molntjänster

Molnet - nödvändigt för offentlig sektor

För svensk offentlig sektor är det nödvändigt att kunna använda molntjänster i någon form för att lyckas med digitaliseringen. Därför arbetar vi med att säkerställa hur medlemmarna, inom ramen för gällande rätt, kan använda lösningar som myndigheternas verksamheter behöver.

eSam arbetar aktivt med medlemmarnas digitalisering så att det sker på ett säkert sätt. Här menar vi att det handlar om att hantera sin information och sina tjänster på ett sådant sätt att riskerna för informationsläckage minimeras och att skapa sig rådighet över informationen. Detta är och har varit grunden i eSams fleråriga arbete med molnfrågan.

Digitaliseringen i Sverige ligger långt framme. Från politiskt håll säjs återkommande att Sverige ska vara bäst på att ta tillvara digitaliseringens möjligheter. Ju mer vi digitaliserar desto mer exponerar vi samhället för ökade risker och sårbarheter, därför behöver digitaliseringen ske på ett medvetet och säkert sätt.

Den oroliga omvärlden för med sig återkommande cyberangrepp mot samhällsfunktioner som påverkar privatpersoner, företag och offentliga samhällsstrukturer. Ju mer vi digitaliserar, desto mer beroende blir vår vardag av att digitala tjänster och infrastrukturer fungerar i händelse av kriser eller i värsta fall krig. Vissa tjänster kan i många fall inte levereras om internet eller delar av infrastrukturen slås ut.

Utgångspunkten för arbetet var ursprungligen starkt kopplad till sekretess och röjandeproblematik vid användandet av externa molnleverantörer. Med tiden har frågan mer kommit att handla om GDPR och konsekvenserna av Schrems II-domen i fråga om privatpersoners rätt till integritet i samband med tredjelandsöverföringar. Den osäkerhet i omvärlden som vi därefter behövt förhålla oss till, komplicerar frågan ytterligare och gör den mer omfattande. Läs mer om detta under nedansående rubrik Adekvansbeslut och utkontraktering

I de fall myndigheter överväger att utkontraktera tjänster till externa leverantörer, behöver resonemangen nu också inkludera frågor om lämplighet och rådighet. Även om det kan visa sig juridiskt möjligt att utkontraktera tjänsten och informationshanteringen, så kan det vara olämpligt ur ett säkerhetsperspektiv. eSams fortsatta arbete i molnfrågan inkluderar därför även aspekter om rådighet och lämplighet.

Adekvansbeslut och utkontraktering

Inom molnområdet är det många frågor som hänger ihop, dit hör till exempel det arbete som eSams medlemmar gjort för att ta fram en ny vägledning om utkontraktering samt ett stöddokument kring adekvansbeslutet från EU.

Adekvansbeslutet - är det grönt ljus för amerikanska molntjänster nu?

EU har tagit fram ett adekvansbeslut gällande handelsavtalet Privacy shield version 2. I Sverige ändras därmed förutsättningarna för röjande av sekretess där både OSL och lagen om tystnadsplikt påverkas i den nya sekretessbrytande bestämmelsen som trädde ikraft den 1 juli 2023. Syftet i båda fall är att förenkla IT utkontraktering.

eSams molngrupp har tagit fram en kortare PM för att stötta medlemmarna i hur förändringarna förväntas påverka våra egna beslutsprocesser och bedömningar, vid myndigheters utkontraktering av IT-tjänster. PMen går igenom hur man kan tänka och agera översiktligt och har tagits fram i samverkan med andra expertgrupper inom eSam. Det är också ett enklare, allmänt svar på om det går att ge ”grönt ljus” för amerikanska molntjänster? Frågan är komplex för offentlig sektor och ska analyseras ur flera olika perspektiv, tex affärsbehov, juridik, IT arkitektur och säkerhet. De här förändringarna är en del av en större lämplighetsbedömning som myndigheter förväntas göra.

Nästa steg för eSams molngrupp är att ta fram en guide för de lämplighetsbedömningar som myndigheterna behöver göra.

Adekvansbeslut och ny sekretessbrytande bestämmelse - Är det grönt ljus? Pdf, 136.2 kB.

Uppdaterad vägledning vid utkontraktering

En myndighet som överväger en utkontraktering ställs ofta inför en rad olika frågor; Vilka verksamhetsbehov som finns, säkerhetsmässiga överväganden och inte minst hur de rättsliga förutsättningarna ser ut. Komplexiteten i kravställningen vid utkontraktering har ökat markant med åren. Från och med den 1 juli 2023 gäller dessutom en ny sekretessbrytande bestämmelse (10 kap. 2 a § OSL) som kan användas vid utkontraktering för teknisk bearbetning eller teknisk lagring.

