September 2025

eSams molngrupp pekar ut flera osäkerhetsfaktorer och rekommenderar myndigheter att följa utvecklingen och att ha en åtgärdsplan redo för eventuella snabba förändringar på det här området.

Att analysera molntjänster är oftast ett komplext och tidskrävande arbete. Om delar av myndighetens it-drift ska utkontrakteras till externa leverantörer, förutsätter det en omfattande analys utifrån ett tvärfunktionellt perspektiv. Under 2023 gav eSam ut en promemoria som övergripande beskrev konsekvenserna av EU-kommissionens beslut om adekvat skyddsnivå för personuppgifter avseende USA, samt den då nyligen beslutade sekretessbrytande bestämmelsen i offentlighets- och sekretesslagstiftningen.

eSams molngrupp har nu ersatt promemorian från 2023 med en ny, som innehåller uppdaterad information om adekvansbeslutet - Uppdatering kring adekvansbeslutet i en turbulent tid. Gruppen pekar samtidigt ut flera osäkerhetsfaktorer och konstaterar att myndigheterna bör följa vad som händer på området och säkerställa att man har en åtgärdsplan för det fall att omständigheterna skulle ändras.

Ladda ner den uppdaterade promemorian på eSams webbplats

Stöd i samverkan genom temamöten

Ett sätt att få stöd i sitt eget analysarbete avseende molntjänster, är förstås att ta del av hur andra har gjort. Inom eSam kan medlemmarna löpande delta i olika temamöten och i början av september delade Skatteverket med sig av sina arbeten och överväganden inför ledningens beslut att införa M365 och Copilot m.fl. lösningar.

I början av oktober kan medlemmarna ta del avTransportstyrelsens analys på samma ämne och som ledde till beslutet att införa SAFOS som verktyg för mötes- och samarbetstjänster.

I kalendern på eSams intranät kan medlemmar ta del av inplanerade temamöten. Saknar du tillgång till intranätet och din myndighet är medlem i eSam, kan du vända dig till din eSam-samordnare som också tillhandahåller anmälningslänk till temamötena. Namnet på samordnaren hittar du på esamverka.se Länk till annan webbplats.

Projektet LeakPro - Leakage Profiling and Risk Oversight of ML Models - drivs av AI Sweden, RISE med flera i syfte att utföra attacktester och därefter analysera eventuella risker för dataläckage vid utbyte av modeller, syntetiska data eller vid federerad inlärning.

Inom eSam pågår nu ett initiativ med Riksarkivet, Utbetalningsmyndigheten och Statistiska Centralbyrån tillsammans med AI Sweden, RISE och Integritetsskyddsmyndigheten för att diskutera om LeakPro skulle kunna vara ett verktyg för att hjälpa myndigheter i bedömningar av legala förutsättningar för datadelning. Bland annat utforskar initiativet om ett sådant verktyg skulle kunna underlätta myndigheters hantering vid t.ex. anonymisering av data för offentlig publicering. Det skulle också kunna handla om att värdera risker för att träningsdata kan identifieras när en myndighet tillgängliggör en AI-modell till en annan myndighet.

Bakgrund

Datadelning inom och med den offentliga förvaltningen spelar en central roll för att leva upp till målen för den offentliga förvaltningens digitalisering. God tillgång till data är en allt viktigare förutsättning för innovation, hållbar tillväxt och minskad resursåtgång. Data har blivit en strategisk resurs för utveckling och digital innovation t.ex. för utveckling på AI-området.

Samtidigt måste den nationella säkerheten, informationssäkerheten och skyddet för den personliga integriteten säkerställas. Myndigheter behöver dela data på ett kontrollerat och säkert sätt, t.ex. kunna säkerställa att känsliga data inte sprids eller att personuppgifter som inte får delas, följer med vid utbyte av en modell eller data.

Ytterst ankommer det på varje enskild myndighet att fatta beslut om datadelning alls är möjlig. Det är myndigheten som står inför att bedöma riskerna för oönskad delning eller läckage vid datadelning. Bedömningen är utmanande för myndigheten och i stor utsträckning saknas praxis eller metodstöd för en sådan bedömning.

Medlemmarna i gruppen säker AI inom eSam, har under en tid formulerat inriktning och önskat mål för arbetet. Under september arrangerade Skatteverket en workshop för att knyta ihop säcken.

Behoven är att få fram säkerhetskrav vid anskaffning och användning av AI-verktyg, införande av AI i myndigheten, omvärldsbevakning, skydd med hjälp av AI och utbildning för myndigheter. Det finns även behov av att inkludera det juridiska perspektivet i arbetet men mer Juridiken koppling till säker AI kommer också med från den tvärfunktionella gruppen men mer kopplat till övriga delområden.

Några av eSams medlemmar ingår även i en arbetsgrupp hos AI-verkstaden och en fråga som vi samverkar med den gruppen om är; vad innebär full rådighet som säkerhetskrav vid införande av en AI förmåga?

Deltagarna i workshopen fick ta del av tidiga betaversioner av stödsystem där framtida kunder kan självdeklarera sitt säkerhetsbehov för att hitta rätt typ av AI-tjänst. I arbetsgruppen deltar även en person från Föreningen Sambruk som demonstrerade deras tjänsteleverans av AI till offentlig sektor och stödverktyg för självdeklaration av säkerhetskrav till detta it-ekosystem.

Fortsatt arbete

Nästa steg är att ta fram en vägledning och rekommendation till AI-verkstaden och det står helt klart att frågan om säkerhet vid myndigheters omställning till AI-verktyg aldrig har varit viktigare. Just nu finns ingen prognos för när arbetet kan slutredovisas, vill du veta mer går det bra att vända sig till eSams kansli.