Skip to content

    Vägledning om införande av molntjänster inom offentliga verksamheter

    Under de senaste åren har frågan om lagligheten vid användning av amerikanska molntjänster varit en het fråga. Det har funnits starka röster som argumenterat mot en användning av dessa molntjänster. På senare tid har det skett ett skifte mot en mer tillåtande attityd och fler offentliga verksamheter utreder alltmer möjligheten att använda sig av dessa tjänster. Är det fritt fram för offentliga verksamheter att använda sig av amerikanska molntjänster? Hur kan dessa organisationer bedöma riskerna och lagligheten med en sådan implementation?

    Under 2021 publicerade Knowit en vägledning om införandet av Microsoft-molntjänster för offentliga verksamheter. Efter det har rättsläget kring tredjelandsöverföringar till USA ändrats och uppdateringar har skett i den svenska Offentlighets- och sekretesslagen. Vi har därför valt att uppdatera vägledningen utifrån dessa uppdateringar.

    Vägledningen från 2021 togs fram på uppdrag av Microsoft Sverige AB i syfte att stödja offentliga verksamheter vid implementeringen av deras molntjänster. Den innehåller en metod för riskanalys, samt underlag för de bedömningar verksamheter behöver göra vid införande av molntjänsterna. Vägledningen MSMD AIR (Microsoft Molndesign Analys av Införande och Risk) målar upp det juridiska sammanhanget och tillhandahåller en modell som guidar läsaren genom de juridiska frågor som behöver besvaras.

    2021 var en tid då användningen av amerikanska molntjänster var en komplex fråga och som krävde tidskrävande juridiska och tekniska bedömningar. Den så kallade Schrems II-domen från sommaren innan gjorde det svårt att använda sig av amerikanska molntjänstleverantörer vilket resulterade i att dataskyddsjurister grävde ner sig i riktlinjerna om tredjelandsöverföringar utfärdade av den europeiska dataskyddsstyrelsen. Den under lång tid diskuterade frågan om offentliga organisationers röjande av sekretess vid användning av molntjänster var också en fråga som inte var utredd.

    Därmed fanns det ett stort behov av riktlinjer att förhålla sig till för offentlig sektor i molnfrågor. Syftet med metodstödet var därför att hjälpa dessa organisationer med att faktiskt utföra de nödvändiga riskbedömningarna kring de sakfrågor som uppstod vid införandet av molntjänster. Vägledningen togs fram av cybersäkerhetsexperter, jurister och molnarkitekter från Knowit för att hjälpa offentliga organisationer med bland annat dessa frågor vid implementeringen av Microsoft-tjänster. I och med detta har Knowit vid skapandet av vägledningen tänkt sig att denna ska användas av ett team med olika kompetenser för att få en heltäckande riskbedömning.

    2023 var ännu ett händelserikt år för dataskyddsvärlden då EU-kommissionen utfärdade ett adekvansbeslut för USA genom Data Privacy Framework (”DPF”). Det innebär att personuppgifter nu kan överföras till organisationer i USA såsom Microsoft som är certifierade enligt DPF.

    Här i Sverige uppdaterades Offentlighets- och sekretesslagen (OSL) med en sekretessbrytande bestämmelse, 10 kap 2a § OSL. Bestämmelsen innebär en öppning för offentliga organisationer att använda sig av molntjänster för så kallad teknisk bearbetning och teknisk lagring av sekretessbelagda uppgifter. Det förutsätter dock att användandet inte bedöms vara olämpligt.

    Vi på Knowit Cybersäkerhet och juridik ser ett ökat intresse från offentliga sektorn att använda molntjänster och har valt att uppdatera vår tidigare vägledning i ljuset av den nya juridiska utvecklingen.

    Ta del av vägledningen MSMD AIR


    Webbinarium-serie: Molntjänster för offentlig sektor

    Formar du framtiden för digitala tjänster inom en kommun, myndighet eller region? Under mars och april bjuder vi, tillsammans med Microsoft, på våra erfarenheter för en framgångsrik molntransformation i en webbinariumserie om fem delar. Läs mer. 

    Säkerhetsanalyser för molntjänster i offentlig sektor (26:e mars)
    Vilka analyser bör en verksamhet inom offentlig sektor genomföra inför beslutet att använda molntjänster?

    Digitala frågetecken och juridiska gåtor (4:e april)
    Det nya juridiska läget för molntjänster i offentlig sektor  – vad behöver vi tänka på?

    Välkommen!

    Om författaren

    Civan Öztürk är jurist med fokus på IT-rätt och dataskydd.