Lagring av sekretessreglerade uppgifter i molntjänster : En analys kring förutsättningar för användning av molnleverantörer bland myndigheter

Bengtsson, Hampus, Knutsmark, Ludvig

January 2020

Background: Swedish authorities' use of popular cloud providers is today the subject of an intense debate. Legislations, like the U.S. CLOUD Act, are applicable across borders, which makes data that is stored on servers located in Sweden affected by U.S. law. Several Swedish organizations mean that the usage of affected cloud providers for storage of sensitive records breaks the Swedish law - Offentlighets- och sekretesslagen. The program for collaboration between Swedish authorities, eSam, says that there is a possibility of withstanding the law, if suitable encryption is used, but states that more research is needed. Objectives: The main objective of this thesis is to research which requirements for encryption mechanisms are needed for Swedish authorities' use of cloud providers affected by legislations like CLOUD Act, without them breaking Swedish laws. The three most popular cloud providers, Amazon Web Services (AWS), Microsoft Azure, and Google Cloud will be compared and examined if requirements on encryption are met. Historically, providers' access to encryption keys is a major threat to data confidentiality. Therefore an alternative encryption method that withholds both encryption keys and clear text, but preserves functionality will be researched. Method: To create fair and good requirements on encryption mechanisms, several threat models are created from the perspective of today's- and future laws. A SWOT-analysis will be used to compare the cloud providers. To research the possibility and usability of alternative encryption in the cloud, a system that withholds both encryption keys and clear text data from the provider is proposed. Result: The result shows that the most popular services like Office 365 and G Suite are not suitable for use by Swedish authorities for the storage of sensitive records. Instead, Swedish authorities can use IaaS-services from both AWS and Microsoft Azure for storage of sensitive records - if the requirements for encryption mechanisms are met. The result also shows that alternative encryption methods can be used as part of a document management system. Conclusion: Swedish authorities should strive to expand their digitalization but should be careful about the usage of cloud providers. If laws change, or political tensions rise, the requirements for the encryption mechanisms proposed in this thesis would not be applicable. In a different situation, Swedish authorities should use alternative solutions which are not affected by an altered situation. One such alternative solution is the document management system proposed in this thesis. / Bakgrund: Idag pågår det en delad debatt gällande lämpligheten för svenska myndigheter att använda utländska molntjänster. Lagstiftningar som bland annat amerikanska CLOUD Act utgör ett hot för svensk suveränitet, eftersom data lagrad i svenska serverhallar kan komma att vara föremål i amerikanska domslut. Vissa organisationer menar då att uppgifter som omfattas av offentlighets- och sekretesslagen (OSL) kan sannolikt betraktas som röjda. Nyttan med att använda molntjänster är generellt sett stor - och bör därför strävas efter att användas. eSam, som är ett program för myndighetssamverkan, menar i ett uttalande att kryptering skulle kunna förhindra ett röjande och möjliggöra användande av dessa molntjänster, men ifrågasätter hur det bör gå till. Syfte: Syftet med detta arbete är att undersöka vilka krav på krypteringsmekanismer som krävs för att lagra sekretessreglerad information i molntjänster utan att bryta mot svensk lagstiftning. Molntjänstleverantörerna, Amazon Web Services (AWS), Microsoft Azure och Google Cloud, kommer att undersökas för att se om dessa lever upp till de identifierade kraven. Historiskt sett är tjänsteleverantörers tillgång till krypteringsnycklar ett stort hot. Därför ska en alternativ krypteringsmetod som bevarar krypteringsnyckel undangömd från tjänsteleverantören undersökas, men som samtidigt bevarar viss funktionalitet med molntjänsten. Metod: För att kunna skapa korrekta och rimliga krav på krypteringsmekanismer skapas hotmodeller som utgår från juridiken. En SWOT-analys kommer användas för att jämföra vilka molntjänstleverantörer som lever upp till kraven. För att undersöka möjligheten och nyttan med alternativa krypteringsmekanismer, implementeras ett förslag på system där varken krypteringsnyckel eller data i klartext tillgås molntjänstleverantören. Resultat: Resultatet visar att populära tjänster som exempelvis Office 365 och G Suite är direkt olämpliga för användning av svenska myndigheter. Det visar sig att IaaS-tjänster som tillhandahålls av AWS och Microsoft Azure i viss mån lämpar sig för användning - förutsatt att vissa krav uppfylls. Resultatet visar även att det är möjligt att använda alternativa krypteringsmetoder som en del i ett dokumenthanteringssystem. Slutsats: Svenska myndigheter bör sträva efter att öka sin digitalisering, men bör ta ordentliga försiktighetsåtgärder innan eventuella upphandlingar av molntjänster sker. Skulle det juridiska eller säkerhetspolitiska läget förändras kommer de krav på krypteringsmekanismer som presenteras i arbetet inte längre vara tillämpliga. I ett förändrat läge bör svenska myndigheter istället använda alternativa lösningar som inte påverkas, likt det dokumenthanteringssystem som arbetet presenterar.

