molntjänster

Molnfrågan

För svensk offentlig sektor är det nödvändigt att kunna använda molntjänster i någon form för att lyckas med digitaliseringen. Därför arbetar vi nu med att säkerställa hur vi inom ramen för gällande rätt kan använda de lösningar som medlemmarnas verksamheter behöver.

Sverige som land påverkas av allt som händer i omvärlden. Det kan vara i vår geografiska närhet eller längre bort. Globala trender, relationer mellan länder med mera påverkar Sveriges förutsättning att nyttja digitaliseringens möjligheter. Det säkerhetspolitiska läget har de senaste åren präglats av instabilitet. Det återspeglas bland annat i den allt mer genomträngande övervakningslagstiftningen som vi ser världen över. För att Sverige som land ska fortsätta utvecklas och dra nytta av digitaliseringens potential, krävs ett allt större fokus på legalitets- och säkerhetsmässiga aspekter.

eSam har varit engagerade i arbetet med molntjänster sedan 2015. Sedan dess, har regelutvecklingen accelererat och många av lösningarna på marknaden har inte hunnit anpassas till de nya rättsliga förutsättningarna. Vi vill finna effektiva, legala och säkra tjänster, i samarbete med marknaden, som kan bidra till en positiv utveckling för Sverige som helhet.

Aktuellt arbete

Möten med leverantörer

I slutet av augusti samlade eSam en grupp leverantörer, och it-chefer från fem av eSams medlemmar till en temadag om offentlig sektors krav på tjänster och system. Syftet med mötet var att it-cheferna skulle ge sin bild av vilken vardag de har att hantera när det gäller legalitets- och säkerhetskrav på de tjänster och system som myndigheterna har och vad det offentliga Sverige behöver för att kunna använda molntjänster. I många fall tror vi att säkerhetsarrangemangen i tjänster från externa leverantörer är av bästa klass och i de flesta fall också överträffar många myndigheters egna lösningar för säkerheten. Efter it-chefernas presentationerlänk till annan webbplats, öppnas i nytt fönster (film) gavs leverantörerna möjlighet att ställa frågor och dagen avslutades med ett panelsamtal utifrån de frågeställningar som dök upp.

Efter temadagen har vi sett behov av att fortsätta dialogen med leverantörer. Därför träffade representanter för eSams medlemmar Microsoft i november, en leverantör som samtliga medlemmar har avtal med. Tillsammans företrädde eSam ungefär 1.5 miljoner användare i offentlig sektor. Syftet var att presentera den gemensamma kravbilden på molntjänsters legalitet och säkerhet och våra behov av lösningar på kort, medellång och lång sikt. En kort sammanfattning från mötet är att representanterna från Microsoft lyssnade på kravbilden och har meddelat att de återkommer till eSam efter egna samtal internt.

Skatteverkets it-direktör, Peder Sjölander som var en av deltagarna säjer:
- Samverkan mellan offentliga aktörer ger stora fördelar i diskussionerna på det här området, där myndigheternas krav blir tydliga. Vi pratar med en röst vilket vi tror att leverantörerna uppskattar.

Vägledningar och stöd

Arbete med vägledningar och stöd har pågått under året i en större grupp medlemmar och spänner över det legala området, tekniska förutsättningar och säkerhetsfrågorna. Arbetsgruppen analyserar olika tekniska lösningar kopplat till molntjänster. Generellt förutsätter den valda tekniska lösningen en bra implementering av produkten i den tekniska miljön samt personal med rätt kompetens för att produkterna ska användas på rätt sätt. Vi har tittat på tekniska förutsättningar utifrån olika informationssäkerhetsklasser. I början av december hoppas vi kunna ge medlemmarna fördjupade insikter kring bl.a. mötestjänster och andra tekniska verktyg vid användning av molntjänster.

