...
För detta behövs en riskanalys ur tekniskt perspektiv där man även väger in leverantörens förmåga att upprätthålla och följa avtal. Denna kompletterar befintlig risk- och sårbarhetsanalys för lösningen.
Exempel: Problematik t.ex. kring tredjeland (USA-bolag) där inhemsk lagstiftning kan trumfa ingångna avtal. Därmed behöver andra tekniska och organisatoriska skyddsåtgärder vara på plats. T.ex. övervakning av fjärråtkomst vid teknisk support.
Exempel: Överföring av personuppgifter till en kommersiell aktör på villkor att denne bara ska behandla uppgifter i sitt system för personer som lämnat samtycke till detta. Denna filtrering regleras i PUBA och görs av den externa aktören på uppdrag av GU. Rent juridiskt finns inga hinder för detta, men det kan vara olämpligt av andra skäl t.ex. att man bedömer att det finns ett starkt incitament hos leverantören för att kringgå avtalet.
Datasäkerhetsaspekter beskrivs i en teknisk riskanalyshanteras av informationssäkerhetssamordnare, IT-arkitekter samt vid behov GU:s säkerhetschef.
Beslutsprocess
Följande är en process som man kan använda för att bestämma vilket lösningsmönster som är tillämpbart i den aktuella situationen.
...