molntjänster

Molnfrågan

För svensk offentlig sektor är det nödvändigt att kunna använda molntjänster i någon form för att lyckas med digitaliseringen. Därför arbetar vi nu med att säkerställa hur vi inom ramen för gällande rätt kan använda de lösningar som medlemmarnas verksamheter behöver.

Sverige som land påverkas av allt som händer i omvärlden. Det kan vara i vår geografiska närhet eller längre bort. Globala trender, relationer mellan länder med mera påverkar Sveriges förutsättning att nyttja digitaliseringens möjligheter. Det säkerhetspolitiska läget har de senaste åren präglats av instabilitet. Det återspeglas bland annat i den allt mer genomträngande övervakningslagstiftningen som vi ser världen över. För att Sverige som land ska fortsätta utvecklas och dra nytta av digitaliseringens potential, krävs ett allt större fokus på legalitets- och säkerhetsmässiga aspekter.

eSam har varit engagerade i arbetet med molntjänster sedan 2015. Sedan dess, har regelutvecklingen accelererat och många av lösningarna på marknaden har inte hunnit anpassas till de nya rättsliga förutsättningarna. Vi vill finna effektiva, legala och säkra tjänster, i samarbete med marknaden, som kan bidra till en positiv utveckling för Sverige som helhet.

Aktuellt arbete

PM om tekniska förutsättningar för molntjänster

PM om tekniska förutsättningar för molntjänster

Deltagare från åtta myndigheter har tagit fram en promemoria som stöd för att skapa en grundläggande teknisk förståelse och utgöra grund för bra dialoger mellan olika verksamhetsområden inom organisationen. Första versionen Pdf, 281.4 kB. publicerades januari 2021. Därefter har materialet uppdaterats och den nya versionen blir färdig under sommaren 2022. De huvudsakliga målgrupperna är arkitekter, strateger, utvecklare, tekniker och personer på säkerhetsområdet. Den kan även med fördel läsas av beslutsfattare för att få en övergripande inblick i den tekniska komplexiteten.

Promemorian ger inte alla svar på eventuella behov av utredning som en organisation kan ställas inför, utan ska kunna fungera som en översiktlig guide. Den gör inte anspråk på att vara heltäckande och kan förändras över tid. Flera undergrupper har arbetat med andra ämnesområden där några aktiviteter har varit erfarenhetsutbyten och juridiska arbeten samt att föra dialog med leverantörer om de krav som eSams medlemmar ställer på molnlösningar.

Möten med leverantörer

eSams arbetsgrupper har löpande dialog med intresserade leverantörer för att tydliggöra offentlig sektors behov och krav, samt för att få återkoppling och löpande information om leverantörernas framtida utveckling av tjänsterna. Samarbetet är en viktig del i arbetet för att åstadkomma en förflyttning till effektiva, säkra och legala tjänster i molnet.

Annat arbete

I enlighet med rekommendationerna från IMY behöver offentliga aktörer göra en kartläggning av externa tjänster där det förekommer personuppgiftsbehandling. eSams medlemmar gör delvis det arbetet gemensamt eftersom många tjänster eller typ av tjänster är samma. En arbetsgrupp tar fram underlag som blir utgångspunkt för fördjupad analys och genomförandearbete. Ett exempel på pågående arbete är Digital samarbetsplattform inom offentlig sektor. eSams medlemmar har också påbörjat motsvarande arbete gällande molntjänster inom HR-området och kommunikationsområdet.

Digitaliseringsrättsutredningen konstaterade tidigare att myndigheters behov av avtalsstöd för it-avtal har ökat med växande utkontraktering och mer komplexa it-avtal. Därför arbetar eSam med att ta fram it-avtal och villkor som är anpassade för offentlig förvaltning. Arbetet har inte molntjänster som utgångspunkt, men frågan berörs ändå genom utformning av villkor i it-avtal. Arbetet pågår och i dagsläget finns en vägledning Pdf, 1.4 MB., villkor för it-konsulttjänster, Pdf, 122.2 kB. villkor för it-drift Pdf, 152.4 kB., villkor för it-support Pdf, 215.3 kB., villkor för it-projekt Pdf, 163.4 kB. samt villkor för agila it-projekt Pdf, 170.7 kB..

