Genom att surfa vidare godkänner du att vi använder cookies. Jag förstår

En smartare it-nyhetssajt

Molnet hotar sekretessen

Nu rekommenderar eSam att förvaltning och myndigheter noga ser över sin outsourcing av molntjänster. Enligt ett nytt rättsligt uttalande bör sekretessbelagda uppgifter, under vissa omständigheter, anses som röjda om molntjänsten ägs av utländska aktörer. Det gäller även krypterad information.

Text anne hammarskjöld Foto adobestock 12 november 2018 säkerhet

molnet-hotar-sekretessen.jpg

– Vi anser att det i juridisk mening måste ses som ett röjande om en molntjänst används för behandling av uppgifter som är sekretessreglerade, och om molntjänsten ägs av ett utländskt företag där detta lands rättsordning ålägger företaget att under vissa förhållanden överlämna viss information till det landets myndigheter, säger Johan Bålman som leder eSams juridiska expertgrupp om ett nypublicerat rättsligt uttalande om röjande och molntjänster, VER 2018:57.

eSams checklista för molntjänster

eSam rekommenderar att organisationer genomför de olika stegen i checklistan man fattar beslut om och på vilket sätt en molntjänst kan användas för avsedda verksamheter och informationsmängder.

Checklistan är framtagen av eSams expertgrupp för säkerhet och eSams expertgrupp för juridik.

Checklista

  • Har ni analyserat verksamhetens behov? (Verksamhetsanalys)
  • Har ni bedömt rutiner och arbetsinsatser för att hålla sekretessreglerade uppgifter eller uppgifter med hög säkerhetsklass utanför? (Säkerhetsskyddslagen)
  • Har ni analyserat de rättsliga kraven? Finns det rättsliga förutsättningar för att kunna nyttja en molntjänst? (Rättslig analys)
  • Har ni värderat vilken betydelse och vilket värde den information som ska behandlas i molntjänsten har för verksamheten? (Informationsklassning)
  • Vilka risker finns det för verksamheten att nyttja tilltänkt molntjänst, vilka risker finns det kopplat till den informationsbehandling som man tänkt göra i molntjänsten (Riskbedömning1)
  • Vilka funktionella och icke-funktionella krav behöver verksamheten ställa för molntjänsten samt leverantören av molntjänsten utifrån det som framkommit av verksamhetsanalys, rättslig analys, informationsklassning, riskbedömning?
  • Hur ska verksamheten arbeta med uppföljning och leverantörsstyrning kopplat till molntjänsten?
  • Har ni gått igenom avtalet och förstått innebörden av avtalsvillkoren, exempelvis om villkoren ensidigt kan ändras av leverantören?
  • Finns en strategi för att i framtiden kunna lämna tilltänkt molntjänst. (Exitplan)

Källa: eSam

eSam, eSamverkansprogrammet för 23 myndigheter och SKL, har sedan i våras arbetat med frågan om hur det offentliga kan använda sig av molntjänster utifrån säkerhets- och sekretesslagstiftning, och vilka rekommendationer som eSam kan ge sina medlemmar och andra aktörer i offentlig sektor.

Tre år av förändring

Det är tre år sedan som eSams juridiska expertgrupp bedömde att uppgifter inte ska anses röjda i offentlighets- och sekretesslagens mening om tjänsteleverantören enligt avtal inte får ta del av eller vidarebefordra uppgifterna, och det är osannolikt att något sådant sker även givet andra omständigheter.

Sedan dess har mycket hänt. Bland annat har USA infört den så kallade Cloud Act som gör det möjligt för federala myndigheter att ta del av information på servrar i andra länder. Det innebär att sekretessreglerade uppgifter kan lämnas ut även om själva lagringen sker inom EU:s gränser.

En annan faktor bakom eSams nya rekommendationer är att molntjänster erbjuds av företag som har servrar i olika länder. Det innebär att informationen kan finnas sparad, speglad, i flera länder och snabbt kan flyttas mellan olika jurisdiktioner samt vara åtkomlig via nät.

Hot mot nationens intressen

eSam framhåller att det även finns företag som erbjuder molntjänster där ägarförhållandena eller den geografiska placeringen av de tekniska hjälpmedlen ger skäl att ifrågasätta skyddet för mänskliga rättigheter. Bland annat skyddet för privatlivet, eller skyddet för det allmännas intressen och för rikets säkerhet. Expertgruppen skriver att ”ger omständigheterna anledning att befara att mänskliga rättigheter eller nationens intressen inte skulle säkerställas om svenska myndigheters data hade tillgängliggjorts får dessa uppgifter anses vara röjda eftersom det inte längre är osannolikt att de lämnas till utomstående.”

Transportstyrelsens outsourcing är ett aktuellt exempel på vad som kan hända när en myndighet väljer en leverantör som i sin tur samarbetar med många olika underleverantörer i flera länder.

