Genom att surfa vidare godkänner du att vi använder cookies. Jag förstår

En smartare it-nyhetssajt

Esam om Cloud Act-kritik

Esam står fast vid uttalandet om att Cloud Act kan innebära sekretessproblem för svensk offentlig sektor. Efter kritik att uttalandet var fel och förhastat så menar Esam att den amerikanska lagen kan bryta mot svenska Offentlighets- och sekretesslagen och kanske även mot GDPR. 

Text Fredrik Adolfsson Foto Adobestock 12 juli 2019 säkerhet

sverige-usa-cloudact.jpg

Esam, Esamverkansprogrammet för 23 myndigheter och SKL, kom i november 2018 med ett uttalande där de förkunnade att den amerikanska lagen Cloud Act kan utgöra sekretessproblem för svensk offentlig sektor.

Under Almedalsveckan hölls ett seminarium om den amerikanska lagen med bland annat Mathias Strand på Microsoft och Lotta Nordström på SKL, som menade att Esam har fel och att lagen inte behöver innebära några ökade risker för offentlig sektors molninvesteringar. Men Esam håller fast vid sin tolkning.

– Att Microsoft tycker annorlunda är inget oväntat, de är ju bundna av den amerikanska lagstiftningen. Enligt 8 kapitlet 3 § i offentlighets- och sekretesslagen så får sekretessreglerade uppgifter bara lämnas ut till utländsk myndighet om utlämnandet följer av lag eller förordning eller om uppgifterna i motsvarande fall skulle få lämnas ut till en svensk myndighet.

– Det måste också stå klart enligt den utlämnande myndighetens prövning att det är förenligt med svenska intressen att uppgiften lämnas till den utländska myndigheten. Den svenska myndigheten måste alltså göra en sekretess- och intresseprövning först, det kan inte delegeras till amerikansk domstol. Den bestämmelsen är tydlig och helt oförenlig med Cloud Act, säger Johan Bålman, jurist på rättsenheten på Esam.

Lotta Nordström på SKL menade att ert uttalande om Cloud Act var förhastat. Vad säger du om det?

– Det var definitivt inte förhastat utan istället ett väl överlagt beslut. Vi hade arbetat med frågan under ett halvårs tid. Vi är fortfarande av uppfattningen att det innebär ett röjande om sekretessreglerade uppgifter görs tekniskt tillgängliga för en tjänsteleverantör som till följd av ägarförhållanden är bunden av regler i ett annat land enligt vilka tjänsteleverantören kan bli skyldig att överlämna information utan att internationell rättshjälp anlitats eller annan laglig grund föreligger enligt svensk rätt. Det står även SKL bakom.

Efter ert uttalande fick Lotta Nordström samtal från it-chefer som berättade att kommunpolitiker hade stoppat hela molnsatsningen och i vissa fall kan det innebära att kommande års digitaliseringsmedel går till att skapa lokala lösningar istället för annan utveckling. Vad säger du om det?

– Vi förstod att det kunde bli problem med att göra uttalandet. Samtidigt skulle det kunna bli problem om vi inte gjorde det. Svenska myndigheter och offentlig sektor vill följa svensk lag, och om vi avvaktat hade fler av dem kunnat investera i molntjänster. Då hade vi gjort dem en otjänst. Det är viktigt att svenska myndigheter kan göra medvetna val.

Vad hoppas du på ska hända nu?

Många molntjänster är väldigt bra, användbara och säkra, men de får inte vara oförenliga med svensk lagstiftning.

– Det är en svår fråga, och vi vet inte var vi hamnar. Men regeringen har tillsatt en utredning där de ska analysera molnfrågan. Vi får hoppas att de kommer med ett bra förslag.

– I EU arbetar man med en lag motsvarande Cloud Act. Men där kan man inte från exempelvis tyska myndigheters sida höra av sig till en tysk leverantör och begära ut franska myndigheters information. Man måste alltid gå till rätt lands myndighet. Kanske kan vi förena Cloud Act med sådana bestämmelser, men då USA är så pass stort är inte det speciellt troligt.