PM om tekniska förutsättningar för molntjänster

PM om tekniska förutsättningar för molntjänster

Deltagare från åtta myndigheter har tagit fram en promemoria som stöd för att skapa en grundläggande teknisk förståelse och utgöra grund för bra dialoger mellan olika verksamhetsområden inom organisationen. Första versionen Pdf, 281.4 kB. publicerades januari 2021. Därefter har materialet uppdaterats och den nya versionen blir färdig under sommaren 2022. De huvudsakliga målgrupperna är arkitekter, strateger, utvecklare, tekniker och personer på säkerhetsområdet. Den kan även med fördel läsas av beslutsfattare för att få en övergripande inblick i den tekniska komplexiteten.

Promemorian ger inte alla svar på eventuella behov av utredning som en organisation kan ställas inför, utan ska kunna fungera som en översiktlig guide. Den gör inte anspråk på att vara heltäckande och kan förändras över tid. Flera undergrupper har arbetat med andra ämnesområden där några aktiviteter har varit erfarenhetsutbyten och juridiska arbeten samt att föra dialog med leverantörer om de krav som eSams medlemmar ställer på molnlösningar.

Möten med leverantörer

eSams arbetsgrupper har löpande dialog med intresserade leverantörer för att tydliggöra offentlig sektors behov och krav, samt för att få återkoppling och löpande information om leverantörernas framtida utveckling av tjänsterna. Samarbetet är en viktig del i arbetet för att åstadkomma en förflyttning till effektiva, säkra och legala tjänster i molnet.

Annat arbete

I enlighet med rekommendationerna från IMY behöver offentliga aktörer göra en kartläggning av externa tjänster där det förekommer personuppgiftsbehandling. eSams medlemmar gör delvis det arbetet gemensamt eftersom många tjänster eller typ av tjänster är samma. En arbetsgrupp tar fram underlag som blir utgångspunkt för fördjupad analys och genomförandearbete. Ett exempel på pågående arbete är Digital samarbetsplattform inom offentlig sektor. eSams medlemmar har också påbörjat motsvarande arbete gällande molntjänster inom HR-området och kommunikationsområdet.

Digitaliseringsrättsutredningen konstaterade tidigare att myndigheters behov av avtalsstöd för it-avtal har ökat med växande utkontraktering och mer komplexa it-avtal. Därför arbetar eSam med att ta fram it-avtal och villkor som är anpassade för offentlig förvaltning. Arbetet har inte molntjänster som utgångspunkt, men frågan berörs ändå genom utformning av villkor i it-avtal. Arbetet pågår och i dagsläget finns en vägledning Pdf, 1.4 MB., villkor för it-konsulttjänster, Pdf, 122.2 kB. villkor för it-drift Pdf, 152.4 kB., villkor för it-support Pdf, 215.3 kB., villkor för it-projekt Pdf, 163.4 kB. samt villkor för agila it-projekt Pdf, 170.7 kB..

Viktiga händelser

Ett antal viktiga händelser har haft betydelse för utvecklingen på området och har i hög grad påverkat digitaliseringens möjligheter:

