Genom att surfa vidare godkänner du att vi använder cookies. Jag förstår

En smartare it-nyhetssajt

Esam om Cloud Act-kritik

Esam står fast vid uttalandet om att Cloud Act kan innebära sekretessproblem för svensk offentlig sektor. Efter kritik att uttalandet var fel och förhastat så menar Esam att den amerikanska lagen kan bryta mot svenska Offentlighets- och sekretesslagen och kanske även mot GDPR. 

Text Fredrik Adolfsson Foto Adobestock 12 juli 2019 säkerhet

sverige-usa-cloudact.jpg

Esam, Esamverkansprogrammet för 23 myndigheter och SKL, kom i november 2018 med ett uttalande där de förkunnade att den amerikanska lagen Cloud Act kan utgöra sekretessproblem för svensk offentlig sektor.

Under Almedalsveckan hölls ett seminarium om den amerikanska lagen med bland annat Mathias Strand på Microsoft och Lotta Nordström på SKL, som menade att Esam har fel och att lagen inte behöver innebära några ökade risker för offentlig sektors molninvesteringar. Men Esam håller fast vid sin tolkning.

– Att Microsoft tycker annorlunda är inget oväntat, de är ju bundna av den amerikanska lagstiftningen. Enligt 8 kapitlet 3 § i offentlighets- och sekretesslagen så får sekretessreglerade uppgifter bara lämnas ut till utländsk myndighet om utlämnandet följer av lag eller förordning eller om uppgifterna i motsvarande fall skulle få lämnas ut till en svensk myndighet.

– Det måste också stå klart enligt den utlämnande myndighetens prövning att det är förenligt med svenska intressen att uppgiften lämnas till den utländska myndigheten. Den svenska myndigheten måste alltså göra en sekretess- och intresseprövning först, det kan inte delegeras till amerikansk domstol. Den bestämmelsen är tydlig och helt oförenlig med Cloud Act, säger Johan Bålman, jurist på rättsenheten på Esam.

Lotta Nordström på SKL menade att ert uttalande om Cloud Act var förhastat. Vad säger du om det?

– Det var definitivt inte förhastat utan istället ett väl överlagt beslut. Vi hade arbetat med frågan under ett halvårs tid. Vi är fortfarande av uppfattningen att det innebär ett röjande om sekretessreglerade uppgifter görs tekniskt tillgängliga för en tjänsteleverantör som till följd av ägarförhållanden är bunden av regler i ett annat land enligt vilka tjänsteleverantören kan bli skyldig att överlämna information utan att internationell rättshjälp anlitats eller annan laglig grund föreligger enligt svensk rätt. Det står även SKL bakom.

Efter ert uttalande fick Lotta Nordström samtal från it-chefer som berättade att kommunpolitiker hade stoppat hela molnsatsningen och i vissa fall kan det innebära att kommande års digitaliseringsmedel går till att skapa lokala lösningar istället för annan utveckling. Vad säger du om det?

– Vi förstod att det kunde bli problem med att göra uttalandet. Samtidigt skulle det kunna bli problem om vi inte gjorde det. Svenska myndigheter och offentlig sektor vill följa svensk lag, och om vi avvaktat hade fler av dem kunnat investera i molntjänster. Då hade vi gjort dem en otjänst. Det är viktigt att svenska myndigheter kan göra medvetna val.

Vad hoppas du på ska hända nu?

Många molntjänster är väldigt bra, användbara och säkra, men de får inte vara oförenliga med svensk lagstiftning.

– Det är en svår fråga, och vi vet inte var vi hamnar. Men regeringen har tillsatt en utredning där de ska analysera molnfrågan. Vi får hoppas att de kommer med ett bra förslag.

– I EU arbetar man med en lag motsvarande Cloud Act. Men där kan man inte från exempelvis tyska myndigheters sida höra av sig till en tysk leverantör och begära ut franska myndigheters information. Man måste alltid gå till rätt lands myndighet. Kanske kan vi förena Cloud Act med sådana bestämmelser, men då USA är så pass stort är inte det speciellt troligt.

