Myndigheterna står inför ett dilemma. Å ena sidan har de ett tryck på sig att digitalisera mera och fortare – och att kunna utnyttja molntjänsternas verktyg är en nyckel för många – men å andra sidan varnar till exempel myndighetssamarbetet Esams juridiska expertgrupp för stora risker med att använda utländska molntjänster i offentlig sektor ur ett säkerhets- och integritetsperspektiv.

Det här är bakgrunden till att Statens inköpscentral under det senaste halvåret genomfört en utredning om man skulle kunna skapa ett ramavtal för molnbaserade kontorstjänster som svarar upp inte bara mot de tekniska kraven utan också de juridiska.

Nu är denna klar – och slutsatsen är att det inte går att göra något ramavtal, åtminstone inte i dagsläget. Det säger Daniel Melin, projektledare på Statens inköpscentral.

– Det vi har kommit fram till är att vi skulle få noll anbud med rätt kravställning. Det finns ingen leverantör i dag som skulle uppfylla både funktionella krav, säkerhetskrav och juridiska krav.

Lite förenklat kan man säga att Microsoft med Office 365 och Google med G Suite är de enda som skulle uppfylla de funktionella kraven, men de skulle inte klara de juridiska kraven, enligt Statens inköpscentrals förstudie.

Daniel Melin tillägger att om man ska göra ett ramavtal för molnbaserade kontorstjänster så måste man först och främst lösa GDPR-frågorna, men på sikt måste man också ta höjd för ny lagstiftning som NIS-direktivet och säkerhetsskyddslagen.

Även utländsk lagstiftning som framför allt Cloud act och Foreign Intelligence Surveillance Act, FISA, (sektion 702), ställer till problem i de här sammanhangen. Den förra underlättar för amerikanska myndigheter att få ut uppgifter som amerikanska bolag förfogar över utanför USA, den senare kan möjliggöra för amerikanska underrättelsemyndigheter att inhämta information om icke-amerikanska medborgare.

Arman Borghem, jurist och it-upphandlare på Statens inköpscentral, som också varit med i projektgruppen säger:

– Vi ser bekymmer här ur ett sekretessperspektiv. Om leverantören som driftar tjänsten träffas av utländsk lagstiftning, som säger att de kan tvingas lämna ut uppgifter till annat land då är det inte längre okej.

– Ett avtal med en sådan leverantör kan ju svårligen garantera att leverantören aldrig kommer att lämna ut några uppgifter till ett annat lands myndigheter.

Många uppgifter i offentliga verksamheter omfattas av sekretess. Ett exempel som kom upp på seminariet är att de här kontorstjänsterna innefattar mejl och redan där blir det ett problem eftersom en myndighet ju inte kan kontrollera på förhand vad det är för uppgifter som mejlas in.

En effektiv krypteringslösning skulle kunna lösa det här, men då måste myndigheten kunna kontrollera alla led, vilket skulle göra användarupplevelsen dålig samt att det skulle ta bort mycket funktionalitet, menar Borghem.

Blir det inte en stor besvikelse nu ute hos myndigheterna?

– Det är blandat, säger Daniel Melin. Det dök upp en del reaktioner som menar att vi förstört molnmarknaden. Men då skjuter man budbäraren. Det vi har gjort är att vi tänt lampan i rummet.

– Men sedan har vi fått reaktioner, framför allt från branschen, som tycker att det är jättebra. Det finns ett marknadsfönster här. Det här är ju en marknad där europeiska aktörer är helt akterseglade, men mycket av den här tekniken bygger ju på öppen källkod, och det finns möjligheter att utveckla nya lösningar.

En annan möjlighet som Daniel Melin pekar på är tyska Bundescloud. Det är en statlig molntjänst som myndigheter kan ansluta sig till för fillagring och dokumenthantering. Under 2019 ska den utökas med samarbetsverktyg, kalkylark och presentationsverktyg, och senare med chatt och videokonferensverktyg.