Tölvuský

Leiðbeiningar til ríkisstofnana um notkun á tölvuskýjalausnum

Fjármála- og efnahagsráðuneytið, í samstarfi við Persónuvernd og Rekstrarfélag Stjórnarráðsins, hefur tekið saman gátlista um hverju opinberar  stofnanir þurfi að huga að áður en tekin er ákvörðun um notkun tölvuskýja. Gátlistinn er lifandi skjal sem mun taka breytingum eftir því sem tækniframfarir, lög og reglur gefa tilefni til.

Ákvörðun um notkun tölvuskýjalausna hjá ríkistofnunum byggist á því að gengið hafi verið úr skugga um að þjónustuveitandi geti framfylgt kröfum sem ríkisstofnun og persónuverndarlög gera. Ríkisstofnun ber að tryggja að hún geti áfram sinnt skyldum sínum, þ.m.t. farið með stjórn upplýsinganna, tryggt öryggi þeirra að undangengnu áhættumati sem leiðir í ljós hvort ávinningur af innleiðingu þjónustunnar sé það mikill að hann réttlæti flutning í skýið. Mikilvægt er að meta hvort flutningur persónuupplýsinga úr landi, ef tölvuský er vistað erlendis, er heimill sem og hvaða tegundir upplýsinga er ásættanlegt að flytja í skýið og þá hvers konar ský. Lykilatriði er að ríkisstofnanir viti hvar, hvernig og hverjir vinna persónuupplýsingar sem þær bera ábyrgð á og að þær hafi stjórn yfir þeim upplýsingum sem þær bera ábyrgð á.

Í gátlistanum, sem einungis er til leiðbeiningar fyrir ríkisstofnanir, má finna ítarlegar leiðbeiningar um gerð og framkvæmd áhættumats, gerð vinnslusamnings, hvort heimilt sé að miðla persónuupplýsingum úr landi og eftir atvikum hvert, eignarhald persónuupplýsinga, upplýsingaöryggi, raunlægt öryggi, þjónustuviðmið og fleiri atriði sem nauðsynlegt er að huga að þegar til skoðunar kemur hvort unnt sé að vinna persónuupplýsingar með notkun tölvuskýjalausna.

Leiðbeiningar til ríkisstofnana um notkun á tölvuskýjalausnum má nálgast hér.

Hið opinbera hefur ekki mótað sér sérstaka stefnu um tölvuský en slík stefna getur haft áhrif á það hvaða upplýsingar kemur til álita að vista i tölvuskýjum.

Vakin er athygli á því að gátlistinn er einungis til leiðbeiningar fyrir ríkisstofnanir. Hann hefur ekki að geyma tæmandi talningu á öllum atriðum sem huga þarf að við innleiðingu tölvuskýjalausna.