– Fortsätter man titta på frågan ur ett EU-perspektiv så kan Cloud Act även vara oförenligt med GDPR. I GDPR finns bestämmelser om att man inte får lämna ut information till tredje land, det vill säga ett land utanför EU och EES. Jag läste ett uttalande från Europeiska advokatsamfundet nyligen där de ställde sig tveksamma till att ett utlämnande skulle vara förenligt med GDPR. Och strider det mot GDPR så strider det ju också mot svensk lag. Här kunde vi kanske från EU-håll agera på ett starkare sätt och få till en lösning som löser sekretessfrågan och är förenlig med GDPR.

– Avslutningsvis hoppas jag på en utveckling i området som är positiv för myndigheter. Kanske går det att separera uppgifter som är sekretessreglerade från de som inte är det, kanske kan vi kryptera viss information. Många molntjänster är väldigt bra och säkra, men att använda dem får inte vara oförenligt med svensk lagstiftning, säger Johan Bålman.

Rekommenderad läsning

kammarkollegiet logga på en dörr.jpg

Ramavtal för molnet

27 feb 2019 säkerhet

Efter en förstudie så rekommenderar nu Statens inköpscentral vid Kammarkollegiet att det ska ske en ramavtalsupphandling för utländska molntjänster. Men först måste leverantörerna komma med tillräckligt bra och säkra lösningar.

tåg 960640.jpg

Efter GDPR - nu kommer NIS-direktivet

1 mar 2017 säkerhet

EU:s nya NIS-direktiv innebär att alla viktiga samhällsaktörer nu måste visa upp att de kontinuerligt arbetar med säkerheten i sina it-system - allt på grund av den ökade hotbilden utifrån. 

ÅSA-Z-foto-skarpt.jpg
Inför Digitala strategier

"Offentlig sektor har hamnat efter"

8 sep 2017 ledarskap

Regeringens Digitaliseringsråd och Sveriges Kommuner och Landsting (SKL) arbetar med att få till ett Sverige i digital framkant. Åsa Zetterberg är centralt involverad i båda sammanhangen och hon har tankar om vad som krävs för en lyckad digitalisering, både på nationell och kommunal nivå.  

suddig bild på människor som går i en stor lokal.jpg

MSB utbildar offentlig sektor

24 apr 2018 säkerhet

Kunskapen om dataintrång och hur man skyddar sig mot attacker behöver förbättras i offentlig sektor. Det anser regeringen som nu ger MSB uppdraget att utbilda alla berörda.

 

trelleborgs-hamn.jpg

Trots kritik – Trelleborg följer lagen

4 mar 2019 digit

Trelleborgs användning av automatiserat beslutsstöd har fått kritik i en uppmärksammad EU-rapport om användningen av algoritmer. Men kommunen hävdar att allt görs rättssäkert.

varsadd-med-traktor.jpg

Sveriges smartaste by

21 mar 2019 digit

Nu startar Veberöd med knappt 5 000 invånare ett projekt för framtidens samhällsplanering. Målet är att testa nya lösningar för hållbar utveckling, minska klyftan mellan beslutsfattare och medborgare, och inspirera andra byar i Sverige och utomlands.

ryggen på en liten flicka som håller en äldre man i sjukhussäng i handen.jpg

Dålig koll på NIS

13 feb 2019 säkerhet

NIS-direktivet har trätt i kraft sedan länge men engagemanget varierar beroende på sektor. Än så länge har bara ett fåtal aktörer inom hälsa- och sjukvård anmält att de omfattas av direktivet. Och nu börjar även tillsynsmyndigheterna att tröttna på att så få anmäler sig. 

eifeltornet med löv i förgrunden och en liten motorbåt i vattnet framför.jpg

Svensk GDPR på export

7 feb 2019 säkerhet

Datainspektionen ska leda arbetet med att ta fram nya EU-riktlinjer för vilken tolkning och vilka skyldigheter som gäller för begreppen personuppgiftsansvarig och personuppgiftsbiträde.

ett barns hand drar en leksaksbil på stranden.jpg

Regeringen säkrar 5G

6 maj 2019 säkerhet

Regeringen ger nu Post- och Telestyrelsen i uppdrag att göra en riskanalys för kommande svenska 5G-nät. Det sker i enlighet med EU-kommissionens riktlinjer.