search bubble news heart bars angle-right angle-up angle-down Twitter Facebook linkedin close clock map-marker calendar
  • Praktisk juridik

Myndigheters användning av molntjänster – överväganden gällande dataskydd och sekretess

Nr 3 2019 Årgång 85

Myndigheters informationshantering regleras av särskilda lagkrav, vilka återfinns i offentlighets- och sekretesslagen, säkerhetsskyddslagen, dataskyddsförordningen, arkivlagen och flera andra regelverk. Den ökade användningen av molntjänster hos svenska myndigheter har givit upphov till en mängd frågor gällande vilket utrymme som enligt gällande rätt finns för myndigheter att förlägga hela eller delar av sin informationshantering till molntjänster.

Offentliga myndigheter hanterar en stor mängd känslig information som relaterar till såväl enskilda medborgare som till viktiga samhälleliga funktioner. Potentiellt kan både integritetsskador för enskilda och allvarliga samhälleliga säkerhetsbrister uppstå om myndigheters informationstillgångar obehörigen läcks eller om de inte är tillgängliga när de behövs. Följaktligen är det viktigt att myndigheter bedriver ett proaktivt informationssäkerhetsarbete som möjliggör förhindrande av obehörig åtkomst och säkerställande av tillgänglighet vid behörig användning. Myndigheter måste även kunna kontrollera att deras information inte obehörigen förändras eller förstörs samt ha möjlighet att spåra ändringar av informationen.

Informationssäkerheten och förutsättningarna att efterleva tillämpliga regelverk påverkas när myndigheter hanterar sin information i publika, globala, molntjänster, i stället för på lokala servrar. Det beror både på att myndigheten efterger kontroll till molntjänstleverantören och på att informationen, inte sällan, lagras på servrar som är belägna utanför Sveriges och EU:s gränser eller hanteras av företag som omfattas av andra länders lagstiftning. Trots de säkerhetsrisker som användande av publika, globala, molntjänster kan innebära använder allt fler myndigheter dessa molntjänster som ett alternativ till traditionella in-house-IT-tjänster. Molntjänster tillhandahålls över internet och finns tillgängliga för kunderna på deras egen begäran, och kunderna behöver vanligen endast betala för molntjänsten i den utsträckning de använder den. Användning av molntjänster kan därför möjliggöra stora effektivitetsvinster för myndigheter. Effektivitetsfördelarna med molntjänstanvändning innebär att det i dagsläget i princip inte är ett alternativ för myndigheter att avstå från att använda molntjänster. För att möjliggöra en säker molntjänstanvändning är det dock av avsevärd betydelse att beslut om att använda molntjänster föregås av djupgående konsekvensbedömningar.  

Skydda med autentisering och kryptering

Vi har vid flera tillfällen bistått svenska myndigheter med att juridiskt analysera riskerna med att flytta informationshanteringen från lokala servrar till publika och globala molntjänster, såsom molntjänsten Office 365. Syftet med att genomföra en juridisk analys inför en flytt till en publik och global molntjänst, såsom Office 365, är att minimera risken för att information flyttas till molntjänsten ifall detta skulle riskera att resultera i överträdelser av legala krav som gäller för den enskilda myndighetens informationshantering. För att kunna fatta ett informerat beslut menar vi att det är nödvändigt att genomföra en djupgående juridisk analys av samtliga gällande regelverk med utgångspunkt i den information som myndigheten hanterar och har för avsikt att lägga över i molntjänsten.

Innan myndigheter fattar beslut om vilken informationshantering som kan överföras till en publik och global molntjänst behöver de ta ställning till om den aktuella informationen inkluderar sekretessreglerade uppgifter, känsliga personuppgifter eller uppgifter som omfattas av andra särskilda lagkrav. Vi menar att det är sannolikt att sekretessreglerade uppgifter röjs om de läggs in i publika och globala molntjänster, inkluderande bland andra Office 365. Detta trots att molntjänstleverantören i regel, enligt ett juridiskt bindande avtal, åtar sig att inte ta del av uppgifter utan föregående godkännande från kunden och trots att molntjänsterna inte sällan innehåller omfattande tekniska verktyg för att hindra obehörig åtkomst till uppgifter. Skälet för slutsatsen är bland annat att många molntjänstleverantörer omfattas av utländsk lagstiftning, enligt vilken molntjänstleverantören kan föreläggas att lämna ut information som lagras i molntjänsten till utländska myndigheter, oaktat om informationen lagras på servrar inom eller utanför EU.

