Anna Gulle, högskolejurist, berättar om vad vi får lagra i Microsoft 365:s molntjänster.

Många medarbetare har frågor om molnet

– Jag får in många frågor om molntjänsterna. Ofta handlar det om vad som får lagras i molnet, berättar Anna Gulle, högskolejurist och dataskyddsombud.

Molntjänster – vad är det, egentligen?

En molntjänst är en webbaserad IT-tjänst som är placerad utanför organisationen. Fördelen med molntjänster är att du har åtkomst till dem från alla möjliga enheter, allt som behövs är internetuppkoppling.

På Södertörns högskola använder medarbetarna framförallt molntjänster genom Microsoft 365, så här går vi närmare in på vad som gäller för dessa tjänster. Genom ditt SH-konto får du tillgång till molntjänsterna som ingår i Microsoft 365, exempelvis OneDrive, OneNote, Teams och onlineversioner av Word, Excel, Powerpoint och Outlook.

Hur är det med säkerheten?

Microsoft 365:s molntjänster har hög säkerhet. Men du som användare ansvarar för att den information som du lagrar i Microsofts molntjänster inte bryter mot gällande regelverk och lagstiftning.

Vad får jag inte lagra i molnet?

Du får inte lagra information som omfattas av sekretess enligt offentlighets- och sekretesslagen, och inte heller information om lagöverträdelser eller känsliga personuppgifter.

Om du behöver behandla denna typ av uppgifter ska du istället lagra dem i en mapp med begränsad åtkomst på högskolans egen fillagring (G:).

– En fråga som jag ofta får är: ”Får jag lagra känsliga personuppgifter på OneDrive?”, säger Anna Gulle. Svaret på den frågan är alltså: nej.

Vad gäller för överföring av personuppgifter till USA?

Nyligen kom en dom från EU-domstolen, som innebär att rättsläget när det gäller överföring av personuppgifter till USA har ändrats.

– Förr var det möjligt överföra personuppgifter till USA med stöd av ett avtal som hette Privacy Shield- avtalet. Det var ett avtal mellan EU och USA, som reglerade personuppgifters säkerhet och skydd. Men Privacy Shield-avtalet ogiltigförklarades i samband med domen i det så kallade Schrems II-målet år 2020. Det betyder att vi inte längre får överföra personuppgifter till USA med stöd av det avtalet. Detta har lett till frågor kring vad det finns för juridiska förutsättningar för att överföra personuppgifter till USA på ett säkert sätt. Det är fortfarande något som jag håller på att utreda, säger Anna Gulle.

För högskolans medarbetare gäller för närvarande detta:

• Vi kan fortsätta använda M365 (med de begränsningar som framgår ovan).
• Alla inom högskolan ska avvakta med att ta in nya licenser/verktyg/system med kopplingar till USA.
• Alla inom högskolan ska avvakta med att ingå nya projekt som innefattar överföring av personuppgifter till USA.

Om en systemleverantör hör av sig och vill att systemägare ska skriva på tilläggsavtal (till exempel personuppgiftsbiträdesavtal eller standardavtal som innehåller standardavtalsklausuler) till befintligt avtal, för att kunna hantera personuppgifter i USA, ska du inte skriva på dessa. Vidarebefordra istället leverantörens förfrågan till dataskydd@sh.se.

Vad gäller för överföring av personuppgifter till tredje land?

– Domen i Schrems II-målet gäller specifikt för USA, den påverkar inte nödvändigtvis personuppgiftsöverföringar till andra länder utanför EU eller EEA. Om du exempelvis vill skicka personuppgifter till Australien så råder andra förutsättningar, förklarar Anna Gulle.

På sidan Rättslig vägledning på medarbetarwebben kommer det att komma uppdaterad information om överföring av personuppgifter till tredje land. Där kommer du att kunna läsa en definition av vad tredje lands-överföringar är, och vilka förutsättningar som behöver vara uppfyllda för att kunna genomföra sådana överföringar. Det kommer även att fyllas på med information om Schrems II-domen och andra frågor, såsom vad som gäller överföringar till Storbritannien nu efter Brexit.

Kontakt och frågor

På sidan Rättslig vägledning på medarbetarwebben kan du läsa mer om molntjänster ur ett offentlighetsperspektiv. Där finner du också information dataskyddsförordningen, offentlighets- och sekretesslagen, och om hur du som anställd bör hantera personuppgifter i de tjänster som Microsoft 365 tillhandahåller.

Du kan alltid höra av dig till dataskyddsombudet för råd och stöd (dataskydd@sh.se).