Nu börjar myndigheterna ta hänsyn till sekretessfrågor och molnsäkerhet när de upphandlar sina it-system – det finns till och med exempel på dem som redan skickat ut förfrågningar om detta till leverantörerna. Detta bara ett par veckor efter myndighetssamarbetet Esams uttalande om ”det inte går att utesluta att en leverantör av en molntjänst som lyder under utländsk lagstiftning kan medverka till att sekretessreglerade uppgifter röjs”.
Till exempel har SKL Kommentus inför sin upphandling av trygghetsbaserade system skickat ut en förfrågan till leverantörerna om hur de arbetar med de här frågorna: Var informationen lagras, om de använder utländska underleverantörer för lagring av information, om de har egna servrar, hur informationen skyddas och så vidare.
– De funktioner som vi upphandlar omfattar hantering av personuppgifter och därför vill vi ta in mer information från leverantörer i branschen om hur och var de hanterar information om brukarna (individerna) och om de till exempel använder molntjänster, säger Petra Hedén som är upphandlare på SKL Kommentus.
Därefter ska SKL Kommentus titta på “om de inkomna svaren kan ge några värdefulla insikter för upphandlingens kravställning”.
Det de upphandlar är bland annat funktioner för att brukare aktivt ska kunna påkalla personalens uppmärksamhet, att automatiskt upptäcka avvikelser som kan kräva personalens insatser och visuell tillsyn på distans.
Daniel Melin som är upphandlare på Statens Inköpscentral tror att det blir vanligare att myndigheter tar hänsyn till sekretessfrågor och säkerhet när de upphandlar olika it-system i framtiden.
– Min gissning är att offentlig sektor i högre grad kommer att bry sig om sekretessfrågor i upphandlingarna och kravställa utefter detta. Det är frågor som inte riktigt funnits på bordet tidigare, men Esams uttalande slog ned som en bomb i offentlig sektor och det här är frågor som nu är uppe på absolut högsta nivå.
– Ta exemplet inom en myndighet att upphandlingsfunktionen mejlar anbud internt till it-avdelningen för att de ska kunna gå igenom de tekniska kraven: Eftersom ett anbud är under absolut sekretess så uppstår ju frågan redan där om uppgifterna är röjda om de använder en molnbaserad e-posttjänst med utländskt ägande. Enligt eSam är de ju det, och då är det klart att de börjar fundera på det här.
Hur skulle du säga att myndigheter har tagit hänsyn till de här frågorna före Esams uttalande i november?
– Jag tror att de som har högt säkerhetsmedvetande i verksamheten har nog funderat på det här länge, och att det görs interna utredningar, så att bara de lösningar som svarar upp mot säkerhetskraven kommer på fråga. Den stora skillnaden nu är att de som tidigare inte funderat på OSL-frågor (offentlighets- och sekretesslagen) nu börjar göra det.
På Statens inköpscentral håller man nu på med en förstudie om ett ramavtal för webbaserade kontorstjänster som följer svensk lagstiftning.
– Den pågår just nu, och planen är att den ska publiceras i februari. Där tittar vi både på de legala och tekniska förutsättningarna för att använda molntjänster i offentlig sektor.
När det gäller upphandlingen av trygghetsbaserade system så är Max Sandberg, vd och grundare av Srenity Solutions som levererar välfärdsteknik, en av de som fått förfrågan från SKL Kommentus. Han har stor erfarenhet av frågor runt molnet och säkerheten i de här tjänsterna, eftersom han var cio på Intraservice i Göteborgs Stad, under den omtalade utrullningen av Office 365.
– Men det här är faktiskt första gången jag ser att det frågas så specifikt om det här i en upphandling, men det är klart att det här kommer att bli ett inslag i upphandlingar framöver, säger Max Sandberg. Men det visar också på hur oklart läget är.
Max Sandberg efterlyser vägledning och riktlinjer för hur leverantörerna ska förhålla sig till de här frågorna.
– Myndigheter måste vara tydliga med vilka molntjänster man kan anlita. Annars hamnar leverantörerna i klistret, de får ta en oerhört stor risk och måste få veta vad det är som gäller.
Kommentatorerna ansvarar för sina egna kommentarer