Molnet - nödvändigt för offentlig sektor

Molntjänster kan organiseras på olika sätt beroende på verksamhetens behov, säkerhetskrav och graden av rådighet över data. För att skapa en gemensam förståelse utgår eSam från etablerade definitioner:

• Publika moln tillhandahålls av kommersiella leverantörer och delas av många användare eller organisationer. De kan erbjuda skalbarhet och kostnadseffektivitet och infrastrukturen ägs av leverantören. Avtal och servicenivåer är i regel standardiserade och kan inte kundanpassas i samma utsträckning som i andra molnmodeller. Andra länders lagstiftning kan inverka extraterritoriellt, vilket påverkar rådighet och kontroll över data.
• Gemensamma moln uvecklas och används av flera organisationer tillsammans, ofta inom offentlig sektor. Ägande och styrning kan delas mellan aktörerna vilket stärker rådigheten och möjliggör gemensamma lösningar i frågor om suveränitet, säkerhet och avtalsvillkor.
• Privata moln är avgränsade till en enskild organisation där kontroll och insyn över drift och data är åtskilt från andra kunder. Ger större möjlighet att anpassa avtal och servicenivåer efter verksamhetens behov. Kan vara särskilt relevant när kraven på suveränitet, dataskydd, sekretess, säkerhet eller totalförsvar väger tungt – även om det ofta innebär högre kostnader.

Myndigheter och andra organisationer kan bättre avgöra vilken modell som är mest lämplig för den egna verksamhetens behov genom att väga in tekniska och juridiska aspekter, frågor om ägande, rådighet, möjlighet att förhandla och eventuell påverkan från extraterritoriell lagstiftning.

Det är många frågor som hänger ihop på molnområdet, till exempel det arbete som eSams medlemmar gjort om utkontraktering och adekvansbeslutet. (Länkar efter texten.) Det här avsnittet sammanfattar möjligheter och risker samt vilka åtgärder som kan stärka suveränitet, säkerhet och långsiktig kontroll

EU har tagit fram ett adekvansbeslut gällande handelsavtalet Privacy shield version 2. I Sverige ändrades därmed förutsättningarna för röjande av sekretess då både OSL och lagen om tystnadsplikt påverkas i den nya sekretessbrytande bestämmelsen som trädde ikraft den 1 juli 2023. Syftet i båda fall är att förenkla it-utkontraktering. EU-kommissionen utvärderar löpande adekvansbeslutet och ett upphävande skulle innebära att man behöver luta sig mot annat stöd för överföring av personuppgifter.

eSams molngrupp tog fram en kortare PM för att stötta medlemmarna i hur förändringarna förväntas påverka våra egna beslutsprocesser och bedömningar, vid myndigheters utkontraktering av IT-tjänster. Frågan är komplex för offentlig sektor och ska analyseras ur flera olika perspektiv, tex affärsbehov, juridik, IT arkitektur och säkerhet. De här förändringarna är en del av en större lämplighetsbedömning som myndigheter förväntas göra.

Uppdaterad vägledning vid utkontraktering

En myndighet som överväger en utkontraktering ställs ofta inför en rad olika frågor; Vilka verksamhetsbehov som finns, säkerhetsmässiga överväganden och inte minst hur de rättsliga förutsättningarna ser ut. Komplexiteten i kravställningen vid utkontraktering har ökat markant med åren. Från och med den 1 juli 2023 gäller dessutom en ny sekretessbrytande bestämmelse (10 kap. 2 a § OSL) som kan användas vid utkontraktering för teknisk bearbetning eller teknisk lagring.

Vägledningen ska ge stöd för bedömningar som myndigheten måste göra, i fråga om sekretess och dataskydd. Bl.a. beskrivs tredjelandsöverföring jämfört med när det finns en risk för otillåten överföring samt innebörden av den nya sekretessbrytande bestämmelsen. Utöver detta berörs kortfattat, frågor om allmänna handlingar och informationssäkerhet. Vägledningen gör inte anspråk på en uttömmande beskrivning av alla överväganden som måste göras vid utkontraktering, utan snarare en hjälp i de rättsliga bedömningarna.