Vägledningen ska ge stöd för bedömningar som myndigheten måste göra, i fråga om sekretess och dataskydd. Bl.a. beskrivs tredjelandsöverföring jämfört med när det finns en risk för otillåten överföring samt innebörden av den nya sekretessbrytande bestämmelsen. Utöver detta berörs kortfattat, frågor om allmänna handlingar och informationssäkerhet. Vägledningen gör inte anspråk på en uttömmande beskrivning av alla överväganden som måste göras vid utkontraktering, utan snarare en hjälp i de rättsliga bedömningarna.

En förändrad syn på röjande-frågan

Lagstiftaren skapar nu en mer hållbar rättslig kedja. Sedan tidigare finns bestämmelser om tystnadsplikt vid utkontraktering för teknisk bearbetning eller teknisk lagring. Genom den nya sekretessbrytande bestämmelsen finns nu också en tydligare reglering att förhålla sig till inför själva utkontrakteringen.

Samtidigt kan bestämmelsen innebära att myndigheten behöver omvärdera sina tidigare bedömningar kring utkontraktering. I förarbetena till den nya bestämmelsen står klart att en uppgift som omfattas av sekretess och som görs tillgänglig för en tjänsteleverantör, ska betraktas som utlämnad eller röjd i OSL:s mening. Detta är således en förändrad syn jämfört med hur eSam m.fl. tidigare har sett på röjandefrågan, som menat att uppgifter under vissa förutsättningar kunnat utkontrakteras för teknisk bearbetning eller teknisk lagring utan att samtidigt bli röjda.

I den nya sekretessbrytande bestämmelsen införs ett olämplighetsrekvisit

Myndigheter kommer att behöva bedöma om det är en utkontraktering som sker enligt den nya sekretessbrytande bestämmelsen eller om det faller utanför begreppet teknisk bearbetning eller lagring. I det senare fallet får myndigheten istället falla tillbaka på ordinarie sekretessregleringen, som t.ex om ett utlämnande är möjligt utifrån ett s.k. skaderekvisit. I en utkontraktering skulle båda ”spåren” kunna bli aktuella, dvs att en del kan bedömas utifrån den nya bestämmelsen och en annan del inte. Myndigheten kommer då även att behöva fundera på hur flödena kan skiljas åt och vilken betydelse det får för avtalsskrivningarna.

Bedömningen om det inte är olämpligt att uppgifterna lämnas ut, blir en ny omständighet att ta i beaktande där det ännu inte finns så många exempel att luta sig emot. Det är också viktigt att ha koll på vilka krav som är möjliga att ställa enligt upphandlingsregelverket.

Ambitionen är att uppdatera vägledningen med mer praxis och konkreta exempel när sådana finns. Vid behov finns det också möjlighet att kontakta eSams molngrupp för stöd inför en utkontraktering.

Vägledning vid utkontraktering - sekretess och dataskydd Pdf, 692.2 kB.

Aktuellt arbete

Möten med leverantörer

eSams arbetsgrupper har löpande dialog med intresserade leverantörer för att tydliggöra offentlig sektors behov och krav, samt för att få återkoppling och löpande information om leverantörernas framtida utveckling av tjänsterna. Samarbetet är en viktig del i arbetet för att åstadkomma en förflyttning till effektiva, säkra och legala tjänster i molnet. Det här arbetet hanteras främst inom ramen för eSams molngrupp som består av deltagare med en bredd av kompetenser för att kunna analysera och konkretisera möjligheter och utmaningar.

Annat arbete

I enlighet med rekommendationerna från IMY behöver offentliga aktörer göra en kartläggning av externa tjänster där det förekommer personuppgiftsbehandling. eSams medlemmar gör delvis det arbetet gemensamt, t.ex. inom ramen för Digital samarbetsplattform för offentlig sektor sedan 2021 och därefter har motsvarande arbete avseende molntjänster inom HR- och kommunikationsområdet startat.

Digitaliseringsrättsutredningen konstaterade tidigare att myndigheters behov av avtalsstöd för it-avtal har ökat med växande utkontraktering och mer komplexa it-avtal. Därför har eSam tagit fram it-avtal och villkor som är anpassade för offentlig förvaltning. Arbetet har inte haft molntjänster som utgångspunkt men frågan berörs ändå genom utformning av villkor i it-avtal. Samtliga dokument hittar du bland publikationerna.

