Molntjänster - Legala och regulatoriska krav på offentlig sektor



Låt Cybercom agera rådgivare kring vilka av era tjänster som kan läggas i molnet och vilka som inte passar för molndrift.

Många frågar sig om det lagligt att använda molnet för offentlig sektor?

Det korta svaret är ja. Alla tjänster bör dock inte - och vissa får inte - levereras från publika molntjänster, även om majoriteten av tjänster i offentlig sektors regi kommer att levereras via molntjänster inom en snar framtid. Exakt vilka legala krav som gäller just er organisation beror på vilken typ av verksamhet eller tjänst ni överväger att lägga i molnet.

Låt Cybercom agera rådgivare kring vilka av era tjänster som kan läggas i molnet och vilka som inte passar för molndrift.

Boka en kostnadsfri rådgivningstimme med Cybercoms molnsäkerhetsexpert:

Offentlighets- och Sekretesslagen med CLOUD Act

Nästan alla verksamheter inom offentlig sektor använder sig idag av någon typ av molntjänst för någon del av verksamheten. Detta sker trots att det pågår en statlig utredning som hösten 2021 ska utvisa om detta är lagligt eller ej. Den springande punkten i utredningen är frågan om uppgifter som behandlas i molntjänster ägda av amerikanska bolag ska anses röjda till amerikanska myndigheter. Den amerikanska lagen CLOUD Act som instiftades under 2018 stipulerar bland annat att amerikanskägda molntjänster kan tvingas lämna ut uppgifter till amerikanska rättsvårdande myndigheter i samband med brottsutredningar. Vissa bedömare menar att själva förekomsten av en sådan lag gör att uppgifterna ska anses röjda och att det därmed är oförenligt med offentlighets- och sekretesslagen att använda dessa molntjänster inom svensk offentlig sektor. Den här strikta tolkningen tycks inte delas av många offentliga verksamheter, då de trots detta använder amerikanskt ägda molntjänster i stor utsträckning. Cybercoms bedömning är sammantaget att offentlighets- och sekretesslagen inte förbjuder användning av molntjänster från amerikanska leverantörer, men att en bedömning bör göras från fall till fall, beroende på situation och tjänst. Vi hjälper gärna till med den bedömningen.

 

Nya cybersäkerhetskrav på statliga myndigheter

Den svenska myndigheten MSB har beslutat om nya detaljerade föreskrifter (MSBFS 2020:7) som ställer krav på säkerheten i IT-system och tjänster som används i verksamheten på statliga myndigheter. Kraven innefattar bland annat riskanalys, val och tillämpning av relevanta säkerhetsåtgärder, dokumentation av IT-miljön, segmentering av nätverk, genomtänkt åtkomsthantering, kryptering och säkerhetskopiering. Med Cybercom som molnpartner erhåller ni direkt en säkerhetsnivå som lever upp till de nya kraven. Dokumentationen av efterlevnaden underlättas av att det mesta dokumenteras automatiskt och kan tas fram vid behov direkt från molntjänsten. Vi ser till att alla tekniska krav på dataskydd och cybersäkerhet är inbyggt i er molnmiljö redan från början genom mallar och automatisering, och att dessa regler inte kan slås av eller förbigås.

 

Överföring av personuppgifter till tredje land (GDPR och Schrems II-domen)

Molntjänster kan användas utan att personuppgifter lämnar Sverige eller EU. Det är upp till myndigheten att besluta var uppgifterna ska behandlas. I det fall uppgifter ska behandlas i tredje land, exempelvis USA, så krävs efter Schrems II-domen att ett antal förutsättningar finns, så som analys av situationen, standardavtalsklausuler (SCC) för dataöverföringar utanför EU i avtalet med molntjänsteleverantören och andra lämpliga legala, organisatoriska och tekniska säkerhetsåtgärder för att åstadkomma ett i all väsentlighet likartat sydd för uppgifterna som när de överförs inom EU. Cybercom kan hjälpa er att förstå den specifika situationen och avgöra vad som krävs för att efterleva kraven och hur ni i efterhand ska kunna visa regelefterlevnad.

 

Ett systematiskt informationssäkerhetsarbete

Med Cybercom som molnpartner kan ni vara säkra på att er data och era tjänster har en verifierad och genomtänkt säkerhet som grund. Globalt efterlever alla molntjänsteleverantörer vi arbetar med de ledande cybersäkerhetsstandarderna, vilka Cybercoms medarbetare aktivt är med och utvecklar åt ISO (ISO/IEC 27001). Enligt myndigheten MSB:s föreskrifter om statliga myndigheters informationssäkerhet (MSBFS 2020:6) ska även svenska myndigheter arbeta enligt samma standard. Detta gör att det är enkelt att ta molntjänsterna i bruk eftersom säkerhetsarbetet bedrivs på ett motsvarande sätt hos molntjänsteleverantören och på Cybercom, som hos myndigheterna. För myndigheter eller aktörer som levererar samhällsviktiga tjänster är detta extra viktigt eftersom det är ett legalt krav (MSBFS 2018:8) att myndigheten försäkrar sig om att ett systematiskt riskbaserat informationssäkerhetsarbete verkligen bedrivs hos molntjänsteleverantören.

 

Övriga lagkrav

Det finns ytterligare lagkrav inom olika områden inom offentlig sektor utöver de som nämnts ovan. Vi hjälper er att identifiera dem och tillser att ni vid varje given tidpunkt lever upp till kraven och även kan påvisa en sådan regelefterlevnad vid eventuell tillsyn eller revision.

 

Låt Cybercom agera rådgivare kring vilka av era tjänster som kan läggas i molnet och vilka som inte passar för molndrift.

Boka en kostnadsfri rådgivningstimme med Cybercoms molnsäkerhetsexpert:

Kontakta oss

Göran Dahlberg

Head of Cybercom Secure Services

Ring kontakt
Maila kontakt

Fredrik Blix

Head of Information Security and Governance

Ring kontakt
Maila kontakt

Andreas Carlberg

Head of Business Transformation & Offerings

Ring kontakt
Maila kontakt