Datainspektionens generaldirektör anser att de som köper molntjänsterna inte har tillräcklig kontroll över vad de faktiskt köper. Han säger dock att det är möjligt att göra korrigeringar så att molntjänsterna blir förenliga med personuppgiftslagen. Exakt hur det ska ske framgår inte.
Det är naturligtvis viktigt att alla som använder molntjänster försäkrar sig om att användningen är förenlig med pul.
Det som är märkligt är att det saknas en debatt om myndigheters användning av molntjänster är förenliga med offentlighets- och sekretesslagen, osl. Den ställer mer långtgående krav än pul på att information som ska skyddas enligt lagen inte får röjas för någon som är obehörig.
Ett exempel: En myndighet hanterar information som rör skyddsvärd information enligt offentlighets- och sekretesslagen. I stället för ett befintligt system som tidigare använts inom myndigheten bestämmer man sig för att köpa en motsvarande tjänst i molnet.
Osl ställer krav på att uppgifterna inte får röjas för obehöriga. Det innebär att informationen inte får vara åtkomlig för någon som inte har arbetsmässiga skäl att använda den. Det ställer krav på att informationen skyddas fysiskt och logiskt i alla delar av it-miljön. Hur många molntjänster lever upp till det? En inte alltför djärv gissning är: inga.
”Den mest lagstridiga bristen är att man har ett avtal där leverantören ensidigt kan ändra avtalsvillkoren”, säger datainspektionens generaldirektör.
Frågan är hur man ska kontrollera att en molnleverantör som bearbetar information på andra sidan jordklotet lever upp till avtalsmässiga krav, avtalsmässiga krav som ska tillgodose svenska legala krav.
Justitieombudsmannen, JO, ska utöva tillsyn över myndigheternas tillämpning av offentlighets- och sekretesslagen. Jag skulle välkomna att JO uttalar sig i medierna och beskriver vilka skyddskrav osl ställer vid användning av molntjänster.
Utan en sådan vägledning så kan man förmodligen inte kräva det av myndighetschefer heller.
Pehr Jern, jurist, Combitech