Viktiga händelser

Ett antal viktiga händelser har haft betydelse för utvecklingen på området och har i hög grad påverkat digitaliseringens möjligheter:

2015, eSams rättsliga uttalande om röjande av sekretessreglerade uppgifter vid teknisk bearbetning
2016, Dataskyddsförordningen Länk till annan webbplats, öppnas i nytt fönster. – GDPR - beslutas som innebär ett ökat skydd för den personliga integriteten, trädde i kraft 25 maj 2018.
2018, NIS-direktivet Länk till annan webbplats, öppnas i nytt fönster. träder i kraft. Det ställer krav på säkerhet i nätverk och informationssystem i samhällsviktig verksamhet. Direktivet gäller både offentlig och privat sektor.
2018, Säkerhetsskyddslagen Länk till annan webbplats, öppnas i nytt fönster. antas. Den påverkar ALLA som bedriver säkerhetskänslig verksamhet. Lagen träder i kraft 2019.
2018, Cloud Act träder i kraft. En amerikansk lagstiftning som innebär att amerikanska leverantörer måste lämna ut uppgifter även från informationssystem i Europa.
FISA sektion 702, förnyelse av amerikansk lagstiftning (Foreign Intelligence Surveillance Act) som innebär att information kan hämtas om icke-amerikanska medborgare från alla amerikanska tjänsteleverantörer utan att individen har rätt att få saken prövad i domstol. Lagen giltig t.o.m. 2023.
eSam publicerar ett rättsligt uttalande om molntjänster 2018 och kom ut med ett förtydligande i samma fråga i september 2019
2019, Kammarkollegiets förstudierapport Webbaserat kontorsstöd som utredde möjligheten att skapa ett ramavtal som för offentlig sektor som klarar de nya legala och säkerhetsmässiga kraven. Slutsatsen var att det inte finns leverantörer på marknaden som klarade kraven.
Försäkringskassan gav ut Vitboken i november 2019
eSams ordförande Katrin Westling Palm och Försäkringskassans Generaldirektör Nils Öberg bemöter en kritisk rapport som Cirio Advokatbyrå publicerade den 12 maj 2020 – ”Molntjänster, offentlighet och sekretess i offentlig sektor”.
2020, EU-domstolens dom i Schrems II – målet Länk till annan webbplats, öppnas i nytt fönster., som innebar att Privacy Schield föll med omedelbar verkan och att Standard Contract Clauses kan användas efter en grundlig analys av vilken personinformation som överförs/tillgång som finns för tredjeland.
2021, Skatteverket och Kronofogden tog fram det som vanligen kallas Teams-promemorian. En analys som kom fram till slutsatsen att myndigheterna inte kommer att gå över till att använda Teams då det bara kan tillhandahållas i molnet, till skillnad från Skype som installeras on-prem. Myndigheterna beslutade att inleda ett arbete för att hitta alternativ som saknar tredjelandsöverföringar, vilket resulterade i det samverkansarbete som går under namnet Digital samarbetsplattform för offentlig sektor.
2021: Rapporten från del 1 i arbetet med Digital samarbetsplattform, publicerades i november. I december inleddes del 2 av arbetet - att testa lösningar som uppfyllde kraven från del 1
2022: I juni presenteras exempel på lösningar som; Var och en för sig eller tilsammans i federation, på plattformar som uppfyller de rättsliga och säkerhetsmässiga kraven från projekt dSams arbete, kan utgöra ersättare för samarbetsplattformar som Skype eller Teams.
2023: Flera offentliga organisationer har, eller står i begrepp att testa skarpt eller upphandla moderna samarbetslösningar utan tredjelandsöverföringar, enligt kravspecifikationer efter sina egna behov och förutsättningar.
2023: 1 juli får vi en ny sekretessbrytande bestämmelse i OSL,10 kap 2 a §
2023: 10 juli fattar EU-kommissionen beslut om adekvat skyddsnivå för USA.

Övergripande inriktningen

Den övergripande inriktningen är att offentlig sektor ska kunna använda molntjänster i den fortsatta digitaliseringen och att tjänsterna ska vara tekniskt ändamålsenliga, säkra och lagenliga. För att uppnå detta kan samverkan inom eSam vara ett stöd både för att bidra med vägledning och för att tydliggöra förutsättningar och krav. Därigenom kan medlemmarna fatta medvetna beslut och agera pådrivande för att åstadkomma de förändringar som behövs. Utgångspunkten är att lagstiftningen av goda skäl är som den är och att lösningar, såvitt gäller kommersiella molntjänster, står att finna i förändrad teknisk funktionalitet och i de kommersiella villkoren för tjänsten.

Molntjänsterna behöver därför utvecklas utifrån krav på resurseffektivitet, säkerhet och legalitet. Enskilda myndigheter och kommuner saknar normalt möjlighet att själva kunna påverka utbudet hos globala leverantörer av molntjänster. För att kunna tillgodose behov av justeringar i tjänsterna och förutsättningarna under vilka de erbjuds, har därför det offentliga Sverige mycket att vinna på att göra förarbeten gemensamt. eSam är en sådan plattform i det här avseendet och kan i samverkan med branschen, driva på för att ta fram gemensamma krav och standarder för molntjänster i offentlig sektor.