Debatt
Molntjänster
20 januari 2020 kl 19:00

Vi JO-anmäler Göteborg för bristande säkerhet

Göteborgs stad är en av de kommuner som gått längst när det gäller användandet av utländska molntjänster. Vi ser flera risker med detta och anmäler därför kommunen till Justitieombudsmannen, skriver Amelia Andersdotter, Dataskydd.net.

Det här är en opinionstext

Amelia Andersdotter
ordförande, Dataskydd.net

Vi får ofta höra talas om fördelarna med molntjänster så som skalbarhet, kostnadseffektivitet och säkerhet. Men det faktum att molntjänster också innebär att vi lämnar över känsliga uppgifter till någon annan nämns mer sällan. Budskapet att molnet egentligen bara är någon annans dator finns på t-shirts, klistermärken och memes som sprids på internet.

Användning av molntjänster eller annan form av outsourcing måste åtföljas av en medvetenhet om konsekvenser. Vi vill inte påstå att det alltid är fel att använda molntjänster eller annan form av outsourcing. Men det måste göras på ett sätt så att enskildas rätt till privatliv inte kränks och kravet på att offentlig sektor ska agera i enhetlighet med lagarna efterlevs. Det behöver sannolikt finnas en reell, och absolut, möjlighet att hindra att personuppgifter eller sekretessreglerade uppgifter lämnas ut till utländska myndigheter på ett okontrollerat sätt. 

I dag råder delade meningar mellan tunga aktörer i det svenska samhället om vad myndigheter och kommuner får och inte får göra vad gäller användandet av molntjänster. Det är därför viktigt att Justitieombudsmannen (JO) granskar frågan. 

I oktober 2018 gjorde eSam ett rättsligt ställningstagande där de menade att sekretessreglerade uppgifter som hanteras i en utländsk molntjänst ska anses som röjda om det utländska företaget kan tvingas att överlämna information till sitt lands myndigheter. Kammarkollegiet instämde i en förstudie om webbaserat kontorsstöd i eSams ställningstagande och pekade även på att myndigheter kan komma att bryta mot dataskyddsförordningen (DSF) om de använder molntjänster som lyder under amerikansk lagstiftning.

Försäkringskassan publicerade i november förra året en vitbok där de konstaterade att frågan om vad lagstiftningen tillåter är klargjord bland annat genom eSams ställningstagande och Kammarkollegiets förstudie. 

Trots detta har SKR kommit med en egen vägledning där de tvärt emot andra aktörer menar att rättsläget är osäkert. Detta uttalande grundar de på att svenska rättsvårdande instanser ännu inte tagit ställning i frågan. 

Dataskydd.net delar inte SKR:s syn på att det råder oklarhet om vad som gäller när svenska kommuner och myndigheter vill använda utländska molntjänster. Men vi håller med om att det skulle vara bra med ett mer handfast klargörande från en rättsvårdande instans. Vi anmäler därför Göteborgs stad till JO för deras användning av Office 365. 

Göteborgs stad är en av de kommuner som har gått längst vad gäller användningen av utländska molntjänster och har även gjort egna juridiska bedömningar som pekar på de problem sådana tjänster innebär för skyddet av sekretessbelagda uppgifter.

Men vi ser fler problem med användningen av Office 365 än vad stadsjuristerna i Göteborg gör. Vi vill därför att JO granskar om:

  • Göteborgs stad har brutit mot grundlagen genom att ingå avtal om att bland annat vissa frågor rörande arkivvård och hantering av allmänna handlingar ska hanteras enligt amerikansk eller irländsk lagstiftning i stället för enligt svensk lag.  
  • Skyddet för rätten till privatliv och personliga integritet uppfyller de krav som ställs i Europakonventionen, EU:s stadga och den svenska grundlagen.
  • Göteborgs stad följer reglerna i offentlighets- och sekretesslagen när de hanterar sekretessreglerade uppgifter i Office 365.
  • Göteborgs stad följer reglerna i DSF när de hanterar personuppgifter i Office 365 ,
  • Det finns effektiva rättsmedel att tillgå för enskilda vars rättigheter kränks eller riskerar att kränkas genom att Göteborgs stad hanterar uppgifter om dem i Office 365.

Det här är en opinionstext publicerad i Dagens Samhälle. Åsikterna som uttrycks i artikeln står skribenten/skribenterna för.

Publicerad: 20 januari 2020 kl 19:00
Uppdaterad: 27 januari 2020 kl 13:03

Skribent

Amelia Andersdotter
ordförande, Dataskydd.net