Sedan tidigare finns stöddokument för it-avtalPDF och allmänna villkor för it-konsulttjänsterPDF

Nästa steg

I enlighet med rekommendationerna från Datainspektionen behöver offentliga aktörer göra en kartläggning av externa tjänster där det förekommer personuppgiftsbehandling. eSams medlemmar gör delvis det arbetet gemensamt eftersom många tjänster eller typ av tjänster är samma. En arbetsgrupp tar fram underlag som blir utgångspunkt för dialog i ett forum för samtliga medlemmar. En av frågorna i dialogen är möjliga alternativa lösningar.

eSams myndigheter arbetar också med en förvaltningsgemensam kravkatalog med standardiserade informations- och it-säkerhetskrav för upphandling av molntjänster. Kravkatalogen kan effektivisera medlemmarnas hantering i samband med upphandlingar, samtidigt som tydligheten och förutsägbarheten ökar för leverantörerna om vi använder oss av likartat formulerade krav.

Digitaliseringsrättsutredningen konstaterade tidigare att myndigheters behov av avtalsstöd för it-avtal har ökat med växande utkontraktering och mer komplexa it-avtal. Därför arbetar eSam med att ta fram it-avtal och villkor som är anpassade för offentlig förvaltning. Arbetet har inte molntjänster som utgångspunkt, men frågan berörs ändå genom utformning av villkor i it-avtal. Arbetet pågår och i dagsläget finns en vägledningPDF, liksom villkor för it-konsulterPDF.

Möten med leverantörer

I slutet av augusti samlade eSam en grupp leverantörer, och it-chefer från fem av eSams medlemmar till en temadag om offentlig sektors krav på tjänster och system. Syftet med mötet var att it-cheferna skulle ge sin bild av vilken vardag de har att hantera när det gäller legalitets- och säkerhetskrav på de tjänster och system som myndigheterna har och vad det offentliga Sverige behöver för att kunna använda molntjänster. I många fall tror vi att säkerhetsarrangemangen i tjänster från externa leverantörer är av bästa klass och i de flesta fall också överträffar många myndigheters egna lösningar för säkerheten. Efter it-chefernas presentationerlänk till annan webbplats, öppnas i nytt fönster (film) gavs leverantörerna möjlighet att ställa frågor och dagen avslutades med ett panelsamtal utifrån de frågeställningar som dök upp.

Efter temadagen har vi sett behov av att fortsätta dialogen med leverantörer. Därför träffade representanter för eSams medlemmar Microsoft i november, en leverantör som samtliga medlemmar har avtal med. Tillsammans företrädde eSam ungefär 1.5 miljoner användare i offentlig sektor. Syftet var att presentera den gemensamma kravbilden på molntjänsters legalitet och säkerhet och våra behov av lösningar på kort, medellång och lång sikt. En kort sammanfattning från mötet är att representanterna från Microsoft lyssnade på kravbilden och har meddelat att de återkommer till eSam efter egna samtal internt.

Skatteverkets it-direktör, Peder Sjölander som var en av deltagarna säjer:
- Samverkan mellan offentliga aktörer ger stora fördelar i diskussionerna på det här området, där myndigheternas krav blir tydliga. Vi pratar med en röst vilket vi tror att leverantörerna uppskattar.

Vägledningar och stöd

Arbete med vägledningar och stöd har pågått under året i en större grupp medlemmar och spänner över det legala området, tekniska förutsättningar och säkerhetsfrågorna. Arbetsgruppen analyserar olika tekniska lösningar kopplat till molntjänster. Generellt förutsätter den valda tekniska lösningen en bra implementering av produkten i den tekniska miljön samt personal med rätt kompetens för att produkterna ska användas på rätt sätt. Vi har tittat på tekniska förutsättningar utifrån olika informationssäkerhetsklasser. I början av december hoppas vi kunna ge medlemmarna fördjupade insikter kring bl.a. mötestjänster och andra tekniska verktyg vid användning av molntjänster.

Sedan tidigare finns stöddokument för it-avtalPDF och allmänna villkor för it-konsulttjänsterPDF

Nästa steg

I enlighet med rekommendationerna från Datainspektionen behöver offentliga aktörer göra en kartläggning av externa tjänster där det förekommer personuppgiftsbehandling. eSams medlemmar gör delvis det arbetet gemensamt eftersom många tjänster eller typ av tjänster är samma. En arbetsgrupp tar fram underlag som blir utgångspunkt för dialog i ett forum för samtliga medlemmar. En av frågorna i dialogen är möjliga alternativa lösningar.

eSams myndigheter arbetar också med en förvaltningsgemensam kravkatalog med standardiserade informations- och it-säkerhetskrav för upphandling av molntjänster. Kravkatalogen kan effektivisera medlemmarnas hantering i samband med upphandlingar, samtidigt som tydligheten och förutsägbarheten ökar för leverantörerna om vi använder oss av likartat formulerade krav.

