SKR:s vägledning för molntjänster
Den 5 mars deltog digitaliseringssamordnare Sara Herrman på regional nätverksträff för informationssäkerhet. Där föredrog Lotta Nordström, sektionschef avdelningen för digitalisering SKR, Thomas Nilsson, Certezza och Ebba Ljungdahl, jurist inom IT- och informationssäkerhet, Certezza.
Lotta föredrog för bakgrunden till vägledningen för molntjänster. Redan 2015 uppkom ett behov från kommuner och regioner att svara på frågor som att kan vi placera känsliga uppgifter i molntjänster som ägs av företag i ett annat land? Har vi då tillräcklig kontroll? Vad är digital suveränitet, kan man stänga in informationen inom EU? Kan vi uppfylla kraven på digitalisering utan att dela information? Vi ska ju effektivisera i verksamheterna, hur får vi balans? Hur ska vi göra när många av programvarorna börjar stänga till för att driva kunderna upp i molnet.
Framtagningen av vägledningen började redan 2015. Då var huvudfrågan att besvara om förutsättningarna överhuvudtaget var rätt för att kunna placera vår information i molnet. I sluter av 2018 kom rekommendationer från eSam och Kammarkollegiet om att inte nyttja molntjänster, vilket gjorde att SKR påbörjade en rättsutredning. SKR utkom sedan med ett ställningstagande om molntjänster som gjorts i samrbete med ett stort antal jurister. Kontentan är att har man ett riskbaserat arbetssätt så kan man använda molntjänster, men att rättsläget ändå är osäkert eftersom det finns ett stort utrymme för tolkning av rådande lagar. Påtryckningar från SKR att det behövs en bättre tydlighet och ställningstagande gällande molntjänster har nu lett till att regeringen ska genomföra en statlig utredning i frågorna. SKR kommer att medverka i utredningen och föra fram budskapet om att man inte enbart kan fokusera på de rättsliga utmaningarna utan det måste finnas en proportionalitet i bedömningen – den juridiska bedömningen måste vägas av ett sammantag av bedömning av ekonomi, lämplighet, leverans, legacy, invånarnytta, effektivisering med mera. Idag är vi oftast inte riktigt riggade att fatta beslut att bedöma en molntjänst som lämplig eller inte. Den organisation som står inför ett ställningstagande att använda molntjänst eller inte bör därför göra en sammantagen bedömning av molntjänsten utifrån ett riskbaserat arbetssätt. Är informationen som ska läggas i molnet lämplig att placeras där? Finns det delar i informationsmängden som är mer eller mindre lämplig att placeras i en molntjänst? De frågorna behöver organisationen diskutera och göra en riskbedömning på för att sedan noggrant dokumentera varför man väljer att placera eller inte placera information i molnet. Det finns en viss frustration från kommuner att det på central nivå inte görs bedömningar som kan användas lokalt.Om det fanns en sådan rekommendation blir det ändå problematiskt att tillämpa den eftersom organisationen måste utgå från egna förutsättningar.
Vägledning med arbetssätt finns framtaget av SKR som är fritt för kommunerna att använda.