I sommar har det gått ett år sedan EU-domstolen sågade dataskyddsavtalet Privacy shield med USA.
Domslutet hänger fortfarande som ett mörkt moln över europeiska myndigheter, organisationer och privata företag. Många har byggt upp it-strukturer som är beroende av molntjänster som exempelvis Microsofts Office 365 eller videokommunikationsverktyget Zoom.
Katrineholms kommun är en av dem.
– Molntjänsterna är en oundviklig väg att gå i framtiden, konstaterar Kajsa Stefansson, kommunjurist.
Dilemmat är att det nu är olagligt att föra över data som innehåller personuppgifter till amerikanska molntjänster. Enligt EU-domen strider det ogiltigförklarade avtalet mot personuppgiftsskyddet i GDPR, som inte tillämpas i USA.
Det öppnar för att myndigheter som exempelvis FBI kan begära ut katrineholmares personuppgifter från amerikanskägda servrar.
Hur problemet ska lösas, är det ingen som vet. EU och USA förhandlar om en överenskommelse. Ännu finns ingen i sikte, vilket ställer till huvudbry också för Katrineholms kommun.
Det enda säkra alternativet – en lokal it-lösning – bedöms vara orealistisk, inte minst ur ett kostnadsperspektiv.
– Det är fråga om betydligt mer än tio miljoner, har kommunens digitaliseringschef Andreas Peterzén tidigare sagt.
I väntan på vägledning från Integritetsskyddsmyndigheten, föreslås politikerna i kommunfullmäktige ta ett principiellt beslut om fortsatt användande av amerikanska personuppgiftsbiträden – trots EU-domen.
– Vi kan inte bara avvakta och skjuta det här ifrån oss. Vi måste agera, säger Stefansson.
Användandet ska dock begränsas. På förslag från kommunstyrelsen, ska nämnderna endast använda de molnbaserade tjänster som är absolut nödvändiga för verksamheten.
Stefansson påminner om att kommunen är juridiskt skyldig att hålla sig tillgänglig för allmänheten och ge medborgarna service.
– Då har vi till exempel inget alternativ till mejl.
Fullmäktige uppmanas också besluta om en inventering och riskbedömning av alla berörda tjänster. Där så krävs, behöver lösningar diskuteras med leverantörerna.
Till exempel har det upptäckts att Telge inköp, som utför upphandlingar åt kommunen, hanterar sekretessbelagda uppgifter i amerikanska molntjänster. I det fallet har kommunen föreslagit att sådan information tills vidare ska lagras på usb-minne som skickas till kommunen med brev.