Vi sparar data i cookies, genom att använda våra tjänster godkänner du det.

 Bild: Lise Åserud / TT
Bild: Lise Åserud / TT

Adam Cwejman: En upphandling gjord med halvöppna ögon

Fackförvaltningen Intraservice kan ha köpt dyra tjänster av Microsoft som riskerar att röja känslig information från Göteborgs stad. Problemet är sannolikt större då många andra svenska kommuner har upphandlat molntjänster som inte är säkerhetsmässigt tillförlitliga.

Det här är en text från GP Ledare. Ledarredaktionen är oberoende liberal.

Sedan våren 2018 har en grupp inom eSam, ett samarbetsorgan för svenska myndigheter och förvaltningar, arbetet med frågan huruvida myndigheter kan använda sig av molntjänster utan att röja känslig information. I ett utlåtande från organets juridiska expertgrupp konstateras att upphandlingar av utländska molntjänster medför en stor risk att känsliga uppgifter röjs.

Deras slutsatser ligger i linje med vad ledarsidan anförde som kritik mot kommunala Intraservice i Göteborg i november månad: Anlitar man ett utländskt företag som tillhandahåller molntjänster, vilket i Göteborgs Stads fall är amerikanska Microsoft, är det liktydigt med att sekretessbelagda uppgifter ”får anses vara röjda”.

Detta då Microsoft först och främst lyder under amerikansk lagstiftning och inte svensk. I samband med att Cloud Act-lagstiftningen infördes i våras fick säkerhetstjänsten i USA, och andra amerikanska myndigheter, rätt att plocka ut data lagrade på servrar som Microsoft förfogar över. Detta även om de skulle vara lokaliserade utanför USA.

I ett inslag i Tv4 från november förklarade Kammarkollegiets Daniel Mellin att många myndigheter är helt oförberedda eller saknar kunskap om vilka risker molntjänsterna innebär för röjandet av känsliga uppgifter (Tv4 20/11). Mot bakgrund av detta håller Kammarkollegiet på att ta fram ett ramavtal för upphandling av molntjänster som planeras vara färdigt i februari 2019.

Vart det landar hintade Mellin om i inslaget: Det är riskabelt för svenska myndigheter att göra sig beroende av ett fåtal leverantörer, i synnerhet om de är utländska. Då Microsoft enligt amerikansk lag inte kan garantera att innehållet i servrarna fredas från yttre insyn så riskerar svenska myndigheter helt enkelt att inte kunna använda sig av dem.

Fram tills att det fastställs statliga riktlinjer kvarstår problemet. Göteborgs stad har upphandlat en tjänst för miljonbelopp som i våras förlängdes med tre år. I en bedömning från oktober konstaterar man på Intraservice att det sker ”löpande bevakning” av hur Cloud Act påverkar sekretessen. Det fastslogs också att ”röjandeproblematiken” anses vara löst eftersom ingen kan få tillgång till stadens information utan godkännande. Tyvärr är det precis detta Cloud Act möjliggör.

Politikerna ångade på med avtalet och har nu surrat sig vid masten. Bakläxan kan mycket väl komma för Göteborgs stad under 2019 om det visar sig att avtalet med Microsoft helt enkelt inte är förenligt med svensk lagstiftning.

Vad vi då får är en sorts upprepning av Transportstyrelseskandalen från 2017 fast på betydligt större skala. Eftersom Göteborgs Stad inte är ensamt om att upphandla dylika molntjänster så kommer problemet multipliceras med övriga svenska kommuner som entusiastiskt upphandlat molntjänster utan att tänka på konsekvenserna.

Vilken plan har Göteborgspolitikerna för att förekomma dyra omförhandlingar av avtalet? Det går inte, som man gjorde under våren att ”vänta och se”. Det måste även för politikerna i Intraservice politiska nämnd bli uppenbart att det är ett allvarligt problem om det saknas alternativ till Microsofts, ur sekretessperspektiv, problematiska molnjänster.