Genom att surfa vidare godkänner du att vi använder cookies. Jag förstår

En smartare it-nyhetssajt

Molnet hotar sekretessen

Nu rekommenderar Esam att förvaltning och myndigheter noga ser över sin outsourcing av molntjänster. Enligt ett nytt rättsligt uttalande bör sekretessbelagda uppgifter, under vissa omständigheter, anses som röjda om molntjänsten ägs av utländska aktörer. Det gäller även krypterad information.

Text anne hammarskjöld Foto adobestock 12 november 2018 säkerhet

molnet-hotar-sekretessen.jpg

– Vi anser att det i juridisk mening måste ses som ett röjande om en molntjänst används för behandling av uppgifter som är sekretessreglerade, och om molntjänsten ägs av ett utländskt företag där detta lands rättsordning ålägger företaget att under vissa förhållanden överlämna viss information till det landets myndigheter, säger Johan Bålman som leder Esams juridiska expertgrupp om ett nypublicerat rättsligt uttalande om röjande och molntjänster, VER 2018:57.

Esams checklista för molntjänster

Esam rekommenderar att organisationer genomför de olika stegen i checklistan man fattar beslut om och på vilket sätt en molntjänst kan användas för avsedda verksamheter och informationsmängder.

Checklistan är framtagen av Esams expertgrupp för säkerhet och Esams expertgrupp för juridik.

Checklista

  • Har ni analyserat verksamhetens behov? (Verksamhetsanalys)
  • Har ni bedömt rutiner och arbetsinsatser för att hålla sekretessreglerade uppgifter eller uppgifter med hög säkerhetsklass utanför? (Säkerhetsskyddslagen)
  • Har ni analyserat de rättsliga kraven? Finns det rättsliga förutsättningar för att kunna nyttja en molntjänst? (Rättslig analys)
  • Har ni värderat vilken betydelse och vilket värde den information som ska behandlas i molntjänsten har för verksamheten? (Informationsklassning)
  • Vilka risker finns det för verksamheten att nyttja tilltänkt molntjänst, vilka risker finns det kopplat till den informationsbehandling som man tänkt göra i molntjänsten (Riskbedömning1)
  • Vilka funktionella och icke-funktionella krav behöver verksamheten ställa för molntjänsten samt leverantören av molntjänsten utifrån det som framkommit av verksamhetsanalys, rättslig analys, informationsklassning, riskbedömning?
  • Hur ska verksamheten arbeta med uppföljning och leverantörsstyrning kopplat till molntjänsten?
  • Har ni gått igenom avtalet och förstått innebörden av avtalsvillkoren, exempelvis om villkoren ensidigt kan ändras av leverantören?
  • Finns en strategi för att i framtiden kunna lämna tilltänkt molntjänst. (Exitplan)

Källa: Esam

Esam, Esamverkansprogrammet för 23 myndigheter och SKL, har sedan i våras arbetat med frågan om hur det offentliga kan använda sig av molntjänster utifrån säkerhets- och sekretesslagstiftning, och vilka rekommendationer som eSam kan ge sina medlemmar och andra aktörer i offentlig sektor.

Tre år av förändring

Det är tre år sedan som Esams juridiska expertgrupp bedömde att uppgifter inte ska anses röjda i offentlighets- och sekretesslagens mening om tjänsteleverantören enligt avtal inte får ta del av eller vidarebefordra uppgifterna, och det är osannolikt att något sådant sker även givet andra omständigheter.

Sedan dess har mycket hänt. Bland annat har USA infört den så kallade Cloud Act som gör det möjligt för federala myndigheter att ta del av information på servrar i andra länder. Det innebär att sekretessreglerade uppgifter kan lämnas ut även om själva lagringen sker inom EU:s gränser.

En annan faktor bakom Esams nya rekommendationer är att molntjänster erbjuds av företag som har servrar i olika länder. Det innebär att informationen kan finnas sparad, speglad, i flera länder och snabbt kan flyttas mellan olika jurisdiktioner samt vara åtkomlig via nät.

Hot mot nationens intressen

Esam framhåller att det även finns företag som erbjuder molntjänster där ägarförhållandena eller den geografiska placeringen av de tekniska hjälpmedlen ger skäl att ifrågasätta skyddet för mänskliga rättigheter. Bland annat skyddet för privatlivet, eller skyddet för det allmännas intressen och för rikets säkerhet. Expertgruppen skriver att ”ger omständigheterna anledning att befara att mänskliga rättigheter eller nationens intressen inte skulle säkerställas om svenska myndigheters data hade tillgängliggjorts får dessa uppgifter anses vara röjda eftersom det inte längre är osannolikt att de lämnas till utomstående.”

