I en debattartikel den 26 januari skriver Cybercoms vd Niklas Flyborg om molnutredningens delbetänkande som nyligen lämnats till regeringen.
Debatten om offentlig sektors lagliga och lämpliga användning av molntjänster handlar inte om fenomenet molntjänst som sådant. Frågan är enbart kontroversiell vad gäller de molntjänster som står under kontroll av utländsk lag. I praktiken innebär det att främmande makt genom extraterritoriell lagstiftning möjliggjort för de egna myndigheterna att från företagen begära ut kundernas data oavsett om data är lagrade inom eller utanför det egna landet. Länder med just sådan extraterritoriell lagstiftning är Kina med sin NIL-lagstiftning och USA med Cloud Act, FISA 702 och EO12333.
Enligt uppgift i New York Times spenderade Microsoft tillsammans med andra, under första halvåret 2020, runt 200 miljoner kronor på lobbyverksamhet i Bryssel. Dessa företag gör också enorma investeringar i Sverige. Lobbyverksamhet pågår också i Sverige i form av juristutlåtanden – beställda av amerikanska handelskammaren, möten med offentliga makthavare under Almedalsveckan 2019 där en leverantör proklamerade ”Nu är det återigen grönt ljus”. Lobbyingen underlättas av att det sitter en företrädare för en dominerande amerikansk molntjänstleverantörer i regeringens digitaliseringsråd.
Sedan kom Schrems II-domen 2020 och de tvärsäkra uttalandena visade sig felaktiga och rent skadliga eftersom de som förlitat sig på leverantörernas försäkringar om ”grönt ljus” och börjat behandla personuppgifter i amerikanska tjänster nu efter Schrems II-domen visade sig varken vara lagliga eller lämpliga. Här visas också på att inlåsningseffekten i dessa leverantörers tjänster är en stor utmaning.
Betänkandets text lämnar ett visst utrymme för tolkning men det är uppenbart för den som läser texten ordagrant att Flybergs förståelse av betänkandets slutsatser saknar stöd. Utredningens bedömning är att överföring av personuppgifter till USA strider mot GDPR samt att även om persondata endast behandlas och lagras inom EU/ESS så har den amerikanska lagstiftningen betydelse utifrån omsorgsplikten vid val av personuppgiftsbiträde. Något ”grönt ljus” för amerikanska molntjänster finns inte i utredningen.
Precis som Flyberg anser jag att offentlig sektor ska dra nytta av lämpliga it-tjänster, men jag anser till skillnad från honom att det inte finns likhetstecken mellan lämplig och amerikansk. Att sätta detta likhetstecken har varit en tydlig ambition för de amerikanska molnleverantörernas lobbyverksamhet. Det är olyckligt. Både för den it-industri som finns i Sverige och EU men för vars tjänster det nu genom delbetänkandet blir tydligare förutsättningar för att utvecklas.
Den digitala suveräniteten, som också Flyberg nämner, är nödvändig för att säkerställa vårt faktiska nationella oberoende över tid och värna den svenska befolkningens mänskliga fri- och rättigheter. Det är min bestämda uppfattning att Sverige som nation alltid ska ha rådighet över den information som dess myndigheter har fått befolknings förtroende att förvalta.
Flybergs inlägg visar på att betänkandet nu har fått fundamentalt olika tolkning av de grundläggande slutsatserna och det vore därför önskvärt för alla att utredningens uttalanden och förslag analyseras och klargörs i det fortsatta lagstiftningsarbetet.
André Catry Rådgivare inom cybersäkerhet