En förändrad syn på röjande-frågan

Lagstiftaren skapar nu en mer hållbar rättslig kedja. Sedan tidigare finns bestämmelser om tystnadsplikt vid utkontraktering för teknisk bearbetning eller teknisk lagring. Genom den nya sekretessbrytande bestämmelsen finns nu också en tydligare reglering att förhålla sig till inför själva utkontrakteringen.

Samtidigt kan bestämmelsen innebära att myndigheten behöver omvärdera sina tidigare bedömningar kring utkontraktering. I förarbetena till den nya bestämmelsen står klart att en uppgift som omfattas av sekretess och som görs tillgänglig för en tjänsteleverantör, ska betraktas som utlämnad eller röjd i OSL:s mening. Detta är således en förändrad syn jämfört med hur eSam m.fl. tidigare har sett på röjandefrågan, som menat att uppgifter under vissa förutsättningar kunnat utkontrakteras för teknisk bearbetning eller teknisk lagring utan att samtidigt bli röjda.

I den nya sekretessbrytande bestämmelsen införs ett olämplighetsrekvisit

Myndigheter kommer att behöva bedöma om det är en utkontraktering som sker enligt den nya sekretessbrytande bestämmelsen eller om det faller utanför begreppet teknisk bearbetning eller lagring. I det senare fallet får myndigheten istället falla tillbaka på ordinarie sekretessregleringen, som t.ex om ett utlämnande är möjligt utifrån ett s.k. skaderekvisit. I en utkontraktering skulle båda ”spåren” kunna bli aktuella, dvs att en del kan bedömas utifrån den nya bestämmelsen och en annan del inte. Myndigheten kommer då även att behöva fundera på hur flödena kan skiljas åt och vilken betydelse det får för avtalsskrivningarna.

Bedömningen om det inte är olämpligt att uppgifterna lämnas ut, blir en ny omständighet att ta i beaktande där det ännu inte finns så många exempel att luta sig emot. Det är också viktigt att ha koll på vilka krav som är möjliga att ställa enligt upphandlingsregelverket.

Ambitionen är att uppdatera vägledningen med mer praxis och konkreta exempel när sådana finns. Vid behov finns det också möjlighet att kontakta eSams molngrupp för stöd inför en utkontraktering.

Vägledning vid utkontraktering - sekretess och dataskydd - 2023 pdf, 692.2 kB.

Uppdatering kring adekvansbeslutet i en turbulent tid - 2025 pdf, 85.8 kB.

eSams medlemmar arbetar just nu med att utveckla metodstöd för risk‑ och suveränitetsanalyser, bevaka molnleverantörernas förflyttning mot cloud only, samt erfarenhetsutbyte genom rapporter, hackaton och nätverksträffar. Detta stärker offentlig sektors förmåga att fatta medvetna beslut och driva gemensamma krav gentemot leverantörer.

Metodstöd till medlemmar

• Metodutveckling för molntjänstanalyser: eSam har publicerat rapporter som t.ex. Att analysera molntjänster – några utgångspunkter, där metodik för risk‑ och konsekvensanalyser presenteras.
• Tvärfunktionella arbetssätt: Rekommendationer ges om hur juridik, IT‑arkitektur, informationssäkerhet och verksamhet kan samverka i analysarbetet.

Samverkan med eSam-grupper för omvärldsbevakning

• Radarbilden: eSam publicerar regelbundet Radarbilden, en rapport som samlar initiativ och förändringar i omvärlden som påverkar myndigheternas digitalisering. Den senaste versionen lyfter särskilt frågor om AI, cybersäkerhet och molntjänsternas utveckling.
• Molntjänst-marknaden: Medlemmarna följer leverantörernas strategiska skiften mot publika molntjänster, hybrida och digitalt suveräna levernsformer och analyserar konsekvenser det får för offentlig sektor.
• Suveränitetsfrågor: Arbetet inkluderar att bevaka EU och nationella ramverk samt att bedöma hur dessa påverkar rådighet över data och tjä

Erfarenhetsutbyten

• Hackaton och gemensamma event: eSam arrangerar digitala hackaton för medlemsmyndigheter, senast med teman som Datadelning och gemensamma datastrategier samt Plan B, som är ett gemensamt initiativ mellan Föreningen Sambruk och eSam och som fokuserar på digital beredskap och suveränitet – alltså hur offentlig sektor ska agera om tillgången till kritiska IT‑system eller molntjänster plötsligt försvinner
• Nätverksträffar och workshops: Medlemmar delar erfarenheter kring molntjänstupphandlingar, säkerhetslösningar och juridiska tolkningar.

