Annons

”Känslig data bör ibland lagras i burk i källaren”

Det är i dag omåttligt svårt att bedriva framgångsrik outsourcing av it-tjänster med den personliga integriteten i behåll. Kanske behöver vi ibland ta till beprövade metoder i stället för tjusiga molnlösningar, skriver Daniel Maxstad och David Schreiber från Front Advokater.

Under strecket
Publicerad

Daniel Maxstad och David Schreiber.

Foto: Pressbilder Bild 1 av 1

Daniel Maxstad och David Schreiber.

Foto: Pressbilder Bild 1 av 1
Daniel Maxstad och David Schreiber.
Daniel Maxstad och David Schreiber. Foto: Pressbilder

DEBATT | IT-SÄKERHET

1177-läckan är tyvärr en i raden av svenska integritetshaverier de senaste åren. It-skandalen med Transportstyrelsen innebar läckage inte bara av fordonsuppgifter, utan potentiellt även belastningsregister, körkortsbilder och annan känslig information. Vi har på senare tid fått följa hur svenska myndigheter outsourcat hela eller delar av sin it-drift med kritiska följder. Svenska myndigheter verkar ha svårt att på ett säkert sätt hantera integritetskänslig data. Varför är detta så svårt?

För att kunna driva samhällsutveckling och digitalisering framåt krävs i dag samarbeten, både nationella som globala. Både näringsliv och myndigheter anlitar internationella tjänsteleverantörer för att fylla sina it-behov. Det för med sig stora utmaningar när olika länders nationella lagstiftningar ska jämkas samman. Det påverkar samtidigt möjligheterna från svenskt håll att upprätthålla personlig integritet och rikets säkerhet. Det är i många fall inte heller ekonomiskt försvarbart att på egen hand sköta den it-drift som behövs.

Annons
Annons

Alltför ofta tecknas säkerhetsbilagor och personuppgiftsbiträdesavtal med it-leverantörer som i teorin framstår som säkra och förenliga med GDPR och annan lagstiftning, men som har dåliga förutsättningar att följas upp i praktiken. Exempelvis måste bestämmelser om revision hos leverantörer läggas på en ändamålsenlig nivå och faktiskt genomföras. Om underleverantörer tillåts räcker det inte med allmänna skrivningar om att de ska ha samma säkerhetsnivåer som leverantören, konkreta underlag behöver presenteras som stöd.

Denna situation bör ställa tuffa krav på de enheter som upphandlar it-tjänster. Och inte bara på upphandlingen, utan även på uppföljningen av befintliga avtal. Vi ser ett stort behov av att myndigheter vid förstudier inför en upphandling har med tydliga aspekter kring säkerhet och integritet. Under avtalstiden måste uppföljning finnas och framförallt användas gentemot leverantörerna.

Med blicken i backspegeln – eller kanske rent av i sidorutan – kan vi se att det i dag är omåttligt svårt att bedriva framgångsrik outsourcing med den personliga integriteten i behåll. Det är därför nödvändigt att ännu mer fokuserat jobba med säkerhetsaspekter före och under upphandling för att undvika situationer liknande den med 1177. Förstudier och uppföljning kräver självklart stora resurser. Så finns det något alternativ?

En lösning, som tyvärr inte är någon tjusig molnlösning, är att plocka ner outsourcad data av mer känslig natur och lägga den i ”burken i källaren” igen. Åtminstone till dess vi har lärt oss att säkerställa en trygg hantering av data hos våra leverantörer.

Kanske är vi ibland tvungna att välja burken framför molnet.

Daniel Maxstad
jurist inom it-och dataskydd, Front Advokater
David Schreiber
advokat inom it- och dataskydd, Front Advokater

Annons
Annons
Annons
Annons
Annons