EU-förslag om det fria flödet av uppgifter som inte är personuppgifter ("molntjänstförordningen")
Tidigare i år presenterade EU-kommissionen ett förslag till förordning om det fria flödet av uppgifter som inte är personuppgifter. Förslaget syftar till att göra det möjligt med gränsöverskridande molntjänstupphandlingar i EU-området, och att medlemsländerna inte med hänvisning till nationell säkerhet ska bete sig protektionistiskt mot varandra och ställa krav på nationell lokalisering av data.
Dataskydd.net fann inte tiden att sammanställa egna synpunkter, men i princip har EU-kommissionen rätt i att datalokaliseringsbestämmelser och hinder för gränsöverskridande IT-upphandlingar inte har några större förutsättningar att öka informationssäkerheten i teknisk bemärkelse. Eftersom teknisk säkerhet, så som att leta och fixa buggar, genomföra regelbundna revisioner och ha stark och regelbunden uppföljning av organisatoriska rutiner, är dyrt och tidskrävande, krävs en viss skala på verksamheten för att hålla den tekniska säkerheten hög. Molntjänster syftar bland annat till att avlasta aktörer som inte har IT-underhåll, serverdrift eller programframställning som sin huvudsyssla från den ekonomiska och tidsmässiga bördan det innebär att säkerställa goda tekniska säkerhetsrutiner.
I Sverige har vi uppenbarligen ett problem med att bestämmelser om nationell säkerhet, som i många fall är kvarlevor från äldre eror, gör IT-upphandlingar svårare och dyrare än vad de borde vara.
Bland remissvaren märks att försvarsmyndigheterna och Säkerhetspolisen vill ha särskilda undantag som kommer göra det fortsatt svårt för både upphandlare och företag att veta vad som gäller. Företag och upphandlings- eller industriansvariga myndigheter är i stället positiva. I stor utsträckning går alltså skiljelinjerna mellan de som ser säkerhet som en ekonomisk fråga, som något som kan mätas, effektiviseras eller vägas mot andra intressen (till exempel intresset av att kunna lansera en ny produkt, eller fokusera resurser på något annat än IT-drift), och de som ser klassisk säkerhet som ett militärt eller polisiärt intresse.
Datainspektionen påtalar att den sortens tjänster som omfattas av förordningen kan komma att innefatta personuppgifter också. Som Datainspektionen påtalar innebär ju det bara att Dataskyddsförordningen tillämpas, egentligen, och att de säkerhetsrutiner som föreskrivs i förordningen därför blir tillämpliga. Dataskyddsförordningen innebär dock inga generella hinder för gränsöverskridande handel av IT-tjänster, utan syftar tvärtom till att säkerställa att medborgare och konsumenter i hela EU-området kan vara säkra på att företag i alla länder ger dem samma goda rätt.
Läs mer:
EU-kommissionens "better regulation"-webbplats om förslaget om fria flöden av uppgifter som inte är personuppgifter:
https://ec.europa.eu/info/law/better-regulation/initiatives/com-2017-495_en
Inkomna remissvar till rättsakten (24.11.2017):
http://www.regeringen.se/remisser/2017/11/remissvar-eu-rattsakt-kom20174...