Workshop om molntjänster

Innehåll

Schrems II-domen har satt många organisationer i ett besvärligt läge där majoriteten av de molnbaserade lösningar man använder har förklarats olagliga. Utbildningsworkshopen handlar hur man kan tillämpa Europeiska Dataskyddsstyrelsens rekommendationer för att förbättra efterlevnaden i sin organisation även om man fortsätter jobba med molntjänster såsom Microsoft 365.

Vi kan tillsammans i detalj gå igenom en molntjänst som ni redan har, eller fundera på att skaffa, för att se hur man kan uppnå så bra lagefterlevnad som möjligt. Workshopupplägget nedan är ett förslag som brukar fungera bra, men vi anpassar det givetvis efter era önskemål och förutsättningar.

Workshopen innehåller följande moment

GDPR och tredjelandsöverföringar

En klar och tydlig genomgång om vad tredjelandsöverföringar är, och hur de hänger ihop med resten av GDPR och varför man som personuppgiftsansvarig organisation bör ta hand om de största integritetsriskerna först. Momentet berör också informationssäkerhet, vilket är en av de viktig principerna i Dataskyddsförordningen GDPR och hur den hänger ihop med tredjelandsöverföringar.

För att tredjelandsöverföringar skall vara lagliga så krävs en giltig överföringsmekanism.

Schrems II-domen och möjliga skyddsåtgärder

Schrems II-domen omöjliggör i praktiken de flesta tredjelandsöverföringar till USA, men hur hängder det hela ihop juridiskt, vilka lösningar är egentligen möjliga, hur ser sannolikheten för en politisk lösning i form av ett nytt privacy shield-avtal ut? Vad säger olika auktoriteter inom området såsom Integritetskyddsmyndigheten och Europeiska Dataskyddsstyrelsen EDPB? Hur kan man följa EDPB:s rekommendationer på ett praktiskt sätt för att förbättra efterlevnaden av GDPR om man fortsätter molnlösningar såsom Microsoft 365. Vilka juridiska risker och vilka integritetsrisker tar man? Är det okej så länge servrarna finns i EU eller Sverige? Hur fungerar det med supportpersonal som sitter i USA, eller annat tredjeland?

Offentlighet och sekretess

Det är inte bara GDPR som försvårar användningen av molntjänster, utan även uppgifter som omfattas av sekretess. Att överföra uppgifter till en leverantör innebär att uppgifterna röjs. Om det utgör av lagligt eller olagligt röjande beror på omständigheterna och vilket skaderekvisit de röjda uppgifterna har. Momentet går igenom det aktuella rättsläget och ger praktiska förslag på hur man kan hantera situationen.

Uttalande från ESAM

Workshopmoment – persondataanalys

En kortfattad mindre workshop där vi går igenom vilken de viktigaste uppgifterna som hanteras i någon tillämpning – exempelvis en verksamhetsprocess eller IT-lösning. Vad är det för information, hur stora volymer handlar det om, vilken är den rättsliga grunden för behandlingen, föreligger det sekretess och hur kan man agera praktiskt?

Syftet med momentet är att visa på hur en metod för hur man systematiskt kan inventera och beskriva den information som hanteras inom någon tillämpning på ett format som matchar lagkraven på ett behandlingsregister (GDPR Artikel 30) och samtidigt är en bra grund för riskbedömningen av molntjänsteanvändning.

Vad får man med sig

Efter utbildningen så har organisationen ett bra underlag för att bestämma sig hur man vill hantera olika molntjänster eller en specifik tjänst. Vilka molntjänster skall användas tills vidare? Ska några avvecklas? Hur ser riskbilden ut? Vilka skyddsåtgärder är lämpliga?

Både organisationen och kursdeltagare får skriftliga bevis på en genomförd workshop. Syftet med detta är dubbelt. Dels ger det ett meritvärde för deltagarna, men det utgör också en del av organisationens ansvarsskyldighet. Att analysera frågan en del i att efterleva dataskyddsförordningen.

Observera att workshopen inte ger ett svar på hur man kan använda amerikanska molntjänster på ett helt lagligt sätt. Oftast är det troligen inte möjligt. Syftet med workshopen är att klargöra vilka praktiska åtgärder man kan vidta här och nu för att förbättra efterlevnaden av GDPR, och ta ut riktningen mot ett helt lagligt läge.

Format

Formatet på utbildningen anpassas efter kundens förutsättningar. Föreslaget format är en interaktiv genomgång på en timme följt av en persondataanalys i workshopformat, men utbildningen kan anpassas efter era behov. Utbildningen erbjuds i första hand på distans, men det går också att hålla utbildningar på plats om det önskas. 

Efter utbildningen får deltagarna ett utbildningsbevis (diplom) och organisationen som anordnar utbildningen får ett utbildningsbevis som i sig utgör en del av organisationens GDPR-efterlevnad.

Utbildningen kan hållas på plats eller på distans, lämplig tidsåtgång är 2 timmar med en kort paus i mitten.

Hela utbildningen och allt material är på svenska.

Målgrupp och förkunskapskrav

Utbildningen är främst är riktad mot personer som skall vara delaktiga i beslut om molntjänstanvändning och vill ha ett bra underlag för beslut. Det kan vara ledningsgrupper, förvaltare, strateger, verksamhetsspecialister, dataskyddsombud och andra. 

Inga specialla förkunskaper om GDPR krävs, även om det inte skadar att känna till det viktigaste. Materialet innehåller en kort genomgång av det absolut mest centrala i GDPR.

Workshoptillfällen

Utbildningar anordnas på förfrågan, antingen på distans, hos er eller på annan plats. Kontakta gärna mig om du vill veta mer om utbildningen.  

Vad säger andra om workshopen

Några exemel på vad andra som gjort workshopen säger.

Jag tycker förklaringen av vad Schrems II och tredjelandsöverföringar var väldigt pedagogisk och begriplig.
– Worskhopdeltagare  

Jag tycker att ansatsen är bra och praktiskt. Många pratar bara om att tredjelandsöverföringar är förbjudet, men du har en mer praktisk inställning som visar hur man kan komma till ett bättre läge.
 -Workshopdeltagare