Konkurrenten: Lagringen av svenskars hälsodata är en skandal

2015-06-22 09:10  

- Det otäcka här är att den myndighet som är personuppgiftsansvarig inte tycks ha hört något om Edward Snowdens avslöjande om övervakning av data i amerikanska molntjänster. <br>Daniel Arthursson, vd på molnföretaget Cloudme, är upprörd över att svenskarnas vårddata ska lagras utomlands.

(Artikeln är uppdaterad)

Det är en skandal, anser Daniel Arthursson, att Ehälsomyndighetens upphandlade tekniklösning för hälsokontot Hälsaförmig innebär att svenskarnas vårddata kommer lagras av ett amerikanskt bolag i andra EU-länder.

Myndighetens kontrakt med it-företaget Gapgemini innebär att Microsofts plattform Healthvault används. Lagringen av data sker på den amerikanska it-jättens servrar i Nederländerna och på Irland.

Enligt ansvariga på Ehälsomyndigheten ska leverantörerna följa svensk lag. Man har också tecknat ett personuppgiftsbiträdesavtal med Capgemini om att personuppgiftslagen, PUL, ska följas.

Men - trots det riskerar svenskarnas vårddata att lämnas ut till myndigheter i USA, menar Daniel Arthursson i likhet med andra it-säkerhetsspecialister som Ny Teknik pratat med.

Daniel Arthursson leder det svenska molnföretaget Cloudme, som konkurrerar med Microsoft och andra molnföretag på den svenska marknaden, och är väl insatt i integritetsfrågorna.

- I ljuset av vad som avslöjats av Snowden om övervakning av data i amerikanska molntjänster, står det klart att kraven på ett obehöriga inte ska ha tillgång till informationen, enligt PUL, inte kan uppfyllas av en amerikansk leverantör. Det gäller även om datacentret står på svensk eller europeisk mark, säger han.

Även om den amerikanska leverantören avtalar att inga data ska göras tillgänglig för tredje part genom exempelvis Safe Harbor Act - en överenskommelse mellan EU och USA - eller tillhandahåller separata servrar, så är det ett civilrättsligt avtal som är underställt federala lagar som Patriot Act, understryker han.

- Det amerikanska företaget är skyldigt att följa landets lagar före civilrättsligt upprättade avtal, de är också skyldiga att inte avslöja att de delat ut informationen, vilket gör att personuppgiftsansvarig aldrig ens får reda på incidenten. Detta är allmänna uppgifter och därmed inte något en personuppgiftsansvarig kan hävda att den inte hade insikt om, säger Daniel Arthursson.

Enligt svensk lag däremot krävs ett domstolsbeslut för att få åtkomst till information och de svenska molnbolagen har rätt att meddela berörd part.

Ehälsomyndigheten uppger i mejl att man hänvisar frågor angående detta till leverantören Capgemini.

I ett unikt fall har Microsoft dock tagit öppen strid mot amerikanska myndigheter. Myndigheterna har begärt att få del av e-post som lagras på bolagets datacenter på Irland i samband med en utredning om drogsmuggling - men Microsoft säger nej och hävdar att amerikansk lag inte gäller.

Tvisten inleddes i december 2013, och Microsoft fick i vintras medhåll av andra amerikanska teknikbolag.

Enligt svenska Datainspektionen är tvisten ännu inte avgjord av domstolarna i USA.

På Capgemini vill man inte kommentera Daniel Arthurssons synpunkter.

”Lösningens innehåll är något vi kommer överens med kunden om och vi har som policy att inte kommentera de avtal vi ingår med våra kunder”, uppger bolaget pressansvariga Stephanie Beudat i mejl till Ny Teknik.

Kommentarer

Välkommen att säga din mening på Ny Teknik.

Principen för våra regler är enkel: visa respekt för de personer vi skriver om och andra läsare som kommenterar artiklarna. Alla kommentarer modereras efter publiceringen av Ny Teknik eller av oss anlitad personal.

Här är reglerna för kommentarerna på NyTeknik

  Kommentarer

Aktuellt inom

AI Pension

Debatt