eSam ser risker med molntjänster i offentlig sektor

Nyheten publicerad: 12 nov 2018

En gruppering inom eSam har sedan våren 2018 arbetat med frågan om hur det offentliga kan använda sig av molntjänster utifrån säkerhet- och sekretesslagstiftning och vilka rekommendationer som eSam kan ge sina medlemmar och andra aktörer i offentlig sektor. Nu har den juridiska expertgruppen tagit fram ett uttalande i frågan som ett viktigt led.

Molntjänster innebär stora fördelar, och utvecklingen går mot att det inom en snar framtid blir svårt att hitta andra bra alternativ. Så är redan fallet för till exempel kontorstjänster för e-post med mera. Samtidigt är det känt att dagens molntjänster i praktiken inte är fullt ut förenliga med den lagstiftning som finns för det offentliga vad gäller till exempel informationssäkerhet och sekretess.

eSams juridiska expertgrupp bedömer att det inte går att utesluta att en leverantör av en molntjänst som lyder under utländsk lagstiftning kan medverka till att sekretessreglerade* uppgifter röjs. De beskriver sin tolkning av gällande rätt i ett rättsligt uttalande.

- Vi anser att det i juridisk mening måste ses som ett röjande om en molntjänst används för behandling av uppgifter som är sekretessreglerade, och om molntjänsten ägs av ett utländskt företag där detta lands rättsordning ålägger företaget att under vissa förhållanden överlämna viss information till det landets myndigheter, säger Johan Bålman som leder eSams juridiska expertgrupp.
 
eSam har tagit fram en checklista som stöd för den organisation som står inför ett beslut om att använda molntjänster.

- Tills vidare rekommenderar vi våra medlemmar som planerar att lägga information i en molntjänst att mot bakgrund av vår rättsliga bedömning noggrant analysera vilken typ av information det rör sig om och göra nödvändiga risk- och konsekvensanalyser, säger Gunnar Wennerholm som leder eSams expertgrupp för säkerhet.

Alternativa lösningar diskuteras

I rådande rättsläge har eSam under en tid diskuterat behovet av alternativ till molntjänster med utländsk ägande. Ett alternativ är att skapa gemensamma offentliga moln för att kunna hantera flera myndigheters behov av molntjänster. Detta har utretts av flera myndigheter och frågan är komplex och behöver hanteras på nationell nivå.

En annan möjlighet är att hitta en lösning för att kunna avropa webbaserade kontorstjänster som följer svensk lagstiftning. Statens inköpscentral vid Kammarkollegiet har under hösten påbörjat en förstudie om ett ramavtal för detta. Förstudien beräknas vara klar i början på februari 2019.

eSam fortsätter att arbeta med frågan utifrån båda dessa perspektiv.

- Vi deltar från eSam i Kammarkollegiets förstudie och vi arbetar parallellt vidare med frågan om möjligheten att skapa gemensamma offentliga moln, säger Gunnar Wennerholm.

*Med sekretessreglerad information avses att den omfattas av en sekretessbestämmelse och att den i många fall måste prövas.

Fakta: Vad är molntjänster?

”Datormoln, även kallat molntjänster, molnet eller cloudtjänster, är IT-tjänster som tillhandahålls över Internet, i synnerhet funktioner som traditionellt sköts på egna datorer men genom molnet sköts av någon annan. Det kan till exempel handla om tillämpningsprogram, serverprogram och lagring av data.

Molntjänster är den term som valts på svenska för det engelska namnet cloud computing. Även termen it-moln förekommer.” (Källa: Wikipedia).

Läs mer

Ta del av det rättliga uttalandet:

Rättsligt uttalande om röjande och molntjänster

Använd den checklista som eSams expertgrupp för säkerhet har tagit fram:

Checklista inför beslut om molntjänster i offentlig sektor

Läs mer om förstudien Webbaserat kontorsstöd som drivs av Kammarkollegiet:

Förstudien Webbaserat kontorsstödlänk till annan webbplats

54.226.36.60