Utöver att sekretessreglerad information sannolikt röjs, i offentlighets- och sekretesslagens mening, vid ett utlämnande till en publik, global, molntjänstleverantör, kan ett sådant utlämnande medföra att känsliga personuppgifter behandlas i strid mot dataskyddsförordningen. För att efterleva dataskyddsförordningen måste offentliga myndigheter tillse att de fullgör alla skyldigheter som tillkommer dem i egenskap av personuppgiftsansvariga enligt förordningen. Detta innefattar bland annat att tillse att de grundläggande dataskyddsprinciperna efterlevs och att de registrerades rättigheter tillgodoses. Som ett exempel kan nämnas att de har en skyldighet att säkerställa att personuppgifterna endast behandlas så länge behandlingen är nödvändig och att personuppgifterna endast behandlas för ändamål som är förenliga med de ändamål som uppgifterna ursprungligen samlades in för.

Det är sannolikt möjligt att behandla vanliga personuppgifter i Office 365, eller en annan publik och global molntjänst, på ett sätt som uppfyller kraven i dataskyddsförordningen. Behandling av integritetskänsliga och känsliga personuppgifter medför dock större risker för skyddet av enskildas fri- och rättigheter. Sådan behandling föranleder därför krav på vidtagande av mer omfattande säkerhetsåtgärder. När integritetskänsliga och känsliga personuppgifter behandlas är det därför nödvändigt att behandlingen omgärdas av ett högt uppställt skydd i form av både tekniska och organisatoriska säkerhetsåtgärder. Exempelvis måste behörigheter tilldelas så att endast de användare som har ett behov av personuppgifterna för att fullgöra sina arbetsuppgifter har tillgång till uppgifterna. Det är även viktigt att säkerställa att lagringstiden begränsas och att integritetskänsliga och känsliga personuppgifter raderas så snart de inte längre behöver behandlas för de ändamål som de samlades in för.

En helt avgörande förutsättning för att det ska vara tillåtet att behandla integritetskänsliga och känsliga personuppgifter i en publik och global molntjänst är vidare att det är möjligt att skydda dessa med stark autentisering och kryptering i tjänsten. Detta eftersom uppgifter som lagras i molntjänster kommer överföras och lagras så att åtkomst till dem är möjlig över internet. Integritetskänsliga och känsliga personuppgifter som tillgängliggörs under sådana förutsättningar måste enligt ett beslut från Datainspektionen, vilket senare fastställts av Förvaltningsrätten i Stockholm, skyddas med stark autentisering och kryptering (Förvaltningsrätten i Stockholms dom den 15 september 2015 i mål nr 11070-15).

Den bästa lösningen

Ytterligare en viktig fråga att ta ställning till är huruvida det kan godtas att integritetskänsliga och känsliga personuppgifter överförs till leverantörer och underleverantörer, i flera led, särskilt med beaktande av att dessa leverantörer många gånger är etablerade i länder utanför EU och EES, där det inte sällan saknas ett offentligrättsligt skydd för personuppgifterna. Med beaktande av de risker som behandling av framförallt känsliga personuppgifter medför för skyddet av enskilda registrerades fri- och rättigheter kan det ifrågasättas om sådana personuppgifter i någon större omfattning kan överföras till ett tredje land där det saknas ett offentligrättsligt skydd för personuppgifterna. I vart fall kan lämpligheten av sådana överföringar ifrågasättas, särskilt i det fall sådana överföringar genomförs av en myndighet. Detta eftersom enskilda registrerade bör kunna förvänta sig att personuppgiftsbehandlingen omfattas av ett högt uppställt skydd, när den utförs inom ramen för en myndighets verksamhet.

Mot bakgrund av de ovan nämnda omständigheterna bedömer vi att publika, globala molntjänster som utgångspunkt endast bör användas för hantering av vanliga personuppgifter och annan information som inte omfattas av offentlighets- och sekretesslagen, säkerhetsskyddslagen eller de begränsningar som gäller för känsliga personuppgifter enligt dataskyddsförordningen. 

Enligt vår uppfattning bör publika och globala molntjänster som regel inte användas inom verksamheter där omfattande mängder känslig information hanteras, såsom i socialtjänstens ärendehandläggning, elevhälsans elevstödjande verksamhet eller andra verksamheter där sekretessreglerad information och känsliga personuppgifter behandlas i stor omfattning. Sammanfattningsvis bedömer vi att den bästa lösningen för myndigheter är att kombinera användning av publika, globala molntjänster med privata molntjänster eller interna IT-lösningar där lagring sker på myndighetens egna servrar. Vilken information som ska hanteras var bör beslutas av myndigheten efter en konsekvensbedömning där både juridisk analys och informationssäkerhetsanalys ingår.

