Vi sparar data i cookies, genom att använda våra tjänster godkänner du det.

Riktig journalistik gör skillnad.

Bild: Ernst Henry Photography

Politikerna öppnar dörren för nästa IT-skandal

Göteborgs stad sällar sig till kommunerna som utan att ha en god förklaring lämnar ifrån sig känslig information till andra länder. Det bäddar för en framtida skandal av det slag som drabbade Transportstyrelsen

Det här är en text från GP Ledare. Ledarredaktionen är oberoende liberal.

Hela Sverige digitaliseras i rask takt. Viktigt, tycker politikerna. Varsågoda, svarar IT-jättar som Microsoft. Några förlorare tycks inte finnas. Men som med alla stora samhällsförändringar behöver de genomföras omsorgsfullt. Vår samtid lider inte brist på omfattande IT-skandaler när känsliga uppgifter om medborgare har läckt ut.

I USA avslöjade nyligen Wall Street Journal hur 50 miljoner ej avidentifierade patientjournaler hamnat i händerna på Google. Att vi omger oss med smarta IT-system är givetvis inte förgripligt. Men när information hanteras slarvigt, eller när myndigheter tecknar avtal utan att riktigt förstå de långsiktiga konsekvenserna av dem – då har vi ett ordentligt problem.

Hela myndighetssverige är ställt inför det här dilemmat. Och det pågår just nu en diskussion mellan myndigheter och annan offentlig förvaltning, såväl på lokal som nationell nivå, hur dessa IT-tjänster egentligen ska upphandlas.

I Göteborg verkade allt klart och tydligt från politiskt håll. När nämnden för Intraservice behandlade införandet av Microsoft Office 365 i kommunens verksamheter 2017 hävdade Moderaterna i nämnden att det inte fanns någon risk för att känslig data skulle läcka ut. Den så kallade röjandeproblematiken var obefintlig, hävdade de.

Men redan då varnade flera tunga bedömare, bland annat Kammarkollegiet, för att känslig data skulle kunna hamna på avvägar. Slutsatsen från nämnden var dock att man hade köpt tjänster för över hundra miljoner kronor och att det var svårt att backa ur avtalet. Det var ett ekonomiskt och praktiskt avvägande som styrde beslutet, inte hänsyn till integritetsperspektivet.

De lugnande orden om att det inte fanns någon röjandeproblematik tycktes mest vara en bekväm efterhandskonstruktion för att inte komplicera situationen. Man hade ändå tecknat ett stort avtal med Microsoft som omfattade molntjänster, ordbehandling och övrigt som behövs i en modern kontorsmiljö.

Sedan uppdagades att informationen som Göteborgs Stad lagrar på Microsofts servrar på Irland kan läcka till såväl amerikanska myndigheter som Microsofts underleverantörer. Detta på grund av Cloud-act, den lagstiftning som reglerar amerikansk företags datahantering. Trots vetskapen om detta fattades beslut om att förlänga avtalet med Microsoft. Mot bättre vetande. Men man lät ändå stadens jurister titta på frågan.

Resultatet från den utredningen, som GP rapporterade om nyligen, är att röjandeproblematiken förblir olöst. Men trots detta, och detta är faktiskt lite komiskt, så drar man slutsatsen att det inte är något problem.

Amerikanska myndigheter och underleverantörer till Microsoft har samma möjligheter att komma åt Göteborgs Stads data idag som för två år sedan. Juristerna konstaterar helt enkelt att risken att denna möjlighet används är liten. Men möjligheten, den finns likaväl kvar.

Göteborgs Stads jurister löser problemet genom att ignorera att det finns. Så praktiskt. Man får hoppas att någon politiker tänker lite längre. Ett första steg är att ta del av svenska myndigheters resonemang i frågan.

Försäkringskassan, som i högsta grad måste värna sina användares data, konstaterar i en vitbok om integritet och molntjänster att de "inte kommer att överlåta driften av sådana system till privata företag som står under jurisdiktion av ett land som har Cloud-act lika lagstiftning".

Försäkringskassan har insett att det finns en konflikt mellan amerikansk och europeisk lagstiftning där den europeiska motsvarigheten helt enkelt är mer rättsäker för den enskilde medborgaren.