  • 2015, eSams rättsliga uttalande Pdf, 50.2 kB. om röjande av sekretessreglerade uppgifter vid teknisk bearbetning
  • 2016, Dataskyddsförordningen Länk till annan webbplats, öppnas i nytt fönster. – GDPR - beslutas som innebär ett ökat skydd för den personliga integriteten, trädde i kraft 25 maj 2018.
  • 2018, NIS-direktivet Länk till annan webbplats, öppnas i nytt fönster. träder i kraft. Det ställer krav på säkerhet i nätverk och informationssystem i samhällsviktig verksamhet. Direktivet gäller både offentlig och privat sektor.
  • 2018, Säkerhetsskyddslagen Länk till annan webbplats, öppnas i nytt fönster. antas. Den påverkar ALLA som bedriver säkerhetskänslig verksamhet. Lagen träder i kraft 2019.
  • 2018, Cloud Act träder i kraft. En amerikansk lagstiftning som innebär att amerikanska leverantörer måste lämna ut uppgifter även från informationssystem i Europa.
  • FISA sektion 702, förnyelse av amerikansk lagstiftning (Foreign Intelligence Surveillance Act) som innebär att information kan hämtas om icke-amerikanska medborgare från alla amerikanska tjänsteleverantörer utan att individen har rätt att få saken prövad i domstol. Lagen giltig t.o.m. 2023.
  • eSam publicerar ett rättsligt uttalande Pdf, 108.9 kB. om molntjänster 2018 och kom ut med ett förtydligande Pdf, 139.4 kB. i samma fråga i september 2019
  • 2019, Kammarkollegiets förstudierapport Webbaserat kontorsstöd Länk till annan webbplats, öppnas i nytt fönster. som utredde möjligheten att skapa ett ramavtal som för offentlig sektor som klarar de nya legala och säkerhetsmässiga kraven. Slutsatsen var att det inte finns leverantörer på marknaden som klarade kraven.
  • Försäkringskassan gav ut Vitboken Länk till annan webbplats, öppnas i nytt fönster. i november 2019
  • eSams ordförande Katrin Westling Palm och Försäkringskassans Generaldirektör Nils Öberg bemöter en kritisk rapport som Cirio Advokatbyrå publicerade den 12 maj 2020 – ”Molntjänster, offentlighet och sekretess i offentlig sektor”.
  • 2020, EU-domstolens dom i Schrems II – målet Länk till annan webbplats, öppnas i nytt fönster., som innebar att Privacy Schield föll med omedelbar verkan och att Standard Contract Clauses kan användas efter en grundlig analys av vilken personinformation som överförs/tillgång som finns för tredjeland.
  • 2021, Skatteverket och Kronofogden tog fram det som vanligen kallas Teams-promemorian. En analys som kom fram till slutsatsen att myndigheterna inte kommer att gå över till att använda Teams då det bara kan tillhandahållas i molnet, till skillnad från Skype som installeras on-prem. Myndigheterna beslutade att inleda ett arbete för att hitta alternativ som saknar tredjelandsöverföringar, vilket resulterade i det samverkansarbete som går under namnet Digital samarbetsplattform för offentlig sektor.
  • 2021, rapporten från del 1 i arbetet med Digital samarbetsplattform, publicerades i november. I december inleddes del 2 av arbetet - att testa lösningar som uppfyllde kraven från del 1

Ett antal viktiga händelser har haft betydelse för utvecklingen på området och har i hög grad påverkat digitaliseringens möjligheter:

