Lättare moln?

Annons

Antagandet av nya ISO-standarder är sällan upphetsande händelser. I september 2014 antogs emellertid en ny ISO-standard – ISO/IEC 27018:2014 – med titeln ”Riktlinjer för skydd av personuppgifter i publika molntjänster som hanterar personuppgifter”. Den molntjänstleverantör som uppfyller kraven i denna nya standard kan sannolikt antas också uppfylla Sveriges och EU:s krav på behandling av personuppgifter i molntjänster, vilket är ett av syftena med standarden.

Det finns därför anledning att tro och hoppas att september 2014 blir en viktig milstolpe för framförallt företags och myndigheters nyttjande av den enorma potentialen som finns i molntjänsterna.

Den amerikanske skribenten Nick Carr har påpekat de slående likheterna mellan fenomenet molntjänster och spridningen av elektriciteten kring förra sekelskiftet. Vi går utan tvekan mot ett samhälle där privatpersoner, företag och offentliga aktörer kan få sina behov av mjukvara, lagring av data, applikationsutvecklingsverktyg med mera tillgodosedda genom ”två hål i väggen” där man enbart betalar för faktiskt användande utan krav på stora it-investeringar.

Det finns dock ett antal viktiga hinder som står i vägen. Om jag skulle våga mig på att namnge det största hindret skulle jag kalla det tillit. Att använda en molntjänst kräver tillit till leverantören eftersom molntjänstkunden ger upp kontrollen över sina it-tillgångar. Detta krav accentueras om molntjänsten innefattar behandling av personuppgifter. Att anlita en molntjänstleverantör för behandling av personuppgifter innebär inom EU att överlåta ansvaret på någon annan att se till att man själv inte kränker individers fundamentala rättigheter. Knappast någonting att ta lätt på med andra ord.

Det är i detta ljus som ISO 27018 ska betraktas. Liksom alla ISO-standarder kan kunden få ett kvitto från en oberoende tredje part att leverantören uppfyller högt ställda krav. Och vad gäller ISO 27018 omfattar detta kvitto behandling av personuppgifter. Detta bör ge upphov till tillit till de molntjänstleverantörer som följer standarden.

ISO 27018 innehåller två delar. Till att börja med bygger den på den vedertagna standarden ISO 27002. ISO 27018 innefattar här ett förtydligande av ISO 27002 avseende behandling av personuppgifter i publika molntjänster.

Utöver det innehåller ISO 27018 en bilaga i vilket ett antal så kallade kontroller anges som går utöver vad som följer av ISO 27002. Den som är bekant med Artikel 29-gruppens och Datainspektionens krav på molntjänster och personuppgiftsbiträdesavtal befinner sig här på välkänd mark.

Den molntjänstleverantör som följer ISO 27018 är bland annat skyldig att bistå molntjänstkunden att fullfölja sina skyldigheter avseende registrerades rätt till tillgång till samt radering och rättelse av personuppgifter, att inte behandla personuppgifter för några egna ändamål utan bara enligt kundens instruktioner, att vara transparent

avseende användningen av underleverantörer, att ge kunden rätt att säga upp avtalet vid byte av underleverantörer samt att vidta tillräckliga säkerhetsåtgärder för att skydda personuppgifter.

Vissa saker ändrar inte ISO 27018. Det är fortfarande molntjänstkunden som är personuppgiftsansvarig och som har att följa personuppgiftslagens regler. I detta ansvar ingår bland annat att genomföra en så kallad risk- och sårbarhetsanalys avseende behandlingen av personuppgifter, oavsett om en molntjänstleverantör anlitas eller inte. Denna analys kommer utan tvekan att förenklas avsevärt för molntjänstleverantörer som uppfyller ISO 27018, eftersom denna standard uppenbarligen är framtagen med EU:s krav på personuppgiftsbehandling i molntjänster för ögonen.

Antagandet av ISO 27018 är fortfarande måhända inte en upphetsande händelse. Det finns dock anledning att tro att antagandet kan ge molntjänsterna en ordentlig knuff framåt mot en värld med it genom två hål i väggen. Låt oss hoppas att Datainspektionen snabbt går igenom standarden och berättar om man anser att molntjänstkunder har anledning att utgå från att leverantörer som följer ISO 27018 uppfyller personuppgiftslagens högt ställda krav för att skydda individers integritet.