Replik: Inga rättsliga hinder per se att använda amerikansk molntjänst
REPLIK. Att använda felaktiga hänvisningar till juridiken för att ge kraft till personliga åsikter bidrar till en mytbildning kring molntjänster, skriver juristen Peter Riiga.
Jurist, Insatt
Myndigheten för samhällsskydd och beredskap (MSB), Socialstyrelsen och Folkhälsomyndigheten har planer på att genomföra en digital enkät för att få en lägesbild av symtomspridningen för covid-19. Enligt Ekot kommer allmänheten anonymt kunna beskriva sina symtom i enkäten och databasen ska inte rymma några personuppgifter. Det har även indikerats att en amerikansk molntjänstleverantör kan komma att assistera vid genomförandet av enkäten.
Felaktiga påståenden
Det sistnämnda har, vilket numera tycks vara vanligt i molntjänstsammanhang, gett upphov till ett antal kommentarer från bekymrade tyckare. Den senaste är Johan Christenson, själv grundare av en europeisk molntjänst. Han är oroad över att MSB tycks överväga en amerikansk molntjänstleverantör framför en europeisk och, gissningsvis, framför hans egen.
Problemet med Christensons inlägg är dock inte så mycket att det är en partsinlaga för hans eget företag, som att det grundas på rent felaktiga och kategoriska påståenden om juridiken.
Om exempelvis en amerikansk molntjänst då anses vara mest ändamålsenlig, finns det inga rättsliga hinder per se mot att använda en sådan.
Sålunda menar Christenson att det enligt en rad lagar är "juridiskt direkt olagligt" för svenska myndigheter att använda utomeuropeiska molntjänstleverantörer. Det är det inte. Något sådant förbud finns helt enkelt inte. Däremot är all statlig verksamhet omgärdad av strikta integritets- och säkerhetskrav vilka såklart ska följas även i en pandemi och oavsett hemvist för eventuell molntjänstleverantör.
Ingen överträdelse
Om ett uppgiftsutlämnande inkluderar personuppgifter, vilket alltså angetts inte vara fallet här, behöver ansvarig myndighet naturligtvis även säkerställa att personuppgiftsbehandlingen är förenlig med dataskyddsregleringen. Skulle MSB:s enkät mot förmodan innebära en insamling av personuppgifter har MSB därför att förhålla sig till GDPR och eventuellt patientdatalagens krav. Det innebär dock på inget sätt en överträdelse av GDPR.
Saknar grund
Påståendet att MSB skulle bryta mot och ignorerar säkerhetsskyddslagen verkar också helt sakna grund. Av medierapporteringen verkar det knappast som att enkätsvaren skulle avse säkerhetsskyddsklassificerade uppgifter.
Och om de nu skulle göra det, och MSB avser att uppdra åt en privat leverantör att förvara sådana uppgifter, så har MSB helt enkelt att iaktta vad som då gäller enligt säkerhetsskyddslagstiftningen. Jag ser ingen grund för att påstå att MSB överträtt den lagstiftningen här. Någon sådan grund har knappast heller Christenson.
Onödig mytbildning
Som jurist drar jag reflexmässigt öronen åt mig så snart någon tvärsäkert påstår att något är "juridiskt direkt olagligt". Inte sällan brukar det då vid närmare granskning förhålla sig precis tvärtom (vilket för övrigt fler och fler rättsexperter kommit fram till i just denna fråga, nu senast här).
Inlägg där svepande och felaktiga hänvisningar till juridiken begagnas för att ge eftertryck till personliga åsikter bidrar till en onödig mytbildning kring molntjänster, och i förlängningen en risk för skadliga effekter för den så viktiga digitaliseringen av offentlig sektor i stort.
Inga rättsliga hinder
Därför vill jag slutligen, i likhet med Johan Christenson, uppmana MSB att ta på sig ledartröjan. Det görs bäst genom att i enlighet med myndighetens etablerade rutiner i god ordning använda sig av de tjänster som man bedömer ändamålsenliga för att kartlägga och bekämpa covid-19.
Om exempelvis en amerikansk molntjänst då anses vara mest ändamålsenlig, finns det inga rättsliga hinder per se mot att använda en sådan. I pandemisammanhang ovidkommande hänsyn som att "stödja långsiktigt svensk innovation" kan och bör då med gott samvete läggas åt sidan.