CLOUD Act

OSL

encryption

cloud services

CLOUD Act

OSL

kryptering

molntjänst

Computer Engineering

Datorteknik

Dataintegritet och GDPR : En analys av användandet av lagringslösningar för svenska organisationer / Data Integrity and GDPR

Hamad, Diyar, Fransson, Jacob

January 2023

EU General Data Protection Regulation (GDPR) presenterades år 2016, den nya förordningen för att skydda personuppgifter. Med införandet av GDPR står organisationer inför nya krav när det kommer till dataintegritet och skydd av känslig information. Samtidigt ökar användandet av molnlagring vilket gör frågan mer komplext, på grund av till exempel internationell lagstiftning mot molnlagringsleverantörer. Den frågeställning som ställdes i denna studie var ”Hur kan svenska organisationer säkerställa efterlevnad av GDPR vid användning av hybrid- och tredjepartslagringslösningar?” En kvalitativ studie användes för att svara på denna fråga. Därefter användes semistrukturerade intervjuer för att samla in empiri från flera svenska organisationer. Sedan analyserades empirin tematiskt i flera olika faser, där den blev kodad och dessa koder bildade olika teman. Resultatet av studien visar på att svenska företag har utmaningar med att efterleva GDPR vid användning av hybrid – och amerikanska molnlagringslösningar. De rekommendationer som kan ges till svenska organisationer är att använda sig av någon form av klassificering. Detta gör det enklare att hantera sin data, att veta hur och var ens data lagras. / The EU General Data Protection Regulation (GDPR) was presented in 2016, a new regulation to protect personal data. With the introduction of GDPR, organizations face new requirements when it comes to data integrity and the protection of sensitive information. The use of cloud storage makes the issue more complex, due to, for example, international legislation against cloud storage providers. The question asked in this study is "How can Swedish organizations be granted compliance with the GDPR when using hybrid and third-party storage solutions?". A qualitative study was used to answer this question. A literature study was carried out to produce a basis for the interview material. Semi-structured interviews were then used to gather empirical evidence from several Swedish organizations. The empirical evidence was then thematically analysed in several different phases, where it was coded, and these codes formed different themes. The results of this study shows that Swedish companies have challenges with complying with GDPR when using hybrid and American cloud storage solutions. The recommendations given in this study to Swedish organizations is to use some form of classification. This makes it easier to manage data, to know how and where data is stored.

