Molntjänster

De flesta företag och myndigheter nyttjar i dag någon form av molntjänst när de digitaliserar sin verksamhet. Kursen har fokus på juridiken, men kopplar regelverken till verksamheten och hur den ser ut. Kursen fokuserar på praktiska frågeställningar och vänder sig till såväl företag som myndigheter.

Tyngdpunkten på kursen ligger på regelverken kring individens skydd för den personliga integriteten, alltså frågor kring GDPR:s tillämpning. Vidare kommer IT-säkerhetsfrågor ur ett juridiskt perspektiv, men även avtalsfrågor, att behandlas. En viktig fråga som tas upp på kursen är de juridiska problem som uppstått efter domen i Schrems II, som meddelades sommaren 2020. Domen gjorde det svårt att lagligt dels hantera personuppgifter digitalt i USA, dels att nyttja amerikanskt ägda molntjänstleverantörer. Slutligen publicerade EU-kommissionen den 4 juni 2021 nya så kallade standardavtalsklausuler för överföring av personuppgifter till länder utanför EU/EES-området, till exempel till USA. Från och med den 27 september 2021 ersätter dessa nya standardavtalsklausuler de befintliga klausulerna. Hur ska detta hanteras av företag och myndigheter i verksamheten?

 Ur kursen:
Under kursdagen går vi igenom hur digitaliseringsprojekt som involverar molntjänster påverkas av regelverken kring skyddet av individens personliga integritet. Hur ska organisationer beakta de frågeställningar som tas upp här nedan i punkt 3-8 från förstudie till att systemet/processen utfasas.

1. Vad är datamoln, molntjänster, cloud computing, och vilka är riskerna?

2. Molntjänsters egenskaper, leveransmodeller (bl. a SaaS, PaaS och IaaS) och installationssätt (publikt, privat m.fl.)

3. IT-säkerhetsfrågor
   • Grundläggande begrepp inom informationssäkerhet, konfidentialitet, riktighet och tillgänglighet
   • Riskklassning av information
   • Informationssäkerhetspolicy
   • Öppna nät
   • Autentisering
   • Behörighetsstyrning
   • Kontroll av åtkomst, loggar, stickprovskontroller
   • Rutiner för säkerhetskopiering
   • Direktåtkomst
   • Kryptering

4. Konsekvensbedömning avseende dataskydd
   • För vilka typer av personuppgiftsbehandlingar är det krav på en konsekvensbedömning?
   • Hur genomför man en konsekvensbedömning rent praktiskt?
   • Risker för de registrerade och för organisationen.

5. Tredjelandsöverföring av personuppgifter, till exempel till USA, efter Schrems II
   • Rättsliga utgångspunkter vid överföring av personuppgifter till tredjeland.
   • Vägledningar och beslut från tillsynsmyndigheter inom EU.
   • Genomgång av de nya standardavtalsklausulerna för överföring av personuppgifter till länder utanför EU/EES-området, t.ex. till USA.
   • Risker för de registrerade och för organisationen.

6. Är det särskilda problem för myndigheter att anlita en molntjänstleverantör med hänsyn till sekretess- och arkivreglerna? Tämligen nya regler om tystnadsplikt för vissa IT-leverantörer som anlitas av det offentliga.

7. Hantering av personuppgiftsincidenter

8. Avtalet med molntjänstleverantören
   • Molntjänstavtal – tjänsteinnehåll, servicenivåer, prismodeller.
   • Projektavtal – specifikation, försening, immateriella rättigheter, prismodeller.
   • Personuppgiftsavtalet.