Sverige vil skrote amerikansk skytjeneste: Her er alternativene

I en ny rapport presenterer 35 svenske myndighetsorganer alternativer til amerikanske skytjenester i offentlig sektor. Det er for risikabelt å gi innbyggernes personopplysninger til teknologigigantene, heter det.

Sverige vil skrote amerikansk skytjeneste: Her er alternativene
Sverige. Foto: Colourbox

Amerikansk skytjeneste må ut av offentlig sektor i Sverige. Lovverket i det usikre tredjelandet USA gjør det for risikabelt å gi teknologigigantene tilgang til innbyggernes personopplysninger.

Det skriver Esam, et samarbeid mellom 35 svenske myndighetsorganer og organisasjonen ‘Svenske kommuner och regioner’ (SKR), i en ny rapport:

«Anvendelse av skjult, ekstraterritoriell lovgivning (et lands lovgivning som gjelder utenfor landets grenser, red.) skaper en barriere mellom behovene til offentlig sektor og utenlandske – hovedsakelig amerikanske – tjenesteleverandører», heter det:

«En offentlig organisasjon bør unngå å bruke tid og ressurser på å beskytte informasjon mot en leverandør og i stedet velge en leverandør der det ikke er frykt for ulovlig spredning og behandling av informasjon.»

Man kan ikke vente på årelange forhandlinger for å finne lovlige måter å bruke amerikanske tjenester på, skriver Esam i rapporten, og derfor har gruppen undersøkt hvilke brukbare alternativer som kan sikre at data ikke kan havne i USA.

Utfordring i Danmark

I Danmark har amerikanske skytjenester også utfordret det offentlige – inkludert kommunene, som ønsker å bruke Google og Microsofts tjenester i grunnskolen, men har problemer med å sikre lovligheten av å gi teknologigigantene tilgang til barnas data.

Region Hovedstaden fikk også problemer med Helseplattformen fordi den amerikanske leverandøren Epic har tilgang til innbyggernes helseopplysninger i forbindelse med støttesaker.

Flere har kritisert de europeiske databeskyttelsesreglene for å gjøre bruken av god amerikansk programvare svært tungvint. Men med europeiske alternativer som møter behovene til organisasjoner, trenger ikke kravene stå i veien for en god brukeropplevelse, understreker rapporten:

«Loven og dens sikkerhet [skal] ikke lenger anses som en begrensende faktor, men tvert imot muliggjøre bruk av hensiktsmessige løsninger.»

Les også

Ser etter lovlig samarbeidsplattform

Etterforskningen startet etter at de svenske myndighetene «Skattestyrelsen» og «Kronofogdemyndigheten» undersøkte muligheten for å erstatte kommunikasjonsplattformen Skype med Microsoft Teams våren 2021.

Support og vedlikehold av Skype vil opphøre i løpet av de neste fem årene, men alternativet er problematisk i forhold til GDPR:

«Hvis Teams brukes på samme måte som Skype brukes i dag, vil det avsløre store mengder informasjon for Microsoft på en måte som er uforenlig med reglene for databeskyttelse og konfidensialitet,» heter det i rapporten.

Derfor har en arbeidsgruppe undersøkt lovlige alternativer som enten alene eller sammen kan utgjøre en samarbeidsplattform for organisasjoner i svensk offentlig sektor. De har lett etter verktøy med disse spesifikke funksjonene:

  • Videokonferanse
  • Oppbevaring av dokumenter
  • Samtalerom
  • Kanban (virtuell tavle for visualisering av oppgaver)

– Arbeidet viser tydelig at det finnes både alternativer og at offentlige organisasjoner ikke trenger å bevege seg i juridiske gråsoner for å møte deres behov. Tvert imot bør det offentlige gå foran som et godt eksempel», skriver gruppen.

De beste løsningene

Esam har funnet to løsninger som best møter myndighetenes behov, hvorav den ene er Nextcloud. Programvaren er basert på åpen kildekode og har et «stort nettverk av interesserte entusiaster som bidrar til utviklingen», heter det i rapporten.

Derfor slippes det stadig nye funksjoner og applikasjoner for tjenesten, som er litt som Microsoft 365 og Google Workspace.

Plattformen har hundrevis av applikasjoner for blant annet fil- og dokumenthåndtering, chatterom med personlig og gruppe-chat, videokonferanser, e-post, kalender, ‘to-do lists’, kanban og tavle.

Nextcloud tilbyr ikke skyinfrastruktur selv, men teknologien kan brukes av for eksempel en svensk leverandør, som kan tilby plattformen i skyen. Du kan også drifte løsningen lokalt uten ekstern støtte eller lisensavtaler.

Den andre løsningen heter Compliant Office og er en skytjeneste fra leverandøren City Network. Den er basert på programvaren IceWarp og kommer fra et svensk datasenter eid av en svensk leverandør.

