Möller Insights – ”Ett virrvarr av lagar, rekommendationer och tomma löften”

Möller Insights publiceras varje vecka och är ett sammandrag av intressanta och tänkvärda händelser i säkerhetsbranschen. Bakom dessa insights står Fredrik Möller som är vd på Intel Security i Norden och Baltikum och dessa nyheter är ett axplock ur hans twitterflöde @MollerFredrik.

Veckans sammandrag handlar om det lagar och tomma löften kring molntjänster.

Ett virrvarr av lagar, rekommendationer och tomma löften
Molnet – IT-världens vita riddare. Molnet har möjligheten att sänka IT-kostnader, effektivisera miljöer, minimera driftkostnader, säkra din information och få det att regna glass. Nu kanske det sista exemplet är påhittat men allt annat stämmer väl in på hur molnet beskrivs av mig själv, media och framförallt molnleverantörer som Google, Apple, Microsoft och Amazon Web Services för att nämna några. För visst medför molnet fantastisk funktionalitet och ger privat- och offentlig sektor helt nya möjligheter att driva sin verksamhet.

I början av maj skrev jag ett blogginlägg som handlade om utmaningen för offentlig sektor att upphandla molntjänster. Vi har en mängd informationsregler i Sverige som t.ex. PuL som komplicerar själva upphandlingsprocessen när data lagras utanför Sveriges gränser. För att driva molntjänster i Sverige så har bland annat Microsoft och Google tagit fram specifika dokument, förberett processer och liknande som ska följa svensk lagstiftning. Det är väldigt tacksamt, speciellt då de olika aspekterna som ska räknas in är många och det är näst intill omöjligt för en kommun eller landsting att helt ensamma driva upphandlingsprocessen.

Problemet med att lagra data utanför Sveriges gränser, eller för den delen hos ett företag som inte är svenskt är att de kanske inte behöver lyda svensk lagstiftning. Så är det i alla fall om du fråga amerikanska domstolen. För andra gången kräver en amerikansk domstol ut material från ett datacenter som är baserat på Irland. I det här fallet gäller det Microsoft och domstolen har begärt tillgång till användardata och e-post för att bygga bevis i ett specifikt fall.

Det är här det blir lite komplicerat, så håll i hatten nu.

Låt säga att jag är ett landsting i Sverige som vill upphandla molntjänster för mina sjukhus för att smidigare och flexiblare hantera journaler och liknande information. Jag nappar på ett amerikanskt företags molntjänst då de har en stark närvaro på svensk marknad, förstår mina utmaningar och har god kunskap om de juridiska aspekterna att lagra journaler i molnet. Mina sjukhus genomgår sedan hela integreringsprocessen, blir granskade av datainspektionen och tillåts sedan att sätta det hela i drift. Svenska lagar om integritet som PuL och andra informationslagar upprätthålls i avtalet med det amerikanska bolaget och de lovar även att all information kommer att lagras på Irland och inte flyttas mellan en mängd datacenter.

Sedan kräver amerikansk domstol ut information av bolaget i fråga. Det amerikanska företaget är skrivet i USA och lyder under amerikansk lagstiftning och även om de försöker göra allt i sin makt för att inte behöva lämna ut information så måste det göras oavsett. Helt plötsligt har jag, som landsting i Sverige, brutit mot PuL och antagligen en mängd andra lagar i Sverige utan att jag egentligen har gjort något alls.

I ovanstående exempel så bär jag som landsting fortfarande det yttersta ansvaret att upprätthålla och följa svensk lagstiftning och om detta bryts står jag som ansvarig då det amerikanska bolaget endast är en tjänsteleverantör.

Sanningen är den att ingen vet hur den här historien kommer att sluta. Det finns inga tidigare rättsmål i Sverige och tidigare har inte information lämnats ut från Irland till USA. Det vill säga att ingen vet hur säkert det är att upphandla molntjänster med amerikanska bolag, ingen vet heller vems lagar det är som gäller i den här situationen.

Jag tycker dock att det är problematiskt när molnleverantörer proklamerar att de har löst molnproblematiken för offentlig sektor i Sverige, när så inte är fallet. Sanningen är ju att de har gjort vad de kan, men det har aldrig testats, vilket gör att man inte vet hur utfallet blir.

Jag ser potentialen med molntjänster, jag ser hur offentlig sektor kan effektiviseras, besparingar kan göras på IT-underhåll och hur mycket enklare vi skulle kunna dela information mellan olika myndigheter. Jag ställer mig dock tveksam till att säga att man löst problemet – när sanningen är att ingen vet.

Fredrik Möller är vd på Intel Security i Norden och Baltikum. För mer nyheter, följ Fredrik på twitter: @MollerFredrik