molntjänster

Molnfrågan

För svensk offentlig sektor är det nödvändigt att kunna använda molntjänster i någon form för att lyckas med digitaliseringen. Därför arbetar vi nu med att säkerställa hur vi inom ramen för gällande rätt kan använda de lösningar som medlemmarnas verksamheter behöver.

Sverige som land påverkas av allt som händer i omvärlden. Det kan vara i vår geografiska närhet eller längre bort. Globala trender, relationer mellan länder med mera påverkar Sveriges förutsättning att nyttja digitaliseringens möjligheter. Det säkerhetspolitiska läget har de senaste åren präglats av instabilitet. Det återspeglas bland annat i den allt mer genomträngande övervakningslagstiftningen som vi ser världen över. För att Sverige som land ska fortsätta utvecklas och dra nytta av digitaliseringens potential, krävs ett allt större fokus på legalitets- och säkerhetsmässiga aspekter.

eSam har varit engagerade i arbetet med molntjänster sedan 2015. Sedan dess, har regelutvecklingen accelererat och många av lösningarna på marknaden har inte hunnit anpassas till de nya rättsliga förutsättningarna. Vi vill finna effektiva, legala och säkra tjänster, i samarbete med marknaden, som kan bidra till en positiv utveckling för Sverige som helhet.

Viktiga händelser

Ett antal viktiga händelser har haft betydelse för utvecklingen på området och har i hög grad påverkat digitaliseringens möjligheter:
(Länkar till dokument, sidor etc vid varje punkt)

  • 2015, eSams rättsliga uttalande om röjande av sekretessreglerade uppgifter vid teknisk bearbetning, intern länk till dok
  • 2016, Dataskyddsförordningen – GDPR - beslutas som innebär ett ökat skydd för den personliga integriteten (länk till DI)
  • 2018, NIS-direktivet träder i kraft. Det ställer krav på säkerhet i nätverk och informationssystem i samhällsviktig verksamhet. Direktivet gäller både offentlig och privat sektor.
  • 2018, Säkerhetsskyddslagen träder i kraft. Den påverkar ALLA som bedriver säkerhetskänslig verksamhet
  • 2018, Cloud Act träder i kraft. En amerikansk lagstiftning som innebär att amerikanska leverantörer måste lämna ut uppgifter även från informationssystem i Europa.
  • FISA sektion 702, förnyelse av amerikansk lagstiftning (Foreign Intelligence Surveillance Act) som innebär att information kan hämtas om icke-amerikanska medborgare från alla amerikanska tjänsteleverantörer utan att individen har rätt att få saken prövad i domstol. Lagen giltig t.o.m. 2023.
  • eSam publicerar ett rättsligt uttalande om molntjänster 2018 och kom ut med ett förtydligande i samma fråga i september 2019
  • 2019, Kammarkollegiets förstudierapport ”Webbaserat kontorsstöd” som utredde möjligheten att skapa ett ramavtal som för offentlig sektor som klarar de nya legala och säkerhetsmässiga kraven. Slutsatsen var att det inte finns leverantörer på marknaden som klarade kraven.
  • Katrins och Nils bemötande våren 2020.
  • Försäkringskassan gav ut ”Vitboken” 2020
  • 2020, EU-domstolens dom i Schrems II – målet, som innebar att Privacy Schield föll med omedelbar verkan och att Standard Contract Clauses kan användas efter en grundlig analys av vilken personinformation som överförs/tillgång som finns för tredjeland.

Ett antal viktiga händelser har haft betydelse för utvecklingen på området och har i hög grad påverkat digitaliseringens möjligheter:
(Länkar till dokument, sidor etc vid varje punkt)

