Det går inte att använda amerikanska molntjänster för sekretessreglerade data – utan att dessa ska betraktas som röjda. Undantaget är om krypteringen är tillräckligt stark, något som visat sig väldigt svårt att få till.
Så kan man sammanfatta slutsatsen av myndighetssamarbetet Esams juridiska expertgrupps uttalande om hur sekretessreglerade uppgifter bör behandlas i samband med användningen av molntjänster.
– Det finns naturligtvis möjligheter att använda amerikanska molntjänster, men då ska det antingen inte vara för att behandla sekretessreglerade data eller också ska krypteringen vara tillräckligt stark, något som dock har visat sig vara svårt att göra i praktiken, säger Johan Bålman som leder den juridiska expertgruppen.
Det här är en fråga som diskuteras intensivt på många myndigheter just nu, när allt fler organisationer flyttar över till molnet. Hur ska den offentliga sektorn göra med sina känsliga och sekretessbelagda data?
Frågan har aktualiserats av den amerikanska lagen, Cloud act, som innebär att amerikanska myndigheter ska ges tillgång även till data som lagras utomlands – och att amerikanska leverantörer av det skälet inte kan vägra lämna ut sådana data.
Johan Bålman säger också att Cloud act varit en av de utlösande faktorerna bakom det här uttalandet från Esam eller Esamverkansprogrammet som drivs av 23 tunga myndigheter och Sveriges Kommuner och Landsting, SKL.
Esams jurdiska expertgrupp bedömer att det inte går att utesluta att en leverantör som lyder under utländsk lagstiftning kan medverka till att sekretessreglerade uppgifter röjs.
– Vi anser att det i juridisk mening måste som ett röjande om en molntjänst används för behandling av uppgifter som är sekretessreglerade, och om molntjänsten ägs av ett utländskt företag där detta lands rättsordning ålägger företaget att under vissa förhållanden överlämna viss information till det landets myndigheter, säger Johan Bålman.
När det då gäller krypteringen skriver Esam i uttalandet: ”En annan bedömning kan visserligen inte uteslutas för det fall att ett röjande hindras genom kryptering av tillräcklig – och när så krävs godkänd – kvalitet eller av andra åtgärder med samma verkan. I praktiken har det emellertid visat sig inte kunna verifieras att överenskomna åtgärder genomförs och att krypteringsmekanismer som används ger tillräckligt skydd”.
Tills vidare rekommenderar Esam sina medlemmar som planerar att lägga information i en molntjänst ”att mot bakgrund av vår rättsliga bedömning noggrant analysera vilken typ av information det rör sig om och göra nödvändiga risk- och konsekvensanalyser”.
Göteborgs stad är en myndighet som brottats med den här frågan i utrullningen av det molnbaserade Office 365-paketet i staden. I oktober i år tog Göteborgs Stad beslut om att tillåta klass 2-information (sekretessbelagd information), efter att ha tagit del av en stor volym granskningsrapporter och certifieringar från Microsoft.
– Om det nya rättsliga uttalandet från Esam påverkar den bedömningen är i dagsläget för tidigt att säga, säger Malin Lundqvist, som är verksamhetschef IT och CIO i Göteborgs Stad.
– Det är klart att det kan påverka, men vi vill inte fatta några förhastade beslut, utan vi befinner oss i en analysfas.
I rapporten i oktober uppgav Göteborg stad att grundsäkerhetsnivån i Office 365 är så pass god att staden har för avsikt använda molntjänsten för konfidentiell information.
Detta efter att de gått igenom granskningsrapporter och certifieringar från Microsoft i kombination med tilläggsprodukten Customer Lockbox. Står ni fast vid den bedömningen?
– Det är en av de saker vi måste se över. Men vi vill inte fatta några snabba beslut nu. Men jag välkomnar den här typen av rapporter, det här är frågor som många myndigheter brottas med nu. Det är ju också så att molntjänster är en förutsättning för hela digitaliseringen.
Esam har nu tagit fram en checklista som stöd för den organisation som står inför ett beslut om att använda molntjänster.
Esam har också tittat på alternativ till molntjänster med utländskt ägande. Ett sådant är att skapa gemensamma offentliga moln för att kunna hantera flera myndigheters behov av molntjänster. ”Detta har utretts av flera myndigheter och frågan är komplex och behöver hanteras på nationell nivå”, skriver de.
Ännu ett alternativ är att hitta en lösning för att kunna avropa webbaserade kontorstjänster som följer svensk lagstiftning. Här har Statens Inköpscentral vid Kammarkollegiet nu under hösten påbörjat en förstudie om ett ramavtal för detta. Den här förstudien beräknas vara klar i början på februari 2019.
Kommentatorerna ansvarar för sina egna kommentarer