Risk för oetisk insamling av data
Lagring i molnet kan lämna data oskyddad. Sverige riskerar att bygga in sig i storskalig insamling och användning av data som är oetisk, olaglig eller allvarligt inskränker mänskliga rättigheter.
– Rent allmänt förefaller det problematiskt att anlita leverantörer utanför EU/EES för molntjänster om man ska hantera någonting annat än harmlös information, menar Anne-Marie Eklund Löwinder, CISO (ung. IT-säkerhetsdirektör, red:s anm.) på Internetstiftelsen. Se intervjun med henne nedan.
Den myndighet som ska värna svenska medborgares integritet i det digitala samhället med allt fler data i molnet lade nyligen fram sin första rapport om integritetsskydd till regeringen. I den slås fast att Sveriges ambitiösa digitaliseringspolitik måste kompletteras med en lika ambitiös integritetsskyddspolitik.
Inskränker rättigheter
– Annars riskerar Sverige att bygga in sig i storskalig insamling och användning av data som är oetisk, olaglig eller på ett allvarligt sätt inskränker våra mänskliga rättigheter, säger Lena Lindgren Schelin, GD, Integritetsskyddsmyndigheten (IMY).
Datainspektionen bytte kring årsskiftet namn till Integritetsskyddsmyndigheten (IMY) och den har nyligen lämnat över sin första integritetsskyddsrapport till regeringen. En kort tid innan dess visade en undersökning från företaget Trend Micro att en stark ökning av företag som flyttar över data till molnet kan lämna företagsdata oskyddad, se nedan.
Lena Lindgren Schelin.
Lena Lindgren Schelin, generaldirektör, menar att Sverige har en ambitiös digitaliseringspolitik, men att den politiken nu behöver kompletteras med lika konkreta mål och åtgärder för att säkerställa att utvecklingen är hållbar ur ett integritetsperspektiv.
I rapporten till regeringen framgår att det nu är enklare och billigare än någonsin att samla in– och med hjälp av artificiell intelligens bearbeta och analysera– stora mängder data. Data kan samlas in från bland annat appar, mobiltelefoner, träningsarmband och smarta prylar i hemmet.
Karin Lönnheden, stabschef på IMY, menar att de här teknikerna för att samla in data, som vi tidigare framför allt har sett i den digitala världen, nu flyttar ut i den fysiska världen.
Fullständig bild av våra liv
– De ger en mängd aktörer tillgång till en mer eller mindre fullständig bild av våra liv, våra intressen, våra kontakter, vår hälsa, våra rörelsemönster, vanor och beteenden, vilket ofrånkomligen leder till risker ur ett integritetsskyddsperspektiv.
En undersökning från företaget Trend Micro i december 2020 visar att 88 procent av företag runt om i världen har ökat takten på sin moln-migrering. Samtidigt avslöjar undersökningen att bara 55 procent av företagen investerat i den säkerhet som behövs för en trygg flytt till molnet.
Oskyddad företagsdata
Trend Micros undersökningsresultat sägs bekräfta att den globala pandemin har ökat takten på den digitala transformationen för 88 procent av företagen världen över. Undersökningen visar dock också att denna starka ökning av företag som flyttar över till molnet kan lämna företagsdata oskyddad.
Anne-Marie Eklund Löwinder.
OFFENTLIGA AFFÄRER ställde ett antal frågor till Anne-Marie Eklund Löwinder, CISO (ung. IT-säkerhetsdirektör, red:s anm.) på Internetstiftelsen.
Hur ser du generellt på lagring av data i det så kallade molnet? (T.ex. vad bör myndigheter tänka på respektive privatpersoner).
– Det finns många olika typer av molntjänster, från Infrastrucure as a service till fullservicetjänster som även tar hand om applikationer och informationshantering. Med någon sorts generell ansats ser jag egentligen inget problem med lagring av data i molnet så länge man uppfyller de krav på dataskydd och informationssäkerhet som måste ställas.
– Om exempelvis några få, små kommuner, väljer att lägga sin information hos en amerikansk leverantör har vi kanske inget jättestort problem, men om 290 kommuner gör samma sak så är det definitivt ett problem, både ur ett integritets- och ett samhällsperspektiv.
– 2018 antog USA lagen Clarifying Lawful Overseas Use of Data Act, den s.k. CLOUD Act, som tvingar amerikanska bolag att lämna ut digital information till amerikanska myndigheter även om informationen är lagrad i Sverige. Det har funnits tidigare lagar som till exempel FISA från 1978 (som uppdaterades 2008 med Foreign Intelligence Surveillance Act, FISA section 702). Det är lagar som tvingar amerikanska bolag att under fullständig sekretess samarbeta med amerikanska myndigheter och har exempelvis använts i praktiken 2011 när Skype tvingades att ansluta sig till det amerikanska inhämtningssystemet PRISM.
Inte unikt för USA
– Denna typ av lagstiftning är emellertid inte unik för USA, motsvarande finns också i bland annat Ryssland, Indien och Kina. Många verksamheter som idag har outsourcat sin drift och övervakning till Indien är nog inte medvetna om existensen av dessa lagar. Företrädarna förfäktar att bara man tecknar avtal med molntjänstleverantören så blir allt bra. Men om leverantören redan på förhand vet att de inte kan hålla det som står i avtalet så är det ogiltigt från avtalsrättsliga synvinklar och håller förmodligen inte heller för en prövning i rätten.
– Jag är inte jurist, men rent allmänt förefaller det problematiskt att anlita leverantörer utanför EU/EES för molntjänster om man ska hantera någonting annat än harmlös information. Offentlig förvaltning är skyldig att följa de lagar som finns, om det råder det ingen som helst tvekan. Lagar som är instiftade för att skydda våra mest fundamentala rättigheter och vårt lands oberoende i en tid när ingenting av detta är självklart. Det finns andra, som är jurister, som gör bättre analyser: Per Furberg och Mikael Westberg i ”??̊?????????????? ??̈??? ???????? ?? ??????????????? ??? ????????? ? ??????? ?????̈” JT nr 2 20/21.
– Det är intressant att följa utvecklingen av det europeiska initiativet Gaia-X, ett initiativ som lanserades av Tyskland och Frankrike i samarbete år 2019 i syfte att etablera en federerad data-infrastruktur för EU. Det finns mycket att hämta i IT-driftsutredningens delbetänkande, SOU 2021:1.
”Det finns all anledning att studera användaravtalet innan du lägger över dina filer i molnet”, skriver ni på er hemsida. Är kunskapen om det egna ansvaret tillräckligt utbredd, tror du?
– Det tror jag inte. Många gånger är villkoren fortfarande svårtolkade och snåriga, även om GDPR kräver att det ska vara information som enkelt kan förstås av användaren.
När det gäller Myndighetssverige och användandet av molnet, vilka möjligheter respektive faror identifierar ni där?
– Det är en utredning som pågår just nu, där jag ingår i referensgruppen.
Vad vill du lägga till i övrigt kring detta?
– Det är välkommet att staten tar en närmare titt på hur man ska lösa situationen för den svenska offentliga förvaltningen. Vi måste hitta effektiva lösningar där vi varken riskerar svenska medborgares mänskliga rättigheter eller inskränker Sveriges digitala suveränitet. Det händer också en del på GDPR-området. https://gdpr.eu/gdpr-in-2020/
– Ett svenskt säkerhetsföretag, IT-säkerhetsbolaget, driver en sajt, gdpr.se, där de sprider bra och uppdaterad information, avslutar Anne-Marie Eklund Löwinder.