Molntjänsterna bryter mot lagen

Salem var först ut av landets kommuner att börja använda molntjänsten Google Apps. Flera andra kommuner vill följa Salem i spåren. Men ingen vågar hoppa på tåget utan ett kvitto på att molntjänster som Google Apps och Windows Azure är förenliga med de stränga reglerna i personuppgiftslagen, som alla myndigheter måste följa.

Nu lägger Datainspektionen fram sin stora granskning av molnsatsningen. Kritiken är mycket hård.

Avtalet med Google måste ändras inom de närmaste månaderna, slår Datainspektionen fast.

– Den mest lagstridiga bristen är att man har ett avtal där leverantören ensidigt kan ändra avtalsvillkoren. Principiellt sett är det naturligtvis helt fel, säger Göran Gräslund, Datainspektionens generaldirektör.

Han slår ner på flera punkter där Salems avtal med Google inte uppfyller lagkraven. Rent juridiskt är dörren exempelvis inte helt stängd för Google att använda Salems data för andra ändamål än dem man kommit överens om.

Salem har inte heller tillräckligt bra koll på var Google fysiskt bearbetar kommunens data, något som lagen kräver. Saknar man exakt kunskap om det, kan man inte fullt ut kontrollera att molnleverantörens säkerhetsåtgärder för att skydda personuppgifter är tillräckliga.

– Vi tycker inte att de som köper molntjänsterna har tillräcklig kontroll över vad de faktiskt köper. De som tillhandahåller tjänsterna gör det också svårt för köparen att se exakt vad de köper. Det finns brister på båda fronter, säger Göran Gräslund.

Han understryker att Salem nu måste rätta till bristerna i Google-avtalet, men säger samtidigt att kritiken inte innebär att man avråder andra kommuner från att satsa på molntjänster.

– Vi tycker att det är möjligt att göra korrigeringar så att molntjänster blir förenliga med personuppgiftslagen, säger han.