Datainspektionen är nu klar med det projekt som ska klargöra vilka krav personuppgiftslagen ställer på organisationer som använder molntjänster. Inom ramen för projektet har två kommuner och ett företag granskats.

– Vår granskning pekar på att organisationer som anlitar molntjänster tycks ha för stor tillit till hur molnleverantören hanterar personuppgifter och för dålig kunskap om hur uppgifterna i själva verket hanteras. Det går att lägga ut hanteringen av sina personuppgifter på ett annat företag, men det går inte att avsäga sig ansvaret för personuppgifterna och hur dessa hanteras. Här ser vi brister, säger Datainspektionens generaldirektör Göran Gräslund.

Bland bristerna som Datainspektionen upptäckt finns avtal som inte tydliggör att svensk lag gäller, avtal som inte reglerar att personuppgifterna bara får användas för de ändamål som köparen bestämt, oklarhet om vilka underleverantörer som är inblandade, oklarhet om vad som händer med personuppgifterna när avtalet upphör och oklarhet om kundens möjlighet att följa upp att leverantören lever upp till avtalsvillkoren.

– Som kund vet man inte var servrarna står och data lagras, bara att de finns någonstans i leverantörens "moln". Då är det viktigt att man har tillräckliga garantier för att molnleverantörerna vidtar de säkerhetsåtgärder som behövs för att skydda uppgifterna. Otydliga avtal och skrivningar som gör det möjligt för molnleverantören att ensidigt ändra villkoren medför stora risker eftersom kunden, den ansvarige, då inte kan veta om kraven i personuppgiftslagen är uppfyllda.

Datainspektionen riktar i olika utsträckning kritik mot samtliga tre organisationer som inspekterats.

– I nuläget har vi pekat ut ett antal problem som måste lösas. Skulle dessa inte åtgärdas kan det bli aktuellt med andra, strängare åtgärder.