Datainspektionen har granskat Ale kommuns planerade användning av Microsofts molntjänst Office 365. Kommunen ska använda molntjänsten i all skol-, förskole- och fritidsverksamhet. Molntjänsten ska användas av såväl lärare som elever. I molntjänsten finns bland annat verktyg för snabbmeddelanden och videosamtal, lagring av dokument och andra filer, e-post, kalender och ordbehandling.
I sin kontroll har Datainspektionen lagt särskilt fokus på avtalet med molntjänstleverantören.
– Vid tidigare granskningar av andra molntjänster har vi främst sett brister i avtalet mellan kunden och leverantören av molntjänsten. Ale kommun har dock tecknat ett avtal som uppfyller de allra flesta av personuppgiftslagens krav, säger Ingela Alverfors som lett inspektionen av kommunen.
Avtalet reglerar bland annat att personuppgiftsbiträdet, alltså molntjänstleverantören, inte får hantera kommunens uppgifter för egna ändamål. Avtalet ger också tillräckliga garantier för att Microsoft verkligen raderar personuppgifter som kommunens användare har raderat, såväl under avtalstiden som när avtalet löpt ut.
Datainspektionen anser även att kommunens instruktioner om vilka säkerhetsåtgärder som Microsoft ska vidta är tillräckliga. Däremot anser Datainspektionen att avtalet inte ger kommunen rätt till nödvändig information om i vilka länder som Microsofts underleverantörer har sin verksamhet.
– Den som är personuppgiftsansvarig, i det här fallet Ale kommun, måste känna till vilka bolag som hanterar personuppgifterna, och var dessa bolag har sin verksamhet. Det här är en punkt i avtalet som kommunen måste rätta till.