Esam om Cloud Act-kritik

sverige-usa-cloudact.jpg

Esam står fast vid uttalandet om att Cloud Act kan innebära sekretessproblem för svensk offentlig sektor. Efter kritik att uttalandet var fel och förhastat så menar Esam att den amerikanska lagen kan bryta mot svenska Offentlighets- och sekretesslagen och kanske även mot GDPR. 

Esam, Esamverkansprogrammet för 23 myndigheter och SKL, kom i november 2018 med ett uttalande där de förkunnade att den amerikanska lagen Cloud Act kan utgöra sekretessproblem för svensk offentlig sektor.

Under Almedalsveckan hölls ett seminarium om den amerikanska lagen med bland annat Mathias Strand på Microsoft och Lotta Nordström på SKL, som menade att Esam har fel och att lagen inte behöver innebära några ökade risker för offentlig sektors molninvesteringar. Men Esam håller fast vid sin tolkning.

– Att Microsoft tycker annorlunda är inget oväntat, de är ju bundna av den amerikanska lagstiftningen. Enligt 8 kapitlet 3 § i offentlighets- och sekretesslagen så får sekretessreglerade uppgifter bara lämnas ut till utländsk myndighet om utlämnandet följer av lag eller förordning eller om uppgifterna i motsvarande fall skulle få lämnas ut till en svensk myndighet.

– Det måste också stå klart enligt den utlämnande myndighetens prövning att det är förenligt med svenska intressen att uppgiften lämnas till den utländska myndigheten. Den svenska myndigheten måste alltså göra en sekretess- och intresseprövning först, det kan inte delegeras till amerikansk domstol. Den bestämmelsen är tydlig och helt oförenlig med Cloud Act, säger Johan Bålman, jurist på rättsenheten på Esam.

Lotta Nordström på SKL menade att ert uttalande om Cloud Act var förhastat. Vad säger du om det?

– Det var definitivt inte förhastat utan istället ett väl överlagt beslut. Vi hade arbetat med frågan under ett halvårs tid. Vi är fortfarande av uppfattningen att det innebär ett röjande om sekretessreglerade uppgifter görs tekniskt tillgängliga för en tjänsteleverantör som till följd av ägarförhållanden är bunden av regler i ett annat land enligt vilka tjänsteleverantören kan bli skyldig att överlämna information utan att internationell rättshjälp anlitats eller annan laglig grund föreligger enligt svensk rätt. Det står även SKL bakom.

Efter ert uttalande fick Lotta Nordström samtal från it-chefer som berättade att kommunpolitiker hade stoppat hela molnsatsningen och i vissa fall kan det innebära att kommande års digitaliseringsmedel går till att skapa lokala lösningar istället för annan utveckling. Vad säger du om det?

– Vi förstod att det kunde bli problem med att göra uttalandet. Samtidigt skulle det kunna bli problem om vi inte gjorde det. Svenska myndigheter och offentlig sektor vill följa svensk lag, och om vi avvaktat hade fler av dem kunnat investera i molntjänster. Då hade vi gjort dem en otjänst. Det är viktigt att svenska myndigheter kan göra medvetna val.

Vad hoppas du på ska hända nu?

Många molntjänster är väldigt bra, användbara och säkra, men de får inte vara oförenliga med svensk lagstiftning.

– Det är en svår fråga, och vi vet inte var vi hamnar. Men regeringen har tillsatt en utredning där de ska analysera molnfrågan. Vi får hoppas att de kommer med ett bra förslag.

– I EU arbetar man med en lag motsvarande Cloud Act. Men där kan man inte från exempelvis tyska myndigheters sida höra av sig till en tysk leverantör och begära ut franska myndigheters information. Man måste alltid gå till rätt lands myndighet. Kanske kan vi förena Cloud Act med sådana bestämmelser, men då USA är så pass stort är inte det speciellt troligt.

– Fortsätter man titta på frågan ur ett EU-perspektiv så kan Cloud Act även vara oförenligt med GDPR. I GDPR finns bestämmelser om att man inte får lämna ut information till tredje land, det vill säga ett land utanför EU och EES. Jag läste ett uttalande från Europeiska advokatsamfundet nyligen där de ställde sig tveksamma till att ett utlämnande skulle vara förenligt med GDPR. Och strider det mot GDPR så strider det ju också mot svensk lag. Här kunde vi kanske från EU-håll agera på ett starkare sätt och få till en lösning som löser sekretessfrågan och är förenlig med GDPR.

– Avslutningsvis hoppas jag på en utveckling i området som är positiv för myndigheter. Kanske går det att separera uppgifter som är sekretessreglerade från de som inte är det, kanske kan vi kryptera viss information. Många molntjänster är väldigt bra och säkra, men att använda dem får inte vara oförenligt med svensk lagstiftning, säger Johan Bålman.

12 juli 2019Uppdaterad 2 oktober 2023Reporter Fredrik AdolfssonsäkerhetFoto Adobestock

Voisters nyhetsbrev

Rekommenderad läsning