Publicerad 24 mars 2022

Molntjänster, vägledningar

SKR har tagit fram vägledningar som hjälper kommuner och regioner att analysera frågor om juridik och säkerhet för molntjänster, it-tjänster som tillhandahålls över internet.

Molntjänster är ett samlingsbegrepp för ett stort antal olika typer av IT-lösningar. Molntjänster är en viktig del av digitaliseringen och skapar positiva effekter när det gäller användbarhet, tillgänglighet och effektivitet för verksamheten. 

Det kan finnas stora skillnader i hur olika lösningar är byggda och hanterar information. Det finns också stora skillnader i organisationers förutsättningar inför att använda en molntjänst. Båda faktorerna kan påverka hur väl anpassad molntjänsten blir för den information som ska hanteras.

Möjligheter och risker med it-drift i molnet

Molntjänster erbjuder många fördelar, men är även förknippat med risker som kräver systematiskt arbete med informationssäkerheten. Beslut om att använda molntjänster behöver därför vara särskilt välinformerade och tjänsternas förutsättningar behöver analyseras. Analysen måste omfatta bland annat:

  • Verksamhetens behov och hur känslig information ska hanteras.
  • Vilken typ av molntjänst och hur den är utformad.
  • Om tjänsten uppfyller rättsliga krav.
  • Om lösningen kan hantera information på ett säkert sätt.
  • Om det finns tillräckliga kontrollmöjligheter – avtalsmässiga, säkerhetskontroller och rättsliga.
  • Och slutligen en jämförelse av dessa aspekter mot er befintliga it-miljö och dess förmåga.

Vägledningar för verksamhetsansvariga

Summeringar av aktuella frågor och perspektiv.

Vägledning för verksamhetsansvariga (PDF) Pdf, 251 kB.

Molntjänster CLOUD Act (PDF) Pdf, 169 kB.

Känsliga uppgifter och sekretess i molntjänster

När molntjänster ska användas för personuppgifter och information som omfattas av sekretess ska en försiktighetsprincip alltid gälla. Varje organisation och informationsägare måste bedöma hur sannolikt det är att någon obehörig kan komma åt den information som lagras eller hanteras av molntjänsten.

Vid analys av riskerna i samband med informationshanteringen bör följande frågor ingå:

  • Vilka säkerhetskrav behöver ställas för att skydda informationen?
  • Kan leverantören av molntjänsten och tjänstens utformning leva upp till detta?
  • Finns tekniska eller administrativa anpassningar i egen it-miljö eller verksamhet som kan komplettera lösningen så att kraven kan uppfyllas?

Som en extra kontroll är det bra att jämföra: hanteras informationen på ett mindre säkert eller rättssäkert sätt i molntjänsten jämfört med verksamhetens befintliga system?

Molntjänster och konfidentialitetsbedömning

Innehåller processer för beslut och bedömning samt metodstöd för konfidentialitetsbedömning inför hantering av känsliga personuppgifter eller information som omfattas av sekretess.

Molntjänster och konfidentialitetsbedömning (PDF) Pdf, 2 MB.

Informationsansvarig

  • Patrik Sundström
    Chief Digital Officer

Kontakta oss

Kontaktformulär SKR