Normen sier at ved bruk av skytjenester for behandling av helse- og personopplysninger skal den dataansvarlige gjøre dekkende risikovurderinger, og ellers følger kravene til avtaler og leverandøroppfølging i Normen.
Kunden vil stille krav til den tekniske infrastrukturen som tjenesten kjører på. Normalt vil kunden etterspørre dokumentasjon på den tekniske løsningen, det kan være CAIQ eller tilsvarende dokumentasjon. Det stilles også egne krav til selve applikasjonen, og da spesielt til hvem som har tilgang til dataene, tilgangsstyring, logging.
Overføring av personopplysninger til andre land vil alltid være tema ved bruk av skytjenester. Som leverandør skal du kunne gi kunden oversikt over hvor dataene er lagret og fra hvilke land det gis tilgang.
Se Normens veileder for bruk av skytjenester til behandling av helse- og personopplysninger
