Säkerhetsrisker sätter stopp för ett stort IT-projekt i Göteborg. Arkivbild.

Molntjänst hos myndighet kan vara lagbrott

Teknik

Göteborgs stad stoppar ett IT-projekt för att hemliga uppgifter riskerar att spridas via en molntjänst.

Enligt cybersäkerhetsexperten Fredrik Blix kan myndigheters användning av molntjänster vara olaglig.

— Det här är nog toppen av isberget, säger han.

Införandet av Microsofts senaste Office-paket har gått stegvis. Men i samband med att de sista cirka 20 000 kommunanställda skulle gå över till det nya systemet, pausades projektet på obestämd tid av kommunens IT-nämnd, rapporterar ETC Göteborg.

Orsaken är att obehörig personal på Microsoft har teknisk möjlighet att ta del av exempelvis anställdas mejl med sekretessbelagd information.

— Det kan vara handlings- och beredskapsplaner, men också personliga uppgifter, säger Tord Karlsson (S), ordförande i nämnden som ansvarar för kommunens IT-frågor, till P4 Göteborg.

Sekretess ur spel

Enligt Fredrik Blix, lektor vid Stockholms universitet och cybersäkerhetsexpert kan myndigheter som använder molntjänster bryta mot offentlighets- och sekretesslagen (OSL). Han ger ett exempel:

— Om någon mejlar till Göteborgs stad och en handläggare tar emot mejlet, då betyder det att samtidigt som det sker har de också rent tekniskt och juridiskt sett lämnat ut handlingen till Microsoft, säger han till TT.

Det innebär att känslig information från exempelvis socialtjänsten inte sekretessprövas, utan omedelbart lämnas ut till tredje part varje gång en handling skickas via mejl.

Ytterligare en bestämmelse, säkerhetsskyddsförordningens reglering som omfattar information som kan beröra rikets säkerhet, gör användandet extra känsligt. Sådan information får överhuvudtaget inte läggas ut på molntjänster, enligt Blix.

— Jurister inom området menar att man måste se det på det sättet. Det innebär att molntjänstanvändningen är olaglig.

"Utbrett problem"

Fredrik Blix tror att problemet är utbrett och att många kommuner och myndigheter bryter mot OSL.

— Många kommuner har hoppat på det här och har hamnat i den här situationen. Många skolor arbetar med Gmail och Google exempelvis säger han.

Göteborgs kommunjurister ska nu träffa representanter för IT-jätten för att diskutera problemet.

”Göteborgs stad och Microsoft ser tillsammans över lösningar på de specifika legala krav som Göteborgs stad har för dataåtkomst", uppger Microsoft i en skriftlig kommentar till TT.

Fakta: Myndigheter och molntjänster

Med molntjänster kan tjänster som processorkraft, lagring och andra funktioner tillhandahållas av leverantörer över internet.

Datainspektionen har med utgångspunkt i personuppgiftslagen varnat för att myndigheter som använder molntjänster för lagring av personuppgifter kan förlora den faktiska kontrollen över de personuppgifter som lagras.

Om känsliga personuppgifter, till exempel uppgifter om hälsa, uppgifter om brott eller sekretesskyddade uppgifter, läggs ut på molntjänster kräver Datainspektionen bland annat att uppgifterna ska skyddas med kryptering samt att det ska finnas stark autentisering vid överföring av uppgifter.

Myndigheters användning av molntjänster kan också strida mot offentlighets- och sekretesslagen (OSL) samt säkerhetsskyddsförordningens reglering som omfattar information som kan beröra rikets säkerhet.

Om en myndighet eller en kommun upprättar en egen molntjänst, där driften sköts av myndigheten eller kommunen i fråga utgör lagstiftningen inte några egentliga hinder.

Källa: Datainspektionen, Fredrik Blix

Mest delat denna vecka