Digitaliseringsrättsutredningen konstaterade tidigare att myndigheters behov av avtalsstöd för it-avtal har ökat med växande utkontraktering och mer komplexa it-avtal. Därför arbetar eSam med att ta fram it-avtal och villkor som är anpassade för offentlig förvaltning. Arbetet har inte molntjänster som utgångspunkt, men frågan berörs ändå genom utformning av villkor i it-avtal. Arbetet pågår och i dagsläget finns en vägledningPDF, liksom villkor för it-konsulterPDF.

Viktiga händelser

Ett antal viktiga händelser har haft betydelse för utvecklingen på området och har i hög grad påverkat digitaliseringens möjligheter:

  • 2015, eSams rättsliga uttalandePDF om röjande av sekretessreglerade uppgifter vid teknisk bearbetning
  • 2016, Dataskyddsförordningenlänk till annan webbplats, öppnas i nytt fönster – GDPR - beslutas som innebär ett ökat skydd för den personliga integriteten, trädde i kraft 25 maj 2018.
  • 2018, NIS-direktivetlänk till annan webbplats, öppnas i nytt fönster träder i kraft. Det ställer krav på säkerhet i nätverk och informationssystem i samhällsviktig verksamhet. Direktivet gäller både offentlig och privat sektor.
  • 2018, Säkerhetsskyddslagenlänk till annan webbplats, öppnas i nytt fönster träder i kraft. Den påverkar ALLA som bedriver säkerhetskänslig verksamhet
  • 2018, Cloud Act träder i kraft. En amerikansk lagstiftning som innebär att amerikanska leverantörer måste lämna ut uppgifter även från informationssystem i Europa.
  • FISA sektion 702, förnyelse av amerikansk lagstiftning (Foreign Intelligence Surveillance Act) som innebär att information kan hämtas om icke-amerikanska medborgare från alla amerikanska tjänsteleverantörer utan att individen har rätt att få saken prövad i domstol. Lagen giltig t.o.m. 2023.
  • eSam publicerar ett rättsligt uttalandePDF om molntjänster 2018 och kom ut med ett förtydligandePDF i samma fråga i september 2019
  • 2019, Kammarkollegiets förstudierapport Webbaserat kontorsstödlänk till annan webbplats, öppnas i nytt fönster som utredde möjligheten att skapa ett ramavtal som för offentlig sektor som klarar de nya legala och säkerhetsmässiga kraven. Slutsatsen var att det inte finns leverantörer på marknaden som klarade kraven.
  • Försäkringskassan gav ut Vitbokenlänk till annan webbplats, öppnas i nytt fönster i november 2019
  • eSams ordförande Katrin Westling Palm och Försäkringskassans Generaldirektör Nils Öberg bemöter en kritisk rapport som Cirio Advokatbyrå publicerade den 12 maj 2020 – ”Molntjänster, offentlighet och sekretess i offentlig sektor”.
  • 2020, EU-domstolens dom i Schrems II – måletlänk till annan webbplats, öppnas i nytt fönster, som innebar att Privacy Schield föll med omedelbar verkan och att Standard Contract Clauses kan användas efter en grundlig analys av vilken personinformation som överförs/tillgång som finns för tredjeland.

Ett antal viktiga händelser har haft betydelse för utvecklingen på området och har i hög grad påverkat digitaliseringens möjligheter:

