Advokaten 1
PRAKTISK JURIDIK Myndigheters användning – övervä
ganden gällande Myndigheters informationshantering regleras av särskilda lagkrav, vilka återfinns i offentlighets och sekretesslagen, säkerhetsskyddslagen, dataskyddsförordningen, arkivlagen och flera andra regelverk. Den ökade användningen av molntjänster hos svenska myndigheter har givit upphov till en mängd frågor gällande vilket utrymme som enligt gällande rätt finns för myndigheter att förlägga hela eller delar av sin informationshantering till molntjänster. O O ffentliga myndigheter hanterar en stor mängd känslig information som relaterar till såväl enskilda medborgare som till viktiga samhälleliga funktioner. Potentiellt kan både integritetsskador för enskilda och allvarliga samhälleliga säkerhetsbrister uppstå om myndigheters informationstillgångar obehörigen läcks eller om de inte är tillgängliga när de behövs. Följaktligen är det viktigt att myndigheter bedriver ett proaktivt informationssäkerhetsarbete som möjliggör förhindrande av obehörig åtkomst och säkerställande av tillgänglighet vid behörig användning. Myndigheter måste även kunna kontrollera att deras information inte obehörigen förändras eller förstörs samt ha möjlighet att spåra ändringar av informationen. Informationssäkerheten och förutsättningarna att efterleva tillämpliga regelverk påverkas när myndigheter hanterar sin information i publika, globala, molntjänster, i stället för på lokala servrar. Det beror både på att myndigheten efterger kontroll till molntjänstleverantören och på att informationen, inte sällan, lagras på servrar som är belägna utanför Sveriges och EU:s gränser eller hanteras av företag som omfattas av andra länders lagstiftning. Trots de säkerhetsrisker som använ52 PRESENTATION Bonde Barzey Advokatbyrå AB arbetar med affärsjuridik och bistår företag och myndigheter med rådgivning om användning av bland annat molntjänster. Nina Barzey är advokat och delägare på byrån och Amanda Ottosson är biträdande jurist. dande av publika, globala, molntjänster kan innebära använder allt fler myndigheter dessa molntjänster som ett alternativ till traditionella in-house-IT-tjänster. Molntjänster tillhandahålls över internet och finns tillgängliga för kunderna på deras egen begäran, och kunderna behöver vanligen endast betala för molntjänsten i den utsträckning de använder den. Användning av molntjänster kan därför möjliggöra stora effektivitetsvinster för myndigheter. Effektivitetsfördelarna med molntjänstanvändning innebär att det i dagsläget i princip inte är ett alternativ för myndigheter att avstå från att använda molntjänster. För att möjliggöra en säker molntjänstanvändning är det dock av avsevärd betydelse att beslut om att använda molntjänster föregås av djupgående konsekvensbedömningar. SKYDDA MED AUTENTISERING OCH KRYPTERING Vi har vid flera tillfällen bistått svenska myndigheter med att juridiskt analysera riskerna med att flytta informationshanteringen från lokala servrar till publika och globala molntjänster, såsom molntjänsten Office 365. Syftet med att genomföra en juridisk analys inför en flytt till en publik och global molntjänst, såsom Office 365, är att minimera risken för att information flyttas till molntjänsten ifall detta skulle riskera att resultera i överträdelser av legala krav som gäller för den enskilda myndighetens informationshantering. För att kunna fatta ett informerat beslut menar vi att det är nödvändigt att genomföra en djupgående juridisk analys av samtliga gällande regelverk med utgångspunkt i den information som myndigheten hanterar och har för avsikt att lägga över i molntjänsten. Innan myndigheter fattar beslut om vilken informationshantering som kan överföras till en publik och global molntjänst behöver de ta ADVOKATEN NR 3 • 2019