SKL litar på molnet

– SKL håller med eSam i deras utlåtande men vill betona att det finns olika juridiska tolkningar av kraven på säkerställande av sekretess och röjandeprincipen. De få domar som finns inom området ger ännu ingen heltäckande vägledning. Fram till dess kommer det finnas en osäkerhet i denna mycket komplexa fråga, och vi fokuserar på att hjälpa våra medlemmar att ha rätt verktyg och metoder för att göra riskbedömningar i varje enskilt fall, säger Lotta Nordström, sektionschef på avdelningen för digitalisering på SKL, om eSams rättsliga uttalande med innebörden att sekretessbelagda uppgifter, under vissa omständigheter, bör anses som röjda om molntjänsten ägs av utländska aktörer.

Gör läxan på hemmaplan

Lotta Nordström påminner om betydelsen av molntjänster för landstingens och kommunernas uppdrag.

– De är viktiga för digitaliseringen och för de effektivitetsvinster som behövs för att nå välfärdsmålen inom tio år. Idag förväntar sig invånarna service och e-tjänster med bra kvalitet och det behovet kommer snarare öka än minska. SKL vill betona att det inte finns någon anledning att rulla ner sina molntjänster eller vidta några andra drastiska åtgärder.

Lotta Nordström framhåller vikten av att alla kommuner och landsting jobbar proaktivt på hemmaplan.

– Oavsett vilket alternativ man använder för att lagra information är det helt avgörande att göra en omfattande riskbedömning enligt verksamhetens och invånarnas behov och gällande säkerhetsklassning. Det gäller även mot befintliga molntjänster. Den nuvarande rättsliga osäkerheten kan innebära att utvecklingen är på väg mot ett nytt håll och det bör alla vara medvetna om och utgå från i sitt säkerhetsarbete.

Finns det risk att sekretessbelagda uppgifter är röjda idag?

– Vi kan inte bortse från den risken. Inte enbart för den snabba utvecklingen av molntjänster bland kommuner och landsting, utan för att en helt säker drift kan vara en utmaning beroende på tillgänglig kompetens och andra resurser. I nuläget bör alla prioritera en omfattande riskbedömning och vid behov vända sig till oss eller till MSB.

Hur jobbar SKL för att stödja medlemmarna efter eSams uttalande?

– Vi jobbar på bred front som vi gjorde i samband med införandet av GDPR och som har fått väldigt bra respons. Bland annat kommer vi ta fram material för att hjälpa våra medlemmar ställa krav på marknaden, befintliga eller tänkta molnleverantörer. Vi kommer också diskutera med dessa aktörer om deras möjligheter att uppfylla kraven fullt ut, säger Lotta Nordström och fortsätter:

– Vi samarbetar kontinuerligt med bland annat MSB, och tillsammans med dem och Försvarshögskolan tar vi fram en utbildning för offentlig sektor om strukturerat säkerhetsarbete. SKL kommer också gå vidare med vad Cloud Act betyder för våra medlemmar, och vilka åtgärder amerikanska leverantörer av molntjänster vidtar för att inte vara skyldiga att lämna ut information till deras federala myndigheter. Här pågår redan ett intensivt arbete bland ledande marknadsaktörer.

Användningen av outsourcade molntjänster har ökat kraftigt under senaste åren. Varför har SKL inte drivit frågan om sekretess tidigare?

– Vi har arbetat med frågan sedan affären med Transportstyrelsen uppdagades. Bland annat samarbetar vi med MSB som nyligen släppt en vägledning kopplad till outsourcing, där de precis som SKL närmar sig frågan utifrån ett riskperspektiv. Ett annat pågående projekt hos oss är en pilot kopplat till användningen av molntjänster och där vi så småningom kommer att publicera ett whitepaper.