Cloud Act

GDPR

compliance

classification

Cloud Act

GDPR

efterlevnad

klassificering

Information Systems

Molntjänster i kommuner: en studie om rättsliga och informationssäkerhetsmässiga aspekter kring arbetet med molntjänster / Cloud computing in municipalities: a study of legal and information security aspects around the work with cloud computing

Farah, Hamza Hayd, Aden, Ayan Ali

January 2020

I samband med digitaliseringens framfart hanteras, lagras samt används information av allatyper av verksamheter. Den ökade digitaliseringen av samhället har bidragit till en förhöjdefterfrågan av innovativa teknologier såsom molntjänster. Molntjänster är en populär teknik vilken erbjuder skalbara IT-lösningar på begäran över internet och vilken har signifikanta fördelar när det gäller kostnadsreducering och säker IT-drift. Trots de positiva aspekterna med molntjänster uppkommer nya rättsliga och säkerhetsmässiga problem vilka inte tidigare existerat i den traditionella IT-infrastrukturen, såsom datalokalisering samt säkerhet och integritet av information. Syftet med detta arbete är att analysera samt undersöka legala och säkerhetsmässiga åtgärder som de undersökta kommunerna vidtar vid hantering av information i molnet. Studien genomfördes i form av en kvalitativ studie, där sju semistrukturerade intervjuer utfördes. Resultatet tyder på att de undersökta kommunernas val av molntjänstleverantör beror på flertal aspekter såsom den geografiska placeringen av data samt säkerhet på information i molntjänsten. Vidare visar resultatet att kommunerna genomför åtgärder såsom att utbilda sina medarbetare samt klassificera information som kommer att lagras i molnet. / Information is handled, processed, stored, and used by all types of businesses as a result of progress in digitalization. The increased digitalization of society has contributed to an increased demand for innovative technologies such as cloud computing. Cloud computing is a popular technology that offers scalable IT solutions on demand over the Internet, and which has major advantages regarding cost reduction and secure IT operations. Despite the positive aspects of cloud computing, new legal and security issues are emerging which have not previously existed in the traditional IT infrastructure, such as data localization and the security and integrity of information. The purpose of this work is to analyze and investigate legal and security measures that the surveyed municipalities take when handling information in the cloud. The study was conducted in the form of a qualitative study, in which seven semi-structured interviews were conducted. The results indicate that the surveyed municipalities' choice of cloud computing provider depends on several aspects such as the geographical location of data and security of information in cloud computing. Furthermore, the results show that the municipalities implement measures such as training their employees and classifying information that will be stored in the cloud.

cloud computing

municipalities

GDPR

Cloud Act

Privacy Shield

Schrems II-domen

information security

digitalization.

molntjänster

kommuner

GDPR

Cloud Act

Privacy Shield

Schrems II-domen

informationssäkerhet

digitalisering

Information Systems, Social aspects

Molntjänster inom sjukvården : En kvalitativ studie om kritiska faktorer vid implementering av molntjänster inom hälso- och sjukvården / Cloud services in healthcare : A qualitative study on critical factors in implementation of cloud services in healthcare

Lundman, Tobias

January 2022

Den svenska sjukvården har dagliga problem med många olika system och arbete läggs på uppgifter som inte faller in i den klassiska arbetsuppgiften. I en bransch som sjukvården så kan det vara livsavgörande med effektivisering. Ett ämne som är mycket tilltalat är molntjänster på grund av dess skalbarhet, prestanda och moderna teknik. Problemet i dagens läge är att de stora leverantörerna som microsoft och amazon är amerikanska bolag och enligt amerikansk lag så har myndigheterna tillåtelse att hämta ut data som lagras i amerikanskt ägda molntjänster. Det kallas för cloud act och strider mot dem regelverk som finns i Sverige. Det betyder att ingen patientdata eller annan känslig data får lagras i dem molntjänsterna men det betyder inte att annan data får lagras samt att använda dem funktionerna som molntjänster erbjuder är inte något som bryter mot reglerna. Molntjänster har och fortsätter att integreras så långt det går under många verksamheter. Det finns kritiska faktorer för att uppnå framgång inom projekt som handlar om molntjänster inom sjukvåren. Genom en kvalitativ studie utforskas dem kritiska faktorerna genom att intervjua olika respondenter inom området. Utmaningar och framgångsfaktorer tas fram för att få en förståelse hur verksamheter inom sjukvården ställer sig när ett projekt som det här ska utföras. Genom den här rapporten så presenteras utifrån litteratur och intervjuer vilka faktorer som är kritiska vid implementering av molntjänster inom svenska hälso- och sjukvården.

