Genom att surfa vidare godkänner du att vi använder cookies. Jag förstår

En smartare it-nyhetssajt

Säkert ramavtal för molnet

Efter en förstudie så rekommenderar nu Statens inköpscentral vid Kammarkollegiet att det ska ske en ramavtalsupphandling för utländska molntjänster. Men först måste leverantörerna komma med tillräckligt bra och säkra lösningar.

Text Fredrik Adolfsson Foto Mostphotos 27 februari 2019 säkerhet

kammarkollegiet logga på en dörr.jpg

 Offentlig sektor måste nu ställa krav på vad det är för typ av tjänst man vill ha, och vilken säkerhetsnivå den måste ligga på. Sedan måste också marknaden kliva fram och erbjuda bättre tjänster anpassade för offentlig sektor. Det är först när tjänsterna är tillräckligt bra som ramavtalet kan komma till. Så bägge parter måste kliva fram nu, säger ansvarige projektledaren Daniel Melin från Kammarkollegiet. 

Det har under senaste året diskuterats friskt huruvida myndigheter egentligen ska outsourca sin drift till molntjänster. Frågan blev allt mer i ropet efter att affären med Transportstyrelsen uppdagades. Bland annat har Esam rekommenderat att outsourcing hos myndigheter bör ses över.

Nu kan de som förespråkar offentlig sektors användning av de stora internationella molntjänsterna erfara ytterligare ett bakslag, därför att nu rekommenderar Statens inköpscentral, en del av Kammarkollegiet, ungefär samma sak som Esam. Så här skriver Inköpscentralen i sin förstudierapport Webbaserat kontorsstöd.

"Utifrån Esamverkansprogrammets rättsliga uttalande instämmer projektgruppen i att sekretessreglerade och säkerhetskänsliga uppgifter som finns tillgängliga i en utländsk molntjänst, på det sätt som Esamverkansprogrammet uttalat, är att anse som röjda."

Nya lagar

Inom offentlig sektor så fattar varje kommun, region och statlig myndighet sina egna beslut när det kommer till it. Detta kan komma att förändras eftersom NIS, GDPR och amerikanska lagen Cloud Act blev verklighet under 2018. Dessutom kommer den nya säkerhetsskyddslagen att börja gälla från 1 april 2019.

Cloud Act är lagen som möjliggör för amerikanska myndigheter att hämta in information även om den är lagrad i EU. Liknande lagar finns också i andra länder, exempelvis Indien, Kina och Ryssland, och ett problem med dessa blir att de inte går helt hand i hand med GDPR. 

– Flera länder utanför EU har regelverk som är högst problematiska ur dataskyddsförordningens perspektiv. En myndighet som låter företag som lyder under ett sådant regelverk behandla personuppgifter, synes därmed ge det utländska regelverket företräde framför EU:s dataskyddsförordning. Hur behandling av personuppgifter sker måste därför omhändertas om en upphandling genomförs, säger Daniel Melin. 

Jobb att göra

Det kommande ramavtalet måste ta hänsyn till offentlig sektors rättsliga och funktionella behov. Ett sådant avtal skulle kunna förenkla för offentlig sektor, men först måste vissa bitar på plats. Som det ser ut nu finns det nämligen ingen tjänst som är tillräckligt funktionell och juridiskt hållbar.

– Komplexiteten i den kravställning som krävs för denna typ av it-stöd har ökat markant, såväl tekniskt som juridiskt. Förstudien har därför undersökt om ett nytt ramavtal, där väsentliga aspekter redan från början är korrekt kravställda, skulle underlätta för myndigheter att använda de funktioner som i förstudien benämns Webbaserat kontorsstöd. Och det framstår som fullt möjligt att upphandla Webbaserat kontorsstöd som både är tekniskt och rättsligt godtagbart, säger Daniel Melin. 

Rekommenderad läsning

tåg 960640.jpg

Efter GDPR - nu kommer NIS-direktivet

1 mar 2017 säkerhet

EU:s nya NIS-direktiv innebär att alla viktiga samhällsaktörer nu måste visa upp att de kontinuerligt arbetar med säkerheten i sina it-system - allt på grund av den ökade hotbilden utifrån. 

soldater marscherar mot kameran med vapen i famnen på en väg i skogen.jpg

Säpo om den nya lagen

22 feb 2019 säkerhet

Den 1 april börjar den nya säkerhetsskyddslagen att gälla. Lagen kommer att ställa mer omfattande krav på företag, kommuner och myndigheter med säkerhetskänslig verksamhet. Trots det finns det fortfarande väldigt lite information hur man kan förbereda sig.

sverige-usa-cloudact.jpg

Esam om Cloud Act-kritik

12 jul 2019 säkerhet

Esam står fast vid uttalandet om att Cloud Act kan innebära sekretessproblem för svensk offentlig sektor. Efter kritik att uttalandet var fel och förhastat så menar Esam att den amerikanska lagen kan bryta mot svenska Offentlighets- och sekretesslagen och kanske även mot GDPR. 

flygplan flyger på blå himmel.jpg (1)

SKL:s guide till molnet

6 nov 2019 säkerhet

För att lättare kunna fatta rätt beslut om molntjänster har SKL tagit fram en vägledning för kommuner och regioner. Guiden omfattar både säkerhetsmässiga och juridiska avvägningar.

sjukhus-stetoskop.jpg

Tillsyn mot Uppsala

4 sep 2019 säkerhet

Region Uppsala har skickat känsliga patientuppgifter utan kryptering. Nu ska Datainspektionen reda ut varför. 

profilen av en kvinna i profil.jpg

Böter för igenkänning

21 aug 2019 säkerhet

Det blir 200 000 kronor i böter för Anderstorpsgymnasiet i Skellefteå som har använt ansiktsigenkänning för att göra närvarokoll av elever under lektioner. Men it-strateg och tidigare rektor Tommy Lindmark säger att han inte håller med om Datainspektionens beslut.

sveriges riksdag, vinter.jpg

Sverige säkrar molnet

1 okt 2019 säkerhet

Regeringen beslutar om en utredning hur Sverige ska få säkrare it-drift. Det handlar bland annat om att tydliggöra de rättsliga förutsättningarna för att kunna anlita privata leverantörer på ett säkert sätt.

hus-risigt-960640.jpg

Dyrt med dåligt skydd

8 apr 2019 säkerhet

En tredjedel av alla it-säkerhetsansvariga menar att de under 2018 drabbades av minst en incident som kostade deras företag mer än en miljon dollar. Det visar en ny rapport från Cisco.

ryggen på en liten flicka som håller en äldre man i sjukhussäng i handen.jpg

Dålig koll på NIS

13 feb 2019 säkerhet

NIS-direktivet har trätt i kraft sedan länge men engagemanget varierar beroende på sektor. Än så länge har bara ett fåtal aktörer inom hälsa- och sjukvård anmält att de omfattas av direktivet. Och nu börjar även tillsynsmyndigheterna att tröttna på att så få anmäler sig.