I det här uttalandet är juridiken i det närmaste digital, på eller av, vilket känns en aningen panikartat.
I dagarna JO-anmäler Dataskydd.net Göteborgs kommun för bristande säkerhet där bland annat eSams rättsliga uttalande ligger till grund för deras anmälan. I debattartikeln i Dagens Samhälle skriver de att det efter eSams uttalande inte råder någon som helst tvivel i tolkningen av OSL avseende utländska molntjänster som exempelvis står under amerikansk jurisdiktion. I samma debattartikel, raden efter den glasklara tolkningen, finns ett kort konstaterade att det skulle vara bra med ett mer handfast klargörande från en rättsvårdande instans. Men, i meningen innan var ju rättsläget glasklart. Hur rimmar detta?
Under lång tid har det trots allt konstaterats att rättsläget är oklart. Det blev inte minst tydligt när utredningen Juridik som stöd för förvaltningens digitalisering (SOU 2018:25) presenterades. Där fanns det bland annat förslag på ny lagstiftning om straffsanktionerad tystnadsplikt vid utkontraktering av it-drift eller andra it-baserade funktioner till privata leverantörer och en reglering av sekretessöverväganden inför sådan utkontraktering. Tyvärr var det dock ingen utredning som ledde till någon reell nytta.
De som fortsatt anser att rättsläget är klarlagt lyfter också fram det faktum att det inte går att göra någon riskbedömning för röjandet. Exempelvis går det inte att väga in det faktum att Ryssland, Kina och Iran är de som enligt Säkerhetspolisen spionerar mest på Sverige och torde vara ett större hot mot våra informationstillgångar än rättsvårdande myndigheter i demokratiska stater. Därmed inte sagt att informationstillgången inte ska skyddas från båda riskerna med uppskattad sannolikhet och konsekvens som sedvanliga ingredienser i riskanalysen.
Samtidigt förs riskreducerande resonemang som att kryptering kan vara en åtgärd som gör att informationen inte kan anses vara röjd, men i samma resonemang höjs tvivel kring nyckelhantering, val av krypto osv. Ett fullt rimligt resonemang i alla sammanhang där krypto diskuteras. Exempelvis har brister i slumptalskvalitén återkommande lett till att skyddsvärd information röjts. Nu senast bristerna i mängder av IoT-lösningars förmågor att generera slumptal. Krypton är färskvara och kvalitén är helt avgörande för att nå önskvärda resultat. Inte minst över tid.
Jag förstår dock inte hur resonemang om riskreducering rimmar med att det inte finns utrymme för någon sannolikhetsbedömning av risken för röjandet?
Ni som läst mina krönikor har hört mig säga i decennier att information ska skyddas i relation till informationens skyddsvärde och givetvis passar inte alla tjänster för att bära våra mest skyddsvärda informationstillgångar. Även om det i sammanhanget ska sägas att det finns en tydlig reglering i Säkerhetsskyddslagen (2018:585) för utkontraktering av informationstillgångar som är av betydelse för Sveriges säkerhet. Här är det sedvanligt informationssäkerhetsarbete som ligger till grund för huruvida det är lämpligt eller ej, och vilka alternativ som står till buds.
Den statliga utredningen Säker och kostnadseffektiv IT-drift för den offentliga förvaltningen (Dir. 2019:64) är efterlängtad. De rättsliga förutsättningarna för utkontraktering ska återigen utredas. Det var inte en dag för tidigt! Kostnaderna för att ha låtit vänta på denna utredning torde vara skyhöga och det faktum att det klassiska informationssäkerhetsarbetet bitvis ställts åt sidan är allt annat än önskvärt. Ser fram mot den 31 augusti när betänkandet ska presenteras och hoppas att det denna gång bidrar till reell nytta. Ingen är betjänt av den värmeutveckling som den här frågan just nu genererar.
Thomas Nilsson
