Debatt
Molntjänster
22 augusti 2019 kl 19:00

Nej, amerikanska molntjänster är inte säkra

Visst finns det risk för olovlig spridning av personuppgifter om det offentliga använder amerikanska molntjänster. Precis som eSam har påtalat, skriver Amelia Andersdotter. 

Det här är en opinionstext

”Det gick lite för fort” säger SKL:s sektionschef för digitalisering, Lotta Norström, angående eSams utlåtande att användning av amerikanska molntjänster är rättsligt osäkert givet den relativt nya amerikanska lagstiftningen Cloud Act. eSam är ett nätverk för 23 myndigheter och SKL:s medlemmar.

Händelsen utspelar sig under ett seminarium om molntjänster i offentlig sektor anordnat av Microsoft 1 juli 2019. Microsofts chefsjurist påtalar att det förvisso finns en risk för olovlig spridning av uppgifter vid användning av molntjänster, men att den är liten och att Microsoft gör allt i sin makt att förekomma den. Den 4 juli blev Microsofts nationella teknikchef, Daniel Akenine, utsedd till ledamot i regeringens digitaliseringsråd där han ska ge råd om, får man förmoda, säkerhet i molntjänster. 

Förloppet speglar ett halv sekels obekväma relationer mellan automatisk databehandling och offentlig sektor. Datorer, moln, informations- och kommunikationsteknik (IKT) inger hopp om effektivisering, ett så attraktivt mål att varje annat värde kan åsidosättas. Teknisk och juridisk säkerhet har ofta bortsetts ifrån.

Men eSams bedömning var inte alls förhastad, utan snarare alldeles för sen. Problemen med dataöverföringar till USA har varit kända sedan mitten av 1990-talet. Redan på 1970-talet påtalades att ökat beroende av amerikanska hård- och mjukvaror försatte Sverige i en svårfrånkomlig beroendeställning.

eSam belyser en redan känd bräcklighet i vårt juridiska och tekniska säkerhetssystem. Att sopa risken under mattan tar inte bort den. 

Ett av många skäl till bräckligheten är EU-inträdet 1994. Sverige är sedan dess underställt europeiska regler om dataskydd som upprätthålls av europeiska domstolar. 

Dataöverföringar till USA är exempelvis redan prövade. I oktober 2015 fastställde EU-domstolen det som borde ha varit känt sedan 2004: att USA inte ger tillräckliga garantier för europeiska medborgares dataskydd. Politikerna chockerades. Men hade man tagit ansvar för de regler som redan fanns hade det inte varit någon överraskning.

Den svenska regeringen meddelade i stället att EU-kommissionen inte fick ställa "ultimata krav" på USA vid diskussioner om nya villkor för dataöverföring.[1] Och kravlösheten har givetvis föranlett nya rättsprövningar. EU-domstolens nästa beslut väntas om ett halvår.

De upprepade prövningarna följer av politisk oförmåga att förhålla sig till lagar och regler. Och kanske även av att digitaliseringsråd och andra rekommenderar avsteg och letar kryphål. Ett inte bara svenskt problem, kanske vissa invänder, men ändå ett problem som eSam företagit sig att rätta till.

När Datainspektionen i tyska delstaten Hessen den 9 juli i år anmodat begränsningar av molntjänster i offentlig sektor med hänvisning till CloudAct får eSam europeiskt stöd för sina bedömningar. Att i effektivitetens namn ihärda med kraven på flexibilitet kring skyddet för medborgarna är då olämpligt.


[1] Citat ur Justitiedepartementets instruktion inför sammanträde i kommittén för skydd av enskilda med avseende på behandling av personuppgifter av 2016–06–20.

Det här är en opinionstext publicerad i Dagens Samhälle. Åsikterna som uttrycks i artikeln står skribenten/skribenterna för.