Nödvändigheten av att välja väg
I början av sommaren skrev jag en artikel för att belysa den tämligen akuta situation som många organisationer hamnat i då det gäller användningen av framför allt amerikanska molntjänster. Det gäller inte minst kommuner där införandet av denna typ av tjänster varit massivt under de senaste åren. Tyvärr är nu läget att dessa tjänster inte uppfyller svensk och europeisk lagstiftning. Det är inte heller sannolikt att denna lagstiftning kommer att förändras i närtid. När det gäller dataskyddsförordningen är det inte ens möjligt, annat än på lång sikt, för den svenska regeringen att påverka eftersom det styrs på EU-nivå.
De kommuner som använder molntjänsterna, det vill säga de flesta, står därmed inför alternativen att medvetet fortsätta bryta mot lagen eller börja arbeta för att migrera till lösningar som håller både funktionellt och juridiskt. Låt oss bortse från det absurda förhållandet att en myndighet medvetet obstruerar mot lagstiftningen och bara se på ekonomi. Oavsett alternativ kommer det att förutom blod, svett och tårar även att kosta stora pengar. Om man väljer att ligga kvar i nuvarande lösningar riskerar man omfattande sanktionsavgifter från IMY. Om man väljer att migrera så kommer det att vara en avancerad uppgift som kommer att kräva både stora ekonomiska resurser samt omfattande kompetens.
Detta är inget angenämt dilemma utan ett som är mycket svårlöst för den enskilda kommunen där it-chefen och även andra kanske måste gå till ledningen och presentera en fråga utan tilltalande lösning. Frågan är också infekterad av att det finns starka intressen som vill bagatellisera problematiken (ja, jag tror att Microsoft kanske lagt ner någon krona på lobbyverksamhet) och som med ljuva locktoner försöker övertyga om att det är möjligt att fortsätta som förut.
Vilken hjälp får då den enskilde it-chefen som bär den obekväma frågan och som är så lockad av att likt strutsen stoppa huvudet i sanden av sin intresseförening med den höga svansföringen: SKR? Tyvärr visar det sig att de största strutsarna av alla befinner sig just på SKR. Redan 2018 fronderade SKR mot det rättsliga utlåtande som eSam gjorde angående molntjänster (detta och en bra sammanfattning av läget finns här) som blivit den gemensamma inriktningen för de statliga myndigheterna. Istället menade SKR att enskilda kommuner och regioner ska göra sina egna riskanalyser i varje fall med stöd av en mycket teoretisk vägledning som tagits fram.
Eftersom SKR numera har ett helt avgörande inflytande över hur kommuner och regioner agerar är det inte en intern angelägenhet hur föreningen ställer sig i olika frågor som t. ex. användandet av molntjänster. Tyvärr går det som vi vet inte att ta del av SKR:s handlingar annat än de få de väljer att själva publicera och ofta är SKR:s attityd att inte delta i offentliga samtal. Detta har jag erfarenhet av som när jag tillsammans med andra skribenter skrev en debattartikel i Expressen i januari vilken SKR aldrig nedlät sig till att besvara. Inte heller min artikel i Altinget ledde till någon dialog. Därför gjorde jag ett försök att använda LinkedIn som kanal med direkt taggning till Daniel Forslund och Patrik Sundström som väl får ses som den högst ansvarige politikern respektive tjänstemannen i dessa frågor på SKR och dessutom vanligtvis nog så talträngda. Min post såg ut så här:
Vilka planer har SKR för att stödja medlemsorganisationerna mot en mer laglig hantering av molntjänster än den jag beskriver https://www.altinget.se/artikel/limbo-i-molnet-nu-behovs-krisinsikt-hos-myndigheterna här. Digitaliseringsberedningens handlingar lämnas inte ut så nu frågar jag Daniel Forslund och Patrik Sundström direkt.
Och jag fick faktiskt svar! Först ett från Patrik Sundström:
Du sätter fingret på en väldigt viktig fråga som är högt upp på agendan för SKR och ledningarna i kommuner och regioner. Just nu befinner sig Sverige i en olycklig situation med låsta positioner och litet …
… och att verka för en tydligare och mer aktiv statlig position såväl nationellt som inom ramen för EU, men även genom att utbyta erfarenheter från andra Europeiska länder och deras initiativ inom området.
Det är att betrakta som ett svar helt i linje med de utspel som Patrik Sundström gjort på senare tid som här och här. Jag invände på LinkedIn att det gav väldigt konkret inriktning:
Kan tyvärr inte uttolka vad ni faktiskt gör ur det du skriver. Med tanke på det kommunala självstyret kan det knappast ensidigt vara en fråga för regeringen att se till att regionerna och kommunerna följer lagstiftningen. Och som jag skriver i artikeln är det väl knappast aktuellt med en större förändring av nuvarande lagstiftning. Så vilken är er konkreta plan B?