Sjukvårdsbransch

integrering

molntjänster

datalagring/GDPR

kritiska faktorer

IT-projekt

framgångsfaktorer

utmaningar

cloud act

Information Systems

Kommersiella aktörers tredjelandsöverföring av personuppgifter efter Schrems II : GDPR-efterlevnad efter EU-domstolens ogiltigförklarande av Privacy Shield, och EU-domstolens uttalanden om acceptabel lägsta nivå för skyddet av personuppgifter / Transfers of personal data to third countries for commercial purposes, post Schrems II : – GDPR compliance after EU-US Privacy Shield invalidation by the Court of Justice of the European Union, and the courts statements regarding fundamental rights for the protection of personal data

Bolin, Josef, Svensson, Jimmy

January 2021

Sedan GDPR trädde i kraft har skyddet för personuppgifter stärkts och harmoniserats inom EU. GDPR tillförsäkrar fysiska personer en grundläggande rättighet till skydd för personuppgifter. Den som behandlar personuppgifter åläggs ett särskilt ansvar. Enligt huvudregeln är det förbjudet att överföra personuppgifter till tredjeland. För att tredjelandsöverföring ska vara tillåten, krävs att flera undantagsvillkor är uppfyllda. Den som ansvarar för behandling av personuppgifter, och inte uppfyller villkoren, riskerar dels skadeståndsansvar, dels administrativa sanktionsavgifter upp till så mycket som 20 000 000 euro, eller 4 % av den årliga omsättningen. Syftet med uppsatsen är att redogöra för de handlingsalternativ en kommersiell aktör har, för att tredjelandsöverföring av personuppgifter ska vara tillåten, vid lagring av personuppgifter hos molntjänstleverantör. För att besvara syftet har vi analyserat relevant svensk och EU-rättslig reglering, doktrin, praxis samt rekommendationer och riktlinjer utgivna av EDPB. Vi tillämpar en rättsdogmatisk och en EU-rättslig metod, vilket innebär att vi använder de allmänna rättskällorna, som för svensk rätt utgörs av lagar, förarbeten, praxis och doktrin. EU-rättslig praxis på området är begränsat och en betydelsefull dom avkunnades i närtid. Rättsläget efter domen är relativt oprövat. Den som behandlar personuppgifter är personuppgiftsansvarig. För denne föreligger ansvar att säkerställa att skyddet för personuppgifterna upprätthålls om uppgifterna överförs till tredjeland. Vid behandling av personuppgifter via molntjänst finns risk att personuppgifterna överförs till ett tredjeland, utanför den personuppgiftsansvariges kontroll. Om molntjänstleverantören faller under amerikansk jurisdiktion, kan amerikanska myndigheter med stöd av sin interna rätt, under vissa omständigheter, begära ut uppgifter från molntjänstleverantören. Kapitel V i GDPR reglerar ett antal undantag, som en personuppgiftsansvarig kan åberopa vid tredjelandsöverföring. Oavsett vilket verktyg som väljs, och oavsett om alla villkoren uppfylls, så har EU-domstolen genom Schrems II fastställt, att det i mottagarlandet måste finnas en adekvat skyddsnivå för personuppgifter, och att mottagarlandets interna rätt inte får urholka eller undanröja det skydd som säkerställs genom GDPR. Med adekvat skyddsnivå menas ett väsentligt likvärdigt skydd som tillförsäkras av EU-rätten.

GDPR

personuppgifter

tredjelandsöverföring

cloud act

schrems

integritet

personuppgiftsskydd

affärsrätt

EU

EU-rätt

dataskydd

dataskyddsförordning

privacy shield

Law and Society

Juridik och samhälle