KLMS som molntjänst och anpassning till gällande EU regelverk för myndigheter
KLMS som molntjänst och anpassning till gällande EU regelverk för myndigheter
I offentliga upphandlingar som berör läroplattformar och dess utnyttjande kommer ofta frågan:
Vid molntjänst: Ägare och underleverantörer samt servrar ska vara placerade inom Sverige, EU, ESS. Ifall ni använder er av molnlösning, vart finns dessa servrar samt vem äger dem? Samt vilket land ägaren och underleverantörer kommer ifrån? Denna artikel reder ut hur Klick Data löser detta inom ramen för EU lagstiftningen.
Klick Datas läroplattform KlickData LMS eller förkortning "KlickData" eller "KLMS" är en molntjänst som använder Amazon Web Service, förkortat AWS. Det är en industristandard som tillsammans med Microsoft Azure, som också är en molntjänst används av miljontals företag och myndigheter i världen och inom Sverige, EU och ESS. Som upphandlande myndighet blir då frågeställningen om hur man som upphandlare agerar i händelse av att man tecknar avtal med Klick Data vid en accept på ett anbud.
Inom EU finns en lagstiftning som reglerar användningen av molntjänster. Tanken är att skydda europeiska invånare från att personuppgifter hamnar i amerikanska myndigheters datacentraler.
På Techlaws hemsida förklarar man problematiken på följande : "AWS är en plattform för molntjänster som tillhandahålls av företaget Amazon. AWS erbjuder olika typer av molntjänster som till exempel tjänsten Amazon Elastic Compute Cloud (“EC2”) som tillhandahåller kluster av virtuella servrar. AWS datacenter finns placerade runt om i hela världen, bland annat i Sverige. Användarna kan själva bestämma vilket AWS datacenter som ska användas för att tillhandahålla användarens molntjänster. På detta sätt kan användarna välja i vilken region av världen data ska lagras och behandlas. Exempel på regioner är ”North America” och ”Europe/Middle East/Africa”."
Klick Datas virtuella servrar är placerade på Irland och i Frankfurt.
"Om användare laddar upp data innehållandes personuppgifter i AWS molntjänster innebär detta en behandling av personuppgifter i GDPR:s mening. Detta gäller även om AWS endast används för lagring eller arkivering av data som innehåller personuppgifter. I de flesta fall samlar AWS även in data om hur användare använder tjänsterna, så kallad användardata. I den utsträckning denna data är kopplad till individer utgör den personuppgifter. Exempel på detta är uppgifter som loggas och som innehåller ip-nummer eller användar-id"
Vidare framgår det av standardavtalsklausulerna (som är en del av biträdesavtalet, se PDF länk nedan) att personuppgifter överförs till USA. Att bestämma att databehandling i AWS ska ske i en specifik region utesluter således inte att AWS kommer att överföra personuppgifter till USA och andra tredjeländer. Följaktligen innebär användning av AWS en risk att överföra personuppgifter till USA i strid med GDPR och en risk för sanktionsavgiftersamt risk för skadeståndskrav från de registrerade.
Det korta svaret är att svenska myndigheter och dess leverantörer som använder molntjänster (läs: "i princip alla") att AWS och dess leverantörer inte kan gå runt det faktum att AWS eller Microsoft är amerikanska företag och att ansvaret ligger på dess underleverantörer och i detta fall Klick Data i händelse av när myndigheter tecknar avtal med oss. För att helt gå till botten med denna problematik har AWS tillsammans med stora IT-leverantörer i Sverige och i EU en lösning som bygger på att vilande och "rörlig" data inte når amerikanska servrar annat än i krypterad form. AWS erbjuder AWS ClearStart. Microsoft har en liknande tjänst.
Osäkerheten kring hur myndigheter och offentliga verksamheter kan använda molntjänster har gjort att viktiga it-investeringar för miljarder skjutits upp. Hundratals myndigheter har redan implementerat lösningar som strider mot EUs regelverk och genom att "alla är redan skyldiga" och väldigt många för att ta ett exempel "använder Microsoft Outlook" vars data sparas i USA och sålunda kan avläsas av amerikanska myndigheter, så verkar ingen myndighet riktigt intresserad av att ändra hela sin verksamhet då "ingen myndighet är ensam om problematiken". Se bla. https://techlaw.se/sverige-imy-avrader-fran-anvandning-av-microsofts-molntjanster-azure-ad-och-teams/ .
AWS ClearStart är ett program från AWS som hjälper offentliga verksamheter i Sverige att ta steget till molnet, och skapa moderna, säkra och effektiva samhällstjänster genom att säkerställa att data om personuppgifter inte når amerikanska servrar som ägs av amerikanska företag och som kan ge amerikanska myndigheter tillgång till integritetsskyddad information om medborgare i den europeiska unionen.
All den här förvirringen och strutsmentaliteten bland myndigheter att byta ut sina system de redan har och ovilja att investera i nya molntjänster med tanke på lagkraven härrör sig från tiden när President Donald Trump och den amerikanska kongressen införde lagen om US CLOUD Act 2018. Clarifying Lawful Overseas Use of Data Act eller kort Cloud Act antogs 2018 av USA:s kongress. Lagen gör det möjligt för amerikanska myndigheter att begära ut data som lagras utanför USA:s territorium från tjänsteleverantörer som omfattas av USA:s jurisdiktion. Syftet med lagen är att underlätta utredningsarbetet för brottsbekämpande myndigheter. Det fick i sin tur EU att motreagera.
En annan lösning som Klick Data erbjudit bl.a Kriminalvården, som av lätt förklarliga skäl inte vill att de intagna fångarna ska ha tillgång till Internet, men ändå erbjudas en läroplattform med effektiv utbildning för sina lärare och dess elever; "kunder", (dvs. de dömda intagna) är att husera virtuella AWS servrar inom ramen för den egna organisationen. Molnlösningen ligger i Norrköping och är endast tillgängliga för KV:s anläggningar. Data når inte utanför organisationen med dess högt ställda sekretesskrav.
Vi kan därför sammanfatta frågan efter denna längre utläggning om "vart finns dessa servrar samt vem äger dem?"
1. Vi samarbetar med svenska större IT-leverantörer, som tex. KnowIT som inför AWS Clearstart så att datan är krypterad och uppfyller lagkraven.
2. Vi kan även erbjuda en virtuell molnlösning inom ramen för en myndighets firewall så att persondata ligger på servrar ägda av myndigheten.
Läs mer om regelverket på följande sidor:
Skatteverkets hemsida: https://www4.skatteverket.se/rattsligvagledning/edition/2022.9/380035.html
Upphandlingsmyndighetens sida: https://www.upphandlingsmyndigheten.se/frageportalen/1929531/stalla-krav-pa-att-sekretessbelagd-information-lag/
https://techlaw.se/analys-amazon-web-services-och-gdpr-vad-galler/#:~:text=AWS%20datacenter%20finns%20placerade%20runt,data%20ska%20lagras%20och%20behandlas.
Se även vår engelska artikel om AWS och EU lagen: https://klickdata.se/faq-klms/aws-and-eu-rules-applied-to-cloud-solutions-like-the-learning-platform-klms
samt förklaringen av processen med DPIA https://klickdata.se/faq-klms/data-protection-impact-assessment-dpia-explained
Dokumentet som reglerar avtalet mellan AWS och dess kunder (som te.x Klick Data) avseende GPDR och integritetspolicyn
https://techlaw.se/wp-content/uploads/2020/10/AWS_GDPR_DPA.pdf