Vi sparar data i cookies, genom att använda våra tjänster godkänner du det.

Riktig journalistik gör skillnad.Nyheter med närvärde

Molnbaserat. Även en molnbaserad tjänst behöver en fysisk serverhall. Bild: Ernst Henry photography, TT

Den här artikeln ingår för dig som är kund.

Cwejman: Svenska myndigheter sprider känsliga uppgifter till utlandet

Svenska myndigheter fortsätter att upphandla molntjänster där känslig data riskerar att hamna i fel händer. Även Göteborgs stad har ingått i avtal där känslig data om svenska medborgare kan han hamna på villovägar.

Det här är en text från GP Ledare. Ledarredaktionen är oberoende liberal.

Molntjänster används i hela Sverige. I både privat och offentlig sektor. Entusiasmen kring ”molnet” går inte att ta miste på. Drömmen om enkla och smidiga IT-lösningar förenar nog samtliga svenska myndigheter, såväl lokala som nationella.

Du läser nu en av dina fria artiklar på GP.se

Problemen med molntjänsterna har vi däremot bara sett början på. Debaclet på Transportstyrelsen byggde visserligen på ett direkt avsteg från svensk lagstiftning, men grundproblemet, att svenska myndigheter på ett vårdslöst sätt lämnar ut känslig och i vissa fall sekretessbelagd data kvarstår.

Göteborgs stad är i detta avseende inte unik. Nämnden för Intraservice har sedan 2016 arbetat aktivt med att införa Microsofts programpaket Office 365 i stadens samtliga förvaltningar. I paketet ingår allt från mail till ordbehandling. Efter en del utredningar bestämde man sig i maj månad detta år för att förnya licensen till 2021.

Eftersom det är så stora mängder data som läggs ut till Microsoft går det, enligt Intraservice, inte att göra en sekretessprövning i varje enskilt fall. Man gör i stället en schablonprövning kring hela förfarandet som avgör om känsliga uppgifter kan anses vara röjda i offentlighets- och sekretesslagens mening.

På något sätt var Göteborgs Stad tvunget att försäkra sig om att datan inte på något sätt skulle kunna vara tillgänglig för utomstående. Som ett led i detta arbete erbjöd Microsoft då Göteborgs Stad möjlighet att använda tjänsten ”Customer lockbox”. Detta godtog man under hösten 2017 som tillräckligt skydd mot röjande av data.

Men när avtalet med Microsoft skulle omförhandlas i våras förklarades det i ett tjänsteutlåtande att Customer Lockbox ”i egentlig mening inte löser den juridiska problematik som stadsledningskontoret identifierat”. Skulle Microsoft vara tvungna att lämna ut känsligt material till utomstående myndigheter skulle Customer Lockbox inte hindra att så skedde.

Nämnden var av en annan åsikt och avtal tecknades för både Customer Lockbox för ett år och en förlängning av Office 365 för en treårsperiod. Samtidigt hävdade Moderaterna i sitt yrkande i nämnden att Customer Lockbox inte innebär en helhetslösning för kommunen men att den adresserar "röjandeproblematiken”. Vilket alltså inte stämmer. Det finns inget med tjänsten som garanterar att datan inte röjs för tredje part. Vidare yrkade Moderaterna att förvaltningschefen ska utreda ”informationssäkerheten hos molntjänster”.

Resonemanget är bakvänt och kan liknas vid att man börjar klättra upp på ett högt berg utan att vara säker på att utrustningen håller måttet. I stället för att invänta klättringen föreslår man att utrustningen ska kollas väl uppe på berget. I samma handvändning som politikerna uttrycker osäkerhet över säkerheten i molntjänsterna förnyas licensen. Säkerheten och risker för sekretessen? De ska ”fortsatt utredas”.

Intraservice tycks ha landat i att Office 365 är den minst dåliga lösningen givet alla andra alternativ. Lite resignerat konstateras i ett tjänsteutlåtande att: ”ett eventuellt byte av plattform behöver noggrant utredas då det skulle kunna få stora ekonomiska konsekvenser och förhindra Staden att nå sin fulla potential på investerat kapital. Dessutom står det oklart vilka säkerhetsmässiga konsekvenser ett plattformsbyte skulle komma att få”.

Dessutom, skulle man ha avbrutit licensen skulle staden ha stått utan ”vitala system och verktyg, så som e-post, kalender, ordbehandling och kalkyleringsprogram”. Då införandet av Office 365 redan blev dyrare än beräknat, närmaste bestämt 74 miljoner kronor dyrare, har man låst sig till en lösning utan möjlighet att lämna, sekretessproblem eller inte.