Deras slutsats, och detta borde politikerna i Göteborgs stad lyssna på, är att svenska "offentliga aktörer bör genom samverkan nationellt och inom EU se till att de tjänster vi önskar använda erbjuds med villkor som följer svensk lagstiftning och säkerställer en adekvat säkerhetsnivå."

Problemet för svenska kommuner med att upphandla integritetssäkrade tjänster är omfattande. Det handlar om miljardbelopp. Att hitta rättssäkra och välfungerande lösningar är ingen liten uppgift. Men det går.

Pensionsmyndigheten har kommit till liknande slutsatser som Försäkringskassan. De fick ett regeringsuppdrag att undersöka molntjänsters förutsättningar att hantera de juridiska komplikationerna. Slutsatserna borde Göteborgs Stad lyssna på.

De konstaterade nämligen att det är snudd på omöjligt för en myndighet att säkerställa att molntjänstleverantörer hanterar information ansvarsfullt. Det blir extra allvarligt om det dessutom finns underleverantörer som har tillgång till informationen. Då blir, enligt Pensionsmyndigheten, ”myndighetens möjlighet till insyn och kontroll i det närmaste obefintlig”.

Om deras mer försiktiga hållning får råda skulle det kunna utmynna i en lösning liknande den tyska. I Tyskland finns en statlig molntjänst (Bundescloud) baserad på lokalt framtagen mjukvara. Den innehåller allt det Office 365 levererar men följer också tysk lagstiftning om rättssäker behandling av känsliga personuppgifter.

Motståndarna till en dylik lösning finns i två läger. Dels de kommunala politiker och tjänstemän som redan har upphandlat stora avtal med aktörer som Microsoft. Deras motivation att inte hitta en rättssäker lösning handlar sannolikt mest om bekvämlighet.

Sedan finns personer som Åsa Zetterberg, regeringens tidigare "digitaliseringschef" och numera förbundsdirektör för branschorganisationen IT & Telekomföretagen. Hennes linje är att statliga IT-lösningar är en dålig idé. Det hämmar innovationer och är varken bra "för näringslivet eller för skattebetalare" vilket hon skrev i en artikel nyligen (Dagens Samhälle 23/10).

Tyvärr förklarar inte Zetterberg hur problemet med att en privat aktör, i detta fall Microsoft, hamnar i en monopolställning gentemot stat och kommun och dessutom främst tvingas lyda under amerikansk lagstiftning, ska lösas.

Svenska myndigheters problem är ju att de upplever att de inte har alternativ till Microsofts moln- och kontorstjänster. Det är knappast uttryck för sprudlande innovation – snarare exempel på vilken usel monopolmarknad som svenska myndigheter måste förhålla sig till.

Myndigheterna och kommunernas problem är att de satt sig i knät på monopolliknande aktörer som tillhandahåller dokumenthantering och ordbehandlare där snart all data lagras i molnet (och alla talar sig varma för molnet!). Detta utan att grundligt ha försäkrat sig om att datan som de anställda på myndigheten lämnar ifrån sig till molnet inte hamnar på avvägar.

Att staten tar ett huvudansvar för att förvaltningar i Sverige har rättssäkra IT-tjänster innebär inte att staten nödvändigtvis måste utforma tjänsterna i egen regi. Det innebär bara ett alternativ till dagens osäkra ordning.

För en svensk motsvarighet till Bundescloud räcker det att den är utvecklad i Sverige och med svensk lagstiftning som paraply. Detta är inget Göteborgs Stad kan lösa på egen hand. Men det finns faktiskt utrymme att samarbeta med andra svenska myndigheter som ser att det finns ett stort problem här.

Det här är en teknisk och krånglig fråga. Men att låta den passera obemärkt och lämnad till de närmast sörjande tjänstemännen riskerar att få konsekvenser i framtiden. Hur ett digitaliserat samhälle som det svenska upphandlar IT-tjänster och med vilken princip som utgångspunkt är viktigt. Ett dåligt vägval nu kan innebära en oerhört destruktiv och kostsam skandal i framtiden.