Skatteverkets juridiskt hållbara molnstrategi
Myndigheters närvaro i molnet är ett hett diskussionsämne, speciellt efter Schrems II-domen i somras. Men för Skatteverket är molnet en självklarhet, inte minst när det kommer till de europeiska cloudtjänsterna. Dessutom har myndigheten en molngrupp som löpande granskar vilka molntjänster som kan användas.
– För oss och många andra är inte konsekvensen av den juridiska utvecklingen att sluta använda molnet och endast köra on-prem, utan att istället använda lämpliga molntjänster, som är juridiskt hållbara, säger Peter Nordström, verksamhetsutvecklare på Skatteverket.
Skatteverket satte för ett år sedan ihop en tvärfunktionell molngrupp med elva representanter från olika avdelningar med kompetens inom it-säkerhet, dataskydd, informationssäkerhet, juridik, inköp, it-arkitektur, it-strategi och dokumentstyrning.
För varje molntjänst som verksamheten vill börja använda gör gruppen en laglighetsprövning samt en risk- och sårbarhetsanalys, och beslutar därefter om tjänsten är lämplig eller inte. Sedan gruppen startade har cirka 20 molntjänster godkänts och det har gjorts avslag på cirka fem stycken. Peter Nordström är samordnare för molngruppen.
– Vanligtvis är det endast en myndighets rättsavdelning som beslutar om en molntjänst får användas eller inte. Nu får hela molngruppen diskutera de juridiska, ekonomiska och tekniska perspektiven. Vi jobbar fall för fall, alltså moln för moln, något som tidigare var relativt tidskrävande men som nu går allt snabbare efter att vi analyserat olika moln. Vi har ett mantra att inte säga nej, utan istället påpekar vi att just den här molntjänsten inte är lämplig och föreslår därefter andra alternativ.
Enligt Peter Nordström är den största missuppfattningen angående myndigheters bruk av molntjänster att det endast handlar om de stora amerikanska molnleverantörerna, till exempel AWS, Google Cloud och Azure.
– Det pratas ofta om att offentlig sektor inte kan eller vill nyttja molnet, vilket absolut inte är sant. Exempelvis finns en mängd molntjänster på HR-området, utan att de nödvändigtvis ses som det. Flera sådana används på Skatteverket.
Schrems II-domen
I somras förändrades mycket vad gäller möjligheterna för offentlig sektor att nyttja amerikanska molntjänster. När Schrems II-domen föll i EU-domstolen och Privacy Shield ogiltigförklarades så innebar det en stor osäkerhet.
Det finns en mängd goda europeiska molnexempel.
– Det ledde till en sorts domedagskänsla bland vissa. Nu har den känslan mildrats och många börjar se på utvecklingen med nyktra ögon. Jag tror att det här kan bli bra på lång sikt med fler europeiska molnalternativ.
Det är dock ännu för tidigt att säga om europeiska molntjänster kan vara lika bra som de amerikanska, eftersom de ännu är relativt oprövade, men Peter Nordström menar att det mest framtidssäkra nu är att satsa på en europeisk molnstrategi.
– Jag frågade några experter i början av 2020 om det är möjligt att ha en europeisk molnstrategi och de hade aldrig hört frågan förut. Under hösten hade vi samma dialog och då var tonläget helt annorlunda, så mycket har hänt på området.
– Det finns en mängd goda europeiska molnexempel. Vi har en leverantör som tidigare lagrade sin data hos en amerikansk molnleverantör, vilket gjorde det svårt för oss, men i somras flyttade de till ett svenskt moln och nu planerar vi för en pilot tillsammans med dem.
Samarbeten en potentiell mellanväg
Peter Nordström ser också en mellanväg i det nya samarbetet mellan Google Cloud och OVHcloud, en av de större europeiska molnleverantörerna. Det innebär att man kan konsumera Googles teknik fast både bolaget och servrarna är europeiska och följer europeisk lagstiftning.
– Det vore bra med fler liknande samarbeten. Om vi till exempel skulle vilja sätta upp en chattbot on-prem och om chattbotten ska lära sig något så kostar det tio gånger så mycket som det skulle göra i molnet, så istället för att ha den on-prem behövs europeiska molnleverantörer.
Hur kommer situationen kring moln inom offentlig sektor se ut om två år?
– Skulle jag fått frågan för två månader sedan hade jag varit mindre optimistisk, men just nu känns det väldigt bra. Om två år hoppas jag att vi landat i en klarare offentlig syn i Sverige, så att myndigheter, regioner och kommuner har en större kundmakt och vi kan styra som vi önskar. På så sätt kan vi få den teknik vi vill ha på ett lagligt sätt.
Läs mer om ämnet: