Utredningsfasen

Ingress: 
Utredningsfasen er perioden når universitetet eller høyskolen vurderer å anvende en skytjeneste, men før det inngås avtaler med leverandøren om bruk av tjenesten.
Brødtekst: 

I denne fasen skal universitetet eller høyskolen utføre to viktige arbeidsoppgaver:

  1. Informasjonssikkerhet – innhente informasjon om hvordan skytjenesten er oppbygd og fungerer, spesielt med hensyn til informasjonssikkerhet og underleverandører, og gjennomføre risikovurdering av tjenesten.

  2. Datalokasjon – innhente informasjon om hvilke land skytjenesten overfører institusjonens opplysninger til.

Innhenting av informasjon om informasjonssikkerhet, underleverandører og datalokasjon forutsetter at universitetet eller høyskolen har oversikt over hvilke typer opplysninger skytjenesten er ment å behandle: «hvilke opplysninger har vi bestemt oss for å sette ut til skydrift?»

Svaret på spørsmålet vil ha betydning for hvilke regler som gjelder ved bruk av skytjenester. Det vil for eksempel gjelde litt andre regler dersom skytjenesten skal behandle personopplysninger enn dersom dette ikke er tilfelle. Personopplysninger er alle slags vurderinger eller informasjon som kan knyttes til bestemte enkeltpersoner (studenter, ansatte, osv.).

Andre lovkrav

I utredningsfasen må universitetet eller høyskolen også forvisse seg om at andre lovkrav blir ivaretatt.

Når det gjelder regelverk for behandling av personopplysninger, er det særlig viktig at grunnkravene som stilles til slik behandling overholdes. Det innebærer at universitetet eller høyskolen må 

- ha saklige og tydelig definerte formål med bruken av personopplysninger som settes ut i skyen

- ikke benytte skytjenesten til behandling av flere personopplysninger enn det som er strengt tatt nødvendig 

- ikke bruke opplysningene til helt andre formål uten å ha lovhjemmel for slik bruk eller at de som opplysningene gjelder (studenter, ansatte, osv.) har samtykket til den nye bruken 

- ha en lovlig grunn (hjemmel) for bruken av personopplysningene

- sørge for at kvaliteten på personopplysningene blir ivaretatt (tilstrekkelige og relevante, korrekte og oppdaterte)

- sørge for leverandøren sikrer personopplysningene mot uautorisert tilgang, skade, ødeleggelse eller tap

- sørge for sletting, anonymisering eller arkivering av personopplysningene når det ikke lenger er bruk for dem

Universitetet eller høyskolen må også sørge for at rettighetene til de som opplysningene gjelder (studenter, ansatte, osv.) ivaretas, for eksempel at det gis informasjon om hva skytjenesten brukes til og hvilke opplysninger den behandler. I tillegg må det blant annet lages løsninger for hvordan innsyn i egne personopplysninger og krav om retting, sletting eller begrenset behandling skal håndteres.  

Universitetet eller høyskolen bør være oppmerksom på at for enkelte typer skytjenester kan det være plikt til å utrede personvernkonsekvenser før tjenestene tas i bruk. Datatilsynet vil publisere en liste over hvilke typer tjenester som eventuelt vil bli omfattet av denne plikten. 

Til slutt kan det være nødvendig for universitetet eller høyskolen å melde bruken av skytjenesten til Datatilsynet eller søke konsesjon dersom det er meningen at tjenesten skal behandle sensitive personopplysninger, for eksempel helseopplysninger.

Reglene om melde- og konsesjonsplikt i dagens personopplysningslov forsvinner når EUs nye personvernregler, som også vil gjelde i Norge, trer i kraft i mai 2018.