Det är skillnad på moln och moln – fem frågor att ställa din molntjänstleverantör

Sekretessbelagda uppgifter måste anses röjda.

Det anser eSams juridiska expertgrupp i ett nyligen publicerat rättsligt uttalande om användande av molntjänster för sekretessbelagda uppgifter.

Detta gäller för de fall då de hanteras av en tjänsteleverantör som lyder under regler som tvingar leverantören att lämna ut uppgifterna utan laglig grund i svensk rätt. eSam är en samverkan mellan 23 myndigheter och SKL.

Ett exempel: Göteborgs stad upphandlade för något år sedan molntjänster till de anställdas datorer.

Tanken var att använda Office365 bland annat till sekretessbelagd information. På grund av säkerhetsproblemen har frågan valsat runt i olika instanser sedan dess.

Frågan har ställts på sin spets i och med CLOUD act, en amerikansk lagstiftning som tvingar tjänsteleverantörer att lämna ut information till amerikanska myndigheter. Detta utan att ta hänsyn till lokal lagstiftning där den drabbade finns.

Det är tillfredsställande att frågan belyses från ett juridiskt perspektiv, och att slutsatsen landar där den gör. Som i exemplet ovan: vad har amerikanska myndigheter med sekretessbelagd information om göteborgarna att göra?

Vi hade aldrig accepterat att utländska myndigheter hade nyckel till en bakdörr in i journalarkivet på sjukhuset innan digitaliseringen – varför skulle vi acceptera det idag?

Hur bedömer man en molntjänsts säkerhetsnivå för sekretessbelagda uppgifter?

Vilken lagstiftning påverkar tjänsteleverantören?

Vilka rättssystem har möjlighet att utöva påtryckning på tjänsteleverantören? Frågan gäller såväl ägandet som ledningsstrukturen och även den operativa personalen. Om dessa finns i flera olika länder ökar risken för utlämnande i strid med svenska regler.

Vilka andra kunder har tjänsteleverantören?

Om operatören har många och viktiga kunder i ett land ökar risken för att operatören tvingas/lockas till oönskade åtgärder.

Var finns informationen?

Det spelar stor roll i vilket/vilka länder den faktiska informationen finns.

Hur segmenterad är informationen?

Delar leverantören lokaler, hårdvara, lås och larm samt personal mellan många kunder – eller har vi helt egna resurser för just oss?

Det finns tjänsteleverantörer som använder molntjänstteknik helt fristående. Informationen finns då på en bestämd plats, inlåst i utrymmen som inte delas med någon annan, hanteras endast av utpekad säkerhetsgodkänd personal, på hårdvara som inte delas med någon annan kund.

Hur säkerställs att informationen inte kan flyttas från avsedd plats?

Det är stor skillnad på ett avtalsmässigt hinder som lätt kan övertrumfas av ett myndighetsbeslut och tekniskt skydd som, rätt uppsatt, gör det omöjligt för obehöriga att komma åt informationen. Med rätt segmentering kan inte ens tjänsteleverantörens egen personal komma åt informationen.

Av Advenica