Utbildningens betydelse

I vilken utsträckning gällande regelverk medger att myndigheter förlägger sin informationshantering till en publik och global molntjänst är alltjämt oklart enligt gällande rätt. Det finns inga aktuella rättsfall på området och det går heller inte att hitta någon tydlig vägledning i förarbetena till vare sig offentlighets- och sekretesslagen eller till lagstiftning som anknyter till dataskyddsförordningen. Mot bakgrund av detta är det positivt att andra aktörer än lagstiftaren och domstol söker ge vägledning på området. Som ett exempel kan nämnas att expertgruppen eSam har uttalat det följande om röjande av sekretess enligt offentlighets- och sekretesslagen vid användning av en publik och global molntjänst:

”Om sekretessreglerade upp­gifter görs tekniskt tillgängliga för en tjänsteleverantör som till följd av ägarförhållanden eller annars är bunden av regler i ett annat land, enligt vilka tjänsteleverantören kan bli skyldig att överlämna information utan att internationell rättshjälp anlitats eller annan laglig grund föreligger enligt svensk rätt, får uppgifterna anses vara röjda. Anledningen är att det inte längre är osannolikt att uppgifterna kan komma att lämnas till utomstående. Detsamma får anses gälla om redan ägarförhållanden eller geografisk placering av en tjänsteleverantörs tekniska hjälpmedel ger anledning att befara att mänskliga rättigheter (till exempel skyddet för privatlivet) eller det allmännas intressen (till exempel rikets säkerhet) inte skulle säkerställas om svenska myndigheters data hade tillgängliggjorts.”

(eSam, Rättsligt uttalande om röjande och molntjänster, den 23 oktober 2018, dnr/ref: VER 2018:57.)

Ett annat exempel är att Statens inköpscentral vid Kammarkollegiet den 22 februari 2019 publicerade en förstudierapport om webbaserat kontorsstöd (23.2-6283-18). I rapporten presenteras en förstudie avseende upphandling och användning av webbaserat kontorsstöd, inkluderande helt integrerad och webbaserad e-post, ordbehandling, kalkyl­ark, presentation, chatt, fillagring och dokumenthantering. De nämnda tjänsterna kan levereras i publika och globala molntjänster, och förstudien är därför av intresse för myndigheter som söker vägledning i fråga om hur de kan nyttja publika och globala molntjänster för sin informationshantering. I rapporten presenteras slutsatsen att det är möjligt att använda webbaserat kontorsstöd som uppfyller alla gällande rättsliga krav. Det framhålls dock att det är svårt att säkerställa regel­efterlevnad och att det därför är komplicerat att kravställa i upphandlingar av webbbaserat kontorsstöd. Mot bakgrund av detta rekommenderas att Statens inköpscentral ska upphandla ramavtal för webbaserat kontorsstöd som kan användas av hela den offentliga sektorn.

Vi ser positivt på rekommendationen i förstudien om webbaserat kontorsstöd eftersom ett ramavtal gällande webbaserat kontorsstöd för hela den offentliga sektorn sannolikt skulle kunna möjliggöra stora effektivitetsvinster för offentliga myndigheter. Viktigt att beakta är dock att en sådan lösning inte på något sätt fritar varje enskild myndighet från dess ansvar att säkerställa efterlevnad av samtliga tillämpliga regelverk vid användningen av det webbaserade kontorsstödet. Även om det webbaserade kontorsstöd som används, vilket potentiellt kan vara en publik och global molntjänst, bedöms kunna användas för den offentliga sektorns informationshantering, måste användningen av tjänsten ske i enlighet med alla gällande lagkrav. Det är därför avgörande att de enskilda användarna (vanligen tjänstemän på myndigheten) har fått erforderlig utbildning i alla tillämpliga lagar och regler och dessa regelverks implikationer vad gäller informationshantering i de tjänster som används. Viktiga verktyg för att åstadkomma regelefterlevnad är i vår mening såväl styrdokument, såsom informationssäkerhetspolicys och personuppgiftspolicys, som regelbunden utbildning för användarna.

Nina Barzey
Advokat

Amanda Ottosson
Biträdande jurist

Bonde Barzey Advokatbyrå AB arbetar med affärsjuridik och bistår företag och myndigheter med rådgivning om användning av bland annat molntjänster. Nina Barzey är advokat och delägare på byrån och Amanda Ottosson är biträdande jurist.

Annons
Annons