Molntjänster höjda över lag och ordning

2013-10-31

Jag imponeras över hur molntjänsterna utvecklas och hur de tar över allt mer av klassiska tillämpningar. Lika mycket som jag imponeras så förundras jag samtidigt över hur gammalmodiga de trots allt är. Flertalet molntjänster som är tänkta att ta över ”kontorsstöd” kräver att användaruppgifter ska synkroniseras till molntjänsternas kataloger och den eventuella single-sign-on som går att uppbringa är inte sällan proprietär. Men, vad är det för revirpink?

Datainspektionen har av förståeliga skäl inte intresserat sig nämnvärt för tekniska integrationer utan är självfallet fortsatt fokuserad på att personuppgiftslagen (1998:204) tillämpas. Det borde vara en självklarhet att lagen tillämpas, men även här väcks förvåning. Efter att ha studerat ett antal större molntjänstleverantörer så är det inte bara en känsla att spelplanen dikteras av leverantören. Oroväckande är att flera som intresserar sig för molntjänsterna också infogar sig i det faktum att standardavtalen är allt annat än skrivna med ett fokus på den personliga integriteten.

Vem är egentligen till för vem? I en normalt fungerande marknad så utvecklas varor och tjänster som möter ett behov. Därmed inte sagt att molntjänster inte är en fungerande marknad. De uppfyller många gånger den vanliga användarens behov med råge. Men är det verkligen enbart den vanliga användarens behovs som ska tillgodoses?

Vår uppfattning är att kravställning av molntjänster kräver sin kvinna eller man. Inte minst ur ett informationssäkerhetsperspektiv där man beaktar skyddsvärde i relation till den faktiska information som avses hanteras inom ramarna för diverse molntjänster.

Om molntjänsten hanterar personuppgifter är det en självklarhet att ställa krav på att ett personuppgiftsbiträdesavtal upprättas med sin molnleverantör. Syfte med avtalet är att reglera hur molntjänstleverantören får behandla personuppgifterna. Syftet är också att tillse att molntjänstleverantören vidtar de säkerhetsåtgärder som den personuppgiftsansvarige är skyldig att vidta enligt lagen.

När väl de legala kraven är tillgogosedda så torde det vara högst rimligt att säkerställa att molntjänsten inte förutsätter att användaruppgifter i förväg synkroniseras med molntjänstens motsvarighet till katalog och att inloggningen kan ske federerat med öppna standarder såsom SAML.

Givetvis finns det molntjänsteleverantörer som har förstått spelreglerna, men det är förvånande att så många ser den förenklade kravbilden som beskrivs här som något utopiskt. I flera fall är molntjänsteleverantören helt oförstående till dessa krav.

Om någon har för avsikt att agera på en marknad så borde det vara en självklarhet att verka utifrån den författningsreglering som råder och hörsamma marknadens allt starkare krav på exempelvis öppna standarder. Det finns i längden ingen marknad för en aktör som tror sig stå höjd över lagen och bygga en affär på rigorösa inlåsningseffekter – och tur är väl det!