eSams utlåtande om molntjänster riskerar att skapa problem

Förra hösten kom eSamverkansprogrammet (eSam), mellan flera myndigheter och SKL, med ett utlåtande om molntjänster som riskerar att stänga ute utländska molntjänstföretag från den svenska marknaden. Utlåtandet har försatt stora delar av svensk offentlig sektor i digital limbo. Myndigheter ska behandla hemliga uppgifter varsamt, men dessvärre bygger eSams utlåtande på ett felaktigt röjandebegrepp och bristande insikter i amerikansk rätt.

Det utlåtande som gjordes förra hösten löd som följer:

[o]m sekretessreglerade uppgifter görs tekniskt tillgängliga för en tjänsteleverantör som […] är bunden av regler i ett annat land, enligt vilka tjänsteleverantören kan bli skyldig att överlämna information […] får uppgifterna anses vara röjda. Anledningen är att det inte längre är osannolikt att uppgifterna kan komma att lämnas till utomstående.  

Många höjde på ögonbrynen över formuleringarna. I kölvattnet av Transportstyrelsens it-skandal var tonläget uppskruvat, och åtskilliga offentliga aktörer var oroliga för att data skulle komma på villovägar. Som en följd av utlåtandet lades flera offentliga it-projekt i malpåse.

Under senvåren valde Försäkringskassan att i en upphandling utesluta alla molntjänstleverantörer med verksamhet i USA med hänvisning till eSams uttalande och den amerikanska Cloud Act (Clarifying Lawful Overseas Use of Data Act). Man menade att Cloud Act ger amerikanska myndigheter ”rätt att komma åt sekretessreglerad data” och att denna data annars per definition ska betraktas som röjd. Detta bygger dock på ett felaktigt röjandebegrepp och bristande förståelse av Cloud Act, vilket hämmar digitaliseringen. En så svepande uteslutning av marknadens mest efterfrågade molntjänster är dessutom sannolikt olaglig.

En svensk myndighet får inte röja sekretessbelagda uppgifter. Men kan då myndigheten lagra sådana uppgifter hos en molntjänstleverantör, utan att de ses som röjda? Ja, menar eSam, om det ”är osannolikt att uppgifterna kan komma att lämnas till utomstående”. Om leverantören är bunden av regler i ett annat land som kan medföra en skyldighet att överlämna information är det dock, enligt eSam, inte längre ”osannolikt” att uppgifter lämnas ut.

eSam har dock fel. Högsta domstolen har konstaterat att ”röjande av uppgift” uppkommer om uppgiften har blivit tillgänglig för en obehörig under sådana omständigheter att man måste "räkna med" att den obehörige kommer att ta del av uppgiften. Detta röjandebegrepp skiljer sig avsevärt från eSams. Frågan en myndighet ska ställa sig är om den, genom placering av en uppgift hos en amerikansk molntjänstleverantör, måste "räkna med" att en amerikansk myndighet kommer att ta del av uppgiften. Svaret på den frågan kan inte gärna vara annat än nej.

eSam utesluter inte att ett röjande hindras genom kryptering. Man ifrågasätter dock om krypteringsmekanismer som används "ger tillräckligt skydd". Det står dock upphandlande myndigheter fritt att kravställa att kryptering måste ske och att myndigheten själv, inte leverantören, ska hantera krypteringsnyckeln. Uppgifter med dylik kryptering görs inte tillgängliga för vare sig molntjänstleverantören eller den som till äventyrs skulle få rätt att begära ut uppgiften. Krypterad data får betraktas som oläsbar för alla som inte har nyckeln, och kryptering kan därför säkerställa att informationen inte blir röjd – även om den mot all förmodan skulle lämnas ut enligt Cloud Act.

Så, stämmer det att Cloud Act ger USA:s myndigheter ”rätt att komma åt sekretessreglerad data”? För det första är det tveksamt om Cloud Act ens är tillämplig på svenska myndigheters data. Utländska stater skyddas under "sovereign immunity"-principen och Fisa (Foreign Sovereign Immunities Act) sätter mycket snäva ramar för när utländska stater kan bli föremål för amerikansk rätt. Fisa är den enda möjligheten att få jurisdiktion över utländska stater och USA:s högsta domstol har återkommande uttalat att utländska stater inte kan vara föremål för amerikansk rätt om inte kongressen tydligt uttalat att en viss rättsakt ska förstås så. Cloud Act innehåller inget sådant uttalande. Mycket talar därför för att en amerikansk domstol inte skulle ha jurisdiktion att pröva en begäran om att erhålla data från till exempel svenska myndigheter.

Ett företag kan åläggas att, i särskilda situationer, under höga rättssäkerhetskrav och i syfte att bekämpa grov brottslighet, tillhandahålla uppgifter till rättsvårdande myndigheter som lagrats hos t ex molntjänstleverantörer. Så är fallet i Sverige, i andra EU-länder och förstås även i USA. Det är inget nytt, eller ens särskilt ovanligt. Införandet av Cloud Act har varken lanserat eller ändrat amerikanska myndigheters rätt att begära ut data. Dessutom omfattas inte bara amerikanska företag av regelverket, utan även till exempel svenska företag med amerikanska dotterbolag eller kunder.

Amerikanska rättsvårdande myndigheter måste ansöka i domstol för att kunna begära ut information genom Cloud Act. Det krävs sannolika skäl för misstanke ("probable cause"), att begärd information är direkt relaterad till ett brott och att begäran är tydlig, precis och proportionerlig. Om efterkommande av en begäran av något skäl är i strid med utländsk rätt eller utländska staters intressen kan molntjänstleverantören bestrida den. USA:s justitiedepartement har indikerat att det i ett sådant läge kommer att söka alternativa tillvägagångssätt, exempelvis att förhandla med den utländska stat det gäller eller använda tillämpligt MLAT (Mutual Legal Assistance Treaty).

Processen är rättssäker och risken för att uppgifter röjs är mycket låg. Att så ändå skulle ske är således knappast något som en svensk myndighet kan ”räkna med”. Att påstå att Cloud Act helt ger amerikanska myndigheter ”rätt att komma åt sekretessreglerad data” är baserat på sådana missförstånd kring amerikansk lag att det får betraktas som direkt felaktigt.

Krav som ställs i upphandlingar måste följa regelverkets principer om likabehandling och proportionalitet. Uteslutning av leverantörer kan därför vara olagligt. Det krävs mycket tunga argument för att utesluta samtliga leverantörer med verksamhet i USA. Att Försäkringskassan, med hänvisning till eSams utlåtande och Cloud Act, utesluter samtliga bolag med verksamhet i USA från sina upphandlingar av molntjänster är sannolikt olagligt.

Sammantaget är det fel att anlitande av ett företag som omfattas av Cloud Act per definition innebär att uppgifterna ”sannolikt” kan lämnas ut till utomstående. Ett utlämnande under Cloud Act ter sig osannolikt eller, för att använda HD:s begrepp, knappast som något man kan "räkna med". Något automatiskt röjande blir det inte tal om. Det vore beklagligt om svenska myndigheters digitalisering avstannade på grund av rättsliga missuppfattningar och eSam bör därför snarast ändra eller komplettera sitt utlåtande.