Molntjänster ger juridiska utmaningar
Agnes Andersson Hammarstrand är IT-advokat vid Setterwalls Advokatbyrå i Göteborg. Sedan molntjänster blivit allt vanligare har juridiken kring den typen av lagring blivit mer aktualiserad och hennes kunskaper därmed mer efterfrågade.
– Ett av de stora problemen med molntjänster är var data faktiskt lagras. Enligt bokföringslagen ska alla räkenskaper lagras i Sverige så det gäller för redovisnings- och lönekonsulten att säkerställa att leverantören av molntjänsten inte lagrar någon annanstans. Det innebär att redovisnings- och lönekonsulten vid upphandling måste se till att det står i avtalen att informationen bara lagras i Sverige. Det finns undantag för lagring inom EU men den som är ansvarig för hanteringen av personuppgifter måste säkerställa att kraven för undantag uppfylls.
Ett annat viktigt område är personuppgiftslagen, PUL. När det gäller personuppgifter finns det inget generellt förbud att lagra dessa utomlands men det finns regler enligt PUL som måste följas.
– När man tecknar ett avtal måste man göra en riskbedömning, både ur kommersiell, teknisk och juridisk synvinkel, säger Agnes Andersson Hammarstrand. Vad står det i avtalet? Uppfyller detta de krav som PUL ställer? Man bör också fundera på vilka konsekvenserna kan bli OM personuppgifter lagras i annat land. Det kan vara helt andra, tvingande regler som gäller i det landet, det kan också vara en större risk för övervakning.
Så fort personuppgifter lagras så träder PUL in. Om du till exempel jobbar med kundföretagets löner så lagrar du personuppgifter.
– Det är alltid det företaget som är personuppgiftsansvarigt som ansvarar för att lagen efterföljs, säger Agnes. Ofta är det kunden själv, inte redovisningsbyrån, som då ska göra en risk- och sårbarhetsanalys och en laglighetskontroll att leverantören av molntjänsten lagrar data på rätt sätt. Redovisningsbyrån är då personuppgiftsbiträde och ska lagra data på det sätt kunden vill. Det innebär att man måste få kundens godkännande när man vill anlita en molntjänstleverantör. När man gör en laglighetskontroll kan det var bra att anlita en jurist som gör en bedömning av personuppgiftsbehandlingen och avtalet. Man ska dokumentera kontrollen så att man kan visa upp den för datainspektionen vid behov. Avtalet ska enligt lag ha visst innehåll och dessutom ska ett avtal som huvudregel tecknas direkt mellan den som är personuppgiftsansvarig (kunden) och leverantören. Detta kan ibland göra det praktiskt omöjligt för en redovisningskonsult att använda sig av vissa molntjänster.
I dag är det inga höga straff för den som inte följer PUL. Man kan få ett föreläggande att göra rätt och man kan få böter, som inte är speciellt höga. Det värsta är troligen den dåliga publiciteten det kan innebära att slarva.
– En ny lagstiftning är på förslag just nu. Enligt den blir det stor skillnad om man inte följer PUL. Förslaget är att man ska kunna få böter på upp till fem procent av omsättningen, vilket kan vara riktigt kännbart. Mitt förslag är att man redan nu börjar införa rutiner så att man inte brister i den egna kontrollen utan följer lagstiftningen, avslutar Agnes Andersson Hammarstrand.
Agnes Andersson Hammarstrand
Detta bör du ta reda på innan du tecknar avtal:
- Att personuppgiftslagens krav kan uppfyllas även i molnet.
- Att leverantören uppfyller de säkerhetskrav som ni och er kund har.
- Att leverantören lagrar informationen i Sverige, eller i vart fall inom EU.
- Vilka rättigheter du har som kund vid eventuell dataförlust.
- Vilken tillgänglighet leverantören lovar.
- Vilka rättigheter du har vid eventuellt avbrott.
- Hur du kan säga upp avtalet och om flytt av information i så fall är enkel.
- Att det tydligt framgår vem som äger informationen.
