det till exempel kan finnas för behov av vägledning.
Hur kommer IMY att använda resultatet från undersökningen nationellt?
– Det är lite för tidigt att säga i nuläget. Steg ett är att skicka ut enkäten och det har vi just gjort. Steg 2 är att sammanställa och analysera resultaten för att få en överblick över de utmaningar som myndigheter står inför när de ska skaffa eller använda molntjänster. Beroende på vad vi får för svar och identifierar för utmaningar kommer vi därefter ta ställning till vilka åtgärder vi kommer vidta med anledning av insatsen. Min förhoppning är att vi ska skapa vägledning till alla organisationer som vill använda molntjänster. Det är 22 dataskyddsmyndigheter i Europa som deltar i denna gemensamma insats, och de nationella resultaten kommer även att jämföras och analyseras inom EDPB. EDPB kommer även under 2022 att ta fram en rapport över insatsen.