Genom att surfa vidare godkänner du att vi använder cookies. Jag förstår

Esam om Cloud Act-kritik

sverige-usa-cloudact.jpg

Esam står fast vid uttalandet om att Cloud Act kan innebära sekretessproblem för svensk offentlig sektor. Efter kritik att uttalandet var fel och förhastat så menar Esam att den amerikanska lagen kan bryta mot svenska Offentlighets- och sekretesslagen och kanske även mot GDPR. 

Esam, Esamverkansprogrammet för 23 myndigheter och SKL, kom i november 2018 med ett uttalande där de förkunnade att den amerikanska lagen Cloud Act kan utgöra sekretessproblem för svensk offentlig sektor.

Under Almedalsveckan hölls ett seminarium om den amerikanska lagen med bland annat Mathias Strand på Microsoft och Lotta Nordström på SKL, som menade att Esam har fel och att lagen inte behöver innebära några ökade risker för offentlig sektors molninvesteringar. Men Esam håller fast vid sin tolkning.

– Att Microsoft tycker annorlunda är inget oväntat, de är ju bundna av den amerikanska lagstiftningen. Enligt 8 kapitlet 3 § i offentlighets- och sekretesslagen så får sekretessreglerade uppgifter bara lämnas ut till utländsk myndighet om utlämnandet följer av lag eller förordning eller om uppgifterna i motsvarande fall skulle få lämnas ut till en svensk myndighet.

– Det måste också stå klart enligt den utlämnande myndighetens prövning att det är förenligt med svenska intressen att uppgiften lämnas till den utländska myndigheten. Den svenska myndigheten måste alltså göra en sekretess- och intresseprövning först, det kan inte delegeras till amerikansk domstol. Den bestämmelsen är tydlig och helt oförenlig med Cloud Act, säger Johan Bålman, jurist på rättsenheten på Esam.

Lotta Nordström på SKL menade att ert uttalande om Cloud Act var förhastat. Vad säger du om det?

– Det var definitivt inte förhastat utan istället ett väl överlagt beslut. Vi hade arbetat med frågan under ett halvårs tid. Vi är fortfarande av uppfattningen att det innebär ett röjande om sekretessreglerade uppgifter görs tekniskt tillgängliga för en tjänsteleverantör som till följd av ägarförhållanden är bunden av regler i ett annat land enligt vilka tjänsteleverantören kan bli skyldig att överlämna information utan att internationell rättshjälp anlitats eller annan laglig grund föreligger enligt svensk rätt. Det står även SKL bakom.

Efter ert uttalande fick Lotta Nordström samtal från it-chefer som berättade att kommunpolitiker hade stoppat hela molnsatsningen och i vissa fall kan det innebära att kommande års digitaliseringsmedel går till att skapa lokala lösningar istället för annan utveckling. Vad säger du om det?

– Vi förstod att det kunde bli problem med att göra uttalandet. Samtidigt skulle det kunna bli problem om vi inte gjorde det. Svenska myndigheter och offentlig sektor vill följa svensk lag, och om vi avvaktat hade fler av dem kunnat investera i molntjänster. Då hade vi gjort dem en otjänst. Det är viktigt att svenska myndigheter kan göra medvetna val.

Vad hoppas du på ska hända nu?

Många molntjänster är väldigt bra, användbara och säkra, men de får inte vara oförenliga med svensk lagstiftning.

– Det är en svår fråga, och vi vet inte var vi hamnar. Men regeringen har tillsatt en utredning där de ska analysera molnfrågan. Vi får hoppas att de kommer med ett bra förslag.

– I EU arbetar man med en lag motsvarande Cloud Act. Men där kan man inte från exempelvis tyska myndigheters sida höra av sig till en tysk leverantör och begära ut franska myndigheters information. Man måste alltid gå till rätt lands myndighet. Kanske kan vi förena Cloud Act med sådana bestämmelser, men då USA är så pass stort är inte det speciellt troligt.

