Publicerad: 19 november 2019

Molntjänster i kommuner och regioner

Molntjänster är it-tjänster som tillhandahålls över internet. Molntjänster är en viktig del av digitaliseringen och skapar positiva effekter när det gäller användbarhet, tillgänglighet och effektivitet för verksamheten.

Molntjänster är ett samlingsbegrepp för ett stort antal olika typer av IT-lösningar. Det kan finnas stora skillnader i hur dessa olika lösningar är byggda och hur informationen hanteras. Det finns också stora skillnader i organisationers förutsättningar inför att använda en molntjänst. Det kan påverka hur väl anpassad molntjänsten blir för den information som ska hanteras.

Möjligheter och risker

Molntjänster erbjuder många fördelar, men är även förknippat med risker. Dessa risker hanterar du genom att systematiskt arbeta med informationssäkerheten. För att fatta ett välinformerat beslut om organisationen ska använda molntjänster behöver ni göra en omfattande analys om tjänternas förutsättningar.

Analysen måste omfatta bland annat detta:

  • verksamhetens behov och hur känslig information ska hanteras
  • vilken typ av molntjänst och hur den är utformad
  • om tjänsten uppfyller rättsliga krav
  • om lösningen kan hantera information på ett säkert sätt
  • om det finns tillräckliga kontrollmöjligheter (avtalsmässiga, säkerhetskontroller och rättsliga)
  • och slutligen en jämförelse av dessa aspekter mot er befintliga it-miljö och dess förmåga.

Analys och riskbedömning

All användning av molntjänster kräver analys, riskbedömning och ett beslut av dig och din organisation. Om ni i er sammantagna bedömning kommer fram till att molntjänstens säkerhets- och avtalslösning inte uppfyller kraven för information som omfattas av sekretess, så kan och bör sådan information undantas från hantering i tjänsten. En sådan avgränsning kan göras i den manuella informationshanteringen, i handläggningsprocesser eller genom någon annan teknisk skyddsåtgärd.

Bedömningen av om det är sannolikt att någon obehörig kan ta del av känslig information som omfattas av sekretess måste göras av varje organisation och informationsägare. En försiktighetsprincip är att rekommendera vid användning av molntjänster för känsliga personuppgifter och information som omfattas av sekretess.

De frågor ni bör ställa er i analysen är:

  • vilka säkerhetskrav behöver ställas för att skydda informationen
  • kan leverantören av molntjänsten och tjänstens utformning leva upp till detta
  • finns tekniska eller administrativa anpassningar i egen it-miljö eller verksamhet som kan komplettera lösningen så att kraven kan uppfyllas?

Dessa frågor ska vara grunden för den sammanvägda riskbedömning ni behöver göra inför beslut. Och som en extra kontrollfråga bör ni också jämföra så att informationen inte hanteras på ett mindre säkert eller rättssäkert sätt i molntjänsten jämfört med de befintliga system ni använder idag.

Läs vidare

Kontakt

Välkommen att skicka din fråga till SKL!

Gäller din fråga arbetsrätt eller kollektivavtal/förhandling?

SKL:s rådgivning riktar sig till personalchefer och förhandlingschefer i kommuner och regioner. Om din fråga är på uppdrag av dessa behöver du ange det.








Hjälpte informationen på sidan dig?

Tack för att du hjälper oss!

Sidfot