André Catry förtydligade vad frågan egentligen gäller på ett mycket bra sätt:
Patrik Sundström du får ursäkta att jag tolkar lite fritt. Jag får känslan, och inte helt ogrundat, att den enda lösning som SKR strävare efter är att försöka få till det så att det på något sätt går att använda MS och AWS tjänster. Varför inte bara acceptera att läget är som det är och att Amerikansk lagstiftning såsom FISA 702 osv inte är förenliga med EU stadgan. När ska polletten trilla ned och SKR komma till insikt att regeringen inte rår över denna frågan utan det är EU. Det är stadgan som ligger till grund för GDPR. Inget vi kan lagstifta om här i Sverige. Det enda som Sverige kan göra är att lämna EU. Men det är kanske inte den linjen som SKR vill driva. Eller?
Därefter trädde Daniel Forslund in med följande budskap:
Detta är verkligen en viktig fråga som förtjänar en betydligt bredare och mer öppen debatt än hittills, tack för att du väcker den Fia Ewald ! Som Patrik Sundström redan beskrivit arbetar vi intensivt från SKR …
… olika verksamheter, så att vi snabbare kan skifta ut den åldrade teknik som inte längre uppfyller dagens krav. I detta ingår att enas om gemensamma principer för arkitektur, säkerhet, tekniska standarder m.m.
Sammantaget blir detta för mig väldigt förvirrande eftersom jag inte kan se hur man ska kunna "riskanalysera" sig ur en lagstiftning som säger att man inte får göra något. Jag kan inte heller se att det skulle vara en "gråzon" utan att det för närvarande är ganska tydligt vad som gäller och att det inte är möjligt att hantera personuppgifter i amerikanska molntjänster på det sätt som idag sker i många svenska kommuner. Enda anledningen att ideligen hävda att regeringen borde göra något i en fråga som faktiskt inte ligger på regeringens bord uppfattar jag som ett sätt medvetet eller omedvetet förvilla och avleda intresset från huvudfrågan. It-chefen i Söpple kommun får dess värre ingen vettig input till sitt budgetarbete eller till vilken framtidsbild hen ska presentera för sin ledning.
Vi är alltså i en situation där det är nödvändigt att välja väg, både nationellt och för den enskilda myndigheten/regionen/kommunen. Nationellt tycks den svenska förvaltningen gjort en reality check, kommit till insikt och börjat jobba utifrån de förutsättningar som faktiskt råder som bland annat Skatteverket med flera myndigheters arbete med att ta fram alternativ till Teams visar. På den kommunala sidan finns en oro och stor osäkerhet hos kommunerna och regionerna men SKR:s inställning och makt hindrar en utveckling anpassad till verkligheten. Det är helt enkelt mycket svårt att förstå varför SKR har lyckats komma till en helt annan uppfattning än eSam trots att förutsättningarna är de samma när det gäller juridiken. Detta särskilt som kommuner och regioner hanterar betydligt mycket mer känsliga personuppgifter än den ordinära myndigheten.
Om det nu är så som Daniel Forslund skriver att SKR vill ha en öppen och bred debatt så är det rimligt att man själv tar fram ett underlag med olika utredda alternativa vägar framåt för kommuner och regioner som kan diskuteras. En förutsättning är att samtliga förslag håller sig inom gällande lagstiftning och inte bygger på något slags önsketänkande om ett eventuellt framtida legalt tillstånd. SKR borde ha respekt för sina medlemmar och inse vilken investering som digitaliseringen innebär för dem, att varje skattekrona som går till felaktiga investeringar i digitala lösningar tas från patienter, elever och omsorgstagare. Att komma med förslag om att alla 290 kommuner ska göra var sin riskanalys för exakt samma information för att se om de kan använda MS360 och sedan upprepa detta för varje informationsmängd är heller inte ett effektivt stöd utan dess motsats.
Som ett tecken på viljan till öppenhet och breddad förståelse tycker jag att det vore en lämplig gest att SKR tillämpar offentlighet i de handlingar och ärenden som hanteras i digitaliseringsberedningen. Det skulle kanske kunna ge oss utomstående en möjlighet att förstå konkret vad SKR håller på med och planerar för inom digitaliseringsområdet. Den strategi som finns publicerad ger inga ledtrådar om hur SKR tänker sig att användandet av molntjänster, faktiskt nämns varken moln eller molntjänster i hela dokumentet! Ledarskap pratas det desto mer om och det kanske dags att SKR börjar visa litet sant ledarskap i digitaliseringsfrågan, det vill säga även ansvarstagande.
Kontentan nu är att SKR signalerar till sina medlemmar att de kan fortsätta som förut vilket skapar mycket stora risker för medlemmarna i ekonomisk och legalt hänseende samt i förtroende hos medborgarna. SKR tar själva inga risker och inget ansvar vilket borde leda till att föreningens legitimitet än mer kan ifrågasättas. När det blir skifte i digitaliseringsberedningens ledning efter nästa val kommer det att vara ett tungt arv att ta över.