E-posthantering och ordbehandling kopplad till en molntjänst medför att medborgarens personuppgifter lagras på ett sätt som inte skyddas av GDPR.
Ett klubbslag i EU-domstolen har ställt Katrineholms kommun inför ett besvärligt dilemma.
Det delas av snart sagt varje kommun, myndighet, organisation och it-beroende företag i hela EU.
Enligt domen är det nu otillåtet att överföra data med EU-medborgares personuppgifter till molntjänster ägda av amerikanska företag som Google, Microsoft och Amazon.
– Det får stora konsekvenser, säger kommunens digitaliseringschef Andreas Peterzén.
Domen piskar europeiska kunder med amerikanska molntjänster att se sig om efter andra lösningar. I det värsta av scenarier, kan kommunen tvingas investera i en lokal lösning för all den data som i dag lagras på en Microsoft-server.
Det skulle få stora följder: juridiskt, ur dataskydds- och säkerhetsperspektiv – och ekonomiskt.
– Jag vågar inte gissa, men det är fråga om betydligt mer än tio miljoner kronor i kostnad, säger Peterzén.
Frågan blir nu en het potatis för i första hand kommunens nämnder. Ytterst blir det upp till fullmäktige att ta ett principbeslut om hur kommunen ska agera.
Verksamheternas användande av molnbaserad e-post, ord- och statistikbehandling och videokommunikation är utbredd.
Molnen får inte lagra sekretesskyddat material men innehåller många personuppgifter om medborgarna. Där kommer General data protection regulation in i bilden.
GDPR ställer hårda krav på digital hantering av personuppgifter inom EU. Men USA omfattas inte.
Tidigare har personuppgifter kunnat överföras till amerikanska molntjänster med stöd av dataskyddsavtalet Privacy shield. EU-domen ogiltigförklarar avtalet.
Det anses strida mot skyddet i GDPR, då amerikanska myndigheter har rätt att begära ut personuppgifter som lagras på amerikanskägda servrar.
USA:s terrorbekämpning ger staten rätt att begära ut personuppgifter från USA-företags servrar - oavsett var i världen dessa finns. Katrineholms kommuns data lagras på en server i Irland.
I väntan på vägledning från Integritetsskyddsmyndigheten, råder Peterzén och kommunjuristen Kajsa Stefansson nämnderna att tills vidare fortsätta använda tjänsterna.
Till dess att fullmäktige behandlar frågan, rekommenderas nämnderna att inventera vilka tjänster som berörs, analysera risker och möjliga skyddsåtgärder samt föra en dialog med leverantörerna.
Peterzén påpekar att det ligger i EU:s och USA:s intresse att nå en överenskommelse kring problematiken.
– En lösning kommer. Men om det tar en vecka eller två år vet ingen. Helt säkert är att de amerikanska företagen inte vill tappa hela Europamarknaden.
Kommunens digitaliseringschef tror på en lösning. Men hur lång tid det kan ta för parterna att komma överens är oklart.