  • 2015, eSams rättsliga uttalande om röjande av sekretessreglerade uppgifter vid teknisk bearbetning, intern länk till dok
  • 2016, Dataskyddsförordningen – GDPR - beslutas som innebär ett ökat skydd för den personliga integriteten (länk till DI)
  • 2018, NIS-direktivet träder i kraft. Det ställer krav på säkerhet i nätverk och informationssystem i samhällsviktig verksamhet. Direktivet gäller både offentlig och privat sektor.
  • 2018, Säkerhetsskyddslagen träder i kraft. Den påverkar ALLA som bedriver säkerhetskänslig verksamhet
  • 2018, Cloud Act träder i kraft. En amerikansk lagstiftning som innebär att amerikanska leverantörer måste lämna ut uppgifter även från informationssystem i Europa.
  • FISA sektion 702, förnyelse av amerikansk lagstiftning (Foreign Intelligence Surveillance Act) som innebär att information kan hämtas om icke-amerikanska medborgare från alla amerikanska tjänsteleverantörer utan att individen har rätt att få saken prövad i domstol. Lagen giltig t.o.m. 2023.
  • eSam publicerar ett rättsligt uttalande om molntjänster 2018 och kom ut med ett förtydligande i samma fråga i september 2019
  • 2019, Kammarkollegiets förstudierapport ”Webbaserat kontorsstöd” som utredde möjligheten att skapa ett ramavtal som för offentlig sektor som klarar de nya legala och säkerhetsmässiga kraven. Slutsatsen var att det inte finns leverantörer på marknaden som klarade kraven.
  • Katrins och Nils bemötande våren 2020.
  • Försäkringskassan gav ut ”Vitboken” 2020
  • 2020, EU-domstolens dom i Schrems II – målet, som innebar att Privacy Schield föll med omedelbar verkan och att Standard Contract Clauses kan användas efter en grundlig analys av vilken personinformation som överförs/tillgång som finns för tredjeland.

Övergripande inriktningen

Den övergripande inriktningen är att offentlig sektor ska kunna använda molntjänster i den fortsatta digitaliseringen, och att tjänsterna ska vara tekniskt ändamålsenliga, säkra och lagenliga. För att uppnå detta kan eSam fylla en roll i att dels agera vägledande och tydliggöra förutsättningar och krav så att medlemmarna kan fatta medvetna beslut, dels agera pådrivande för att åstadkomma de förändringar som behövs för att möjliggöra användandet. Utgångspunkten är att lagstiftningen av goda skäl är som den är och att lösningar, såvitt gäller kommersiella molntjänster, står att finna i förändrad teknisk funktionalitet och de kommersiella villkoren för tjänsten. Det är alltså tjänsterna och avtalen som ska anpassas till lagstiftningen, inte tvärtom.

Molntjänsterna behöver därför anpassas utifrån resurseffektiva, säkra och lagenliga behov, men enskilda myndigheter och/eller kommuner saknar normalt tillräcklig tyngd för att själva kunna påverka utbudet hos globala leverantörer av molntjänster. För att kunna tillgodose de behov som finns av justeringar i tjänsterna och förutsättningarna under vilka de erbjuds, behöver därför det offentliga Sverige uppträda gemensamt och likformigt. eSam har en viktig roll att fylla i detta avseende och kan driva på för att ta fram gemensamma krav och standarder på molntjänster i offentlig sektor. Dessa krav och standarder bör utarbetas i samverkan med branschen.

Den övergripande inriktningen är att offentlig sektor ska kunna använda molntjänster i den fortsatta digitaliseringen, och att tjänsterna ska vara tekniskt ändamålsenliga, säkra och lagenliga. För att uppnå detta kan eSam fylla en roll i att dels agera vägledande och tydliggöra förutsättningar och krav så att medlemmarna kan fatta medvetna beslut, dels agera pådrivande för att åstadkomma de förändringar som behövs för att möjliggöra användandet. Utgångspunkten är att lagstiftningen av goda skäl är som den är och att lösningar, såvitt gäller kommersiella molntjänster, står att finna i förändrad teknisk funktionalitet och de kommersiella villkoren för tjänsten. Det är alltså tjänsterna och avtalen som ska anpassas till lagstiftningen, inte tvärtom.

Molntjänsterna behöver därför anpassas utifrån resurseffektiva, säkra och lagenliga behov, men enskilda myndigheter och/eller kommuner saknar normalt tillräcklig tyngd för att själva kunna påverka utbudet hos globala leverantörer av molntjänster. För att kunna tillgodose de behov som finns av justeringar i tjänsterna och förutsättningarna under vilka de erbjuds, behöver därför det offentliga Sverige uppträda gemensamt och likformigt. eSam har en viktig roll att fylla i detta avseende och kan driva på för att ta fram gemensamma krav och standarder på molntjänster i offentlig sektor. Dessa krav och standarder bör utarbetas i samverkan med branschen.

Schrems II-domen i Europadomstolen 16 juli 2020

I juli kom domen från EU-domstolen, i målet C-311/18 Schrems II. Det handlade om ifall Facebook Irland kan föra över EU-medborgares personuppgifter till Facebook USA, trots att Facebook har vetskap om att amerikanska underrättelsemyndigheter sannolikt kommer att samla in och bearbeta den informationen.
EU-domstolen dömde att avtalet Privacy Shield mellan EU-kommissionen och USA, skulle anses ogiltigt med omedelbar verkan eftersom avtalet stred mot GDPR och tre artiklar i EU-stadgan. Detta innebär att de drygt 5000 företag som enbart använder Privacy Shield, står utan rättslig grund för personuppgiftsbehandling av EU-medborgares personuppgifter.

Vidare dömde EU-domstolen att de så kallade Standardavtalsklausulerna fortsatt kan användas som avtal för överföring av personuppgifter till länder utanför EU/EES.
Den personuppgiftsansvarige måste göra en egen analys av mottagarlandets lagstiftning på underrättelseområdet för att säkerställa att en sådan lagstiftning inte bryter mot Standardavtalsklausulerna. Detta gäller både för pågående och planerade överföringar av personuppgifter.

I det fall en svensk myndighet överför personuppgifter med stöd av Privacy Shield, är detta sedan 16:e juli 2020 en olaglig överföring. Om Standardavtalsklausulerna används, måste myndigheten göra en analys för respektive land där personuppgiftsbehandling kommer ske. I fallet med USA, är analysen till stor del gjord av EU-domstolen i och med att Privacy Shield inte levde upp till kraven i GDPR och EU-stadgan. Detta innebär att det i dagsläget är synnerligen svårt att anlita amerikanska företag för personuppgiftsbehandling, oaktat var i världen personuppgiftsbehandlingen sker.

I juli kom domen från EU-domstolen, i målet C-311/18 Schrems II. Det handlade om ifall Facebook Irland kan föra över EU-medborgares personuppgifter till Facebook USA, trots att Facebook har vetskap om att amerikanska underrättelsemyndigheter sannolikt kommer att samla in och bearbeta den informationen.
EU-domstolen dömde att avtalet Privacy Shield mellan EU-kommissionen och USA, skulle anses ogiltigt med omedelbar verkan eftersom avtalet stred mot GDPR och tre artiklar i EU-stadgan. Detta innebär att de drygt 5000 företag som enbart använder Privacy Shield, står utan rättslig grund för personuppgiftsbehandling av EU-medborgares personuppgifter.

Vidare dömde EU-domstolen att de så kallade Standardavtalsklausulerna fortsatt kan användas som avtal för överföring av personuppgifter till länder utanför EU/EES.
Den personuppgiftsansvarige måste göra en egen analys av mottagarlandets lagstiftning på underrättelseområdet för att säkerställa att en sådan lagstiftning inte bryter mot Standardavtalsklausulerna. Detta gäller både för pågående och planerade överföringar av personuppgifter.

I det fall en svensk myndighet överför personuppgifter med stöd av Privacy Shield, är detta sedan 16:e juli 2020 en olaglig överföring. Om Standardavtalsklausulerna används, måste myndigheten göra en analys för respektive land där personuppgiftsbehandling kommer ske. I fallet med USA, är analysen till stor del gjord av EU-domstolen i och med att Privacy Shield inte levde upp till kraven i GDPR och EU-stadgan. Detta innebär att det i dagsläget är synnerligen svårt att anlita amerikanska företag för personuppgiftsbehandling, oaktat var i världen personuppgiftsbehandlingen sker.