Användning av Office 365 otillåten på tyska skolor

Datainspektionens motsvarighet i den tyska delstaten Hessen (HBDI) konstaterar att det strider mot gällande dataskyddslagstiftning att använda Office 365 i skolor, även om uppgifterna lagras i tjänstens europeiska infrastruktur. Enligt HBDI är problemet att en skola som offentlig verksamhet inte får lagra personuppgifter (av barn) i molntjänster som US-amerikanska myndigheter kan komma åt. Offentliga verksamheter har ett särskilt ansvar att säkerställa att personuppgifter behandlas på ett transparent och lagenligt sätt. Därutöver måste det säkerställas att offentliga verksamheter har full kontroll över behandlingen, vilket kan ifrågasätts med hänsyn till amerikansk lagstiftning.

Läs hela HBDI:s ställningstagande här (på tyska).

Finns samma problem även i Sverige?

Ja, en liknande diskussion pågår just nu i Sverige. Bland annat har Kammarkollegiet och SKL uttrat sig avseende myndigheters användning av molntjänster för kontorsstöd som t.ex. Office 365. Datainspektionen har i dagsläget inte publicerat en vägledning avseende användning av Office 365 i skolor eller myndigheter.

Kan problemet lösas med ett samtycke?

Nej, HBDI anser att problemet inte kan lösas genom att hämta in ett samtycke från barn eller vårdnadshavare då ett samtycke i sig inte kan åtgärda tjänstens brister avseende säkerhet och transparens.

Finns samma problem hos andra leverantörer?

Ja, stora molntjänstleverantörer som Google och Apple har liknande problem.

Vad är lösningen?

Lösningen kan vara att använda leverantörers on-premise licenser eller att byta till molntjänster som är baserade i EU och inte omfattas av amerikansk lagstiftning.

Vad kan jag göra nu?

Vid användning av molntjänster måste du göra en konsekvensbedömning avseende dataskydd. TechLaw har tagit fram en video som förklarar vad en konsekvensbedömning är. Vi erbjuder även en workshop för konsekvensbedömningar där vi bland annat tittar på Office 365.

När man vill upphandla en molntjänst eller outsourca funktioner finns det mycket att ta hänsyn till. TechLaw erbjuder även en kurs om molntjänster och outsourcing som tar dig genom de viktigaste punkterna.

Söker du en expert inom IT, dataskydd och integritet?