Skytjeneste-problemet

Problemet med amerikanske skytjenester er forankret i amerikansk lov – nærmere bestemt FISA 702 og Cloud Act. Lovene gir amerikanske myndigheter rett til å kreve personopplysninger om EU-borgere levert av såkalte «Electronic Service Providers».

Reglene er ikke kompatible med EUs databeskyttelsesgarantier beskrevet i GDPR, og data kan derfor ikke sendes til USA uten bruk av et gyldig overføringsgrunnlag.

Etter Schrems II-dommen i fjor, der EU-domstolen ugyldiggjorde det tidligere populære overføringsgrunnlaget ‘Privacy Shield’, bruker de fleste behandlingsansvarlige standardkontrakter for å sende data til USA i dag.

Men de kan ikke stå alene. Ytterligere tiltak, som kryptering, er nødvendig for å sikre beskyttelse av informasjon, ifølge European Data Protection Board (EDPB).

Foreløpig er det imidlertid vanskelig å finne ytterligere tiltak som er gode nok til å sikre data. Som et resultat står mange EU-myndigheter og selskaper nå overfor juridiske utfordringer med sine amerikanske tjenester.

Løsningen er også veldig lik programvaren fra de amerikanske teknologigigantene og har mange av de samme funksjonene som Nextcloud. Compliant Office er særlig en interessant tjeneste for mindre bedrifter, utdyper Esam i rapporten.

I tillegg til Nextcloud og Compliant Office finnes det også juridiske plattformer som er satt sammen av ulike løsninger, for eksempel chat, videokonferanser og dokumenthåndtering, skriver Esam i rapporten. Den har flere eksempler på programmer for ulike funksjoner, men nedenfor er et utvalg.

Samtalerom

Element brukes av flere offentlige organisasjoner i EU – inkludert Tyskland og Frankrike – og du kan bruke tjenesten til personlig- og gruppechat med ende-til-ende-kryptering. Den skiller seg fra andre løsninger ved at den bruker kommunikasjonsprotokollen ‘Matrix’, og derfor kan organisasjoner fortsatt kommunisere selv om de har forskjellige servere.

Videokonferanse

Jitsi er en åpen kildekode videokonferanseløsning fra et amerikansk selskap som tilbyr støtte, vedlikehold og skytjenester. Flere europeiske og svenske leverandører tilbyr også løsningen som en tjeneste, eller du kan drifte den lokalt.

Det fungerer i de fleste moderne nettlesere, og du kan blant annet chatte under møtet, bruke skjermdeling, gjøre bakgrunnen uskarp og ta opp samtalen. Dette foregår også med ende-til-ende-kryptering.

Kanban

Jira er et komplett saksbehandlingssystem som blant annet har en kanban-funksjon. Den kan kjøpes som en skytjeneste, men Esam har utelukket det som et alternativ, da løsningen kjører på AWS.

Tavle

Bluescape er en tavle fra det britiske selskapet med samme navn som fungerer som en nettbasert tavle. Den gir mulighet for sanntidssamarbeid og har funksjoner som tegneverktøy, post-it-lapper i forskjellige farger, former og maler for idédugnad.

Brukere kan kommentere direkte på tavlen eller starte en videosamtale med andre på samme tavle.

Oppbevaring av dokumenter

Storgate er en svensk løsning med norske eiere, som brukes til synkronisert dokumentlagring, for eksempel med tjenester som Dropbox eller OneDrive. Det er mulighet for integrasjon med blant annet Microsoft Outlook.

Avhengig av Microsoft

Flere av løsningene tilbyr lagring i en amerikansk sky, men gang på gang understreker partnerne i rapporten at denne muligheten er utelukket for svenske myndigheter på grunn av GDPR:

«Dette ekskluderer leverandører som gjennom drift, infrastruktur, tjenesteleveranse, support, lisensaktivering, etc., ulovlig kan avsløre informasjon til utenlandske myndigheter – hovedsakelig USA.»

Derfor er det problematisk når tech-gigantene blir en permanent del av den offentlige IT-infrastrukturen. Mange svenske myndigheter er faktisk «avhengige» av Microsoft og har vært det i mange år, ifølge rapporten.

Det kan få store konsekvenser for driften av offentlig sektor dersom tjenesten plutselig blir utilgjengelig over tid.

«I løpet av kort tid kan [det] føre til at en alvorlig krise oppstår i samfunnet», heter det.

Fremtidens løsninger må i større grad preges av åpenhet, understreker rapporten, og derfor er det en fordel å se på åpen kildekode-løsninger.

Denne artikkelen ble først publisert på Version 2 for deres abonnenter. Den er tilgjengelig på norsk for abonnenter av Ekstra gjennom vår samarbeidsavtale.

Les også

;