Expertgruppen skriver i det rättsliga uttalandet att en annan bedömning kan vara möjlig vid kryptering av tillräcklig och godkänd kvalitet eller andra, motsvarande åtgärder. Men även här höjs ett varningens finger eftersom det visat sig vara svårt att såväl verifiera att sådana överenskomna åtgärder verkligen har genomförts, som att de krypteringsmekanismer som används ger tillräckligt skydd.

Nödvändiga risk- och konsekvensanalyser

eSams juridiska expertgrupp bedömer alltså att det inte går att utesluta att en leverantör av en molntjänst som lyder under utländsk lagstiftning kan komma åt sekretessreglerade uppgifter.

– Tills vidare rekommenderar vi våra medlemmar som planerar att lägga information i en molntjänst att mot bakgrund av vår rättsliga bedömning noggrant analysera vilken typ av information det rör sig om och göra nödvändiga risk- och konsekvensanalyser, säger Gunnar Wennerholm från Tillväxtverket som leder eSams expertgrupp för säkerhet.

Gemensamma offentliga moln

I rådande rättsläge har eSam under en tid diskuterat behovet av alternativ till molntjänster med utländskt ägande. Ett alternativ är att skapa gemensamma offentliga moln för att kunna hantera flera myndigheters behov av molntjänster. Detta har utretts av flera myndigheter och frågan är komplex och behöver hanteras på nationell nivå.

I nuläget har eSam tagit fram en checklista som stöd för den organisation som står inför ett beslut om att använda molntjänster.

En annan möjlighet är att hitta en lösning för att kunna avropa webbaserade kontorstjänster som följer svensk lagstiftning. Statens inköpscentral vid Kammarkollegiet har under hösten påbörjat en förstudie om ett ramavtal för detta. Förstudien beräknas vara klar i början på februari 2019.

Rekommenderad läsning

kvinna-vid-dator-i-vackert-ljus.jpg

Framgång för e-förvaltning

19 apr 2018 säkerhet

Snart kan myndigheter fatta beslut om till exempel en biståndsansökan enbart baserat på inhämtade personuppgifter. Beslutet är viktigt för den offentliga sektorns fortsatta digitalisering.

personal-springer-pa-sjukhus.jpg

SKL litar på molnet

14 nov 2018 säkerhet

SKL står redo att svara på frågor från kommuner och landsting efter eSams rättsliga uttalande i måndags. Sedan affären med Transportstyrelsen har organisationen arbetat med frågan om säkerhetsrisker vid outsourcing av molntjänster i nära samarbete med bland annat MSB.

akutpersonal-springer-pa-sjukhus.jpg

Landstingen lär av Wannacry

16 aug 2018 säkerhet

Wannacry och Petya haft det goda med sig att det offentliga Sveriges intresse för cybersäkerhet ökat. Nu går utvecklingen mot att kommuner och landsting i allt högre grad samarbetar för att säkra sin kritiska verksamhet. Som stöd för arbetet mot cyberterror kommer snart en åtgärdsplan från SKL och MSB.

surfplatta-i-varden.jpg

Säkrare vård med MSB

4 okt 2018 säkerhet

MSB har presenterat en rapport med åtta rekommendationer om hur landstingen ska arbeta systematiskt med informationssäkerhet. SKL välkomnar resultaten och tar nu fram ett verktyg för medlemmarnas fortsatta säkerhetsarbete.

snip repli datacenters.JPG video

Så säkrar VMware datacenters

19 sep 2017 digit

Tjänsten Cloud disaster recovery innebär att du har ett replikerande datacenter och skyddar dig med en sekundär datahall i molnet.

moln.jpg
Voister förklarar

Hybridmoln

19 apr 2017 Voister förklarar

Vilken molnlösning som passar vilket företag varierar, men en lösning som allt fler väljer är hybrida moln. Så väljer du bästa mixen för ditt företag. 

snip SLL.jpg video

SLL säkrar upp datan med privat moln

5 jun 2017 digit

Större säkerhet för känslig data gör att Stockholms läns landsting väljer en privat molnlösning. Abbe Virta SLL och Katarina Kenne Dell EMC pratar om processen och lösningen.

suddig bild på människor som går i en stor lokal.jpg

MSB utbildar offentlig sektor

24 apr 2018 säkerhet

Kunskapen om dataintrång och hur man skyddar sig mot attacker behöver förbättras i offentlig sektor. Det anser regeringen som nu ger MSB uppdraget att utbilda alla berörda.

 

AdobeStock_167757143_2.jpg

Trelleborg prisat för sitt mod

2 okt 2017 it i vården

Socialförvaltningen i Trelleborg har visat vad kreativitet och synergieffekter kan erbjuda medarbetare och vårdtagare. Mer arbetstid med människor och betydligt kortare handläggningstider är bara några resultat för kommunen som uppmärksammats med Guldlänken för sitt mod i förändring.