Några noteringar om molntjänster i verkligheten idag

Likt Kurt Olsson på sin tid söker jag mig gärna till verkligheten idag och vad som där pågår. Efter att ha torrsimmat litet och spekulerat om kommuner och regioners hantering av sitt beroende till amerikanska molntjänster efter Schrems II beslöt jag mig för att doppa tån i vattnet och göra en minienkät till ett tjugotal slarvigt utvalda (jag vill inte säga "slumpmässigt utvalda" eftersom det skulle ge det hela en vetenskaplig prägel som enkäten verkligen inte lever upp till) kommuner och regioner.

Jag skrev ett mail med följande text:

Hej!
Har ledningen i er organisation tagit fram ett principbeslut rörande hur molntjänster, framför allt amerikanska, får användas i verksamheten med hänsyn tagen till dataskyddsförordningen och offentlighets- och sekretesslagen? Om ett sådant beslut är taget vill jag gärna ta del av innehållet.

Snabbt fick jag svar från om inte alla men ett flertal av de tillfrågade. Trots att det är ett mycket litet underlag vill jag ändå presentera några noteringar rörande hur det ser ut i den kommunala och regionala världen.

Molntjänster är inte längre att betrakta som en ny teknik och inte minst svenska kommuner har snabbt anammat denna typ av lösningar. Från att ha varit något high tech, svårt men framtiden så har himlen allt mer kommit att skymmas av icke-önskvärda moln som nu senast Schrems II. Konsekvenserna av dessa nya förutsättningarna handlar om ekonomi och risker för hela organisationen och är därmed inte en it-fråga. I en ideal värld bör ledningen få ett genomarbetat underlag från tjänstemännen för att kunna fatta beslut om en inriktning för hur organisationen ska förhålla sig. Möjliga inriktningar för den kommun/region som redan infört amerikanska molntjänster, d.v.s. alla, är tre:

  • fortsätta som förut, hyfsat medvetet strunta i lagen och bygga fast sig ännu mer i de frestande molnlösningarna
  • fortsätta som förut men åtminstone symboliskt notera att det finns begränsningar för hur molntjänster kan användas
  • dra i bromsen och aktivt börja arbeta för att de it-lösningar som inte följer lagstiftningen fasas ut och ersätts med andra som gör det

Den första inriktningen är möjligen en icke-inriktning som inte kräver något aktivt ställningstagande från ledningen även om den borde bygga på det. Lustigt nog tycks den vara den mest populära om man ska döma av min lilla enkät. Flertalet tillfrågade uppger att det inte finns någon beslutad inriktning eller i något fall en inriktning som är så ålderstigen att den saknar relevans i dagens läge. Ålderstigen är i dag före Schrems II 2020.

Det finns ett fåtal inriktningsbeslut som faktiskt fattats efter 2020 där flertalet lutar åt alternativ 2. Något är t.o.m. fattat av it-chefen själv. Gemensamt är att de trycker ner problemet i organisationen där allehanda roller som avdelningschefer och systemägare förväntas fatta de egentliga (obehagliga) besluten. Till stöd får de olika mer eller mindre utarbetade regelverk där ett som särskilt fastnar är:

Det är endast tillåtet att lagra känsliga personuppgifter, patientdata eller sekretessklassad information (enligt OSL) i en molntjänst som blivit godkänd för det.

Att stryka under att man bara får göra det som är tillåtet är kanske inte den mest snillrika reglering jag sett, litet som när en partiledare sa att det är olagligt att begå brott i Sverige. En intressant detalj är också att flera regelverk och kommentarer gör stort nummer av skillnaden mellan personuppgifter och känsliga personuppgifter. En it-chef skriver uttryckligen att de inte hanterar känsliga personuppgifter i sina molntjänster underförstått att han uppfattar det som tillåtet att använda exempelvis O365 för övriga personuppgifter.

Tre kommuner sticker ut. De går inte hela vägen mot alternativ 3 men har tagit fram egna gedigna underlag där det även hålls öppet att man måste utreda om hur man kan gå över till lagliga lösningar. Dessa kommuner är Danderyd, Falun och Sundsvall som alltså ligger ganska nära min idealbild om hur det bör gå till.

Majoriteten går i väntans tider och söker trygghet i flocken. Vad man väntar på mer exakt framgår inte. Någon skriver:

Vi följer våra myndigheters (SKR, IMY och DIGG) rekommendationer och vi har inte planerat något principbeslut i närtid.

Ingen annan hänvisar till DIGG, många däremot till "myndigheten" SKR. Intensivt arbete pågår på många håll men mitt intryck är att skutan inte svängt om ordentligt utan att det finns förhoppningar om att större förändringar inte kommer att behövas. Ett stort ansvar åvilar nationella aktörer inklusive SKR att anvisa en gemensam väg som är hållbar och leder till en gemensam laglig infrastruktur. Nu linkar utvecklingen fram, varje liten kommun eller region förväntas utreda och reglera exakt samma fråga och riskera att göra stora felbedömningar som kan ha stora skadeverkningar inte bara för den egna organisationen.

Sammantaget överensstämmer svaren på enkäten tämligen väl med min tidigare uppmålade bild och jag kan därför med gott samvete lämna verkligheten igen.