  • 2015, eSams rättsliga uttalande Pdf, 50.2 kB. om röjande av sekretessreglerade uppgifter vid teknisk bearbetning
  • 2016, Dataskyddsförordningen Länk till annan webbplats, öppnas i nytt fönster. – GDPR - beslutas som innebär ett ökat skydd för den personliga integriteten, trädde i kraft 25 maj 2018.
  • 2018, NIS-direktivet Länk till annan webbplats, öppnas i nytt fönster. träder i kraft. Det ställer krav på säkerhet i nätverk och informationssystem i samhällsviktig verksamhet. Direktivet gäller både offentlig och privat sektor.
  • 2018, Säkerhetsskyddslagen Länk till annan webbplats, öppnas i nytt fönster. antas. Den påverkar ALLA som bedriver säkerhetskänslig verksamhet. Lagen träder i kraft 2019.
  • 2018, Cloud Act träder i kraft. En amerikansk lagstiftning som innebär att amerikanska leverantörer måste lämna ut uppgifter även från informationssystem i Europa.
  • FISA sektion 702, förnyelse av amerikansk lagstiftning (Foreign Intelligence Surveillance Act) som innebär att information kan hämtas om icke-amerikanska medborgare från alla amerikanska tjänsteleverantörer utan att individen har rätt att få saken prövad i domstol. Lagen giltig t.o.m. 2023.
  • eSam publicerar ett rättsligt uttalande Pdf, 108.9 kB. om molntjänster 2018 och kom ut med ett förtydligande Pdf, 139.4 kB. i samma fråga i september 2019
  • 2019, Kammarkollegiets förstudierapport Webbaserat kontorsstöd Länk till annan webbplats, öppnas i nytt fönster. som utredde möjligheten att skapa ett ramavtal som för offentlig sektor som klarar de nya legala och säkerhetsmässiga kraven. Slutsatsen var att det inte finns leverantörer på marknaden som klarade kraven.
  • Försäkringskassan gav ut Vitboken Länk till annan webbplats, öppnas i nytt fönster. i november 2019
  • eSams ordförande Katrin Westling Palm och Försäkringskassans Generaldirektör Nils Öberg bemöter en kritisk rapport som Cirio Advokatbyrå publicerade den 12 maj 2020 – ”Molntjänster, offentlighet och sekretess i offentlig sektor”.
  • 2020, EU-domstolens dom i Schrems II – målet Länk till annan webbplats, öppnas i nytt fönster., som innebar att Privacy Schield föll med omedelbar verkan och att Standard Contract Clauses kan användas efter en grundlig analys av vilken personinformation som överförs/tillgång som finns för tredjeland.
  • 2021, Skatteverket och Kronofogden tog fram det som vanligen kallas Teams-promemorian. En analys som kom fram till slutsatsen att myndigheterna inte kommer att gå över till att använda Teams då det bara kan tillhandahållas i molnet, till skillnad från Skype som installeras on-prem. Myndigheterna beslutade att inleda ett arbete för att hitta alternativ som saknar tredjelandsöverföringar, vilket resulterade i det samverkansarbete som går under namnet Digital samarbetsplattform för offentlig sektor.
  • 2021, rapporten från del 1 i arbetet med Digital samarbetsplattform, publicerades i november. I december inleddes del 2 av arbetet - att testa lösningar som uppfyllde kraven från del 1

Övergripande inriktningen

Den övergripande inriktningen är att offentlig sektor ska kunna använda molntjänster i den fortsatta digitaliseringen, och att tjänsterna ska vara tekniskt ändamålsenliga, säkra och lagenliga. För att uppnå detta kan eSam fylla en roll i att dels agera vägledande och tydliggöra förutsättningar och krav så att medlemmarna kan fatta medvetna beslut, dels agera pådrivande för att åstadkomma de förändringar som behövs för att möjliggöra användandet. Utgångspunkten är att lagstiftningen av goda skäl är som den är och att lösningar, såvitt gäller kommersiella molntjänster, står att finna i förändrad teknisk funktionalitet och de kommersiella villkoren för tjänsten. Det är alltså tjänsterna och avtalen som ska anpassas till lagstiftningen, inte tvärtom.

Molntjänsterna behöver därför anpassas utifrån resurseffektiva, säkra och lagenliga behov, men enskilda myndigheter och/eller kommuner saknar normalt tillräcklig tyngd för att själva kunna påverka utbudet hos globala leverantörer av molntjänster. För att kunna tillgodose de behov som finns av justeringar i tjänsterna och förutsättningarna under vilka de erbjuds, behöver därför det offentliga Sverige uppträda gemensamt och likformigt. eSam har en viktig roll att fylla i detta avseende och kan driva på för att ta fram gemensamma krav och standarder på molntjänster i offentlig sektor. Dessa krav och standarder bör utarbetas i samverkan med branschen.

Den övergripande inriktningen är att offentlig sektor ska kunna använda molntjänster i den fortsatta digitaliseringen, och att tjänsterna ska vara tekniskt ändamålsenliga, säkra och lagenliga. För att uppnå detta kan eSam fylla en roll i att dels agera vägledande och tydliggöra förutsättningar och krav så att medlemmarna kan fatta medvetna beslut, dels agera pådrivande för att åstadkomma de förändringar som behövs för att möjliggöra användandet. Utgångspunkten är att lagstiftningen av goda skäl är som den är och att lösningar, såvitt gäller kommersiella molntjänster, står att finna i förändrad teknisk funktionalitet och de kommersiella villkoren för tjänsten. Det är alltså tjänsterna och avtalen som ska anpassas till lagstiftningen, inte tvärtom.

