Hamnar din data i molnet utanför Sverige?

Då är du i gott sällskap. Det gör nämligen ca 15 procent av svenska kommuner och myndigheter också.

Ledordet, det nya svarta inom IT, är molnlösningar – alla pratar om dem, många använder dem men ganska få ser problemen och tar dem på allvar. Även om du anlitar en lokal leverantör kan du inte vara säker på att din data stannar inom Sverige.

Företag som tidigare hade fysiska servrar i egna hallar kan likaväl köpa kapacitet från någon av de stora globala leverantörerna av molntjänster – och det är inte alltid du som kund får reda på det. Även databehandlingstjänster som exempelvis spam- eller virusskydd för e-post som ligger utomlands kan innebära en risk. Trots att du i de fallen inte uttryckligen lagrar din E-post där görs den ändå tillgänglig för företag som kanske inte lever upp till de krav som faktiskt ställs på dig – och indirekt dina leverantörer.

Genom att använda verktyget inomsverige.se för att kontrollera vart alla Sveriges 290 kommuner har placerat sina hemsidor och E-postlösningar kunde vi konstatera att ca 15 procent av dem har antingen sin hemsida eller sin E-post utomlands. När vi körde samma test på 68 myndigheter visade sig att ca 15 procent av dessa också anlitade leverantörer utanför Sverige.

Är det så dåligt då?

Det korta svaret på den frågan är att det helt enkelt beror på vilket land det rör sig om och vilken typ av information det gäller. Det är viktigt att förstå vad som gäller vid till exempel överföring av personuppgifter mellan olika länder. Många företag och organisationer bedriver verksamhet också utanför Sveriges gränser. I dessa fall bör man se till vilket lands integritetsskyddslagstiftning det är som gäller.

Enligt PUL är personuppgifter all slags information som direkt eller indirekt kan kopplas till en fysisk, levande person. Dessa uppgifter ska behandlas med stor försiktighet. Företag som arbetar med exempelvis insamling, registrering, bearbetning och analysering av information och personuppgifter bör vara väl införstådda i hur PUL och FRA-lagen fungerar. Såväl PUL och FRA-lagen kan dock påverka företaget på olika sätt, beroende på om företaget exempelvis har sin mailserver inom Sverige eller inte.

EU:s dataskyddsdirektiv från 1995 genomfördes i alla länder inom EES-området, något som har lett till att skyddslagarna inom detta område är mer eller mindre lika. Vid informationsöverföringar till ett så kallat tredje land, ett land som inte tillhör EES-området, gäller dock andra regler. Det är till exempel förbjudet att överföra personuppgifter till ett tredje land om landet i fråga inte har tillräckligt hög skyddsnivå vad gäller datahantering. Detta för att integritetsskyddet ska gälla över landsgränser, i en internationell och vidare kontext.

När informationen skickas utanför Sveriges är den också tillgänglig för Försvarets radioanstalt (FRA) som har rätt att bedriva signalspaning på kabelburen trafik, såsom exempelvis telefon- samt internettrafik, som passerar Sveriges gränser.

Vad kan jag göra?

Det är väldigt svårt att helt eliminera dessa risker då trafiken på Internet ibland kan ta de konstigaste vägar. Oderland Webbhotell har skapat gratistjänsten inomsverige.se för att ge dig en indikation om var din information befinner sig. Du kan testa din leverantör redan idag genom att surfa in på www.inomsverige.se. Vi behöver inte utöka de 15 procenten med fler organisationer.