Publicerad: 29 augusti 2017

Avtal och dokumentation

En grundregel för alla avtal är att det ska råda balans mellan beställare och leverantör, mellan åtaganden och skyldigheter. Har man gjort en informationssäkerhetsklassning, så är verksamhetens krav på hur informationen i tjänsten ska hanteras tydliggjorda. Krav som i sin tur ska återspeglas i avtalen. När det gäller molntjänster är delarna kring dataöverföring extra viktiga att ha koll på. 

Bild avtal och dokumentation

Föregående: Klassning och ställningstaganden Nästa: Mallar och Mittköpings dokument

Mittköping arbetar sedan tidigare med egna standardavtal för it-tjänster som grund och inte leverantörens, vilket gör att det i avtalsskrivandet med molntjänstleverantören uppstår ett par frågetecken som behöver redas ut innan den som har rätt att skriva på avtalen kan göra det. Frågetecken som kan komma är: vilka olika avtalsdelar som ingår och som säkerställer verksamhetens krav samt hur det fungerar med webbavtal och signering. För möjlighet att teckna avtal med stora internationella leverantörer måste Mittköping acceptera att använda leverantörens standardavtal.

Avtalen består i princip av tre delar:

  • Enterpriseavtal (huvudavtal där även personuppgiftsbiträdesavtal bör finnas)
  • Model Contract Clauses (klausuler anpassade för EU:s dataskyddsdirektiv för gränsöverskridande personuppgiftsöverföring). Alternativt att leverantörer följer Privacy Shield (nytt regelverk om skydd för personuppgifter, ersätter Safe Harbor)
  • Data processing Amendment (reglerar hur data används)

Safe Harbor-regelverket underkändes i en dom i oktober 2015, men under sommaren 2016 blev ett nytt regelverk kallat Privacy Shield klart. Privacy Shield är en överenskommelse om skydd för personuppgifter mellan EU och USA och leverantörer behöver certifiera sig och anmäla att de följer de principer regelverket innehåller.

Processen för att teckna avtal med leverantörerna ser något olika ut, men i princip sker signering av avtalen i samband med att man registrerar en site (Google) eller tecknar ett abonnemang (Microsoft). Tänk på att det är personen med rätt att teckna avtal i kommunen som ska signera avtalen. Det kan också kännas osäkert med webbavtal, där man klickar i ”I accept” som signering, så spara ner avtalen med datumstämpel och komplettera med en skärmbild på acceptansrutan. Det här är det närmsta man komma för att säkerställa sin del av ansvaret för påskrivna avtal.

Vid frågor gällande avtalen, kontakta respektive leverantör. Såväl Google som Microsoft har kontaktpersoner i Sverige när det gäller deras olika tjänster för skolan.

Se upp med tredjepartsprodukterna

Till molntjänsterna finns flera olika applikationer att lägga till, varav några kan vara så kallade tredjepartsprodukter där andra leverantörer än molntjänstleverantören är ansvariga. Det är viktigt att se till att de eventuella tredjepartsprodukter som läggs till, täcks av de avtal som finns alternativt har avtal som är tillräckliga.

Dokumentation, information och förankring

Mittköping tar fram en hel del olika underlag inför användandet av molntjänster för att förtydliga för olika målgrupper varför och hur tjänsten ska användas, vem som ansvarar för olika delar och så vidare. Några exempel på dokument som kan vara bra att ha är till exempel:

  • Kommunikationsplan för riktlinjer kring skapande av webbplatser/siter
  • Rutiner för registrering av olika digitala ytor (vem som ansvarar, ändamål, tidsperiod, kontohantering etc.)
  • Riktlinjer för e-posthantering (om kommunen har en annan e-posttjänst än det som erbjuds inom molntjänsten)
  • Folder med information till vårdnadshavare
  • Medarbetarinformation

Allting samlas på webben och ligger öppet för den som är intresserad. Risk- och sårbarhetsanalysen finns tillgänglig på intranätet.

Tips

Ett tips är återigen att se hur andra kommuner har gjort med sin dokumentation och hämta inspiration ur det. Allt fler lägger informationen på sina webbplatser för ökad tillgänglighet och enkel hänvisning vid frågor. SKL har samlat några länkar till olika kommuners arbete här (länk).

Läs vidare

Hjälpte informationen på sidan dig?


User information

Tack för att du hjälper oss!

Sidfot