Publicerad: 26 november 2018

Molntjänster – SKL kommenterar eSams rättsliga utlåtande

Den 23 oktober släppte eSam sitt rättsutlåtande gällande den juridiska statusen kring användandet av molntjänster i offentlig verksamhet. Utlåtandet går i korthet ut på att eSams juridiska expertgrupp bedömer att det inte går att utesluta att en leverantör av en molntjänst som lyder under utländsk lagstiftning kan medverka till att sekretessreglerade uppgifter röjs, och att detta måste tas i beaktande vid eventuellt införande av molntjänster i verksamheten.

SKL håller i sak med i analysen av rättsutlåtandet, men ser också att de rekommendationer eSam presenterar huvudsakligen gäller för statliga myndigheter, och att kommuner, landsting och regioner som överväger användning av molntjänster finns behov av att ta in flera perspektiv i sitt beslutsunderlag. Analysen måste omfatta flera områden när molntjänsten ska införas och användas, bland annat dessa:

  • Verksamhetens behov och hur känslig informations som ska hanteras
  • Typ av molntjänst och dess utformning
  • Om rättsliga krav kan uppfyllas
  • Om lösningen kan hantera information på ett säkert sätt
  • Om det finns tillräckliga kontrollmöjligheter; avtalsmässiga, säkerhetskontroller och rättsliga.

Riskbedömningen inför beslutet måste även innefatta en jämförelse av dessa aspekter mot den befintliga IT-miljön och dess förmåga.
Mot bakgrund av detta menar SKL att man inte kan göra en isolerad rättslig bedömning, utan att det blir nödvändigt att ta in ett bredare perspektiv.

Molntjänster är en viktig del av digitaliseringen och skapar positiva effekter när det gäller användbarhet, tillgänglighet och effektivitet för verksamheten. Det är även viktigt att komma ihåg att molntjänster är ett samlingsbegrepp för ett stort antal olika typer av IT-lösningar. Det kan finns stora skillnader i hur dessa olika lösningar är uppbyggda och hur informationen hanteras.

Det finns också stora skillnader i olika organisationers ingående förutsättning och vägval inför användning av en molntjänst, som kan påverka hur väl anpassad molntjänsten blir för den information som ska hanteras.

Precis som vid all annan användning av digitala tjänster krävs en analys, riskbedömning och beslut av den organisation som planerar att använda sig av en molntjänst. För den som inte bedömer att den aktuella molntjänstens säkerhet- och avtalslösning kan motsvara kraven för information som omfattas av sekretess, kan sådan information avgränsas från hantering i tjänsten. En sådan avgränsning kan göras i den manuella informationshanteringen, i handläggningsprocesser eller med annan teknisk skyddsåtgärd.

Bedömningen av om det är sannolikt att någon obehörig kan ta del av känslig information som omfattas av sekretess måste göras av varje organisation och informationsägare. En försiktighetsprincip är att rekommendera vid användning av molntjänster för känsliga personuppgifter och information som omfattas av sekretess.

De frågor organisationen bör ställa sig är:

  1. Vilka säkerhetskrav behöver ställas för att skydda informationen? Ta hjälp av Klassa, https://klassa-info.skl.se
  2. Kan leverantören av molntjänsten och tjänstens utformning leva upp till detta?
  3. Finns tekniska eller administrativa anpassningar i egen IT-miljö eller verksamhet som kan komplettera lösningen så att kraven kan uppfyllas?
  4. Gör en sammanvägd riskbedömning inför beslut.

Som en kontrollfråga inför beslut bör man jämföra så att informationen inte hanteras på ett mindre säkert eller rättssäkert sätt i molntjänsten.

Frågan är som ni förstår komplex och inga enkla svar finns. SKL arbetar vidare i frågan och kommer så snart som möjligt återkomma med en plan på hur vi kan gå vidare med frågan. Frågan har också tagits upp med justitiedepartementet, och vi avser också att föra dialog med DIGG om problemen.

Läs mer

SKLs Lotta Nordgren kommenterar utlåtandet på Voister.se

Informationsansvarig

  • Lotta Nordström
    Sektionschef

Kontakt

Välkommen att skicka din fråga till SKL!

Gäller din fråga arbetsrätt eller kollektivavtal/förhandling?

SKL:s rådgivning riktar sig till personalchefer och förhandlingschefer i kommuner och regioner. Om din fråga är på uppdrag av dessa behöver du ange det.








Hjälpte informationen på sidan dig?

Tack för att du hjälper oss!

Sidfot