De svenska myndigheternas it-samverkansorgan Esam släppte nyligen en bomb när dess juridiska expertgrupp uttalade sig om molntjänster. Slutsatsen var att sekretessreglerade uppgifter som lagras hos en molnleverantör som lyder under utländsk lagstiftning ska betraktas som röjda. Bakgrunden till utlåtandet är Cloud Act, den färska lagstiftning som innebär att USA:s myndigheter kan få tillgång till data som lagras av amerikanska leverantörer, även utomlands.

Jag menar att denna nyhet har övertolkats. Det leder till den förhastade slutsatsen att offentliga verksamheter är förhindrade att använda molntjänster från USA-ägda företag som Google, Microsoft och Amazon. Men det räcker att gå till Sveriges Kommuner och Landsting, SKL, en av de tyngsta medlemmarna i Esam, för att få en nyanserad bedömning. I sin kommentar skriver SKL att ”frågan är komplex och inga enkla svar finns” och man talar för att en bred riskbedömning alltid ska göras inför beslut om att använda molntjänster.

Uppfattningen att Cloud Act ger amerikanska säkerhetsorgan en öppen bakdörr för att fritt tanka data från molntjänster är grovt felaktig. Lagen kan faktiskt tolkas som ett steg i rätt riktning, bland annat då den tydliggör att berörda parter alltid kan låta domstolspröva en begäran om att lämna ut data. Från sitt perspektiv, men ändå sakligt, redogör Microsoft i Sverige för lagens innebörd på sin nyhetsblogg. Det är nyttig, och för många kunder säkert också lugnande läsning.

Viktigt att notera är också att varningen från Esam avser sekretessklassat data. Det innebär att informationsklassning är viktigare än någonsin och att rätt data lagras på rätt ställe.

Det här är en artikel från IDG Opinion Vill du också tycka till om något? Så här gör du. »

Som svensk och europeisk moln- och tjänsteleverantör ser vi att kraven kring särskilt känsligt data – vilka är fullt rimliga – skapar en osäkerhet hos många myndigheter och företag. Men rätt hanterat skapar molnet nya möjligheter, på ett säkert och kontrollerat sätt.

Dagens it-strategiska verklighet för svenska företag och myndigheter handlar om att skapa en genomtänkt mix av tjänster från publika och privata moln, intern och extern it-drift. Med en sådan hybridmodell kan molnets princip – att leverera it som tjänst – tillämpas även av organisationer som driver sin it i egen regi.

Lyfter vi blicken från den dagliga verksamheten finns all anledning att inte bara följa, utan också aktivt agera för fria dataflöden. För globalt verksamma företag är fri rörlighet för data över gränserna en viktig förutsättning för att göra affärer. Och de globala molnleverantörerna är här för att stanna – ingen tror väl något annat?

Det osäkra rättsläget kring dataflöden mellan EU och USA har redan flera år på nacken och jag ser inte att situationen kommer att klarna snabbt. Inom EU går det dock framåt. I år införs en ny lagstiftning som kompletterar GDPR för att garantera fria flöden även av icke-personlig data. Sekretessklassad data kommer även här att kunna undantas.

Dessbättre är det möjligt att finna en väg mot molnet även med rådande förutsättningar. Grundpelarna är en gedigen riskbedömning, en flexibel infrastruktur som ger möjlighet att flytta data mellan privata och publika moln, fungerande identitetshantering, samt inte minst, en rutinmässig informationsklassning som möjliggör att sekretessklassad data hanteras för sig. Med den hemläxan gjord finns ingen risk för oro samtidigt som man kan ta del av framtidens it.

En nödbromsning eller ett idiotstopp för att använda vissa molntjänster skulle göra alla till förlorare.

Henrik Ahlberg, försäljningschef på Proact.

Läs också: 
”Risken med utländska molntjänster är komplex – kryptering löser inte problemet”
Inte bara Cloud Act – även miljön ett tungt skäl att välja svenska moln före AWS