  • 2015, eSams rättsliga uttalandePDF om röjande av sekretessreglerade uppgifter vid teknisk bearbetning
  • 2016, Dataskyddsförordningenlänk till annan webbplats, öppnas i nytt fönster – GDPR - beslutas som innebär ett ökat skydd för den personliga integriteten, trädde i kraft 25 maj 2018.
  • 2018, NIS-direktivetlänk till annan webbplats, öppnas i nytt fönster träder i kraft. Det ställer krav på säkerhet i nätverk och informationssystem i samhällsviktig verksamhet. Direktivet gäller både offentlig och privat sektor.
  • 2018, Säkerhetsskyddslagenlänk till annan webbplats, öppnas i nytt fönster träder i kraft. Den påverkar ALLA som bedriver säkerhetskänslig verksamhet
  • 2018, Cloud Act träder i kraft. En amerikansk lagstiftning som innebär att amerikanska leverantörer måste lämna ut uppgifter även från informationssystem i Europa.
  • FISA sektion 702, förnyelse av amerikansk lagstiftning (Foreign Intelligence Surveillance Act) som innebär att information kan hämtas om icke-amerikanska medborgare från alla amerikanska tjänsteleverantörer utan att individen har rätt att få saken prövad i domstol. Lagen giltig t.o.m. 2023.
  • eSam publicerar ett rättsligt uttalandePDF om molntjänster 2018 och kom ut med ett förtydligandePDF i samma fråga i september 2019
  • 2019, Kammarkollegiets förstudierapport Webbaserat kontorsstödlänk till annan webbplats, öppnas i nytt fönster som utredde möjligheten att skapa ett ramavtal som för offentlig sektor som klarar de nya legala och säkerhetsmässiga kraven. Slutsatsen var att det inte finns leverantörer på marknaden som klarade kraven.
  • Försäkringskassan gav ut Vitbokenlänk till annan webbplats, öppnas i nytt fönster i november 2019
  • eSams ordförande Katrin Westling Palm och Försäkringskassans Generaldirektör Nils Öberg bemöter en kritisk rapport som Cirio Advokatbyrå publicerade den 12 maj 2020 – ”Molntjänster, offentlighet och sekretess i offentlig sektor”.
  • 2020, EU-domstolens dom i Schrems II – måletlänk till annan webbplats, öppnas i nytt fönster, som innebar att Privacy Schield föll med omedelbar verkan och att Standard Contract Clauses kan användas efter en grundlig analys av vilken personinformation som överförs/tillgång som finns för tredjeland.

Övergripande inriktningen

Den övergripande inriktningen är att offentlig sektor ska kunna använda molntjänster i den fortsatta digitaliseringen, och att tjänsterna ska vara tekniskt ändamålsenliga, säkra och lagenliga. För att uppnå detta kan eSam fylla en roll i att dels agera vägledande och tydliggöra förutsättningar och krav så att medlemmarna kan fatta medvetna beslut, dels agera pådrivande för att åstadkomma de förändringar som behövs för att möjliggöra användandet. Utgångspunkten är att lagstiftningen av goda skäl är som den är och att lösningar, såvitt gäller kommersiella molntjänster, står att finna i förändrad teknisk funktionalitet och de kommersiella villkoren för tjänsten. Det är alltså tjänsterna och avtalen som ska anpassas till lagstiftningen, inte tvärtom.

Molntjänsterna behöver därför anpassas utifrån resurseffektiva, säkra och lagenliga behov, men enskilda myndigheter och/eller kommuner saknar normalt tillräcklig tyngd för att själva kunna påverka utbudet hos globala leverantörer av molntjänster. För att kunna tillgodose de behov som finns av justeringar i tjänsterna och förutsättningarna under vilka de erbjuds, behöver därför det offentliga Sverige uppträda gemensamt och likformigt. eSam har en viktig roll att fylla i detta avseende och kan driva på för att ta fram gemensamma krav och standarder på molntjänster i offentlig sektor. Dessa krav och standarder bör utarbetas i samverkan med branschen.

Den övergripande inriktningen är att offentlig sektor ska kunna använda molntjänster i den fortsatta digitaliseringen, och att tjänsterna ska vara tekniskt ändamålsenliga, säkra och lagenliga. För att uppnå detta kan eSam fylla en roll i att dels agera vägledande och tydliggöra förutsättningar och krav så att medlemmarna kan fatta medvetna beslut, dels agera pådrivande för att åstadkomma de förändringar som behövs för att möjliggöra användandet. Utgångspunkten är att lagstiftningen av goda skäl är som den är och att lösningar, såvitt gäller kommersiella molntjänster, står att finna i förändrad teknisk funktionalitet och de kommersiella villkoren för tjänsten. Det är alltså tjänsterna och avtalen som ska anpassas till lagstiftningen, inte tvärtom.

