Grönt ljus för kommuner, regioner och statliga myndigheter att överväga molntjänster


2019-07-04, 14:19 Publicerat av: Fredrik Blix & Richard Brolin

Nu är det återigen grönt ljus för kommuner, regioner och statliga myndigheter att överväga användning av molntjänster även om de är utlandsägda.

 

Vad innebär det här för vår organisation? Organisationer inom offentlig sektor kan därmed nu vid behov återuppta arbetet med att analysera vilken information och vilka tjänster som kan dra nytta av molntjänster.

Vad ska en sådan analys innefatta? En sådan analys innefattar bland annat klassificering av information/tjänst, analys av risker, identifiering av lagkrav (dataskydd, säkerhetsskydd, etc.), verksamhetens krav på säkerhet (sekretess, tillgänglighet, riktighet) samt analys av vilka säkerhetsarrangemang molntjänsten kan erbjuda.

Hur har Cybercom kommit fram till detta? Vi har under det senaste halvåret systematiskt samlat kunskap om denna fråga för att se om vi kan bidra till en lösning. Följande datakällor ligger till grund för uttalandet ovan:

 

  • Slutet rundabordsamtal på Almedalen 2019 rörande användning av molntjänster i offentlig sektor med 12 nyckelpersoner inom svensk offentlig sektor (representanter från centrala svenska myndigheter inom dataskydd och cybersäkerhet, generaldirektörer för statliga myndigheter samt representanter för Sveriges kommuner och regioner). Samtalet hölls enligt ”Chatham House Rules”. Ingen av deltagarna ansåg på direkt fråga att det är oförenligt med gällande reglering av att överväga utlandsägda molntjänster inom den offentliga sektorn. Däremot diskuterades många andra frågor som gav vid handen att en analys likt den som beskrivs ovan behöver genomföras vid övervägande.
  • Rapporter från två separata advokatfirmor som mot ersättning av intressenter analyserat det rättsliga läget. Den ena rapporten är skriftlig, den andra är en muntlig sammanfattning då den är under utarbetande. Rapporterna tar bland annat fasta på vad som kan vara ett utlämnande av information och obehörigt röjande. Slutsatserna från rapporterna är / kommer att vara att den nuvarande regleringen ger utrymme för att överväga användning av utlandsägda molntjänster, men att en analys måste till i varje enskilt fall.
  • Interaktion med molntjänstleverantörerna för att förstå och verifiera den IT-säkerhetstekniska lösning som erbjuds, främst med fokus på hur insynsskyddet gentemot dessa är utformat. Insynsskyddet ger en praktisk, teknisk och i viss mån legal spärr mot molntjänsteleverantörens insyn och därmed möjligheten att leverantören (enligt svensk rätt) obehörigen skickar information vidare till en tredje part. Säkerhetsarrangemangen har inverkan på sannolikheten för att information obehörigen röjs, därför krävs detaljerad kunskap om dessa för att kunna avgöra frågan.
  • Två studier som bedrivits under våren på Cybercom (en masteruppsats av Klas Albons och Alfons Johansson samt en kandidatuppsats av Sam Spjuth och Gustav Seffer inom cybersäkerhet vid Stockholms universitet) som i detalj undersökt juridik och teknik kring myndigheters arkivering av data respektive kommuners användning av molntjänster. Studierna har bland annat innefattat intervjuer, bl a med personer bakom e-Sams rättsliga uttalande om röjande och molntjänster från 23 oktober 2018, där en en något mildare tolkning av uttalandet framkommit än det som varit den gängse tolkningen. Denna information har vi även nåtts av via andra oberoende vägar.

 

Vad kommer att hända härnäst? SKL kommer under hösten att komma ut med en vägledning kring bland annat hur man kan genomföra analysen som nämns ovan. Det kan även komma någon form av uttalande från regeringshåll för att ytterligare förtydliga det rättsliga läget. Båda dessa informationsinsatser kan förväntas ligga i linje med vår slutsats i rubriken till denna artikel.

 

Kommer lagstiftningen kring detta att ändras? Förmodligen inte, eftersom myndigheters övervägande av utlandsägda molntjänster ryms inom ramen för den nuvarande rättsliga regleringen. Det handlar om förtydliganden kring hur obehörigt röjande i Offentlighets- och sekretesslagen (SFS 2009:400) ska tolkas i relation till exempelvis den amerikanska CLOUD Act.

