Myndighetssamverkande organisationen eSam varnar nu för att molntjänster i offentlig sektor juridiskt bör ses som röjande av sekretessbelagda uppgifter, om tjänsten lyder under utländsk lagstiftning. Detta samtidigt som många myndigheter och speciellt kommuner lägger ut allt mer på utländska molntjänster. I praktiken är eSams uttalande att betrakta ett förbud mot utländska molntjänster om det finns ej publika uppgifter i systemet.
Molntjänst. |
eSamverkansprogrammet är ett medlemsdrivet program mellan 23 myndigheter och SKL, Sveriges kommuner och landsting, och arbetar med digital utveckling.
Programmets juridiska expertgrupp varnar nu för att användande av utländska molntjänster bör ses som röjande av sekretessbelagda uppgifter, som alltså inte ska placeras i molnet.
eSam skriver nu i ett pressmeddelande:
“eSams juridiska expertgrupp bedömer att det inte går att utesluta att en leverantör av en molntjänst som lyder under utländsk lagstiftning kan medverka till att sekretessreglerade* uppgifter röjs. De beskriver sin tolkning av gällande rätt i ett rättsligt uttalande.
– Vi anser att det i juridisk mening måste ses som ett röjande om en molntjänst används för behandling av uppgifter som är sekretessreglerade, och om molntjänsten ägs av ett utländskt företag där detta lands rättsordning ålägger företaget att under vissa förhållanden överlämna viss information till det landets myndigheter, säger Johan Bålman som leder eSams juridiska expertgrupp.”
Hela det rättsliga uttalandet hittas som PDF här.
Andra länder kan helt enkelt ålägga molntjänster att röja information till ländernas myndigheter, i praktiken spionage. Alternativ vore att skapa svenska myndighetsdrivna offentliga molntjänster, placerade i Sverige och lydande under svensk lagstiftning.
Sekretessbelagda uppgifter handlar inte bara om rikets säkerhet, utan oftast om vanlig myndighetsintern information som inte är offentlig. Det kan handla om ärenden inom socialtjänsten, detaljerade personuppgifter inom t ex skolor, sjukvård mm. Och förstås pågående upphandlingar och affärsverksamhet, där affärshemligheter kan röjas. Potentiellt är detta också en starkt negativ konkurrensnackdel för Sverige, då t ex svenska företag vid upphandlingar måste konkurrera mot statligt industrispionage, som har ett kraftfullt informationsövertag.
I praktiken har eSam nu sagt att offentliga myndigheter, kommuner och landsting inte kan använda molntjänster om det finns några som helst uppgifter som omfattas av sekretess.
Problemet är inte nytt. Bloggen varnade redan 2013 i samband med PRISM-spionaget för detta, där flera svenska branschorganisationer, inklusive Svenskt näringsliv är öppna för industrispionage, liksom Volvo, SSAB, Electrolux, SKF och Preem. Även självaste SVT valde amerikanska molntjänster, vilket hotar meddelarskyddet. Och förstås ett antal kommuner och landsting.
Det kan vara värt att göra en uppföljning på detta och se hur mycket värre problemet blivit. Till saken hör att molntjänster som Office 365 räknas hit, fast Göteborgs kommun tyckte alldeles nyss att det är helt okej att slänga ut sekretessbelagd information från skola, socialtjänst och sjukvården på Microsoft (IDG).
Detta är också en påminnelse om att göra som Transportstyrelsen gjorde är helt uteslutet. Sekretessbelagda uppgifter får inte hanteras utomlands.
17 kommentarer
Dags att vakna nu!
Tycker att det är fantastiskt att vi trots vårt höga skattetryck inte klarar av att sköta denna typ av offentlig förvaltning själva, med svenska företag, i Sverige! Undrar hur mycket vi egentligen sparade på att Transportstyrelsen 2014 la ut IT-driften, alltså egentligen.
Penny wise, pound foolish.
Ligger en hel del i det du säger. Men vanliga in-house register ska de nog kunna föra med hygglig säkerhet. Utan uppkoppling till omvärlden i systemen. Men fan trot nu när "alla" datorer har inbyggda bakdörrar via elnätet.
Att företag och mymfigheter söker den mest enkla och billiga lösningen är väl iofs eftersträvansvärt, men lite konsekvenstänk måste det ju finnas.
Även Windows och smartphones (iaf Googleregistrerade Android, har ingen koll på resten) – bör också klassas som utländska molntjänster numera då så gott som samtliga utav dessa enheter kan fjärrstyras av tjänsteleverantören till att göra vad som helst, t.ex. lämna ut känslig information utan att användaren märker det.
Således bör detta också förbjudas inom offentlig förvaltning.
Gäller även Windows och Mac OS.
Angående operativsystemen, går det inte att blocka den trafiken i brandväggen (nätverkets alltså, inte den som finns i OS)? Eller förlorar man för mycket funktionalitet då, inga uppdateringar etc.
Tur att min rejäla fasta telefon står kvar på skrivbordet, bäst att hålla hårt i den!
”Alternativ vore att skapa svenska myndighetsdrivna offentliga molntjänster, placerade i Sverige och lydande under svensk lagstiftning.”
Absolut. Det är naivt att tro att sekretessbelagda uppgifter hos utländska molntjänster inte skulle kunna missbrukas.
Nu är det ju stor skillnad på SaaS och tex azure, där office 360 är SaaS och alltså inte nödvändigtvis ett problem. Vad menar du egentligen med “molntjänst”?
Blir mycket on premise med känslig information överlag. Vad gäller nationell sekretess är det väl en sak – vi bör kunna persistera detta i diverse nationella bunkrar. Men vad gäller behandling av privat information måste vi hitta sätt att komma ifrån on premise. Idag är det hemskt. Typ ingen orkar, för alla regler är luddiga.
Den springande punkten är "uppgifter görs tekniskt tillgängliga för en tjänsteleverantör", dvs på något sätt exponeras för leverantören. Detta inkluderar Microsoft Office 365, Google G-Suite, Azure, Amazon m.fl. Alla leverantörer som inte lyder under svensk lag faller.
Yes. Och det intressanta som jag redan påpekat är att även att persondatorer som kör de moderna kommersiella operativsystemen (Windows, OsX) faller under denna punkt. Snacka om rävsax.
OS:en och tjänster som tex Exchange faller fara om de är uppkopplade. Blir lite ineffektivt när allt skall byggas med perimeterskydd. Se istället till att ha en fungerande kryptering och hantera krypteringsnycklar på ett effektivt och säkert sätt så kan vi fortsätta dra nytta av direkt kommunikation och ändå kunna anpassa säkerheten baserat på hur hotbildsdelen ser ut.
Så hur ser man på en molntjänst som har data i Sverige men ägs av utländska aktörer t.ex. Amazon mfl?
Är det dags att återskapa Dafa och Kommundata?
Sverige får väl inte utesluta aktörer som verkar inom EU? Så när Amerikanska företag blir omöjliga pga sekretesskrav, så får vi köpa franska, tyska, polska eller rumänska molntjänster istället. 😉
Jag kan rekommendera Tresorit för filsamarbete, dels har de en kryptering där användaren kontrollerar krypteringsnycklarna, dels har de servrar och företag utanför USA.
Om det skulle vara så att man måste utesluta aktörer som verkar inom EU så är det egentligen inte något problem. Myndigheter är ju inte tvugna att outsourca delar av varksamheten och därmed upphandla tjänsterna…