Vi använder cookies för att förbättra funktionaliteten på våra sajter, för att kunna rikta relevant innehåll och annonser till dig och för att vi ska kunna säkerställa att tjänsterna fungerar som de ska.

Läs mer

En utskrift från Dagens Nyheter, 2019-12-13 10:26

Artikelns ursprungsadress: https://www.dn.se/debatt/sveriges-digitala-suveranitet-hotas-av-it-tjanster-i-molnet/

DN Debatt

DN Debatt. ”Sveriges digitala suveränitet hotas av it-tjänster i molnet”

Det som det offentliga Sverige nu behöver fundera på är nämligen om det över huvud taget är lämpligt att svenska myndigheter lämnar ifrån sig kontrollen över uppgifter som skapas och bearbetas i samhällsbärande verksamhet, skriver Nils Öberg. Foto: Pontus Lundahl/TT

DN DEBATT 22/11. I dag, fredag, publicerar Försäkringskassan en vitbok om publika molntjänster i offentlig verksamhet: Andra länders lagstiftning, som USA:s ”Cloud act”, innebär att offentliga aktörer förlorar kontrollen över uppgifter som skapas och bearbetas i samhällsbärande verksamhet. Därför krävs nu en tydlig myndighetsgemensam strategi, skriver Nils Öberg, Försäkringskassan.

Försäkringskassan hanterar, liksom andra myndigheter, mycket stora mängder integritetskänsliga personuppgifter. Även uppgifter som inte påverkar enskilda människors integritet kan sammantaget, om de hanteras felaktigt, vara känsliga och behöver därför skyddas. Av det skälet finns också ett omfattande regelverk på plats som styr vad offentliga myndigheter får och inte får göra med den information de har tillgång till. Även inom EU har ett rigoröst regel­system introducerats och utvecklats i takt med att dessa uppgifter numer i allt större utsträckning behandlas digitalt och inte som tidigare i fysiska pappersakter. Dessa regler ställer mycket stränga krav på hur informationen ifråga hanteras och lagras.

Den utveckling som nu sker är att en allt större del av de kommer­siella digitala tjänsterna bearbetar och lagrar information i så kallade publika molntjänster. I korthet innebär det att tjänsteleverantörer lägger både den programvara som används, och resultatet av det vi producerar, på externa servrar som driftas av tjänsteleverantörerna själva. Konsekvensen är att de digitala produkter och tjänster som erbjuds offentliga aktörer inte längre kommer att kontrolleras av oss själva helt oavsett om servrarna ifråga ligger i Sverige eller någon annanstans.

Vi kommer nämligen inte längre att kunna kontrollera vilka utländska aktörer, privata eller offentliga, som på laglig väg kan bereda sig tillgång till dessa uppgifter. Ett mycket tydligt exempel är den amerikanska lagstiftningen (Cloud act) som innebär att amerikanska myndigheter har rätt att begära ut data från alla amerikanska tjänste­leverantörer, oavsett var i världen informationen lagras. Motsvarande lagstiftning finns också i en rad andra länder som Ryssland, Indien och Kina, för att bara nämna några exempel.

Sverige behöver formulera en tydlig myndighetsgemensam strategi och en långsiktig handlingsplan om Sveriges digitala suveränitet ska kunna vidmakthållas.

Det råder inget tvivel om att dessa regler hamnar i direkt konflikt med såväl internationella rättsregler som GDPR och dessutom inte är förenliga med den svenska offentlighets- och sekretess­lagstiftningen. De nya affärsmodeller som den digitala industrin sedan några år tillbaka utvecklar och erbjuder marknaden, är inte anpassade vare sig för de behov som offentliga myndigheter har eller för den lagstiftning vi har att förhålla oss till. Problemet är inte begränsat till Sverige. Flera stora EU-länder, bland andra Nederländerna, Frankrike och Tyskland har redan reagerat mycket kraftigt på utvecklingen och har eller är i färd med att vidta åtgärder.

I dag, fredag, publicerar Försäkringskassan en vitbok i vilken vi försöker klargöra vår uppfattning i frågan om publika molntjänster i offentlig verksamhet.

