Molntjänster – bekvämt men svårt

Myndigheter, kommuner och landsting omfamnar i ökad utsträckning molnet. Att upphandla exempelvis mejltjänster, där trafiken passerar eller lagras i andra länder, kan dock innebära sekretessproblem.

Molntjänster är ett både bekvämt och kostnadseffektivt alternativ till att driva egen it-infratsruktur. Nackdelen är att exempelvis kommuner som upphandlar denna typ av tjänster inte har full kontroll över mejl och annan trafik.

Under sommaren blev det känt att stora kommersiella internetaktörer vidarebefordrar uppgifter till amerikansk säkerhetstjänst. Jon Karlung, vd för internetleverantören Bahnhof, ser detta som ett enormt problem för alla molntjänstanvändare. Han menar att det inte spelar någon roll hur många vpn-tunnlar som används eller hur den egna säkerhetspolicyn ser ut:

– Lagrar du data i molnet så är risken överhängande att den rent fysiskt lagras utanför Sveriges gränser, ofta i USA, och då kan man utgå från att utländsk signalspaning också lagrar och analyserar din information.

Bahnhofs lösning är en märkning, Based in Sweden, som garanterar att all lagrad data, kommunikation och kunduppgifter stannar inom landets gränser.

Till de politiker som oroas hör Karin Rågsjö, vice gruppledare för vänstern i Stockholms stad. Hon har bett kommunstyrelsen att garantera att stadens it-kommunikation inte förs vidare till tredje part.

– I och med alliansens it-upphandling är vi i nuläget bundna till aktörer och plattformar som vi saknar kontroll över. Vi kräver att staden kan garantera sina anställda att deras integritet upprätthålls

Salems kommun är ett bevis på svårigheterna att formulera bra avtal vid denna typ av upphandlingar. År 2011 kritiserades kommunen av Datainspektionen för brister i avtalet med Google som innebar att reglerna i personuppgiftslagen inte uppfylldes.

Avtalet gav Google för stort utrymme att behandla personuppgifter för sina egna ändamål. Dessutom framgick inte vilka underleverantörer som är inblandade och vad som händer med personuppgifterna när avtalet upphör.

Salems kommun förelades att ta fram ett nytt avtal. Vid en granskning av det nya avtalet konstaterar Ingela Alverfors, jurist på Datainspektionen, att de tidigare bristerna kvarstår:

– Därför måste vi återigen förelägga kommunen att antingen åtgärda bristerna i avtalet eller att sluta använda molntjänsten.

Den 19 september arrangerar Upphandlign24 en konferens med tema Upphandla IT. Som en av många programpunkter under dagen belyser Datainspektionen vad som gäller kring molntjänster och personuppgifter. Här finns mer information om konferensen.