Möller Insights – ”Malmö Stad ger Datainspektionen långfingret”

Möller Insights publiceras varje vecka och är ett sammandrag av intressanta och tänkvärda händelser i säkerhetsbranschen. Bakom dessa insights står Fredrik Möller som är vd på Intel Security i Norden och Baltikum och dessa nyheter är ett axplock ur hans twitterflöde @MollerFredrik.

Veckans sammandrag handlar om Malmö Stads reaktion på Datainspektionens granskning.

Malmö Stad ger Datainspektionen långfingret
Datainspektionen är en myndighet jag genuint gillar – de gör ett viktigt arbete för att värna om individers integritet i IT-samhället. Jag har tidigare skrivit om deras nästan omöjligt stora ansvar som ensam granskande myndighet, med endast 40 anställda. Trots det så avverkar Datainspektionen en mängd granskningar av andra offentliga verksamheter varje år och nu senast avslutades en granskning av Malmö Stads användning av molntjänsten Google Apps for Education.

Det finns som bekant en rad av utmaningar när personuppgiftslagen (PuL) och molnet möts. Sverige har sträng lagstiftning kring hur personuppgifter hanteras, lagras och vilka som har tillgång till informationen. Naturligtvis uppstår här utmaningar då molnet bygger på en annan filosofi där data kan lagras och förflyttas mellan en mängd datahallar beroende på hur behovet ser ut. Än värre kommer det att bli när Cisco och en mängd andra molnleverantörer planerar att bygga ut, vad de beskriver som en dimma – att bygga mindre men tätare datacenter där informationen sömlöst kan förflyttas från olika länder eller kontinenter.

Det är självklart inte omöjligt att upphandla en molntjänst som offentlig aktör, det är bara rejält komplext där specialbestämmelser med leverantören måste skapas för att säkerställa att PuL följs. På grund av den höga komplexiteten så granskar Datainspektionen ofta denna typ av affärer och nu senast så gav de avslag till Malmö Stad för att avtalet med Google som är otydligt på vissa punkter och i vissa fall öppet för spekulation eller tolkning.

Så här motiverar Datainspektionen sitt beslut:

”Myndighetens kritik gäller framför allt avtalsvillkoren som reglerar hur Google får använda personuppgifterna som skolorna kommer att lagra i molntjänsten. Det är av "avgörande vikt att avtalsvillkoren är tydliga, uttömmande och inte lämnar öppet för olika tolkningsalternativ", skriver Datainspektionen i sitt beslut, men konstaterar att Malmös avtal på den punkten är både otydligt och svårbegripligt.”

Ett objektivt och informativt beslut där de tydligt påvisar vilka områden som måste omförhandlas för att tydliggöra vad som gäller i avtalet.

Malmö Stads reaktion är dock helt omöjlig att förstå. När Computer Sweden kontaktar Anders Malmquist som är grundskoledirektör i Malmö Stad så säger han ”Vi lägger oss inte /../ Vi överklagar det här beslutet”. Jag vill påstå att Anders Malmquist inte riktigt förstår vad det hela handlar om och verkar ha missförstått vilka Datainspektionen är. Datainspektionen bör inte ses som Tengil från Bröderna Lejonhjärta utan deras uppsåt är gott och deras mål är att hjälpa Malmö Stad att inte bryta mot svensk lagstiftning.

Anders Malmquist fortsätter i artikeln och menar att det här inte får bli ett prejudicerande för hela Skol-Sverige. Det är så mycket som är fel med Malmös reaktion att jag börjar undra om jag har missförstått situationen. Att Anders Malmquist inte förstår att det bör vara minst lika viktigt för Malmö Stad att värna om den personliga integriteten för deras elever och lärare som det är för Datainspektionen. Till skillnad från Anders så hoppas jag att det absolut blir ett prejudikat att offentlig sektor inte bör bryta mot svensk lag.

Anders menar även att lagstiftningen är föråldrad och bör uppdateras snarare än att de ska ändra sitt avtal med Google. Här har han en poäng, det är en lagstiftning som stiftades 1998 och förutsättningarna såg annorlunda ut då. Men lagen sätter fortfarande inte stopp för möjligheten att upphandla molntjänster, vilket gör hans inställning tveksam.

Jag hoppas verkligen att Malmö Stad får använda Google i sin undervisning, jag är övertygad om att det kommer att förenkla och förbättra undervisningen för många elever och lärare. Jag vill dock inte att detta ska göras olagligt och att människors personliga integritet ska kränkas för att främja utbildningen.

Malmö Stad bör helt enkelt sänka långfingret och göra de mindre korrigeringar i avtalet som Datainspektionen belyser. Jag tror dessutom att Datainspektionen kan bistå med expertis – om de frågar snällt.

Fredrik Möller är vd på Intel Security i Norden och Baltikum. För mer nyheter, följ Fredrik på twitter: @MollerFredrik