Läs tidigare inlägg i debatten:
Debatt: Låt inte MSB:s coronaregister bli ett nytt Transportstyrelsehaveri
Det är olagligt att lagra svensk, känslig hälsodata i en utomeuropeisk molntjänst, både enligt GDPR och i relation till säkerhetsskyddslagen. MSB borde välja en säker väg för den digitala infrastrukturen, skriver Johan Christenson, City network.
'%3e%3cpath%20d='M174.5%205.49985C138.877%20-19.5379%20106.875%2013.5814%2091.8511%2029.6115C65.0748%2058.1778%2099.1498%2080.3465%20117.152%2037.3094C135.153%20-5.72759%2022.8866%200.0578454%2015.1662%2097.217'%20stroke='%23EA1718'%20stroke-width='3'%20stroke-linecap='round'%20stroke-linejoin='round'/%3e%3cpath%20d='M3.65346%2080.8587L15.109%2097.3301L29.6131%2086.6665'%20stroke='%23EA1718'%20stroke-width='3'%20stroke-linecap='round'%20stroke-linejoin='round'/%3e%3c/g%3e%3cdefs%3e%3cclipPath%20id='clip0_627_569'%3e%3crect%20width='163.796'%20height='107.816'%20fill='white'%20transform='matrix(-0.999973%20-0.00733143%20-0.00733143%200.999973%20164.582%201.24609)'/%3e%3c/clipPath%3e%3c/defs%3e%3c/svg%3e)
'%3e%3cg%20id='Group'%20transform='translate(80.000000,%202344.000000)'%3e%3cg%20id='Email'%20transform='translate(690.000000,%2030.000000)'%3e%3crect%20id='Mask'%20x='0'%20y='0'%20width='60'%20height='60'%3e%3c/rect%3e%3cpath%20d='M52.7384855,17.5928969%20C52.9067232,17.7771572%2053,18.0176551%2053,18.2671662%20L53,46%20C53,46.5522847%2052.5522847,47%2052,47%20L8,47%20C7.44771525,47%207,46.5522847%207,46%20L7,18.2671662%20C7,17.7148815%207.44771525,17.2671662%208,17.2671662%20C8.24951112,17.2671662%208.49000902,17.360443%208.67426936,17.5286807%20L18.287,26.3061598%20L13.8312884,34.4759713%20C13.7651727,34.5971834%2013.8098372,34.7490425%2013.9310492,34.8151582%20C14.0284097,34.868264%2014.1491193,34.8508807%2014.227539,34.772461%20L20.59,28.4091598%20L29.3257306,36.3843628%20C29.7076248,36.7330488%2030.2923752,36.7330488%2030.6742694,36.3843628%20L39.409,28.4081598%20L45.772461,34.772461%20C45.8351968,34.8351968%2045.924998,34.8588692%2046.0082577,34.8386386%20L46.0689508,34.8151582%20C46.1901628,34.7490425%2046.2348273,34.5971834%2046.1687116,34.4759713%20L46.1687116,34.4759713%20L41.712,26.3051598%20L51.3257306,17.5286807%20C51.7335849,17.156292%2052.3660968,17.1850426%2052.7384855,17.5928969%20Z'%20id='Red'%20fill='%23E60103'%3e%3c/path%3e%3cpath%20d='M7.74522169,13%20L52.2547783,13%20C52.8070631,13%2053.2547783,13.4477153%2053.2547783,14%20C53.2547783,14.2954082%2053.1241659,14.5757007%2052.8979704,14.7657049%20L30.6431921,33.4597186%20C30.271295,33.7721122%2029.728705,33.7721122%2029.3568079,33.4597186%20L7.1020296,14.7657049%20C6.67914248,14.4104797%206.62429164,13.779695%206.97951682,13.3568079%20C7.16952104,13.1306124%207.44981349,13%207.74522169,13%20Z'%20id='Blue'%20fill='%232C2CA4'%3e%3c/path%3e%3c/g%3e%3c/g%3e%3c/g%3e%3c/g%3e%3c/svg%3e)
Politik på allvar
