”Svenska myndigheter betalar för en tjänst där man medvetet ger bort känsliga uppgifter”, säger Daniel Melin på Statens inköpscentral.
Bild: Stefan Tell
”Svenska myndigheter betalar för en tjänst där man medvetet ger bort känsliga uppgifter”, säger Daniel Melin på Statens inköpscentral.

Myndigheter i USA kan få del av hemliga uppgifter i molnet

IT-SÄKERHET2018-11-15

Information som den offentliga sektorn lagrar i molntjänster från Microsoft och Google riskerar att lämnas ut till amerikanska myndigheter. Men trots att juridiska experter varnar för att sekretessbelagda uppgifter i molnet ska anses som »röjda« saknas politiska initiativ för att bygga en gemensam, statlig molntjänst i Sverige.

I våras beslutade USAs kongress om en ny lag, Cloud act. Den ger amerikanska rättsvårdande myndigheter vidsträckta möjligheter att begära ut data från exempelvis Microsoft och Google. Begäran kan även gälla uppgifter som lagrats utanför USA.

Företagens molntjänster används av många svenska kommuner och landsting och vissa statliga myndigheter för funktioner som e-post, ordbehandling, videokonferenser och chatt.

Lagen har fått E-samverkansprogrammets juridiska expertgrupp att hissa varningsflagg. E-samverkansprogrammet, E-sam, är ett organ där 23 statliga myndigheter och Sveriges Kommuner och Landsting samverkar om digital utveckling. I ett rättsligt uttalande skriver expertgruppen att myndigheter som använder molntjänster från till exempel amerikanska företag ska betrakta sekretessbelagda uppgifter i molnet som ”röjda”.

– Vi kan inte säga om det är sannolikt att det skulle inträffa att sekretessreglerade uppgifter röjs, men vi har bedömt att det i vart fall inte är osannolikt, säger Johan Bålman i E-sams juridiska expertgrupp. Finns det en risk menar vi att det är ett röjande i juridisk mening, och ett röjande får inte ske.

I uttalandet sägs också att det inte alltid kan säkerställas att kryptering och andra skyddsåtgärder ger ett tillräckligt skydd för informationen.

En av de myndigheter som deltar i E-sam är Arbetsförmedlingen. Där agerade man redan innan gruppen gjorde sitt ställningstagande.

– Vi har haft en molntjänst från Google som vi tagit ned och stoppat, av just det skälet, säger Per Gauffin, enhetschef på Arbetsförmedlingens IT-avdelning.

Cloud act har väckt frågor och oro på svenska myndigheter, berättar Daniel Melin, som arbetar med ramavtal på Statens inköpscentral vid Kammarkollegiet.

– Först trodde man att lagen bara gällde vid misstankar om grova brott, såsom terrorism, men den går mycket längre. Många olika skäl kan anges, exempelvis allmän säkerhet.

Företagen har dessutom tystnadsplikt vid sådant utlämnande, påpekar han. Om de lämnar ut uppgifter från svenska myndigheter kommer dessa alltså inte att få kännedom om det.

Enligt både Johan Bålman och Daniel Melin bör enbart offentliga uppgifter läggas i USA-ägda molntjänster. De bedömer att det många gånger kan falla på enskilda handläggare att bestämma om det är lagligt att lagra ett mejl eller ett worddokument i molnet.

STs utredare Magnus Kolsjö anser att det är orimligt att lägga ett sådant ansvar på myndigheternas personal.

– Det blir en väldigt tung börda och skulle skapa en dålig arbetsmiljö. Bedömningar måste dessutom göras för alla slags personuppgifter, inte bara de med sekretess, eftersom uppgifter inte får lämnas ut om man kan anta att mottagaren hanterar dem i strid med dataskyddsförordningen.

Statens servicecenter lämnade förra året förslag om en inhemsk, statlig molntjänst för myndigheternas it-drift. En sådan lösning är efterfrågad i sektorn, säger Daniel Melin.

– Men det finns ingen som driver frågan i dagsläget.

Han arbetar nu med en förstudie för att undersöka möjligheten att göra ett ramavtal och upphandla ett säkert och lagligt kontorsstöd, såsom molntjänster, genom svenska aktörer.

– Det är det sannolika scenariot, och det finns redan sådana initiativ.

Detta är en nyhetsartikel. Publikts nyhetsrapportering ska vara saklig och korrekt. Tidningen har en fri och självständig ställning gentemot sin ägare, Fackförbundet ST, och utformas enligt journalistiska principer samt enligt spelreglerna för press, radio och TV.

ÄMNEN:

IT-säkerhet
Typ
Vet du mer om det ämne som artikeln handlar om, eller om du har tips till redaktionen i något annat ämne, kan du lämna ditt tips här. Du kan också skicka ett mejl till redaktionen.
Om du anser att artikeln innehåller fel, beskriv här vad dessa fel består i. Du kan också skicka ett mejl till redaktionen.

Om du vill debattera det ämne artikeln handlar om, kan du skicka in en debattartikel till Publikt för publicering under vinjetten Debatt. Publikt publicerar inte anonyma debattinlägg, du måste därför alltid ange ditt namn och dina kontaktuppgifter. Redaktionen förbehåller sig rätten att korta och redigera insända debattartiklar. Skicka ditt inlägg som ett Worddokument på mejl till redaktionen.

Innehållet i detta fält är privat och kommer inte att visas offentligt.
CAPTCHA