– Fortsätter man titta på frågan ur ett EU-perspektiv så kan Cloud Act även vara oförenligt med GDPR. I GDPR finns bestämmelser om att man inte får lämna ut information till tredje land, det vill säga ett land utanför EU och EES. Jag läste ett uttalande från Europeiska advokatsamfundet nyligen där de ställde sig tveksamma till att ett utlämnande skulle vara förenligt med GDPR. Och strider det mot GDPR så strider det ju också mot svensk lag. Här kunde vi kanske från EU-håll agera på ett starkare sätt och få till en lösning som löser sekretessfrågan och är förenlig med GDPR.

– Avslutningsvis hoppas jag på en utveckling i området som är positiv för myndigheter. Kanske går det att separera uppgifter som är sekretessreglerade från de som inte är det, kanske kan vi kryptera viss information. Många molntjänster är väldigt bra och säkra, men att använda dem får inte vara oförenligt med svensk lagstiftning, säger Johan Bålman.

Rekommenderad läsning

kammarkollegiet logga på en dörr.jpg

Ramavtal för molnet

27 feb 2019 säkerhet

Efter en förstudie så rekommenderar nu Statens inköpscentral vid Kammarkollegiet att det ska ske en ramavtalsupphandling för utländska molntjänster. Men först måste leverantörerna komma med tillräckligt bra och säkra lösningar.

molnet-hotar-sekretessen.jpg

Molnet hotar sekretessen

12 nov 2018 säkerhet

Nu rekommenderar eSam att förvaltning och myndigheter noga ser över sin outsourcing av molntjänster. Enligt ett nytt rättsligt uttalande bör sekretessbelagda uppgifter, under vissa omständigheter, anses som röjda om molntjänsten ägs av utländska aktörer. Det gäller även krypterad information.

tåg 960640.jpg

Efter GDPR - nu kommer NIS-direktivet

1 mar 2017 säkerhet

EU:s nya NIS-direktiv innebär att alla viktiga samhällsaktörer nu måste visa upp att de kontinuerligt arbetar med säkerheten i sina it-system - allt på grund av den ökade hotbilden utifrån. 

suddig bild på människor som går i en stor lokal.jpg

MSB utbildar offentlig sektor

24 apr 2018 säkerhet

Kunskapen om dataintrång och hur man skyddar sig mot attacker behöver förbättras i offentlig sektor. Det anser regeringen som nu ger MSB uppdraget att utbilda alla berörda.

 

ÅSA-Z-foto-skarpt.jpg
Inför Digitala strategier

"Offentlig sektor har hamnat efter"

8 sep 2017 ledarskap

Regeringens Digitaliseringsråd och Sveriges Kommuner och Landsting (SKL) arbetar med att få till ett Sverige i digital framkant. Åsa Zetterberg är centralt involverad i båda sammanhangen och hon har tankar om vad som krävs för en lyckad digitalisering, både på nationell och kommunal nivå.  

trelleborgs-hamn.jpg

Trots kritik – Trelleborg följer lagen

4 mar 2019 digit

Trelleborgs användning av automatiserat beslutsstöd har fått kritik i en uppmärksammad EU-rapport om användningen av algoritmer. Men kommunen hävdar att allt görs rättssäkert.

profilen av en kvinna i profil.jpg

Böter för igenkänning

21 aug 2019 säkerhet

Det blir 200 000 kronor i böter för Anderstorpsgymnasiet i Skellefteå som har använt ansiktsigenkänning för att göra närvarokoll av elever under lektioner. Men it-strateg och tidigare rektor Tommy Lindmark säger att han inte håller med om Datainspektionens beslut.

flygplan flyger på blå himmel.jpg (1)

SKL:s guide till molnet

6 nov 2019 säkerhet

För att lättare kunna fatta rätt beslut om molntjänster har SKL tagit fram en vägledning för kommuner och regioner. Guiden omfattar både säkerhetsmässiga och juridiska avvägningar.

lådor som flyger.jpg

Inspektion på Postnord

31 okt 2019 säkerhet

Datainspektionen granskar Postnord och Cdon för att ta reda på hur bolagen använder samtycke för att samla in kunduppgifter. Samtycke är just nu ett prioriterat område för Datainspektionen.