Våra senaste
toppartiklar

- IDG.se:

Experternas dom:
Sömnappar funkar inte


Foto: Kristina Sahlén - Computer Sweden:

Mehmet Kaplan

"Digitala agendan
behöver ett omtag"


EU-parlamentet:
Ja till Google-slakt

EU-parlamentet röstade i dag igenom en resolution som sätter press på konkurrensmyndigheter att ta i med hårdhandskarna mot Google.


http

IDG.se

Budrally på svenska
domännamn - här är
de dyraste just nu

Punkt SE har auktionerat ut massor av domännamn. Men flera eftertraktade namn finns ännu kvar. "Det här är ganska unikt", säger vd Danny Aerts.


- TechWorld:

Pul-stormen mullrar fortfarande

åska

Datainspektionen har i uppdrag att granska och inspektera enskilda it-lösningar och ge förelägganden om eventuella förändringar. Under förra året granskade man bland andra Enköpings kommun och Salems kommun.

Under inspektionerna visade det sig att Enköping kommuns it-avdelning använde sig av Dropbox för att distribuera dokument för ett it-projekt till projektdeltagarna, och att man i Salems kommun

Adolf Slama, Data­inspektionen.

hade planerat att lägga ut all dokumenthantering både i skolnätet och i Salems administrativa nät i Google Apps. De båda kommunerna fick kritik av Datainspektionen, men kritiken har missuppfattats, enligt Datainspektionens it-säkerhetsspecialist Adolf Slama.

– Om man läser våra beslut noga så ser man att vi inte kritiserar säkerheten i molntjänsterna, utan snarare bristen på kontroll från molntjänstanvändarnas sida. Enligt personuppgiftslagen är den som samlar in personuppgifterna ansvarig för att de skyddas på ett lämpligt sätt mot förstörelse, förvanskning och obehörig åtkomst. Man kan aldrig lämna över ansvaret för behandlingen av personuppgifter på någon annan.


Brevo kritiserades
Vid granskningen av molntjänster pekade man i ett tidigt skede på brister som gjorde att man riskerade att bryta mot personuppgiftslagen. Förutom de två kommunerna kritiserades också Brevo, ett företag som tillhandahåller en digital brevlåde­tjänst, för deras användning av Windows Azure. Efter att Datainspektionen pekat ut ett antal brister återkom Brevo och redogjorde för vilka åtgärder de hade vidtagit.


Bristerna åtgärdades
Myndigheten konstaterade att de påpekade bristerna hade åtgärdats på ett sätt som uppfyllde pul-kraven och avslutade ärendet. En avgörande funktionalitet för godkännandet av Azure var tillgången till Microsoft Trust Center, som ger användarna insyn i hur Microsoft behandlar personuppgifter och säkerheten, inklusive underleverantörer.


Daniel Akenine, Microsoft.
”Datainspektionens förelägganden tolkades av många som ett hinder mot att lagra personuppgifter i molnet, och flera myndigheter och organisationer har därför tvekat till att modernisera sin it i väntan på en slutlig bedömning från Datainspektionen. Myndighetens godkännande verifierar Microsofts arbete med öppenhet och transparens kring våra molntjänster”, säger Microsofts teknikchef Daniel Akenine i ett utlåtande på Microsofts webbplats.

Datainspektionen har med andra ord en mer rådgivande roll, där man pekar ut eventuella brister och förelägger den aktuella aktören att till exempel förbättra säkerheten för att leva upp till ställda krav. Adolf Slama förklarar:

– Vi jobbar ungefär som bilprovningen. Där inspekterar man en enskild bil och om man hittar brister påpekar man dem och begär att de åtgärdas för att ge lov att fortsätta köra bilen. Bilprovningen ger inga typgodkännanden för vissa bilmodeller eller märken.


Måste diskuteras
Därför menar Adolf Slama att man aldrig helt kan komma ifrån diskussionen om pul, oavsett hur lösningarna förändras rent tekniskt.

– Eftersom vi granskar enskilda tillämpningar kommer vi aldrig att kunna undvika framtida diskussioner om pul, och det finns inte någon sådan målsättning heller. Så länge personuppgifter behandlas i molntjänster kommer vi ha anledning att granska den behandlingen.

Han menar att den stora utmaningen blir att få företag och myndigheter att tillämpa Datainspektionens råd.
– Det är lönsamt att använda molntjänster, och därför är frestelsen stor att hoppa på molntåget utan att först ha gjort sin hemläxa. Det är ytterligare ett skäl till att hålla frågan kring pul vid användning av molntjänster levande.


Vad är PUL?

Personuppgiftslagen är en svensk lag och den svenska implementeringen av EU:s dataskyddsdirektiv 95/46/EG. Lagen trädde i kraft den 24 oktober 1998 då den förra datalagen (1973:289) slutade gälla.

En personuppgift är all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet. Med behandling av personuppgift avses ”varje åtgärd eller serie av åtgärder som vidtas i fråga om personuppgifter, vare sig det sker på automatisk väg eller inte, till exempel insamling, registrering, organisering, lagring, bearbetning eller ändring, återvinning, inhämtande, användning, utlämnande genom översändande, spridning eller annat tillhandahållande av uppgifter, sammanställning eller samkörning, blockering, utplåning eller förstöring”.


