Säkert ramavtal för molnet
Efter en förstudie så rekommenderar nu Statens inköpscentral vid Kammarkollegiet att det ska ske en ramavtalsupphandling för utländska molntjänster. Men först måste leverantörerna komma med tillräckligt bra och säkra lösningar.
– Offentlig sektor måste nu ställa krav på vad det är för typ av tjänst man vill ha, och vilken säkerhetsnivå den måste ligga på. Sedan måste också marknaden kliva fram och erbjuda bättre tjänster anpassade för offentlig sektor. Det är först när tjänsterna är tillräckligt bra som ramavtalet kan komma till. Så bägge parter måste kliva fram nu, säger ansvarige projektledaren Daniel Melin från Kammarkollegiet.
Det har under senaste året diskuterats friskt huruvida myndigheter egentligen ska outsourca sin drift till molntjänster. Frågan blev allt mer i ropet efter att affären med Transportstyrelsen uppdagades. Bland annat har Esam rekommenderat att outsourcing hos myndigheter bör ses över.
Nu kan de som förespråkar offentlig sektors användning av de stora internationella molntjänsterna erfara ytterligare ett bakslag, därför att nu rekommenderar Statens inköpscentral, en del av Kammarkollegiet, ungefär samma sak som Esam. Så här skriver Inköpscentralen i sin förstudierapport Webbaserat kontorsstöd.
"Utifrån Esamverkansprogrammets rättsliga uttalande instämmer projektgruppen i att sekretessreglerade och säkerhetskänsliga uppgifter som finns tillgängliga i en utländsk molntjänst, på det sätt som Esamverkansprogrammet uttalat, är att anse som röjda."
Nya lagar
Inom offentlig sektor så fattar varje kommun, region och statlig myndighet sina egna beslut när det kommer till it. Detta kan komma att förändras eftersom NIS, GDPR och amerikanska lagen Cloud Act blev verklighet under 2018. Dessutom kommer den nya säkerhetsskyddslagen att börja gälla från 1 april 2019.
Cloud Act är lagen som möjliggör för amerikanska myndigheter att hämta in information även om den är lagrad i EU. Liknande lagar finns också i andra länder, exempelvis Indien, Kina och Ryssland, och ett problem med dessa blir att de inte går helt hand i hand med GDPR.
– Flera länder utanför EU har regelverk som är högst problematiska ur dataskyddsförordningens perspektiv. En myndighet som låter företag som lyder under ett sådant regelverk behandla personuppgifter, synes därmed ge det utländska regelverket företräde framför EU:s dataskyddsförordning. Hur behandling av personuppgifter sker måste därför omhändertas om en upphandling genomförs, säger Daniel Melin.
Jobb att göra
Det kommande ramavtalet måste ta hänsyn till offentlig sektors rättsliga och funktionella behov. Ett sådant avtal skulle kunna förenkla för offentlig sektor, men först måste vissa bitar på plats. Som det ser ut nu finns det nämligen ingen tjänst som är tillräckligt funktionell och juridiskt hållbar.
– Komplexiteten i den kravställning som krävs för denna typ av it-stöd har ökat markant, såväl tekniskt som juridiskt. Förstudien har därför undersökt om ett nytt ramavtal, där väsentliga aspekter redan från början är korrekt kravställda, skulle underlätta för myndigheter att använda de funktioner som i förstudien benämns Webbaserat kontorsstöd. Och det framstår som fullt möjligt att upphandla Webbaserat kontorsstöd som både är tekniskt och rättsligt godtagbart, säger Daniel Melin.
Läs mer om ämnet: