Kommuner och molnupphandlingar

Kommuner och molnupphandlingar

1. Inledning

Salem1, Sollentuna2, Ale3 och Malmö4 är svenska kommuner som skrivit molnupphandlingsavtal på ett sätt som inte är förenligt med invånarnas grundläggande rättigheter. Datainspektionen har därför ifrågasatt avtalen och krävt att de ändras5. Svårigheterna med molnupphandlingar beror på olika saker:

IT-upphandlingar är väldigt besvärliga, eftersom det inte finns utarbetad industripraxis. Så länge samtliga kommuntjänstemän inte kan skriva kravspecifikationer med samma detaljnivå och tekniska kännedom som författarna av ISO-standarder besitter, är det helt enkelt osannolikt att det blir rätt. Inte heller statligt koordinerade upphandlingar löser problemen - IT-system ska göra många olika saker, och uppfylla många funktionaliteter, och mängden leverantörer är väldigt liten i förhållande till de vitt varierande verksamheter systemen förväntas passa för.

Kommunerna fastnar mellan lagstiftningens krav på att man ska respektera privatpersoners rätt till integritet, statens vilja att använda öppna och samverkande format, och IT-leverantörernas önskan om att allt ska verka mer komplicerat än det är. Detta har delvis att göra med att olika IT-leverantörer är bra på olika saker: en kan vara bra på dataskydd, en annan på samverkande format. Det saknas tydlig lagstiftning för vad digital infrastruktur ska klara av (till exempel att den ska respektera både dataskydd och öppenhet) och ofta tappas grundläggande värderingar bort i ordentliga doser text och bekymmer över specifika dokumentformat och programmeringsspråk.

“Molnet” är en teknisk infrastruktur som bygger på att man hanterar personuppgifter och information på någon annans dator, antingen direkt eller indirekt. Själv finessen är just att man inte behöver göra och underhålla de fysiska tekniska systemen på egen hand. Men det innebär också en förflyttning av makt över genomförandet av arbetsuppgifterna, lagringen och behandlingen av datat och makten över vad som händer med personuppgifterna från kommunens direkta kontroll, till molnleverantörens direkta kontroll. Särskilt om man har en molnlösning där leverantören inte bara står för virtuell hårdvara, utan även mjukvara (som inlärningsappar eller dokumenthantering).

Den europeiska dataskyddsrätten bygger på att makten över den egna identiteten och personligheten ska ligga så nära individen själv som möjligt, och det blir helt enkelt en ideologisk klasch - å ena sidan vill molnleverantörerna att vi flyttar makten ett steg längre bort, till dem. Å andra sidan är det bättre för varje persons eget självbestämmande och dem själva om så mycket makt som möjligt blir kvar nära privatpersonen.

Att man upprepade gånger sedan 1970-talet påtalat att det är just svårt med IT-upphandlingar6 har inte lätt till bättre informationsmaterial eller tydligare ideologiska inramningar av infrastrukturen - varken från lagstiftaren eller från kringliggande verksamheter. Maktstrukturerna i IT-system, och vilken sorts ideologi man bygger samhället kring med datorer, är fortfarande ouppmärksammade och de flesta råd går istället ut på att någon annan, någon annanstans, ska få större ansvar. Den här texten försöker inte kompensera för tre sidors XML-specifikationer, eller ett förtydligande av LDAP och RSA, utan skapa en förståelse kring politiska och juridiska saker, som det är lätt att använda sunt förnuft kring, och som något driftigt företag sen får se till att rätta sig efter när de utvecklar produkter.

2. Pågående politik

Kommuner står i juridiskt underläge gentemot teknikleverantörerna. Som myndigheter har kommuner många olika förpliktelser gentemot privatpersoner och skyddet av privatpersoners integritet och personuppgifter. Men de överförs inte direkt på teknikleverantören. Den som leverar en tjänst till kommuner blir inte bunden av samma lagstiftning om det inte uttryckligen står i ett avtal att det ska vara så, och i vilken utsträckning och på vilka villkor detta i sådana fall ska gälla. Och till och med efter att man konstaterat att lagstiftningen ska gälla, innehåller lagstiftningen kryphål för kommersiella aktörer som inte gäller för myndigheter. Till exempel bestämmelsen om att företag får bestämma att deras eget intresse är viktigare än privatpersonens rätt till privatliv.

EU:s dataskyddspaket innehåller några bestämmelser saker som kommer att göra saker enklare för kommuner:

I kommissionens förslag är kraven i lagtexten tydligare, vilket gör det enklare att utveckla tjänster som uppfyller lagens krav.

De som behandlar personuppgifter å andras vägnar, så som tjänsteleverantörer gör åt kommuner, blir automatiskt bundna av samma förpliktelser som kommunen själv är bunden vid.

Det blir enklare att utkräva sanktioner från tjänsteleverantörer som gör fel, och Datainspektionen får bättre utredningsmöjligheter gentemot företag.

Resultatet av de fyra år långa förhandlingarna om dataskydd i EU är dock ett splittrat regelverk, där varje enskild offentlig verksamhet får egna krav och därför egna komplicerade avtal som behöver begrundas och skrivas7.

