Använd en laglig molninfrastruktur!

Det offentliga Sverige har stora frågetecken kring hur de kan använda molntjänster utan att riskera lagbrott. Inte minst eftersom många likställer molntjänster med de amerikanska jättarnas tjänster.

– Mitt råd är därför att alltid utforska marknaden och närhelst det är möjligt kravställa så att verksamheten kan få ett säkert och seriöst alternativ till de amerikanska molnjättarna, säger till OFFENTLIGA AFFÄRER Arman Borghem, molnjurist på Cleura och tidigare it-upphandlare på Statens inköpscentral vid Kammarkollegiet samt medlem i Skatteverkets tvärfunktionella molngrupp.

Arman Borghem. Foto: LinkedIn.

Offentlig sektors digitalisering via molntjänster är högt på agendan och inte minst då frågan om hur det offentliga ska hantera personuppgifter utan att riskera den personliga integriteten. Samtidigt använder allt fler moln som bas för sin digitalisering eftersom det ses som kostnadseffektivt och avgörande för att hantera stora datamängder som AI och annan digitalisering kräver.

Det finns alternativ

Men det finns flera svenska alternativ. Cleura är ett sådant som OFFENTLIGA AFFÄRER skrivit om tidigare. Cleuras molnjurist Arman Borghem, som har en bakgrund i Skatteverkets molngrupp och som it-upphandlare på Statens inköpscentral vid Kammarkollegiet, pratar ofta med olika aktörer för att rådge hur man ska tänka kring molnet och juridiken. Han är djupt engagerad i diskussionen kring molntjänster i Sverige och Europa.

OFFENTLIGA AFFÄRER har ställt frågor till Arman Borghem och fått svar. Här följer intervjun, som genomförts via e-post.

Hur ska man få bukt med den bristande konkurrensen på molnområdet?

– Alla verksamheter har all anledning att tillvarata den konkurrens som finns när de köper molntjänster, och därigenom försätta sig i ett bättre läge. Det skickar samtidigt marknadssignaler som har en direkt påverkan på hur marknadens leverantörer agerar och vad de investerar i. Därtill måste tillsynsmyndigheterna ges tillräckliga muskler och kompetens, och agera därefter! Lagar som LOU, konkurrenslagen och GDPR kan lika gärna skrotas om de inte övervakas och upprätthålls.

– Europas konkurrensmyndigheter –  i Sverige Konkurrensverket – behöver skaffa sig en förståelse för den dysfunktionella situationen på marknaden för molntjänster och agera därefter. Det är få verksamheter i svensk offentlig sektor som upphandlar lösningar som ordbehandling, chatt och videokonferens i verklig konkurrens. I stället upphandlar man en mellanhand (”licenspartner”) som förklarar vilka artikelnummer myndigheten, regionen eller kommunen behöver mejla över för beställning.

Otillåtet avropssätt

– Detta förfarande passar väl in på vad Upphandlingsmyndigheten och Konkurrensverket beskriver som ett ”otillåtet avropssätt” i avsnitt 5.1 av rapporten Mellanhänder i upphandling. Dessutom förnyar, förlänger och uppgraderar många verksamheter de lösningar de började använda för flera årtionden sedan, utan att konkurrensutsätta det underliggande behov som lösningarna ska tillgodose. Under årens lopp hinner dessutom leverantören ändra alltifrån avtalsvillkor till priser och leveransform från betalning per programversion till löpande prenumeration. Trots att köparnas beteende är så utbrett har mig veterligen Konkurrensverket aldrig använt sina tillsynsbefogenheter för att stävja det.

– Det finns också all anledning att granska de tre stora molntjänstleverantörernas beteenden. Titta bara på granskningarna i Frankrike och Storbritannien som berör hur molnjättarna arbetar med teknisk inlåsning, exitavgifter och vissa typer av rabattprogram.

Konkurrensmyndigheterna har alltså en avgörande roll att spela för att säkerställa en rättvis konkurrens på marknaden. Konkurrensverket måste rusta sig med kompetens för att inte låta resursstarka leverantörer dribbla upp myndigheten på läktaren. Leverantörerna har ingen anledning att röra ett finger om de inte känner sig tvungna. Det är de skyldiga sina aktieägare.

Kunderna kan agera

Kunderna behöver dock inte vänta på att konkurrensmyndigheterna ska agera. De kan själva börja ta itu med problemet redan idag för att bryta sin inlåsning. Här ska också ges en eloge till Konkurrensverket – som redan år 2015 gav ut en forskningsrapport som analyserade problemen med it-inlåsning i offentlig sektor.

Du har i flera rapporter lyft att amerikansk övervakningslagstiftning används extraterritoriellt. Hur ska organisationer tänka här?

– Allt tyder på att amerikansk extraterritoriell lagstiftning innebär att amerikanska myndigheter kan ålägga en amerikansk molntjänstleverantör att lämna ut uppgifter även om uppgifterna hanteras av den amerikanska molntjänstleverantören i EU, och även om uppgifterna hanteras av deras EU-registrerade dotterbolag.

– Det betyder att lagring hos en amerikansk molntjänstleverantör i EU inte ger ett bättre skydd än lagring i USA. Amerikansk lagstiftning gör alltså anspråk på att reglera uppgiftshantering på EU:s territorium och ger amerikansk rättsordning företräde framför EU:s.

Amerikansk jurisdiktion

– De amerikanska molntjänstleverantörerna framställer detta som en självklarhet; att de i egenskap av amerikanska bolag givetvis måste verkställa beslut enligt amerikansk jurisdiktion. De förväntar sig därmed med samma självklarhet att deras kunder i EU ska ge upp företrädet för sin egen rättsordning till förmån för amerikansk. Vi tycker inte att detta är självklart. EU-lagstiftaren instämmer; GDPR har regler som ska skydda information i EU från tredjelands myndigheter, vilket långt ifrån alla känner till.

