Regeringskansliets säkerhetstjänst kan bryta mot dataskyddslagen

– Regeringskansliet behöver ha ett stabilt skydd mot överbelastningsattacker och andra cyberangrepp som kan riktas mot regeringen.se. En bidragande orsak till detta är det förändrade och försämrade omvärldsläget med en ökad risk för sådana attacker. Regeringskansliets leverantör av extern webbplatsdrift har anlitat Cloudflare för ett kraftfullare skydd av Regeringskansliets verksamhet. De personuppgifter som kan beröras är besökares ip-adresser, som Cloudflare sparar under en begränsad tidsperiod.

Så svarar Regeringskansliets presstjänst, när Ny Teknik mejlar och frågar om personuppgifter överförs till USA genom amerikanska Cloudflare.

Detta, tillsammans med andra svar, tolkas av dataskyddsjuristen Joakim Söderberg som ett slags erkännande.

– Var det alltså ett ja? Uppgifter förs över till USA? Eftersom det finns en lista med godkända överföringsmekanismer så hade man kunnat hänvisa till vilken av dem man använder sig av om man nu har sitt på det torra, det skulle inte vara svårare än så. Att inte hänvisa till vilken överföringsmekanism man använder är, skulle jag säga, ett erkännande att det är något som inte stämmer med det här. Eller att det kanske är något man inte har tänkt på, säger han till Ny Teknik.

Byte från svenskt till amerikanskt

Det huvudsakliga ansvaret för hela Regeringskansliets it-lösningar har svenska Nordlo Improve. Men i höstas byttes enligt Ny Teknik en underleverantör för säkerhetslösningar ut: från svenska Baffin Bay Networks till amerikanska Cloudflare.

”Öppenhetsentusiasten” Pierre Mesure var tidig med att uppmärksamma bytet, som bland annat noterade att e-postadresserna för nyhetsbrevsprenumeranter skickades över till Cloudflare. Även ip-adressen för besökare hanteras av Cloudflare, vilket kansliets presstjänst medger, och hamnar då sannolikt i USA.

Regeringskansliet har ett avtal med Nordlo Improve, som i sin tur har ett avtal med Cloudflare som säger att data inte ska lämnas ut. Men ett sådant avtal kan inte stå över lagstiftningen, enligt Joakim Söderberg.

– Det man brukar stötta sig på är standardavtalsklausuler. Och det är sannolikt att Cloudflare har några sådana nedskrivna. Problematiken med att skriva ett avtal för att skydda personuppgifter är att ett avtal inte kan trumfa lagstiftning. De amerikanska myndigheterna behöver inte respektera det avtalet Cloudflare har skrivit med sin beställare, säger Joakim Söderberg.

Arbete med att ”vitlista” USA

Det pågår, som Voister har skrivit om tidigare, ett febrilt arbete att ”vitlista” USA igen, det vill säga göra det möjligt att på laglig väg göra det möjligt för exempelvis offentliga aktörer att använda amerikanska it-bolag och molntjänster, utan att den amerikanska underrättelsetjänsten har tillgång till datat.

– Det finns ett pågående arbete i kommissionen för att vitlista USA igen. Det skulle rent krasst leda till att det blir lagligt att börja överföra uppgifter till USA, men frågan är fortfarande om det är lämpligt. Och det är väl den frågan många inte har ställt sig, det fokuseras på lagligheten mer än lämpligheten, säger Joakim Söderberg till Ny Teknik.

Portugal ratar Cloudflare

I länder som Frankrike har man varit benhård: Microsoft 365, med tillhörande Teams, går inte att använda.

Och i Portugal fick landets motsvarighet till SCB enligt Ny Teknik på fingrarna när dataskyddsmyndigheten upptäckte att man använde sig av Cloudflare i ett folkräkningsuppdrag. Detta fick man sluta med eftersom personuppgifter skickades till USA.

"Något luktar illa"

Joakim Söderberg är bekymrad både över avtalet och Regeringskansliets hantering av fråga.

– Det är någonting som luktar illa här, det kan man säga. Om det är för att de har använt en leverantör och inte kravställt ordentligt, eller att de medvetet använder Cloudflare medvetna om riskerna spelar egentligen ingen större roll. Det är någonting som inte har gått rätt till om de inte kan svara på enkla frågor, säger Joakim Söderberg.