Läs mer på nätet:

PUL-stormen hotar molnet: tinytw.se/pulstorm

Datainspektionens faktablad om molntjänster: tinytw.se/molnfakta

För myndigheter i molnet: tinytw.se/myndighetsmoln

Vad får man lägga ut på nätet?: tinytw.se/webbpublicering

Så gör du rätt med personuppgifter

Innan en molntjänst tas i bruk måste den personuppgiftsansvarige bedöma om den personuppgiftsbehandling som man vill låta molntjänstleverantören utföra kommer att vara tillåten enligt personuppgiftslagen.

Enligt pul får personuppgiftsbiträden bara behandla personuppgifter i enlighet med instruktioner från den personuppgiftsansvarige. Normalt utformar den personuppgiftsansvarige själv instruktionerna. När man anlitar en molntjänstleverantör är man däremot ofta hänvisad till de villkor som gäller enligt leverantörens standardavtal. I sådana fall måste den personuppgiftsansvarige granska de avtalsvillkor och riktlinjer som molntjänstleverantören erbjuder och göra bedömningen utifrån dessa. Bedömningen måste göras med tanke på personuppgiftslagens bestämmelser och slutsatserna av den personuppgiftsansvariges egen risk- och sårbarhetsanalys.
Den personuppgiftsansvarige måste bland annat:

  • Ta ställning till om det finns risk för att personuppgifter kan komma att behandlas för andra ändamål än de ursprungliga
  • Ta ställning till om molntjänstleverantören kan komma att lämna över personuppgifter till ett så kallat tredjeland, det vill säga ett land utanför EU/EES, och om den överföringen i så fall har stöd i personuppgiftslagen
  • Bedöma vilka säkerhetsåtgärder som måste vidtas för att skydda de personuppgifter som behandlas
  • Se till att ett personuppgiftsbiträdesavtal upprättas med molnleverantören
  • Beakta annan lagstiftning, till exempel sekretesslagstiftning.




Whitepaper


Så rekryterar du jämställt

Artikelkommentatorerna ansvarar själva för sina inlägg.

Regler för inlägg i artikelforumet

Kommentatorn ansvarar själv för sina inlägg.
Vi har nolltolerans mot inlägg som innehåller diskriminerande uttalanden, personliga påhopp eller språk som kan uppfattas som stötande. Även poänglösa datorkrigsinlägg och inlägg som är off topic tas bort. Brott mot reglerna kan leda till permanent avstängning.

IDG förbehåller sig dessutom rätten att i varje enskilt fall bedöma huruvida ett inlägg ska tas bort, även om det inte faller under någon av reglerna ovan.

Upprepat postande av olämpliga inlägg kan medföra avstängning från artikelforumen.

Frågor? Mejla idg.se@idg.se

Läs mer om vår policy i diskussionsforum


Foto: Erik Textorius
Snart dags för årets CIO-händelse

Aktuella jobb

Utvalda whitepaper

IT-säkerhetstrenderna 2014
Virtualisering-to-go
Sju krav på mejl i molnet

Nyhetsbrev

Anmäl dig till vårt dagliga nyhetsbrev!

Morgonens viktigaste it-nyheter och Dagens Dilbert

Please don't insert text in the box below! Please don't insert text in the box below! Villkor

Nyheter

- Computer Sweden:

De hårda testerna som
ska säkra Take Care


- PC för Alla:

Windows 10

"Nya funktioner i Windows 10 visas upp i januari"


- M3:

Black Friday

Här är de bästa Black Friday-klippen


- Internetworld:

Johan Larsson

"Om Facebook försvinner - vad gör du?"

- Computer Sweden:

Drönare

Drönare allt oftare i flygincidenter


- IDG.se:

Experternas dom:
Sömnappar funkar inte


Foto: Kristina Sahlén - Computer Sweden:

Mehmet Kaplan

"Digitala agendan
behöver ett omtag"


- IT24:

Seqr

Handlarna: Seqr är en tokflopp

EU-parlamentet:
Ja till Google-slakt

EU-parlamentet röstade i dag igenom en resolution som sätter press på konkurrensmyndigheter att ta i med hårdhandskarna mot Google.


- IDG.se:

Wikileaks

Siggi the Hacker: Jag stal miljoner från Wikileaks


- M3:

Nexus

Nexus 9: Nio tum svårslagbar kraft


- IDG.se:

Iphone natt

Skärmljuset kan störa din hjärna


- TechWorld:

Qubes

Qubes - Linux för säkerhetsvurmande fixare


- Computer Sweden:

pengar

Lönekaos hos staten avblåst

- PC för Alla:

Arne Anka

Arne Ankas Facebooksida kapad - sprider spam



http

IDG.se

Budrally på svenska
domännamn - här är
de dyraste just nu

Punkt SE har auktionerat ut massor av domännamn. Men flera eftertraktade namn finns ännu kvar. "Det här är ganska unikt", säger vd Danny Aerts.


- PC för Alla:

Netflix

5 vanliga nätfiskeattacker du bör se upp med


"Vem är det som ska skydda oss mot trojaner?"

Ledare "Det går inte att slå på stora trumman för varenda förekomst av elak kod", skriver Jörgen Lindqvist.


- MacWorld:

IOS 8

Här är 8 lösningar på irriterande nyheter i IOS 8

Nyhetsbrev
Kontakta oss
Postadressen är:
IDG.se, Karlbergsvägen 77, 106 78 Stockholm

Telefon (växel): 08-453 60 00

Ansvarig utgivare: Carl Grape



Om IDG.se
Copyright © International Data Group