Skylt med texten 'Cloud computing'

CLOUD Act: AI och personuppgifter i utländska molntjänster?

Under 2019, och även sena 2018 tack vare eSams juridiska utlåtande, har särskilt de amerikanska molnföretagen Google, Amazon och Microsoft varit omdebatterade. Samma företag vill gärna erbjuda AI (Artificiell Intelligens) via sina molntjänster, det är bara att vi laddar upp våra data.

Det öppna samtalet har främst handlat om hur offentlig sektor använder dessa amerikanska molntjänster. Det kan handla om att ha Microsofts kontorsprogram Office365 i Microsofts moln, sina elever i Googles molnmiljö eller att en underleverantör drar nytta av någon av Amazons många AWS-tjänster.

“Genom Office 365 kan amerikanska myndigheter få ut sekretesskyddade uppgifter från Göteborgs kommun utan att varken svenska myndigheter eller berörda personer informeras. Nu har kommunens jurister gjort en bedömning av situationen och menar att molntjänsterna ändå kan användas.
– Sannolikheten att uppgifter skulle lämnas ut obehörigt är oerhört liten, säger Sarah Arlebrink, stadsjurist.”
– Göteborgs-Posten: Amerikanska myndigheter har en bakväg in i Göteborgs IT-system

Det är en sak att diskutera sannolikheter baserat på det man vet historiskt, en annan att efter avslöjanden likt det Edward Snowden kom med konstatera att det osannolika trots allt inträffade.

Ja, svenska kommuner är i händerna på amerikanska myndigheter!

På den direkta frågan om “är inte svenska kommuner då i händerna på amerikanska myndigheter och deras bedömning?” blir svaret “Jo, det är man” enligt juristen. Är det här man ser begränsningen av juridik? Att deras professionella omdöme kanske behöver kompletteras av yrkesgrupper som historiskt inte haft samma auktoritet? Som filosofer, hackare, haverister, eller de som läckt data de haft tillgång till? Typ Snowden, Amelia Andersdotter eller andra som menar att samtliga datakällor läcker förr eller senare?

Enligt Nederländernas utredning funkar inte ens Microsoft Office

Nederländerna har kommit fram till att de är tvungna att ha andra avtal med leverantörer utanför EU. Delar av Tyskland har kommit fram till att man inte ens kan använda standardapplikationer, likt Microsofts Office, i molnet.

“I ett par tidigare utredningar, så kallade Data Protection Impact Assessments, DPIA, har Privacy Company kommit fram till att de nederländska myndigheterna inte kan använda Microsoft Office, varken i desktop-, moln- eller mobilversionerna”
– Microsoft ändrar i Office för att få GDPR-godkänt (Computer Sweden, augusti 2019)

Mycket kan härledas till amerikanska CLOUD Act och FISA. CLOUD Act handlar om utbyte av data för brottsutredning när data inte ligger på servrar rent geografiskt i USA, vilket är anledningen till diskussionen om amerikanska myndigheter kan kräva ut data som finns på servrar placerade i EU, där servern kontrolleras av ett amerikanskt företag.

Amerikanska CLOUD Act och FISA (Foreign Intelligence Surveillance Act)

Michael Punke, Vice President Public Policy på Amazon Web Services, har skrivit ett öppet brev i frågan om CLOUD Act.

“The CLOUD Act authorizes executive agreements between the United States and trusted foreign partners that will make both nations’ citizens safer, while at the same time ensuring a high level of protection of those citizens’ rights.”
– The Purpose and Impact of the CLOUD Act, U.S. Department of Justice (April 2019)

Det ovanstående citat inte belyser är att innan dess respektive nation undertecknar ett avtal med USA så har man inga rättigheter enligt CLOUD Act. CLOUD Act innebär ett samarbete om data mellan USA och andra länder, men kräver ett avtal mellan USA och respektive land, som Sverige exempelvis, för att gälla, och först då ska USA respektera respektive lands lagstiftning. Till försvar för CLOUD Act är att både EU och USA har skrivit under den så kallade Budapestkonventionen vilken reglerar hur man hjälps åt kring cyberbrott. Den kritiskt lagde skulle säkert här åberopa ändamålsglidning och att inte alla berörda parter brytt sig om ifall deras verksamhet följt lagstiftningen.

FISA är en reglering av amerikansk underrättelsetjänst. Kontentan av Edward Snowdens avslöjande 2013 var att den amerikanska underrättelsemyndigheten, NSA, medvetet valt att inte följa FISA.

Extra känsliga personuppgifter – som patientdata

När det gäller de journalsystem som upphandlas och införs i Sverige är molntjänster, och ibland en tilltänkt AI-funktionalitet, med i den tänkta leveransen. Region Skåne och Västra Götalandsregionen (VGR) är de två stora regioner som redan valt en leverantör. Det blev amerikanska Cerner och deras system Millennium. Region Skåne valde till skillnad från VGR att gå med på att använda Cerners molntjänster.

