”Svenska myndigheter betalar för en tjänst där man medvetet ger bort känsliga uppgifter”, säger Daniel Melin på Statens inköpscentral.
Bild: Stefan Tell
”Svenska myndigheter betalar för en tjänst där man medvetet ger bort känsliga uppgifter”, säger Daniel Melin på Statens inköpscentral.

Myndigheter i USA kan få del av hemliga uppgifter i molnet

IT-SÄKERHET2018-11-15
Information som den offentliga sektorn lagrar i molntjänster från Microsoft och Google riskerar att lämnas ut till amerikanska myndigheter. Men trots att juridiska experter varnar för att sekretessbelagda uppgifter i molnet ska anses som »röjda« saknas politiska initiativ för att bygga en gemensam, statlig molntjänst i Sverige.

I våras beslutade USAs kongress om en ny lag, Cloud act. Den ger amerikanska rättsvårdande myndigheter vidsträckta möjligheter att begära ut data från exempelvis Microsoft och Google. Begäran kan även gälla uppgifter som lagrats utanför USA.

Företagens molntjänster används av många svenska kommuner och landsting och vissa statliga myndigheter för funktioner som e-post, ordbehandling, videokonferenser och chatt.

Lagen har fått E-samverkansprogrammets juridiska expertgrupp att hissa varningsflagg. E-samverkansprogrammet, E-sam, är ett organ där 23 statliga myndigheter och Sveriges Kommuner och Landsting samverkar om digital utveckling. I ett rättsligt uttalande skriver expertgruppen att myndigheter som använder molntjänster från till exempel amerikanska företag ska betrakta sekretessbelagda uppgifter i molnet som ”röjda”.

– Vi kan inte säga om det är sannolikt att det skulle inträffa att sekretessreglerade uppgifter röjs, men vi har bedömt att det i vart fall inte är osannolikt, säger Johan Bålman i E-sams juridiska expertgrupp. Finns det en risk menar vi att det är ett röjande i juridisk mening, och ett röjande får inte ske.

I uttalandet sägs också att det inte alltid kan säkerställas att kryptering och andra skyddsåtgärder ger ett tillräckligt skydd för informationen.

En av de myndigheter som deltar i E-sam är Arbetsförmedlingen. Där agerade man redan innan gruppen gjorde sitt ställningstagande.

– Vi har haft en molntjänst från Google som vi tagit ned och stoppat, av just det skälet, säger Per Gauffin, enhetschef på Arbetsförmedlingens IT-avdelning.

Cloud act har väckt frågor och oro på svenska myndigheter, berättar Daniel Melin, som arbetar med ramavtal på Statens inköpscentral vid Kammarkollegiet.

– Först trodde man att lagen bara gällde vid misstankar om grova brott, såsom terrorism, men den går mycket längre. Många olika skäl kan anges, exempelvis allmän säkerhet.

Företagen har dessutom tystnadsplikt vid sådant utlämnande, påpekar han. Om de lämnar ut uppgifter från svenska myndigheter kommer dessa alltså inte att få kännedom om det.

Enligt både Johan Bålman och Daniel Melin bör enbart offentliga uppgifter läggas i USA-ägda molntjänster. De bedömer att det många gånger kan falla på enskilda handläggare att bestämma om det är lagligt att lagra ett mejl eller ett worddokument i molnet.

STs utredare Magnus Kolsjö anser att det är orimligt att lägga ett sådant ansvar på myndigheternas personal.

– Det blir en väldigt tung börda och skulle skapa en dålig arbetsmiljö. Bedömningar måste dessutom göras för alla slags personuppgifter, inte bara de med sekretess, eftersom uppgifter inte får lämnas ut om man kan anta att mottagaren hanterar dem i strid med dataskyddsförordningen.

Statens servicecenter lämnade förra året förslag om en inhemsk, statlig molntjänst för myndigheternas it-drift. En sådan lösning är efterfrågad i sektorn, säger Daniel Melin.

– Men det finns ingen som driver frågan i dagsläget.

Han arbetar nu med en förstudie för att undersöka möjligheten att göra ett ramavtal och upphandla ett säkert och lagligt kontorsstöd, såsom molntjänster, genom svenska aktörer.

– Det är det sannolika scenariot, och det finns redan sådana initiativ.

Detta är en nyhetsartikel. Publikts nyhetsrapportering ska vara saklig och korrekt. Tidningen har en fri och självständig ställning gentemot sin ägare, Fackförbundet ST, och utformas enligt journalistiska principer samt enligt spelreglerna för press, radio och TV.

ÄMNEN:

IT-säkerhet
Innehållet i detta fält är privat och kommer inte att visas offentligt.
Genom att trycka på "Skicka" godkänner jag att mitt inlägg kan publiceras på webben och i papperstidningen. Redaktionen förbehåller sig rätten att granska och redigera kommentarer på samma sätt som insändare. Publicering sker först sedan inlägget granskats. Detta sker normalt under kontorstid. Publikt publicerar inte inlägg som innehåller personangrepp. Inte heller publiceras inlägg som handlar om något annat än ämnet för artikeln.