Fortsatt allvarliga risker med amerikanska molntjänster

Förväntningarna är som vanligt skyhöga på att digitaliseringen ska lösa välfärdens utmaningar, där allt färre ska försörja allt fler.

Två händelser fick under 2023 mycket uppmärksamhet vad gäller molnanvändning: EU-kommissionens adekvansbeslut och en förändring i offentlighets- och sekretesslagen (OSL).

På vissa håll har dessa händelser rent av tolkats som att bromsklossarna för amerikanska molntjänster är borta. Men är det verkligen grönt ljus nu?

Om detta berättar Arman Borghem, it-rättslig rådgivare på Cleura, mer om i artikeln Allvarliga risker med amerikanska molntjänster.

Bromsklossarna består

En vanlig föreställning är exempelvis att amerikanska it-jättar behövs för att rädda välfärden. I själva verket kan de ha motsatt effekt. Region Köpenhamn sa upp 150 personer förra året på grund av skenande licenskostnader för standardlösningar som regionen inte kunde lämna.

Varken Data Privacy Framework eller EU-kommissionens adekvansbeslut hindrar amerikanska myndigheter från att få tillgång till uppgifter som lagras i EU hos amerikanska molntjänstleverantörer. Och risken för missbruk kvarstår – så sent som år 2023 avslöjades att FBI gjort 278 000 otillbörliga sökningar i en FISA 702-databas. Eftersom amerikanska myndigheter fortfarande ges tillgång till personuppgifter hos amerikanska molntjänstleverantörer i EU, så menar vi att sådana molntjänstleverantörer inte ger de garantier som krävs enligt GDPR. Vi beskriver de aktuella reglerna i GDPR i rapporten Vad din verksamhet behöver veta om det tredje adekvansbeslutet.

Avtalsvillkor i ständig förändring

Vidare anger förarbetena till 2023 års ändring av OSL att en myndighet i synnerhet ska beakta avtalsvillkor som riskerar att frånta myndigheten kontrollen över sina uppgifter.

Forskning visar samtidigt hur 140 undersökta myndigheter, regioner och kommuner använt amerikanska molntjänster under okända avtalsvillkor. Än värre blir det när villkoren när som helst kan ändras på ett svepande sätt och tvister ska avgöras enligt utländsk rätt, i utländsk domstol.

Vad ska en rådvill verksamhet göra?

Med tanke på de problem som finns har alla verksamheter goda skäl att se om sitt eget hus.

Infrastrukturen är grunden i all molnanvändning – där bör det finnas ett begripligt och stabilt avtal med en tjänsteplattform som verksamheten inte är inlåst i.

Det gäller oavsett om din verksamhet själv är en köpare av molninfrastruktur, eller om den använder SaaS-lösningar och andra digitala tjänster som i sin tur förlitar sig på molninfrastruktur. Även om det “bara“ är din verksamhets leverantörer som blivit inlåsta i en dyr och rättsligt tvivelaktig infrastruktur så kommer det drabba din verksamhet också, direkt eller indirekt.

Hos Cleura har vi ett tjänsteerbjudande som kontinuerligt utvecklas såväl till sin funktionalitet som till regelefterlevnaden.

Har du frågor om molntjänster och digitalisering?

Vi kan hjälpa din organisation att genomföra digitaliseringsresan på ett lagligt och hållbart sett.