 

Hur löd e-sams rättsliga uttalande om röjande och molntjänster? Så här löd uttalandet: "Om sekretessreglerade uppgifter görs tekniskt tillgängliga för en tjänsteleverantör som till följd av ägarförhållanden eller annars är bunden av regler i ett annat land, enligt vilka tjänsteleverantören kan bli skyldig att överlämna information utan att internationell rättshjälp anlitats eller annan laglig grund föreligger enligt svensk rätt, får uppgifterna anses vara röjda. Anledningen är att det inte längre är osannolikt att uppgifterna kan komma att lämnas till utomstående. Detsamma får anses gälla om redan ägarförhållanden eller geografisk placering av en tjänsteleverantörs tekniska hjälpmedel ger anledning att befara att mänskliga rättigheter (till exempel skyddet för privatlivet) eller det allmännas intressen (t.ex. rikets säkerhet) inte skulle säkerställas om svenska myndigheters data hade tillgängliggjorts."

 

Var eSamuttalandet felaktigt? Nej. Vid "tiden för eSam-uttalandet såg verkligheten annorlunda ut än idag. Vi hade i Sverige nyligen haft en omfattande incident rörande obehörigt röjande av information i samband med utläggning av IT-drift, den så kallade Transportstyrelseskandalen. Ingen av de ledande molntjänsteleverantörerna kunde erbjuda sina tjänster från svenska IT-hallar. Säkerhetsarrangemangen hos flera av molntjänsteleverantörerna var under stark utveckling. Amerikanska CLOUD Act dök upp och den förtydligade amerikanska myndigheters möjligheter att få ut uppgifter från amerikanska molntjänsteleverantörer. Det fanns inte heller vid den tidpunkten någon möjlighet att bedöma hur CLOUD Act skulle komma att användas mot exempelvis Sveriges kommuner, regioner och statliga myndigheter. När man tar fram ett vägledande uttalande, med bäring på säkerheten i ett digitaliserat samhälle i en sådan värld, måste försiktighet gå först. Därför var eSam-uttalandet rimligt då det kom till. Idag ser verkligheten annorlunda ut. Vissa av molntjänsterna erbjuds från svenska IT-hallar. Avancerade säkerhetsarrangemang finns att tillgå, som exempelvis insynsskydd genom av myndigheten helt kontrollerad kryptering gentemot själva molntjänsteleverantören. CLOUD Act, visade det sig, innebar inte en enda utlämning av uppgifter från kommuner eller myndigheters molntjänster från de två ledande molntjänsteleverantörerna (Microsoft och Amazon). eSam-uttalandet var därför inte felaktigt vid den tidpunkt då det togs fram och kommunicerades. Värt att notera är även att det rättsliga uttalandet öppnade för en mer generös användning av molntjänster för det fall kryptering av känslig data eller andra liknande åtgärder användes: ”En annan bedömning kan visserligen inte uteslutas för det fall att ett röjande hindras genom kryptering av tillräcklig – och när så krävs godkänd – kvalitet eller av andra åtgärder med samma verkan”. Man kan därför med fog säga att vi nu erhållit till den möjligheten med dagens tekniska lösningar.

 

Varför är det viktigt för er att kommunicera kring detta nu? Myndigheternas möjligheter att överväga molntjänster är helt central för kostnadseffektiv, ändamålsenlig och säker digitalisering. Det är ett av flera verktyg myndigheterna måste kunna ha till sitt förfogande. Cybercom jobbar sedan länge bl a med att hjälpa myndigheter med sin cybersäkerhet, då vi ser detta som en nyckelfråga för omställningen till ett hållbart digitalt samhälle. Våra medarbetare är aktivt med och utvecklar internationella standarder, vilka ställer krav på molntjänsteleverantörernas säkerhet (t ex ISO/IEC 27001, 2, 17 och 18). Cybercom står bakom många tidiga framgångar som t ex Sveriges första informationssäkerhetscertifierade kommun och statliga myndighet. Vi är ett svenskt IT-utvecklings- och konsultföretag med cirka 1300 anställda med fokus på hållbarhet och cybersäkerhet och har en viktig roll i samhället som rådgivare till flera av våra största myndigheter, stora och små kommuner samt regionerna.

 

Vår förhoppning är att detta inlägg blir startskottet på ett omtag vad gäller det offentligas användning av molntjänster.

 

Fredrik Blix, Principal och Richard Brolin, General counsel, Cybercom


comments powered by Disqus

Fredrik Blix

Head of Information Security and Governance

Ring kontakt
Maila kontakt

Richard Brolin

Chefsjurist Cybercom Group

Ring kontakt
Maila kontakt