Molnet hotar sekretessen
Nu rekommenderar Esam att förvaltning och myndigheter noga ser över sin outsourcing av molntjänster. Enligt ett nytt rättsligt uttalande bör sekretessbelagda uppgifter, under vissa omständigheter, anses som röjda om molntjänsten ägs av utländska aktörer. Det gäller även krypterad information.
– Vi anser att det i juridisk mening måste ses som ett röjande om en molntjänst används för behandling av uppgifter som är sekretessreglerade, och om molntjänsten ägs av ett utländskt företag där detta lands rättsordning ålägger företaget att under vissa förhållanden överlämna viss information till det landets myndigheter, säger Johan Bålman som leder Esams juridiska expertgrupp om ett nypublicerat rättsligt uttalande om röjande och molntjänster, VER 2018:57.
Esams checklista för molntjänster
Esam rekommenderar att organisationer genomför de olika stegen i checklistan man fattar beslut om och på vilket sätt en molntjänst kan användas för avsedda verksamheter och informationsmängder.
Checklistan är framtagen av Esams expertgrupp för säkerhet och Esams expertgrupp för juridik.
Checklista
- Har ni analyserat verksamhetens behov? (Verksamhetsanalys)
- Har ni bedömt rutiner och arbetsinsatser för att hålla sekretessreglerade uppgifter eller uppgifter med hög säkerhetsklass utanför? (Säkerhetsskyddslagen)
- Har ni analyserat de rättsliga kraven? Finns det rättsliga förutsättningar för att kunna nyttja en molntjänst? (Rättslig analys)
- Har ni värderat vilken betydelse och vilket värde den information som ska behandlas i molntjänsten har för verksamheten? (Informationsklassning)
- Vilka risker finns det för verksamheten att nyttja tilltänkt molntjänst, vilka risker finns det kopplat till den informationsbehandling som man tänkt göra i molntjänsten (Riskbedömning1)
- Vilka funktionella och icke-funktionella krav behöver verksamheten ställa för molntjänsten samt leverantören av molntjänsten utifrån det som framkommit av verksamhetsanalys, rättslig analys, informationsklassning, riskbedömning?
- Hur ska verksamheten arbeta med uppföljning och leverantörsstyrning kopplat till molntjänsten?
- Har ni gått igenom avtalet och förstått innebörden av avtalsvillkoren, exempelvis om villkoren ensidigt kan ändras av leverantören?
- Finns en strategi för att i framtiden kunna lämna tilltänkt molntjänst. (Exitplan)
Källa: Esam
Esam, Esamverkansprogrammet för 23 myndigheter och SKL, har sedan i våras arbetat med frågan om hur det offentliga kan använda sig av molntjänster utifrån säkerhets- och sekretesslagstiftning, och vilka rekommendationer som eSam kan ge sina medlemmar och andra aktörer i offentlig sektor.
Tre år av förändring
Det är tre år sedan som Esams juridiska expertgrupp bedömde att uppgifter inte ska anses röjda i offentlighets- och sekretesslagens mening om tjänsteleverantören enligt avtal inte får ta del av eller vidarebefordra uppgifterna, och det är osannolikt att något sådant sker även givet andra omständigheter.
Sedan dess har mycket hänt. Bland annat har USA infört den så kallade Cloud Act som gör det möjligt för federala myndigheter att ta del av information på servrar i andra länder. Det innebär att sekretessreglerade uppgifter kan lämnas ut även om själva lagringen sker inom EU:s gränser.
En annan faktor bakom Esams nya rekommendationer är att molntjänster erbjuds av företag som har servrar i olika länder. Det innebär att informationen kan finnas sparad, speglad, i flera länder och snabbt kan flyttas mellan olika jurisdiktioner samt vara åtkomlig via nät.
Hot mot nationens intressen
Esam framhåller att det även finns företag som erbjuder molntjänster där ägarförhållandena eller den geografiska placeringen av de tekniska hjälpmedlen ger skäl att ifrågasätta skyddet för mänskliga rättigheter. Bland annat skyddet för privatlivet, eller skyddet för det allmännas intressen och för rikets säkerhet. Expertgruppen skriver att ”ger omständigheterna anledning att befara att mänskliga rättigheter eller nationens intressen inte skulle säkerställas om svenska myndigheters data hade tillgängliggjorts får dessa uppgifter anses vara röjda eftersom det inte längre är osannolikt att de lämnas till utomstående.”
Transportstyrelsens outsourcing är ett aktuellt exempel på vad som kan hända när en myndighet väljer en leverantör som i sin tur samarbetar med många olika underleverantörer i flera länder.
Expertgruppen skriver i det rättsliga uttalandet att en annan bedömning kan vara möjlig vid kryptering av tillräcklig och godkänd kvalitet eller andra, motsvarande åtgärder. Men även här höjs ett varningens finger eftersom det visat sig vara svårt att såväl verifiera att sådana överenskomna åtgärder verkligen har genomförts, som att de krypteringsmekanismer som används ger tillräckligt skydd.
Nödvändiga risk- och konsekvensanalyser
Esams juridiska expertgrupp bedömer alltså att det inte går att utesluta att en leverantör av en molntjänst som lyder under utländsk lagstiftning kan komma åt sekretessreglerade uppgifter.
– Tills vidare rekommenderar vi våra medlemmar som planerar att lägga information i en molntjänst att mot bakgrund av vår rättsliga bedömning noggrant analysera vilken typ av information det rör sig om och göra nödvändiga risk- och konsekvensanalyser, säger Gunnar Wennerholm från Tillväxtverket som leder eSams expertgrupp för säkerhet.
Gemensamma offentliga moln
I rådande rättsläge har eSam under en tid diskuterat behovet av alternativ till molntjänster med utländskt ägande. Ett alternativ är att skapa gemensamma offentliga moln för att kunna hantera flera myndigheters behov av molntjänster. Detta har utretts av flera myndigheter och frågan är komplex och behöver hanteras på nationell nivå.
I nuläget har Esam tagit fram en checklista som stöd för den organisation som står inför ett beslut om att använda molntjänster.
En annan möjlighet är att hitta en lösning för att kunna avropa webbaserade kontorstjänster som följer svensk lagstiftning. Statens inköpscentral vid Kammarkollegiet har under hösten påbörjat en förstudie om ett ramavtal för detta. Förstudien beräknas vara klar i början på februari 2019.
Läs mer om ämnet: