Bromsklossar för svenska och amerikanska molntjänster är nu borta
Det underlättar digitaliseringen i många offentliga verksamheter som varit återhållsamma av rädsla för att göra fel – både i hur personuppgifter ska hanteras och i vilken utsträckning amerikanska molnbaserade tjänster kan användas. Nu har de största juridiska frågetecknen äntligen rätats ut.
Olof Eilertsson, specialist informationssäkerhet på Atea med bakgrund som jurist, förklarar vad som har hänt – och vad det innebär för din organisation.
I somras kom två efterlängtade besked som gör att det offentliga Sverige nu får nya möjligheter att ta stora, viktiga kliv framåt med hjälp av amerikanska tjänster:
- Ett adekvansbeslut i EU-kommissionen angående användning av amerikanska molnbaserade tjänster. EU-kommissionen anser att den amerikanska hanteringen av personuppgifter med gjorda förändringar lever upp till och kan jämställas med kraven i GDPR. Konsekvensen är att inga ytterligare skyddsmekanismer måste användas för amerikanska molntjänster.
- Ett tillägg i den svenska offentlighets- och sekretesslagen som började gälla 1 juli. Tillägget gör det tydligt att offentliga verksamheter nu har lagstöd för att – efter en egen lämplighetsprövning – utkontraktera it-drift av material som omfattas av lagen.
En lättnad för många
För många offentliga verksamheter innebär de här nyheterna en stor lättnad.
Att digitaliseringen tar fart är en förutsättning för att kunna leva upp till de nya, tuffare villkoren åren framöver, med en ökad resursbrist på många håll i samhället samtidigt som medborgarnas förväntningar om smidiga digitala lösningar hela tiden ökar.
Olof Eilertsson, specialist informationssäkerhet
– Vi på Atea har sett många verksamheter göra stora investeringar i amerikanska molntjänster – som till exempel Microsoft Azure, Amazon Web Services eller Google Cloud – men sedan känt sig tvungna att på ett eller annat sätt hålla tillbaka vad gäller själva nyttjandet, just för att det varit ett oklart juridiskt läge. Man har begränsat användningen av vissa funktioner och så vidare.
– Många har inte heller vågat att dra nytta av externa drift- och informationshanteringstjänster av rädsla för att då bryta mot offentlighets- och sekretesslagstiftningen (OSL). Det har inneburit en broms i utvecklingen.
Nu när möjligheter har öppnats upp och hinder har röjts kan ”digitaliseringsskulden” börja betalas av – det vill säga all den digitalisering som borde ha gjorts under de här åren, men där juridisk osäkerhet kring amerikanska molntjänster har kommit emellan.
De amerikanska molntjänsterna: Vad innebär adekvansbeslutet?
I beslutet som EU-kommissionen fattade den 10 juli, fastslogs att inga extra säkerhets- och skyddsåtgärder för personuppgifter krävs för att nyttja amerikanska molntjänster.
– Det har inte varit explicit förbjudet tidigare, men man har varit tvungen att vidta åtgärder i hanteringen som gör att du når en nivå av skydd av personuppgifter som motsvarar den nivå som GDPR har krävt. Det är det extraarbetet som adekvansbeslutet nu lyfter bort.
Hänsyn till GDPR behöver fortfarande tas. Men den stora juridiska dimman kring lagligheten har lättat. Ingen kan längre säga att det är olagligt att överföra personuppgifter till USA.
– Adekvansbeslutet gäller samarbeten med amerikanska bolag som har förbundit sig att följa avtalet, i dagsläget cirka 2800 stycken.
De amerikanska molntjänsteleverantörer som har skrivit på kan du hitta i den här databasen:
– Fortfarande måste verksamheten själv göra en bedömning av vad man ska använda verktyg som Teams till, vilka samtal som kan genomföras där, vad som är lämpliga att spelas in och så vidare. Men den juridiska problematiken kring tredjelandsöverföring är i alla fall undanröjd nu.
Vad innebär det nya tillägget i offentlighets- och sekretesslagen?
Tillägget i OSL medger nu en laglig möjlighet till utkontraktering av it-drift, efter att relevanta bedömningar gjorts.
Den nya paragrafen är 10 kap 2a § offentlighets- och sekretesslagen lyder så här:
Sekretess hindrar inte att en uppgift lämnas till en enskild eller till en annan myndighet som för den utlämnande myndighetens räkning har i uppdrag att endast tekniskt bearbeta eller tekniskt lagra uppgiften, om det med hänsyn till omständigheterna inte är olämpligt att uppgiften lämnas ut.
I praktiken betyder det att verksamheter i större utsträckning kan ta hjälp av it-tjänsteleverantörer för att få en mer kostnadseffektiv och säkrare digitaliseringsresa. Till exempel väljer många av våra kunder att nyttja tjänster som Molnserver.
De söker också inspiration om hur andra kunder inom offentlig sektor gjort genom artiklar och reportage med våra specialister.
– Det ligger fortfarande på respektive verksamhet att självständigt bedöma vilken nivå av skydd som krävs för olika informationsklasser. Men med tillägget i den nya lagen skapas ändrade förutsättningar för att göra bedömningen att det går bra att lägga ut driften i många fler fall än tidigare. Man kan göra det med stöd i den nya paragrafen.
Kan man lita på att det inte kommer bakslag?
EU:s adekvansbeslut för nyttjandet av amerikanska molntjänster vilar mot ett presidentdekret från USA:s president, inte på en amerikansk lag som har betydligt mer långsiktig tyngd. Kan man verkligen lita på att adekvansbeslutet ligger fast? Finns det inte en risk att det kommer det att rivas upp längre fram, exempelvis om en ny president kommer till makten i USA?
Så här svarar Olof:
– EU-kommissionen har fattat ett beslut att bedöma den amerikanska hanteringen av personuppgifter på ett sådant sätt att EU:s krav är tillgodosedda. Det är vad vi har att förhålla oss till. Både från amerikansk och europeisk sida finns ett stort värde i att amerikanska molntjänster kan användas. Europa är en jättemarknad för amerikanska bolag, och enorma värden står på spel. Vi kan bara spekulera i om USA:s nästa president kommer ändra på det.
Det rimliga för svenska verksamheter – menar han – är att utgå ifrån vad vi vet i dag: EU-kommissionen har fattat ett beslut att bedöma USA:s hantering av personuppgifter på ett sådant sätt att EU:s krav är tillgodosedda. Det är vad vi har att förhålla oss till.
Han fortsätter:
– Ingen kan längre säga att det är förbjudet att använda amerikanska molntjänster med hänvisning till tredjelandsöverföringsproblematiken. Det är inte bara ett grönt ljus från EU-kommissionen, utan kommissionen har bedömt att det finns grunder för beslutet.
Hög tid att växla upp digitaliseringen nu
I en artikel i början av året gick Olof Eilertsson igenom konsekvenserna av att hålla foten på bromsen i väntan på besked i molnfrågan.
– Den som väljer att avvakta för att se vad som kommer runt hörnet kan stå stilla i sin utveckling väldigt länge, sa han då.
Och det är fortfarande sant. I många offentliga verksamheter blir det väldigt svårt att möta verksamhetens mål åren framöver om den digitala utvecklingen inte tar fart på allvar.
– Adekvansbeslutet från EU-kommissionen och tillägget i offentlighets- och sekretesslagen innebär att många fler organisationer nu har möjlighet att använda amerikanska molntjänster och andra verktyg och tjänster som underlättar i vardagen för både medarbetare och medborgare.
I höst kommer dessutom nya tekniska lösningar ut på marknaden som ger offentliga verksamheter en helt annan nivå av säkerhet för information som omfattas av bland annat offentlighets- och sekretesslagen.
– Vi kan inte säga så mycket mer om det just nu. Men sammantaget ser det ut så här: Offentlig sektor har aldrig haft så stora möjligheter att göra rätt i de här sammanhangen som nu, säger Olof.
TIPS! För dig som vill veta mer om EU-kommissionens adekvansbeslut för användning av amerikanska it-tjänster finns mer information på Integrationsmyndighetens webbplats.