Informationssäkerhet och offentlig Staffan Malmgren, Legal Technology Officer 1
Agenda > Ny säkerhetsskyddslag > Cloud Act och molntjänster > Upphandla informationssäkert 2
Ny säkerhetsskyddslag 3
Ny säkerhetsskyddslag > Trädde i kraft den 1 april 2019 > Modernisering > IT- och informationssäkerhet > Mer säkerhetskänslig verksamhet i enskild (privat) regi > Mer orolig omvärld > Förtydligande > Både allmän (offentlig) och enskild (privat) verksamhet > Tydligare uttryckta skyldigheter 4
Ny säkerhetsskyddslag > Gäller för säkerhetskänslig verksamhet, dvs. > All verksamhet hos staten, kommuner, landsting och enskilda, > Som är av betydelse för Sveriges säkerhet, eller > Omfattas av Sveriges internationella säkerhetsskyddsåtaganden > Syftet är att ge det skyddsvärda området en vidare och tydligare ram > Säkerhetsskyddet ska omfatta alla typer av brott som på något sätt kan hota Sveriges säkerhet 5
Ny säkerhetsskyddslag > Säkerhetsskyddsklassificerade uppgifter: > Uppgifter som rör säkerhetskänslig verksamhet och som därför omfattas av sekretess enligt offentlighets- och sekretesslagen (OSL) eller som skulle ha omfattats av sekretess enligt OSL, om OSL hade varit tillämplig. 6
Ny säkerhetsskyddslag > Verksamhetsutövarens skyldigheter > Utreda behovet av säkerhetsskydd (säkerhetsskyddsanalys) > Planera och vidta säkerhetsskyddsåtgärder, baserat på analysen > Kontrollera säkerhetsskyddet samt anmäla och rapportera sådant som är av vikt för säkerhetsskyddet > Så långt som möjligt utforma säkerhetsskyddsåtgärderna så att de inte medför skada eller annan olägenhet för andra allmänna eller enskilda intressen (proportionalitet) > Inte för omfattande, motiverade utifrån behovet, beakta offentlighetsprincipen 7
Cloud Act och molntjänster 8
Cloud Act och molntjänster > Data lagras i en främmande rättsordning och således står aktuell data under sådan rättsordnings kontroll > Data lagras i Sverige men leverantören står under främmande makts inflytande (Cloud Acteffekten) > Data som enligt avtal får röjas för tredje man, exempelvis främmande makt, enligt leverantörens bedömning 9
Cloud Act och molntjänster > Esams rättsliga uttalande om röjande och molntjänster > Om sekretessreglerade uppgifter görs tekniskt tillgängliga för en tjänsteleverantör som till följd av ägarförhållanden eller annars är bunden av regler i ett annat land, enligt vilka tjänsteleverantören kan bli skyldig att överlämna information utan att internationell rättshjälp anlitats eller annan laglig grund föreligger enligt svensk rätt, får uppgifterna anses vara röjda > Kammarkollegiets förstudie > Förstudien visar att det framstår som möjligt att upphandla Webbaserat kontorsstöd som både är tekniskt och rättsligt godtagbart. > Projektgruppen rekommenderar att Statens inköpscentral, när en marknad har etablerats, upphandlar ramavtal för Webbaserat kontorsstöd som kan användas av hela offentlig sektor. 10
Upphandla informationssäkert 11
Upphandla informationssäkert > Ett allt mer digitaliserat samhälle ställer högre krav på säker informationshantering > Behov av förståelse av vilka risker det innebär att en utomstående leverantör får åtkomst till och hanterar myndighetens information > Behov av förståelse av vilka krav som behöver ställas på den upphandlade leverantören 12
Rådgivning från myndigheter > Ny rapport från MSB om hur myndigheter kan upphandla informationssäkert > Tre steg: > Förbereda > Upphandla > Realisera > UHM har släppt ett nytt stöd på sin hemsida > SÄPO 13
Staffan Malmgren Legal Technology Officer Mobil: 0720 50 92 40 staffan.malmgen@kahnpedersen.se Advokatfirman Kahn Pedersen Sveavägen 17, Box 16119, 103 23 Stockholm, www.kahnpedersen.se 14