Molntjänsterna behöver därför anpassas utifrån resurseffektiva, säkra och lagenliga behov, men enskilda myndigheter och/eller kommuner saknar normalt tillräcklig tyngd för att själva kunna påverka utbudet hos globala leverantörer av molntjänster. För att kunna tillgodose de behov som finns av justeringar i tjänsterna och förutsättningarna under vilka de erbjuds, behöver därför det offentliga Sverige uppträda gemensamt och likformigt. eSam har en viktig roll att fylla i detta avseende och kan driva på för att ta fram gemensamma krav och standarder på molntjänster i offentlig sektor. Dessa krav och standarder bör utarbetas i samverkan med branschen.

Schrems II-domen i Europadomstolen 16 juli 2020

I juli kom domen från EU-domstolen, i målet C-311/18 Schrems II. Det handlade om ifall Facebook Irland kan föra över EU-medborgares personuppgifter till Facebook USA, trots att Facebook har vetskap om att amerikanska underrättelsemyndigheter sannolikt kommer att samla in och bearbeta den informationen.
EU-domstolen dömde att avtalet Privacy Shield mellan EU-kommissionen och USA, skulle anses ogiltigt med omedelbar verkan eftersom avtalet stred mot GDPR och tre artiklar i EU-stadgan. Detta innebär att de drygt 5000 företag som enbart använder Privacy Shield, står utan rättslig grund för personuppgiftsbehandling av EU-medborgares personuppgifter.

Vidare dömde EU-domstolen att de så kallade Standardavtalsklausulerna fortsatt kan användas som avtal för överföring av personuppgifter till länder utanför EU/EES.
Den personuppgiftsansvarige måste göra en egen analys av mottagarlandets lagstiftning på underrättelseområdet för att säkerställa att en sådan lagstiftning inte bryter mot Standardavtalsklausulerna. Detta gäller både för pågående och planerade överföringar av personuppgifter.

I det fall en svensk myndighet överför personuppgifter med stöd av Privacy Shield, är detta sedan 16:e juli 2020 en olaglig överföring. Om Standardavtalsklausulerna används, måste myndigheten göra en analys för respektive land där personuppgiftsbehandling kommer ske. I fallet med USA, är analysen till stor del gjord av EU-domstolen i och med att Privacy Shield inte levde upp till kraven i GDPR och EU-stadgan. Detta innebär att det i dagsläget är synnerligen svårt att anlita amerikanska företag för personuppgiftsbehandling, oaktat var i världen personuppgiftsbehandlingen sker.

I juli kom domen från EU-domstolen, i målet C-311/18 Schrems II. Det handlade om ifall Facebook Irland kan föra över EU-medborgares personuppgifter till Facebook USA, trots att Facebook har vetskap om att amerikanska underrättelsemyndigheter sannolikt kommer att samla in och bearbeta den informationen.
EU-domstolen dömde att avtalet Privacy Shield mellan EU-kommissionen och USA, skulle anses ogiltigt med omedelbar verkan eftersom avtalet stred mot GDPR och tre artiklar i EU-stadgan. Detta innebär att de drygt 5000 företag som enbart använder Privacy Shield, står utan rättslig grund för personuppgiftsbehandling av EU-medborgares personuppgifter.

Vidare dömde EU-domstolen att de så kallade Standardavtalsklausulerna fortsatt kan användas som avtal för överföring av personuppgifter till länder utanför EU/EES.
Den personuppgiftsansvarige måste göra en egen analys av mottagarlandets lagstiftning på underrättelseområdet för att säkerställa att en sådan lagstiftning inte bryter mot Standardavtalsklausulerna. Detta gäller både för pågående och planerade överföringar av personuppgifter.

I det fall en svensk myndighet överför personuppgifter med stöd av Privacy Shield, är detta sedan 16:e juli 2020 en olaglig överföring. Om Standardavtalsklausulerna används, måste myndigheten göra en analys för respektive land där personuppgiftsbehandling kommer ske. I fallet med USA, är analysen till stor del gjord av EU-domstolen i och med att Privacy Shield inte levde upp till kraven i GDPR och EU-stadgan. Detta innebär att det i dagsläget är synnerligen svårt att anlita amerikanska företag för personuppgiftsbehandling, oaktat var i världen personuppgiftsbehandlingen sker.