Bland andra svenska regeringen har motarbetat principen att ansvaret ska följa med i hela databehandlingskedjan, vilket lämnar kommuner i den svåra sitsen att de först måste bli experter på IT-standarder och teknologi och sedan experter på juridik innan de ens hinner börja fundera på vilken maktbalans de vill ha i IT-systemen89.

Dataskyddsförordningen och det tillhörande dataskyddsdirektivet innehåller i sin färdiga form ganska otydliga formuleringar av dataskyddspaketets olika krav, vilket helt enkelt gör det svårare för både kommuner och företag att uttyda vilken sorts skydd lagstiftaren egentligen tänkt sig att medborgarna ska ha10 11 12 13.

De färdiga reglerna gör det svårare för Datainspektionen14 att utreda företagen direkt15, vilket tvingar Datainspektionen att istället ägna mycket tid åt kommuner och offentlig verksamhet som kanske egentligen har väldigt lite att göra med själva ramverken för de tekniska lösningar som implementeras.

3. Molnet och samhället

Kommuner bör i allmänhet fundera på vilken sorts maktstruktur man vill ha i sin egen kommun. Ofta görs IT-satsningar i kommuner inte i samklang med befolkningen, utan med direktiv uppifrån eller inifrån förvaltningen. När IT-satsningar fungerar dåligt lokalt, är normen inte att satsningen avvecklas, utan att man skjuter beslutsansvar och makt uppåt16. Till en statlig myndighet, eller till regeringen. De flesta kommuner torde behöva fundera på om det är rätt att sparka ansvaret och besluten uppåt, och längre ifrån medborgarna, eller om man snarare bör prata mer med människor i kommunen om vilken sorts IT-struktur de själva vill ha och önskar sig.

Molntjänster har blivit populära efter att Microsoft velat fasa ut operativsystemet Windows XP från marknaden. Windows XP har annars tidigare varit det mest använda datorsystemet för kontorsarbete i offentlig sektor. Microsoft har också fått fler, och nya, konkurrenter, till exempel Apple och Google, som gärna vill få en del av inkomsterna från offentlig upphandling. Offentlig upphandling är den mest lukrativa marknaden för ett företag att få del av, eftersom offentlig sektor innebär en stadig och stor inkomst över lång tid. Det här ökar kraven på kommuner och beslutsfattare att fundera över vilken sorts infrastruktur man vill bygga. Många har ett intresse av att sälja just sin egen lösning, men vilken sorts lösning har man som kund ett intresse av att köpa?

Ett ytterligare problem för offentlig sektor är att man själv, som myndighetsperson, är kund fastän den vars privatliv påverkas är en privatperson som oftast inte jobbar på myndigheten som är kund. Här stöter man på det typiska problemet att det är svårt att förstå hur andra människor upplever sitt privatliv.

Det är svårt att göra bra och integritetsvänliga val åt andra människor, eftersom vi per definition inte kan relatera till hur någon annan känner att deras privatliv behöver upprätthållas, eller inte. Man behöver alltså ständigt hålla sig på demokratisk och människorättslig vakt, men här kan dataskyddspaketet om att varje individ har en rätt till självbestämmande kring sina egna personuppgifter vara hjälpsam. Så länge man förstår att kunskap och information är makt, och att mer kunskap och information innebär mer makt, och att den makten ska utövas så nära varje person som möjligt både administrativt och tekniskt, är det inte jättesvårt att förhålla sig till hur maktbalansen i ett IT-system bör se ut heller.

4. Praktiskt

Öppna standarder, och över huvud taget standarder, för olika sorters IT-infrastruktur är hjälpsamma för att få en mer decentraliserad IT-infrastruktur som är lättare att hantera på ett lokalt plan.

Med olika standard-baserade komponenter kan system också anpassas efter varje situation. För att standarderna ska vara hjälpsamma för kommuner, behövs dock ett tydligare regelverk inom vilka standarderna utvecklas. Därför är det viktigt att den övergripande lagen, som dataskyddspaketet, är tydlig och rak i vad den förespråkar. En god praxis kan vara att ta hjälp av ett företag som specialiserar sig på att göra kravspecifikationer med riktning mot öppna standarder och privatlivsskydd när man ska upphandla. En kommunpolitiker, eller kommunförvaltning, ska inte behöva lära sig allt om XML för att utmåla en riktning mot öppenhet, integritet och transparens i IT-systemen, men att ta hjälp gör att man slipper sitta själv och bråka med jurister och tekniker som kommer med olika förevändningar kring varför öppenhet och integritet är allt för svårt att lösa.

Var mer öppen med kommunens invånare om hur och av vem olika tjänster utvecklas.

Fråga hur de vill att det ska vara. När man flyttar ansvar och makt man själv har över andra till en tredjepart som dessa andra inte nödvändigtvis vet vilken det är, borde man istället informera dem om det och fråga hur de själva tycker. Publicera vilka företag som levererar vad till vem och på vilka villkor. Berätta hur man kontaktar företagen. Om företagen kan fatta operativa beslut som påverkar vem som har tillgång till personuppgifter, hur de ska behandlas, eller liknande - gör det möjligt för privatpersoner att få veta vem man kontaktar för att få reda på hur företagen gör det!

Vilka tjänstemän är ansvariga? Dataskyddspaketet föreslår konsekvensutredningar för IT-system, där sådana här frågor kan tas upp men man behöver inte vänta på att EU-länderna ska förhandla färdigt för att göra kloka val i sin kommun.

Gör inte incidentrapportering, kräv istället att få reda på när det upptäcks säkerhetsproblem.

Vi vet redan vilken sorts problem i IT-system som kan leda till “säkerhetsincidenter”, men vetskap om när sådana problem hittats är låg. Samtidigt som företag inte gärna berättar att de upptäckt att de misslyckats med att utveckla ett system som var så bra som det de marknadsförde, skapar det viktiga incitament att lösa problemen om företagen behöver berätta att någonting gått fel. Det här borde normalt gå att lösa avtalsrättsligt i kommuner, och man behöver inte vänta på att någon regeringsperson i Stockholm ska få tummen ur. Det kommer dock med stor sannolikhet leda till oro och anfäktade kommentarer från tjänsteleverantörerna.

Fundera på om allt verkligen behöver vara på samma plats eller i samma system. I andra situationer har vi talesättet “lägg inte alla ägg i samma korg”, men i IT-system har vi varit dåliga på att följa den devisen. Måste allt ligga i samma system, som då måste uppfylla samtliga krav på samtliga verksamheter alltid, eller är det bättre att anpassa systemen efter varje verksamhet? Precis som man anpassar fysiska lokaler efter verksamheten de ska vara för, är det bra att anpassa IT-system. Om e-Förvaltning ska bli ett demokratiförstärkande projekt kan man inte fokusera på hur förvaltningen av medborgarna ska bli smidigare, utan snarare på vad medborgare kan behöva.

När mycket information om varje människas vardagliga kontakter med olika statliga verksamheter bara ligger ett (eller ett fåtal) knapptryck bort från varje tjänsteman blir också den människans maktställning gentemot tjänstemannen svagare. Ansöker man om bygglov behöver man inte veta sina barns betyg, och liknande. Här kan i och för sig i teorin välja att e-Förvaltningen inte ska genomföras med avsikt att stärka eller befästa demokratin, utan av andra skäl.

Undvik amerikanska leverantörer tills rättsläget kring dataöverföring är tydligare. Trots ett nytt Privacy Shield-beslut från EU-kommissionen sommaren 2016 är det inte säkert att de amerikanska reglerna fortfarande, formellt, garanterar rättigheter i EU på det sätt de bör. Även om det är svårt att uttala sig exakt innan EU-domstolen fått möjlighet att göra en prövning av Privacy Shield-beslutet pågår en del rättslig utveckling i USA under det innevarande ledarskapet som ger anledning till oro.

  1. http://www.datainspektionen.se/press/[^nyheter/2014/forvaltningsratten-ger-datainspektionen-ratt-om-molntjanst/
  2. http://www.datainspektionen.se/press/nyheter/2013/skola-maste-sluta-anvanda-molntjanst/
  3. http://www.datainspektionen.se/press/[^nyheter/2014/datainspektionen-klar-med-granskning-av-molntjansten-office-365/
  4. http://www.datainspektionen.se/press/nyheter/2014/inte-heller-malmos-avtal-med-google-haller/
  5. http://www.datainspektionen.se/press/nyheter/2014/inte-fritt-fram-for-molntjanster-i-skolan/
  6. https://dataskydd.net/svenska-utredningar-om-dataskydd
  7. https://dataskydd.net/nyheter/2014/12/08/eus-medlemslander-forhandlar-langsamt-vidare-om-dataskydd
  8. https://dataskydd.net/kommentarer-pa-regeringens-asikter#sec-36
  9. https://dataskydd.net/kommentarer-pa-regeringens-asikter#sec-40
  10. https://dataskydd.net/kommentarer-pa-regeringens-asikter#sec-1
  11. https://dataskydd.net/kommentarer-pa-regeringens-asikter#sec-16
  12. https://dataskydd.net/kommentarer-pa-regeringens-asikter#sec-6
  13. https://dataskydd.net/kommentarer-pa-regeringens-asikter#sec-7
  14. https://dataskydd.net/kommentarer-pa-regeringens-asikter#sec-49
  15. https://dataskydd.net/kommentarer-pa-regeringens-asikter#sec-55
  16. För ett övertydligt exempel, läs Riksrevisionens rapport om IT-säkerhet på myndigheter. Den självklara slutsatsen av att mycket idag fungerar dåligt är att man ska centralisera byråkrati kring IT: http://www.riksrevisionen.se/PageFiles/20759/RIR_2014_23_infos%C3%A4kerhet_Anpassad.pdf

Vi använder varken kakor eller analysverktyg och vår webbserver loggar inte ditt besök.

Problem med sajten? Frågor? Kontakta oss! Vi finns också på Mastodon/Fediverse. Nyheterna finns som RSS-flöde.

All text, förutom citat, är tillgänglig under CC0 (ingen upphovsrätt).