– Varför är då detta ett problem? Det är ganska lätt att se att själva risken för utlämnanden i sig kan drabba vår rätt till privatliv samt undergräva skyddet för våra personuppgifter.

– Den 8 april 2014 ogiltigförklarade EU-domstolen EU:s datalagringsdirektiv. Direktivet innebar att telekombolag skulle lagra trafik- och lokaliseringsuppgifter relaterade till telefonsamtal och internetanvändning, dock inte innehållet i kommunikationen. Vi kan utgå ifrån oss att en mycket liten andel av dessa uppgifter någonsin skulle komma att lämnas ut till polis och andra myndigheter.

Alltför långtgående direktiv

– Trots den förmodat låga risken för utlämnanden så ogiltigförklarades direktivet – det var ett alltför långtgående hot mot vårt privatliv och dataskyddsrättigheter. När långt fler uppgifter än nödvändigt omfattas av lagringen, när det inte är tillräckligt tydligt under vilka omständigheter uppgifterna kan lämnas ut, och det dessutom kan ske i hemlighet, så svävar vi i ovisshet. Domstolen angav att ”den omständigheten att lagringen av uppgifterna och den senare användningen av dem sker utan att abonnenten eller den registrerade användaren är underrättad om detta [kan] ge de berörda personerna en känsla av att deras privatliv står under ständig övervakning.”

– Idag hanteras lejonparten av våra kommunikationer, digitala förehavanden samt mängder av metadata som hör till detta, inklusive platsdata, hos tre molnbolag som alla lyder under samma tvingande lagstiftning. Många har hört talas om CLOUD Act, men amerikansk underrättelselagstiftning som FISA 702 är sju resor värre. Förra året framkom exempelvis att FBI gjort fler än 278 000 otillbörliga sökningar i en FISA 702-databas. Vi lyfter detta och fler exempel på övertramp i vår rapport apropå förra årets adekvansbeslut.

”Kan inte anlitas”

– Alla verksamheter har en GDPR-skyldighet att endast anlita personuppgiftsbiträden som lämnar garantier som är tillräckliga för att uppfylla GDPR och säkerställa våra rättigheter. I GDPR ingår de skrivningar som ska skydda mot utlämnanden till tredjelands myndigheter. Vad amerikanska molntjänstleverantörer garanterar i denna kontext, menar vi, är att de kommer att bryta mot GDPR:s regler och ge amerikansk lagstiftning företräde. Därmed garanterar de inte att de kommer att uppfylla GDPR, och de kan därför inte anlitas.

Adekvansbeslutet förändrar inte detta, vilket vi redogör för i rapporten Vad din verksamhet behöver veta om det tredje adekvansbeslutet. 

Vilka konkreta tips kan du ge aktörer i offentlig sektor när det gäller att hantera molnet, följa GDPR, egen säkerhet och medborgarnas integritet, etc.?

– Det vore ju lätt för mig att rekommendera Cleuras molninfrastruktur som integritetsvänlig ur GDPR-perspektiv. Men jag skulle vilja lyfta en annan fråga som hittills gått under radarn här i Sverige, men som lyfts på betydligt högre nivå i vårt grannland.

Problematiskt i Danmark

– År 2018 betalade danska kommuner minst 313 miljoner danska kronor till Microsoft, år 2023 ligger siffran på cirka 538 miljoner. En ökning med över 70 procent. Danmarks liberalkonservativa digitaliseringsminister har kommenterat beroendet som ”i grunden problematiskt” och sagt att ”När teknikjättar använder sin dominerande ställning för att höja priserna utan att vi kan välja bort dem, måste vi spendera ännu mer skattepengar utan att få mer för pengarna.” Microsoft själva har beskrivit prissättningen som ”rättvis”. (länk)

– Ibland hävdas det att vi behöver amerikanska molnjättar för att klara välfärden. Förra året sa Region Köpenhamn upp 150 personer för att klara licenshöjningar på standardlösningar från Microsoft, Adobe m.fl. (länk)

– Mitt råd är därför att alltid utforska marknaden och närhelst det är möjligt kravställa så att verksamheten kan få ett säkert och seriöst alternativ till de amerikanska molnjättarna. Inte bara för integritetens skull utan för att inte på sikt utarmas ekonomiskt. Var tydlig med att kravställningen inkluderar underleverantörer där data hanteras, inte bara den som lämnar anbud. Det finns många svenska och europeiska SaaS-bolag som använder en laglig och lämplig molninfrastruktur.

Motverka leverantörsinlåsning

– Det finns en teknisk plattform som används världen över, som är ett alternativ till de amerikanska molnbolagens infrastruktur. Den plattformen är byggd för att motverka leverantörsinlåsning. Leverantören av molninfrastruktur får då alla incitament i världen att vara tillmötesgående och lyhörd för önskemål, utveckla sitt tjänsteerbjudande och ha konkurrenskraftiga priser. Om du är en kommun, region eller myndighet som använder en sådan leverantör, så får du givetvis direkt nytta av detta. Om du köper en SaaS-lösning av ett bolag som använder sådan molninfrastruktur, så gynnas du indirekt. Ett SaaS-bolag som utsätts för kraftiga prishöjningar av sin molnleverantör skickar troligen notan vidare till sina egna kunder genom prishöjningar. Den risken är betydligt mindre när molninfrastrukturen bygger på teknik som motverkar inlåsning.

– De som har mest att vinna på detta är verksamheterna själva.