– Fortsätter man titta på frågan ur ett EU-perspektiv så kan Cloud Act även vara oförenligt med GDPR. I GDPR finns bestämmelser om att man inte får lämna ut information till tredje land, det vill säga ett land utanför EU och EES. Jag läste ett uttalande från Europeiska advokatsamfundet nyligen där de ställde sig tveksamma till att ett utlämnande skulle vara förenligt med GDPR. Och strider det mot GDPR så strider det ju också mot svensk lag. Här kunde vi kanske från EU-håll agera på ett starkare sätt och få till en lösning som löser sekretessfrågan och är förenlig med GDPR.

– Avslutningsvis hoppas jag på en utveckling i området som är positiv för myndigheter. Kanske går det att separera uppgifter som är sekretessreglerade från de som inte är det, kanske kan vi kryptera viss information. Många molntjänster är väldigt bra och säkra, men att använda dem får inte vara oförenligt med svensk lagstiftning, säger Johan Bålman.

12 juli 2019 Reporter Fredrik Adolfsson säkerhet Foto Adobestock

Rekommenderad läsning

NIS2 Lakemedel
Voister förklarar

NIS2

9 mar 2021 Voister förklarar

Dagens NIS-direktiv ställer krav på alla verksamheter som sysslar med samhällsviktiga tjänster. Men nu har EU-kommissionen föreslagit att direktivet ska uppdateras i det som kallas NIS2 för att bättre anpassas efter dagens säkerhetsbehov. Planen är också att många fler aktörer kommer att beröras och för den som bryter mot direktivet kommer straffet att bli kännbart.

 

Flera Små Rosa Skåp Med Lås
video
Ett samarbete med F-Secure

Så säkrar Lomma O365

8 jan 2021 digit

Bland fyra miljoner mejl upptäckte Lomma 51 osäkra objekt och 104 osäkra webbadresser. Tack vare F-Secure Cloud Protection för Office 365 har kommunen nu ett avancerat skydd mot virus, trojaner, ransomware och annan avancerad kod.

Ms Corona 960640

MS plan för säkerhet

10 nov 2020 säkerhet

Microsoft vill göra det enklare att ha koll på regler och förordningar samt upptäcka och svara på cyberattacker. Som en följd av coronapandemin lanserade man på Ignite ett nytt verktyg för regelefterlevnad och ett XDR-skydd som tar hand om bland annat appar, moln och IoT-enheter.

Gdpr Hjalp Hund

Hjälp med GDPR

9 sep 2020 säkerhet

GDPR gör skillnad på personuppgiftsansvariga och personuppgiftsbiträden. Därför har Datainspektionen varit med och tagit fram en vägledning som ska klarlägga gränsdragningen mellan rollerna och ge klarhet i vilka följderna blir när man har någon av dem. 

Ansiktsigenkänning 960640

Grönt för igenkänning

30 jun 2020 säkerhet

Datainspektionen har beslutat att tillåta anonym ansiktsigenkänning. Tanken är att tekniken ska göra det lättare att förstå kundbeteenden i fysisk handel.

gammaldags telefonlur hänger ner mot ljusblå bakgrund.jpg

Svenskt 5G säkras

14 apr 2020 säkerhet

Post- och telestyrelsen, PTS, får i uppdrag av regeringen att kartlägga de största hoten och riskerna med svenska kommunikationsnät. Det gäller särskilt de kommande 5G-näten.

ansiktsigenkänning-ung-kille.jpg

Myndigheter AI-utreds

12 mar 2020 säkerhet

Datainspektionen ska utreda ifall svenska myndigheter använder ansiktsigenkänningen som Clearview AI erbjuder. Diverse medieuppgifter gör gällande att myndigheter inom EU nyttjar företagets kontroversiella teknik. 

en dansk flagga på flaggstång.jpg

Säkrare än Sverige

13 feb 2020 säkerhet

Åtta av tio svenska bolag uppger att de blivit utsatta för cyberattacker det senaste året, vilket är 60 procent mer än danska bolag. Det visar en ny rapport från PwC

liten bil en bubbla mot blå bakgrund.jpg

Google vill reglera AI

21 jan 2020 säkerhet

Chefen för Googles moderbolag Alphabet, Sundar Pichai, vill se en reglering för AI-tekniken. Det skriver han i en debattartikel i Financial Times.