Datamolnets fördelar är uppenbara, inte minst i ett alltmer gränslöst arbetsliv. När företagets IT-miljö ligger där är arbetet tillgängligt från vilken plattform som helst – mobilen, plattan, hemdatorn eller den på kontoret. Man slipper kostsamma inköp eller leasingavtal av hårdvara. Uppdateringar och backups hanteras centralt, IT-avdelningen kan slimmas när utvecklingen outsourcas. Molntjänsten är ofta skalbar och snabbt implementerad. Plug and play!
Och värdet av molntjänster på den nordiska marknaden förväntas också nå cirka 20 miljarder svenska kronor under 2014, motsvarande en 36-procentig tillväxt från föregående år, enligt IT-analysföretaget Radar Ecosystems rapport Nordic Cloud Market 2014–16. Det är alltså en jättestor sektor, som rör oss tjänstemän i allra högsta grad, det är vi som använder molnet allra mest, både i jobbet och i det privata. Allra mest ökar användningen av globala molntjänster. Men även marknaden för svenska moln växer, inte minst bland de som har höga krav på dataskydd.
För det är med datamoln som med moln i allmänhet. De är flyktiga, obestämbara. Med de globala, publika molntjänsterna vet man aldrig riktigt var datan finns, på vilka servrar den lagras, i vilka länder servrarna står och därmed vilka lagar som reglerar dataskyddet. Man kan sällan vara säker på att molntjänstleverantören inte använder dina data för egna ändamål, eller lämnar ut dem till myndigheter som NSA (USA:s National Security Agency) eller vårt svenska FRA (Försvarets radioanstalt).
Många drog öronen åt sig i fjol, när avhoppade NSA-medarbetaren Edward Snowden avslöjade hur NSA fått tillgång till enorma mängder data från leverantörer som Google, Microsoft, Apple och Facebook. Enligt Radar Ecosystems undersökning var det så många som 40 procent av dem som stod i färd med att investera i en molntjänst när Snowdens rapporter offentliggjordes, som uppgav att de nog måste tänka igenom sina planer en gång till. Även på Datainspektionen märktes Snowden-effekten.
– Vi har en upplysningstjänst med jurister som svarar på frågor, och de hade en strid ström med folk som var oroliga, berättar Ingela Alvefors, jurist på Datainspektionen.
Hur avtalen ser ut mellan kund och molntjänstleverantör är av extra stor vikt om man hanterar personuppgifter. Som till exempel Unionen med över 570 000 medlemmar. Facklig anslutning är en typiskt känslig personuppgift, som regleras i personuppgiftslagen, PUL. Unionen har därför valt att inte använda någon publik molntjänst från någon av de stora leverantörerna.
– Vi kan inte säkerställa att USA inte går in och plockar ut uppgifter. Även om vi bedömer att risken för våra medlemmar är ganska liten så har vi en skyldighet att säkerställa tillsynen av vår information, konstaterar Erik Junesjö, utvecklingschef på Unionens IT-sektion.
Det är förstås de största leverantörerna, som Google, Microsoft och Amazon, som erbjuder de mest driftsäkra, innovativa och ständigt uppdaterade molntjänsterna, oemotståndligt enkla och klara att koppla upp sig på med några snabba klick med musen – men det blir alltsomoftast på deras villkor. Eller på NSA:s. Det är hart när omöjligt att påverka utformningen av avtalen.
Då kan det kännas tryggare att använda sig av ett svenskt moln. Med en mindre leverantör får man ofta en personlig kontakt och möjlighet att utforma avtalen mer specifikt. Dessutom finns datan då inom svenskt lagrum. Hoppas man. Men vad många missar är att även svenska molntjänster, som utvecklats i Sverige, ofta använder större leverantörer för drift. Då är det upp till kunden att kontrollera hur avtalen ser ut leverantörerna emellan, och att till exempel PUL efterlevs i alla led.
– Många säger ”Vi kommer aldrig att vilja drifta molnet globalt”, men ändå ser vi att Amazon, Google och Microsoft ökar sin andel av molnet hela tiden, konstaterar Hans Werner, vd för Radar Ecosystems.
Dessutom kan det vara lättare att kliva in än att kliva av. Vad händer om man vill lämna tjänsten? Det är inte alltid så säkert att uppgifter raderas från molnet för att användaren avbryter abonnemanget.
Innan man klickar i gång är det därför väldigt viktigt att man nagelfar avtalen och till exempel kontrollerar om uppgifter kan sparas och komma att användas för leverantörens egna syften, konstaterar Ingela Alvefors.
”Big Data” är ett hett begrepp i sammanhanget. I molnet samlas mängder av data över hur användarna agerar, när och varifrån de gör det. (Google, som haft hela sin verksamhet i molnet från start för 16 år sedan, har som uttalat syfte att samla all världens information i sitt moln.)
Än så länge finns det mer ”big data” än det finns metoder att processa och analysera datamängderna, men utvecklingen går snabbt. Och ju mer vi använder molntjänster, desto mer bidrar vi till den utvecklingen – med information om oss själva. Det gäller även vid ”privata moln”, som VDI:er, där arbetsgivaren äger servrarna där data lagras.
– Allt man gör i molntjänsten innebär att data samlas in. Vad man gör, när man gör det, vilka sidor man surfar på. Det kan potentiellt ske en ganska stor kartläggning av mig som användare, vilket också innebär personuppgifter, säger Ingela Alvefors.
I dag är det ändå vanligast att använda molntjänster för administrativa uppgifter som bokningssystem och semesterrapportering, vilket kanske inte är ett företags mest känsliga uppgifter. Men även där finns svagheter.
– Tjänster som används frekvent internt, som de dagliga arbetsverktygen, måste svara snabbt, förklarar Erik Junesjö.
Molntjänster kan ta en sekund extra när data reser från en server till en annan, på annan plats. En sekund verkar kanske inte så mycket.
– Men om det tar en sekund extra per handgrepp och man har omkring 1 000 handgrepp på en dag, då innebär det ett reellt arbetsmiljöproblem, konstaterar han.
PUL i molnet
- Inom EU utgår medlemsländernas nationella dataskyddsregler från EU:s dataskyddsdirektiv. I Sverige regleras dataskyddet främst av PUL, personuppgiftslagen. Ansvaret för att personuppgifter inte kommer på villovägar ligger på den personuppgiftsansvarige.
- För att placera personuppgifter i en molntjänst bör den personuppgiftsansvarige kontrollera att leverantören är ansluten till den amerikansk-europeiska Safe Harbor-principen samt att EU:s standardklausuler efterlevs. Sedan måste ett personuppgiftsbiträdesavtal upprättas.
- Den som tecknar ett personuppgiftsbiträdesavtal med en svensk molntjänstleverantör måste också kontrollera vilka eventuella underleverantörer som används och att avtalet dem emellan är vattentätt också det.