Men redan innan det blev dags för Cerners molntjänster blev det strul då Cerner tydligen inte hade koll den patientdatalag (PDL) som sedan 2008 gällt i Sverige.

“Nyligen sköt Västra Götalandsregionen upp sitt införande för att ge Cerner tid att anpassa sitt system Millennium till de krav som den svenska patientdatalagen ställer – något som den amerikanska jätten inte förstått omfattningen av.”
– Computer Sweden: Stora risker kring patientdata i Skånes miljardprojekt – brister hotar säkerheten

Man skulle kunna tro att Cerner var ny på den svenska marknaden. Så är dock inte fallet.

När det gäller molntjänster valde VGR att låta bli utomstående parters kontroll, till skillnad från Region Skåne:

“Valet av Millennium har väckt frågor kring vad som kan hanteras i molnet. Den rekommenderade lösningen från Cerner är att lägga driften i Amazons moln. Men i stället har Västra Götalandsregionen valt att drifta plattformen lokalt och Region Skåne har valt att lägga it-driften hos Cerner i ett privat moln.”
– Computer Sweden: Stora risker kring patientdata i Skånes miljardprojekt – brister hotar säkerheten

Det är klart att Cerner rekommenderar sin egen molntjänst. Men Cerner är ett amerikanskt företag och lyder under amerikansk lagstiftning, inklusive CLOUD Act. De förväntar sig att alla nära två miljoner skåningars patientdata ska skickas till hela nio olika länder:

“Totalt vill Cerner att alla patientdata skickas till tolv olika enheter i Cerner i nio olika länder – Indien, USA, Storbritannien, Frankrike, Spanien, Australien, Nederländerna, Irland och Tyskland.”
– Computer Sweden: Stora risker kring patientdata i Skånes miljardprojekt – brister hotar säkerheten

Det rättsliga läget kring Storbritannien är aningens oklart, men både USA och Indien är tveksamma när det gäller molntjänster. Har Australien för avsikt att binda upp sig kring EU:s lagstiftning?

Hur skulle Region Skåne reagerat om det stått Ryssland och Kina på listan med länder?

Försäkringskassan släpper vitbok om molntjänster i samhällsbärande verksamhet

Att Försäkringskassans generaldirektör i samband med denna vitbok går ut i Dagens Nyheter och menar att “Sveriges digitala suveränitet hotas av IT-tjänster i molnet” beskriver ganska väl den aktuella diskussionen. I rapportens sammanfattning berättar man att man absolut ser fördelar med digitala tjänster via internet, men att:

Flera stater, däribland USA, Kina och Indien, har numera lagstiftning som ger deras myndigheter rätt att under vissa förutsättningar ta del av data och uppgifter som lagras hos tjänsteleverantörer under sin jurisdiktion, även om lagringen sker utanför den egna statens territorium.
– Vitbok: Molntjänster i samhällsbärande verksamhet – risker, lämplighet och vägen framåt (Försäkringskassan)

Sammanfattningsvis

Så ja, det är inte fullt så entydigt enkelt att använda amerikanska molntjänster från Amazon, Google eller Microsoft. Varken när det gäller enklare applikationer eller AI-molntjänster.

Huruvida försiktighetsprincipen är särskilt svensk eller inte kan vi debattera någon annan gång, men kontentan är att handla på ett sätt att man undviker risker. När det gäller svensk miljöpolitik har man formulerat det som att:

Försiktighetsprincipen för risk management säger att när osäkerhet råder om huruvida exempelvis en ny teknik, eller en politisk åtgärd kan skada allmänheten eller miljön, och vetenskaplig konsensus saknas om tekniken eller åtgärden är farlig, skall tekniken eller åtgärden betraktas som farlig. Bevisbördan faller på verksamhetsutövaren, och på dem som hävdar dess ofarlighet."
Försiktighetsprincipen (Wikipedia)

Många tycks anse att utländska molntjänster kan skada allmänheten. Kanske borde samma form av försiktighet användas även av offentlig sektor när det gäller allt från simpla kontorsprogram, uppladdning av data till mer avancerade grejer som djupinlärning på utländskt kontrollerad hårdvara?

Det pågår förstås en del kampanjer från de berörda företagen och deras svenska partners. Bland annat undertecknad har fått ta emot, förhoppningsvis välmenande, meddelanden om att jag har missuppfattat det hela, att det inte alls är ett problem, samt tips på skrivelser från mer positivt inställda personer. Ibland är dessa skrivelser gjorda av anställda på de bolag som har något att förlora.

Mer om känsliga uppgifter i molntjänster

Bilden är skapad av Nick Youngson med CC-BY-SA 3.0


Publicerad: 2019-11-23
Kategori: Digitalisering
Tagg: Juridik Offentlig sektor Molntjänster

‹ bloggen

Hör av dig