Transportstyrelsens outsourcing är ett aktuellt exempel på vad som kan hända när en myndighet väljer en leverantör som i sin tur samarbetar med många olika underleverantörer i flera länder.

Expertgruppen skriver i det rättsliga uttalandet att en annan bedömning kan vara möjlig vid kryptering av tillräcklig och godkänd kvalitet eller andra, motsvarande åtgärder. Men även här höjs ett varningens finger eftersom det visat sig vara svårt att såväl verifiera att sådana överenskomna åtgärder verkligen har genomförts, som att de krypteringsmekanismer som används ger tillräckligt skydd.

Nödvändiga risk- och konsekvensanalyser

Esams juridiska expertgrupp bedömer alltså att det inte går att utesluta att en leverantör av en molntjänst som lyder under utländsk lagstiftning kan komma åt sekretessreglerade uppgifter.

– Tills vidare rekommenderar vi våra medlemmar som planerar att lägga information i en molntjänst att mot bakgrund av vår rättsliga bedömning noggrant analysera vilken typ av information det rör sig om och göra nödvändiga risk- och konsekvensanalyser, säger Gunnar Wennerholm från Tillväxtverket som leder eSams expertgrupp för säkerhet.

Gemensamma offentliga moln

I rådande rättsläge har eSam under en tid diskuterat behovet av alternativ till molntjänster med utländskt ägande. Ett alternativ är att skapa gemensamma offentliga moln för att kunna hantera flera myndigheters behov av molntjänster. Detta har utretts av flera myndigheter och frågan är komplex och behöver hanteras på nationell nivå.

I nuläget har Esam tagit fram en checklista som stöd för den organisation som står inför ett beslut om att använda molntjänster.

En annan möjlighet är att hitta en lösning för att kunna avropa webbaserade kontorstjänster som följer svensk lagstiftning. Statens inköpscentral vid Kammarkollegiet har under hösten påbörjat en förstudie om ett ramavtal för detta. Förstudien beräknas vara klar i början på februari 2019.

Rekommenderad läsning

sverige-usa-cloudact.jpg

Esam om Cloud Act-kritik

12 jul 2019 säkerhet

Esam står fast vid uttalandet om att Cloud Act kan innebära sekretessproblem för svensk offentlig sektor. Efter kritik att uttalandet var fel och förhastat så menar Esam att den amerikanska lagen kan bryta mot svenska Offentlighets- och sekretesslagen och kanske även mot GDPR. 

kammarkollegiet logga på en dörr.jpg

Ramavtal för molnet

27 feb 2019 säkerhet

Efter en förstudie så rekommenderar nu Statens inköpscentral vid Kammarkollegiet att det ska ske en ramavtalsupphandling för utländska molntjänster. Men först måste leverantörerna komma med tillräckligt bra och säkra lösningar.

snip repli datacenters.JPG
video

Så säkrar VMware datacenters

19 sep 2017 digit

Tjänsten Cloud disaster recovery innebär att du har ett replikerande datacenter och skyddar dig med en sekundär datahall i molnet.

snip SLL.jpg
video

SLL säkrar upp datan med privat moln

5 jun 2017 digit

Större säkerhet för känslig data gör att Stockholms läns landsting väljer en privat molnlösning. Abbe Virta SLL och Katarina Kenne Dell EMC pratar om processen och lösningen.

vattenverkWEBB.jpg
video

Foab säkrar via molnet

18 okt 2017 digit

Säkerhetsföretaget Foab har kunder med känslig infrastruktur som vattenverk och annan kommunal verksamhet. Nu står bolaget inför utmaningen att integrera säkerhetssystem i privata moln.

gdpr-25-maj-folk-people.jpg
video
Ett samarbete mellan Trend Micro och Voister

Så säkrar du O365

5 mar 2018 säkerhet

Över 90 procent av alla ransomwareattacker sker via mejl. Office 365 har ett inbyggt skydd men för att säkra sig ytterligare behöver det skyddet kompletteras. Nu finns det möjlighet att via Cloud App Security for Office 365 testa om det finns skadlig kod i mejlen.

myror på rad som bär på bitar av löv.jpg
Ett samarbete mellan HPE och Voister

Full koll på din it-miljö

11 jun 2018 säkerhet

Molntjänsten HPE InfoSight löser problem i din it-miljö utan att du märker det. Förutom att InfoSight är självlärande så tipsar tjänsten dig också om hur du kan nyttja hela kraften i dina it-produkter.

people-town-cloud-960640.jpg
video

Så skyddar du din data

16 maj 2018 säkerhet

Hoten med molntjänster är många och det största är att anställda inte har koll på vilken information de lägger i molnet. Det menar Tobias Ander, före detta informationssäkerhetsansvarig på Transportstyrelsen. Dessutom luras många att tro att ett lokalt skydd innebär en säker drift.