Ett antal viktiga händelser har haft betydelse för utvecklingen på området och har i hög grad påverkat digitaliseringens möjligheter:

• 2015, eSams rättsliga uttalande om röjande av sekretessreglerade uppgifter vid teknisk bearbetning
• 2016, Dataskyddsförordningen Länk till annan webbplats, öppnas i nytt fönster. – GDPR - beslutas som innebär ett ökat skydd för den personliga integriteten, trädde i kraft 25 maj 2018.
• 2018, NIS-direktivet Länk till annan webbplats, öppnas i nytt fönster. träder i kraft. Det ställer krav på säkerhet i nätverk och informationssystem i samhällsviktig verksamhet. Direktivet gäller både offentlig och privat sektor.
• 2018, Säkerhetsskyddslagen Länk till annan webbplats, öppnas i nytt fönster. antas. Den påverkar ALLA som bedriver säkerhetskänslig verksamhet. Lagen träder i kraft 2019.
• 2018, Cloud Act träder i kraft. En amerikansk lagstiftning som innebär att amerikanska leverantörer måste lämna ut uppgifter även från informationssystem i Europa.
• FISA sektion 702, förnyelse av amerikansk lagstiftning (Foreign Intelligence Surveillance Act) som innebär att information kan hämtas om icke-amerikanska medborgare från alla amerikanska tjänsteleverantörer utan att individen har rätt att få saken prövad i domstol. Lagen giltig t.o.m. 2023.
• eSam publicerar ett rättsligt uttalande om molntjänster 2018 och kom ut med ett förtydligande i samma fråga i september 2019
• 2019, Kammarkollegiets förstudierapport Webbaserat kontorsstöd som utredde möjligheten att skapa ett ramavtal som för offentlig sektor som klarar de nya legala och säkerhetsmässiga kraven. Slutsatsen var att det inte finns leverantörer på marknaden som klarade kraven.
• Försäkringskassan gav ut Vitboken i november 2019
• 2020, EU-domstolens dom i Schrems II – målet Länk till annan webbplats, öppnas i nytt fönster., som innebar att Privacy Schield föll med omedelbar verkan och att Standard Contract Clauses kan användas efter en grundlig analys av vilken personinformation som överförs/tillgång som finns för tredjeland.
• 2021, Skatteverket och Kronofogden tog fram det som vanligen kallas Teams-promemorian. En analys som kom fram till slutsatsen att myndigheterna inte kommer att gå över till att använda Teams då det bara kan tillhandahållas i molnet, till skillnad från Skype som installeras on-prem. Myndigheterna beslutade att inleda ett arbete för att hitta alternativ som saknar tredjelandsöverföringar, vilket resulterade i det samverkansarbete som går under namnet Digital samarbetsplattform för offentlig sektor.
• 2022: I juni presenteras exempel på lösningar som; Var och en för sig eller tilsammans i federation, på plattformar som uppfyller de rättsliga och säkerhetsmässiga kraven från projekt dSams arbete, kan utgöra ersättare för samarbetsplattformar som Skype eller Teams.
• 2022: Från Schrems II till adekvat skyddsnivå - IMY Länk till annan webbplats.
• NIS2-direktivet och CER - lagen om av kritiska entiteter - beslutas av EU. Ett svenskt införande dröjde till januari 2026.
• 2023: 1 juli får vi en ny sekretessbrytande bestämmelse i OSL,10 kap 2 a § Länk till annan webbplats, öppnas i nytt fönster.
  
• 2023: 10 juli fattar EU-kommissionen beslut om adekvat skyddsnivå för USA Länk till annan webbplats, öppnas i nytt fönster..
  
• 2025: Till följd av geopolitiska förflyttningar i omvärlden, ändras fokus i frågan från dataskydd, till att i mycket högre utsträckning handla om suveränitet.