Molntjänsterna behöver därför anpassas utifrån resurseffektiva, säkra och lagenliga behov, men enskilda myndigheter och/eller kommuner saknar normalt tillräcklig tyngd för att själva kunna påverka utbudet hos globala leverantörer av molntjänster. För att kunna tillgodose de behov som finns av justeringar i tjänsterna och förutsättningarna under vilka de erbjuds, behöver därför det offentliga Sverige uppträda gemensamt och likformigt. eSam har en viktig roll att fylla i detta avseende och kan driva på för att ta fram gemensamma krav och standarder på molntjänster i offentlig sektor. Dessa krav och standarder bör utarbetas i samverkan med branschen.

Schrems II-domen i Europadomstolen 16 juli 2020

I juli kom domen från EU-domstolen, i målet C-311/18 Schrems II. Det handlade om ifall Facebook Irland kan föra över EU-medborgares personuppgifter till Facebook USA, trots att Facebook har vetskap om att amerikanska underrättelsemyndigheter sannolikt kommer att samla in och bearbeta den informationen.
EU-domstolen dömde att avtalet Privacy Shield mellan EU-kommissionen och USA, skulle anses ogiltigt med omedelbar verkan eftersom avtalet stred mot GDPR och tre artiklar i EU-stadgan. Detta innebär att de drygt 5000 företag som enbart använder Privacy Shield, står utan rättslig grund för personuppgiftsbehandling av EU-medborgares personuppgifter.

Vidare dömde EU-domstolen att de så kallade Standardavtalsklausulerna fortsatt kan användas som avtal för överföring av personuppgifter till länder utanför EU/EES.
Den personuppgiftsansvarige måste göra en egen analys av mottagarlandets lagstiftning på underrättelseområdet för att säkerställa att en sådan lagstiftning inte bryter mot Standardavtalsklausulerna. Detta gäller både för pågående och planerade överföringar av personuppgifter.

I det fall en svensk myndighet överför personuppgifter med stöd av Privacy Shield, är detta sedan 16:e juli 2020 en olaglig överföring. Om Standardavtalsklausulerna används, måste myndigheten göra en analys för respektive land där personuppgiftsbehandling kommer ske. I fallet med USA, är analysen till stor del gjord av EU-domstolen i och med att Privacy Shield inte levde upp till kraven i GDPR och EU-stadgan. Detta innebär att det i dagsläget är synnerligen svårt att anlita amerikanska företag för personuppgiftsbehandling, oaktat var i världen personuppgiftsbehandlingen sker.

I juli kom domen från EU-domstolen, i målet C-311/18 Schrems II. Det handlade om ifall Facebook Irland kan föra över EU-medborgares personuppgifter till Facebook USA, trots att Facebook har vetskap om att amerikanska underrättelsemyndigheter sannolikt kommer att samla in och bearbeta den informationen.
EU-domstolen dömde att avtalet Privacy Shield mellan EU-kommissionen och USA, skulle anses ogiltigt med omedelbar verkan eftersom avtalet stred mot GDPR och tre artiklar i EU-stadgan. Detta innebär att de drygt 5000 företag som enbart använder Privacy Shield, står utan rättslig grund för personuppgiftsbehandling av EU-medborgares personuppgifter.

Vidare dömde EU-domstolen att de så kallade Standardavtalsklausulerna fortsatt kan användas som avtal för överföring av personuppgifter till länder utanför EU/EES.
Den personuppgiftsansvarige måste göra en egen analys av mottagarlandets lagstiftning på underrättelseområdet för att säkerställa att en sådan lagstiftning inte bryter mot Standardavtalsklausulerna. Detta gäller både för pågående och planerade överföringar av personuppgifter.

I det fall en svensk myndighet överför personuppgifter med stöd av Privacy Shield, är detta sedan 16:e juli 2020 en olaglig överföring. Om Standardavtalsklausulerna används, måste myndigheten göra en analys för respektive land där personuppgiftsbehandling kommer ske. I fallet med USA, är analysen till stor del gjord av EU-domstolen i och med att Privacy Shield inte levde upp till kraven i GDPR och EU-stadgan. Detta innebär att det i dagsläget är synnerligen svårt att anlita amerikanska företag för personuppgiftsbehandling, oaktat var i världen personuppgiftsbehandlingen sker.