En lång rad svenska myndigheter, inklusive kommuner och regioner, använder redan i dagsläget många olika molntjänster – även för personuppgifter och/eller uppgifter som är sekretessreglerade. Det sker självfallet inte som en följd av en lättsinnig inställning till de skyldigheter som följer med att utöva myndighet mot enskild, utan som ett resultat av en ambition att effektivisera och modernisera verksamheten. Icke desto mindre är det vår bedömning att den utvecklingen inte sällan är i strid med lagstiftning som reglerar sekretess och personuppgiftsbehandling.

Den debatt som förekommit i Sverige har så här långt ägnats åt att försöka uppskatta i vilken omfattning svenska myndigheters data som finns i publika molntjänster i praktiken kan komma att lämnas ut till så kallade tredjeländer (icke EU-länder). Med andra ord, kommer andra länders myndigheter verkligen att använda sig av de möjligheter som deras lagstiftande församlingar erbjuder dem?

All erfarenhet talar för att så kommer det att bli. Myndigheter förväntas naturligtvis använda alla de verktyg de har för att lösa sina uppgifter. Men oavsett vilken uppfattning man har i det avseendet så är det inte den frågan som behöver besvaras. Det som det offentliga Sverige nu behöver fundera på är nämligen om det över huvud taget är lämpligt att svenska myndigheter lämnar ifrån sig kontrollen över uppgifter som skapas och bearbetas i samhällsbärande verksamhet.

Det är framför allt fyra specifika frågeställningar som vi gemensamt behöver ta ställning till:

1 Är det lämpligt att som svensk myndighet anförtro delar av sin samhällsbärande verksamhet till en tjänsteleverantör som står under en annan stats jurisdiktion med möjlig­heter för den staten att utan vårt medgivande ta del av uppgifter inom verksamheten?

2 Är det lämpligt att svenska myndigheter till en kommersiell part överlåter beslutet om att bestrida en begäran om utlämnande till tredje­länders myndigheter av i Sverige sekretesskyddade uppgifter?

3 Är det lämpligt att svenska myndigheter inte har full kontroll och bestämmanderätt över vilka övriga tredjeländer som, efter avtal med myndigheterna i tjänsteleverantörens ”hemland”, kan komma att ta del av såväl integritetskänsliga uppgifter som annan känslig information i samhällsbärande verksamhet?

4 Är det lämpligt att Sverige, till följd av den tillgång till information som uppkommer i molntjänster, i praktiken överlåter lagstiftningsmakt beträffande behandlingen av svenska myndigheters uppgifter till ett tredjeland?

Utgångspunkten kan knappast vara någon annan än att såväl den svenska statsförvaltningen som kommunala och regionala myndigheter måste säkerställa kontrollen över sina digitala verksamhetskritiska system. För att skydda våra samhällsbärande funktioner mot de allt vanligare förekommande cyberangreppen, värna den personliga integriteten och minska beroendet av enskilda tjänster på marknaden behöver Sverige därför formulera en tydlig myndighetsgemensam strategi och en långsiktig handlingsplan om Sveriges digitala suveränitet ska kunna vidmakthållas. Motsvarande processer har inletts i andra länder som inte tillnärmelsevis kommit lika långt som Sverige i digitaliseringen av sin offentliga verksamhet.

För att svenska myndigheter ska kunna fortsätta dra fördel av digitaliseringens alla möjligheter behöver – genom samverkan nationellt och inom EU – en tydlig och gemensam kravställning ske. De tjänster som erbjuds ska vara anpassade till myndigheters specifika behov och den lagstiftning som gäller i Sverige och inom EU. Endast så kan vi fortsätta dra fördel av den innovationskraft och effektivitet som användning av privata it-tjänster innebär samtidigt som vi säkerställer att Sveriges digitala suveränitet inte undergrävs.

För Försäkringskassan kommer det kravet att styra valet av it-tjänster framöver. I vitboken argumenterar vi för vår uppfattning att den svenska stats- och kommunala förvaltningen också fram­över måste ha suverän kontroll över sin information. Åtminstone till dess att den lagstiftning som reglerar frågan säger någonting annat.