Detta är vad som kallas för ”the sunk cost fallacy”. Det vill säga när en person eller grupp fattar irrationella beslut då man investerat mycket tid och pengar i ärendet. Göteborgs stad har gjort sig beroende av ett system som man inte upplever sig ha några alternativ till. Sekretessproblemen, olösta som de är och förblir, får man helt enkelt ta. Allt detta gör sammantaget att man bör utgå ifrån att besluten som fattas kring fortsatta avtal med Microsoft i stor utsträckning är påverkade av tidigare misstag som är svåra att reparera i nuläget.

Det som blev regeringskris och slutade med att två ministrar avgick var egentligen inte så avlägset det som händer i Göteborg just nu. Transportstyrelsen röjde sekretessbelagda uppgifter som hotade rikets säkerhet. Det visade sig, efter närmare granskning, att mycket av Transportstyrelsens data var synlig och åtkomlig för tredje part.

Det vill säga underleverantörer till IBM. Skillnaden mellan det som hände på Transportstyrelsen och det som Göteborgs Stad nu lämnar ifrån sig är nivån på sekretess, enligt Göteborgs Stad. Och att Göteborgs stad, vad vi vet, inte frångått svensk lag.

Men det kan vara allvarligare än så. När Pensionsmyndigheten fick ett regeringsuppdrag att undersöka molntjänsters förutsättningar att hantera de juridiska komplikationerna konstaterades att det är snudd på omöjligt för en myndighet att säkerställa att molntjänstleverantörer hanterar datan ansvarsfullt. Det blir extra allvarligt om det dessutom finns underleverantörer som har tillgång till datan. Då blir, enligt Pensionsmyndigheten, ”myndighetens möjlighet till insyn och kontroll i det närmaste obefintlig”.

Microsoft har full rätt att dela med sig Göteborgs Stads data till någon av sina underleverantörer. Varav vissa är placerade i länder som Brasilien, Indien, Serbien, Israel och Egypten. Microsoft garanterar visserligen att datan endast får användas av underleverantörerna för att säkerställa att tjänsterna fungerar på rätt sätt. Men vilken garanti kan Microsoft ge Göteborgs Stad att underrättelsetjänster i nämnda länder inte tar del av datan utan att meddela Microsoft? Ingen alls. Den amerikanska lagstiftningen på detta område är inte unik på något vist. För varje underleverantör ökar risken att känslig data sprids för vinden.

Kruxet är detta: När offentliga myndigheter använder sig av tjänster från exempelvis Microsoft så läggs data, i vissa fall känslig och av intresse för främmande makt, ut på servrar utanför Sverige. Exakt vem som har tillgång till dessa servrar kan inte Göteborg Stad veta. Inte ens om Göteborgs Stad av Microsoft får en skriftlig försäkran om att datan inte ska lämnas ut till tredje part så kan Microsoft garantera att så inte har skett.

Enligt CLOUD act, eller Clarifying Lawful Overseas Use of Data Act som är dess längre namn och som antogs av den amerikanska kongressen under mars månad har amerikanska företag en skyldighet att lämna ifrån sig data som befinner sig i molnet. Detta gäller även om servern datan förvaras på skulle befinna sig utanför USA. CLOUD, som nu är federal lag, infördes efter att FBI hade svårigheter med att begära ut data från Microsoft som lagrats på Irland.

Microsoft kan bara garantera att de krypterar data och förvarar den på ett säkert sätt. Men de är också förpliktigade att följa lagstiftningen i USA och andra länder där de verkar, inklusive i de länder där underleverantörerna är placerade.

Dilemmat som Intraservice uttryckte när man beslutade att förlänga avtalet med Microsoft var detta: Det behövs en IT-lösning för kommunen. Den nuvarande fyller detta syfte rent funktionellt. Samtidigt förblir säkerhetsproblemen olösta. Och inget tekniskt (eller juridiskt avtal) som Microsoft just nu kan erbjuda undanröjer problemets kärna: Det finns ingen garanti att känslig data från Göteborgs Stad inte hamnar på villovägar.

Problemet är att misstaget på olika sätt upprepas i Sverige dagligen. Svenska myndigheter sätter sig i knät på monopolliknande aktörer som tillhandahåller dokumenthantering och ordbehandlare där snart all data lagras i molnet. Utan att grundligt ha försäkrat sig om att datan som de anställda på myndigheten lämnar ifrån sig till molnet inte hamnar på avvägar fortsätter upphandlingarna och licenserna förnyas.

Svenska myndigheter kan inte göra sig beroende av att amerikansk, eller annat lands, lagstiftning utgör den yttersta garanten för att svensk sekretesslagstiftning upprätthålls. Och ju längre problemet förblir olöst ju svårare blir det att lösa. Skandalen på Transportstyrelsen var inget isolerat problem utan en varning om vad som komma skall i hela myndighetssverige.