Kan sekretessen upprätthållas i molnet?
Fler och fler myndigheter och offentligt ägda bolag vill lägga ut data i molnet. En kostnadseffektiv åtgärd som förenklar tillgång till gemensam information och frigör resurser tycker vissa. Alldeles för riskabelt påstår andra och hänvisar till att sekretessbelagd information lagras i okända servrar runt om i världen långt ifrån myndighetens kontroll.
En myndighet får inte lämna ut allmänna handlingar som omfattas av sekretess enligt offentlighets- och sekretesslagen (OSL).
En konsult som i sitt uppdrag för myndigheten förvarar sådana allmänna handlingar omfattas emellertid inte – som utgångspunkt – av OSL och kan därför lämna ut handlingarna utan att drabbas av sanktioner. Av detta skäl är det viktigt att konsulten tecknar ett avtal med myndigheten, enligt vilket konsulten åtar sig att upprätthålla sekretess i samma utsträckning som myndigheten är skyldig enligt OSL.
Om ett sådant avtal inte tecknas kan det med fog ifrågasättas om myndigheten får anses ha röjt sekretessbelagda uppgifter i strid med OSL redan genom att lämna ut handlingarna till konsulten. Den uppfattningen stödjer sig på att en handling kan anses vara utlämnad i det ögonblick den befinner sig i mottagarens besittning. En sekretessbelagd uppgift skulle därmed kunna anses röjd av myndigheten vid ett sådant utlämnande, dvs. även utan att mottagaren tillgodogjort sig uppgiften.
Sekretessprövning ska genomföras
Frågan är emellertid komplicerad. En uppgift är inte sekretessbelagd av sig själv. Myndigheten ska göra en sekretessprövning vid varje tillfälle. En uppgift som får lämnas ut idag kan mycket väl vara sekretessbelagd imorgon. Dessa förhållanden talar emot att sekretessbelagda uppgifter generellt sett alltid får anses röjda så fort någon har en praktisk möjlighet att ta del av uppgifterna, till exempel genom att de finns på en server som personen ifråga har tillgång till.
När det gäller molntjänster får konsultproblemet ytterligare en dimension genom att molntjänstleverantören typiskt sett använder underkonsulter som är stationerade över hela världen för lagring av kundens information. Hur ska myndigheten under sådana förhållanden kunna säkerställa att sekretessen upprätthålls i tillräcklig utsträckning?
Dessutom finns det inga möjligheter att genom avtal förhindra vissa länders myndigheter att med stöd av nationell lagstiftning begära ut information som lagras i servrar som är lokaliserade i det egna landet.
Granskning av användandet av molntjänst
Vid Datainspektionens granskning av Ale kommuns användande av molntjänsten Office 365 ansågs kommunen uppfylla kraven i personuppgiftslagen med ett undantag. Listan över Microsofts underleverantörer för Office 365 skulle kompletteras med information om i vilka länder respektive underleverantörer var lokaliserad. Risken för ett otillåtet röjande av sekretessbelagda uppgifter enligt OSL aktualiserades aldrig av Datainspektionen. Detta eftersom granskningen gjordes utifrån personuppgiftslagen. Tjänsten – som skulle användas för vissa skolrelaterade ändamål – skulle inte heller behandla några sekretessbelagda eller i övrigt känsliga uppgifter.
Vi använder molntjänster dagligen utan att inse det
Många av oss använder molntjänster dagligen utan att ens inse det. Webbaserad e-post, Facebook och Spotify – alla finns de i molnet och lagrar bilder, videor och textfiler utan att vi har en aning om var dessa data befinner sig i världen.
När det gäller ämnet för denna artikel kommer frågan med största säkerhet att aktualiseras inom kort. Av intresse blir då molnbaserade IT-tjänster som innebär lagring av mer känsliga uppgifter såsom diarieföringssystem inom sjukvården och liknande. Många ser fram emot ett klargörande i frågan från justitieombudsmannen som ju är tillsynsmyndighet över myndigheternas efterföljande av offentlighetsprincipen.
Lars Arrhed,
Advokat och Delägare
Advokatfirman Lindahl
Den första frågan är ju egentligen, vad är en molntjänst? Det finns idag en missanvändning av begreppet där det i många fall inte handlar om molntjänster per se, utan om IT-system och tjänster som använder teknik som förknippas med molntjänster, t.ex. virtualisering.
Nästa fråga är vad som skiljer mellan en molntjänst och en traditionell outsourcing? I bägge fallen används redan i stor omfattning samma typ av teknik. Den stora skillnaden här ligger i avtalssituationen. Molntjänst är per definition en färdigpakaterad tjänst där kunden kan välja att köpa tjänsten eller avstå. Men det finns i regel inga eller mycket små möjligheter för kunden att påverka innehållet i tjänsten eller i avtalet (även om t.ex. Microsoft faktiskt har anpassat vissa avtal för svenska förhållanden). Men jag skulle vilja påstå att problemet redan finns i stor omfattning inom ramen för de utläggningar som genomförts i offentlig sektor. Det stora intrånget som nyligen avhandlades i Tingsrätten där känslig information stals inkluderade ett intrång i en stordator som i sin tur hanterade mängder av känslig information tillhörig ett flertal olika myndigheter, inklusive bland annat Polisen. Totalt stals 16 Gb data, bland dessa cirka 10000 skyddade identiteter.
Med detta som bakgrund kommer frågan helt att vara beroende av organisationens bedömning av värdet på den information man tänker lägga ut, vilken lagstiftning som omfattas, vilka hot och risker som finns med detta. För att lösa dessa frågor krävs ett systematiskt arbete med informationssäkerhet. För detta ändamål finns en global (och svensk) standard som heter Ledningssystem för informationssäkerhet (ISO/IEC 27001). som organisationen bör använda för att reda ut dessa frågor. För statliga myndigheter är detta föreskrivet av MSB, Myndigheten för samhällsskydd och beredskap (MSBFS 2009:1) och i Riksarkivets föreskrifter RA FS 2009:1.