Gå direkt till sidans huvudinnehåll

Även Regeringskansliet har svårt att göra rätt

Pierre Mesure snubblade över en förändring i Regeringskansliets webbplats i höstas. Det såg ut som att regeringen.se börjat använda den amerikanska molnleverantören Cloudflare.

Den 22a september 2022 började Regeringskansliet använda en tjänst från Cloudflare för sin webbsida regeringen.se, sannolikt för att skydda den mot attacker.

Jag märkte det först eftersom mitt projekt OpenRemiss slutade fungera på grund av det. OpenRemiss laddar ner alla remisser som publiceras av regeringen och försöker bygga en databas som är lättare att söka i och att analysera. Problemet var lätt att fixa men jag blev frustrerad att Regeringskansliet gjorde det ännu svårare att använda deras viktiga dokument.

Jag började också fundera vad denna nya underleverantör betydde för alla andra användare av webbsidan. Vad innebar det integritetsmässigt? Och hade Regeringskansliet tänkt igenom dessa frågor?

Cloudflare: En amerikansk leverantör

Cloudflare är ett amerikanskt företag och deras skyddstjänst omdirigerar all trafik till ens webbsida genom deras servrar utspridda i världen. Och alla mina test med regeringen.se har det varit i USA.

Det innebär att åtminstone alla besökares IP-adresser och sannolikt alla andra personuppgifter de utbyter med webbsidan behandlas i USA.

Skärmdump från IPLocation.net som visar att regeringen.se har amerikanska Cloudflare som sin ISP.
IPLocation.net

Eftersom IP-adressen är en personuppgift och då Regeringskansliet också kan behandla andra typer av data (t.ex. e-postadresser genom flertalet formulär) är detta en överföring av personuppgifter till tredjeland. Cloudflare sätter även en cookie i besökarens webbläsare med en unik identifierare, något som inte nämns i webbsidans integritetspolicy när jag först kollade.

__cf_bm=8nzfKUCicMBrcMXm7iJoWxrM1Mj9OC8ErSqkwVqYgV8-1678605217-0-AXXKFG0Fs7VfoD9hSep7n3UDbWRbIm0MTB8qabxYttAQdvd5+It2RybDoKLuN1qwpZjOdUG7wTEvIuHejDå!=

Om du är insatt i GDPR innehåller förra stycket många röda flaggor, speciellt efter Schrems II-domen. Det är i nuläget inte möjligt att använda amerikanska underleverantörer enligt de flesta experterna inom området och även de som påstår att det skulle finnas en möjlighet brukar åtminstone vara överens om att personuppgifter ska behandlas på EU-mark. Så verkar det inte vara i detta fall.

Redan 2021 tvingades den portugisiska statistiska centralbyrån att omedelbart sluta använda Cloudflare för sin webbplats efter flera klagomål. Den portugisiska motsvarigheten till IMY bedömde då att det exponerade användarnas personuppgifter för tillgång från amerikanska myndigheter.

Cloudflare is an undertaking established in California. By the type of services which it provides, it is directly subject to the US surveillance legislation for the purposes of national security, which imposes on it the legal obligation to give the United States authorities unrestricted access to personal data held or kept by Cloudflare, without being able to inform its customers of that fact.

Att ta fram detta hade tagit mig ungefär en halvtimme och min bedömning var att Regeringskansliet befann sig i samma situation. Men jag var nyfiken. Hade deras IT-avdelning kommit fram till en annan slutsats? Hur såg deras riskanalys ut? Hur beskrev de Cloudflares behandling i sina personuppgiftsbiträdesavtal?

Regeringskansliet undvek tyvärr i stort sett att svara på mina frågor och jag fick jaga varje bit kunskap med offentlighetsprincipen. Hela vårt samtal kan du läsa här (PDF, 110 Kb) men en sammanfattning av det viktiga finns nedan.

Det intressanta i det som skrivs (och inte skrivs) i ett PUB-avtal

Regeringskansliet anlitade inte Cloudflare direkt utan genom sin huvudleverantör Nordlo Improve AB. Jag begärde först tilläggsavtalet med Nordlo Improve (PDF, 3 Mb) där Cloudflare introduceras och PUB-avtalet (PDF, 3 Mb).

I tilläggsavtalet beskrivs bytet av underleverantör för “DDOS-skydd” samt CDN från Baffin Bay (en svensk leverantör) till Cloudflare samt villkoren för det. Aldrig i avtalet nämns att det har gjorts en riskanalys kring integritet eller att tjänsten tillhör ett amerikanskt företag. Däremot nämns det att SUA-klassningen inte är aktuellt, vilket innebär att Regeringskansliet anser att leverantören inte kommer få tillgång till säkerhetsklassad information. Det mest intressanta står kanske i den senaste bilagan där tidplanen för bytet beskrivs, inkluderande mötena mellan Regeringskansliets IT-avdelning och Cloudflare.

Nordlos arbetsbeskrivning där Cloudflare omnämns samt nämner att planen förutsätter att Cloudflare inte behöver SUA-klassas, alltså huruvida Cloudflare har med säkerhetsskydd att göra

I PUB-avtalet finns det kanske ännu mindre information. Jämfört med t.ex. SKR:s mall som de flesta kommunerna använder har detta avtal inga bilagor, vilket jag fick bekräftat i min begäran. De behandlade personuppgifterna beskrivs väldigt kortfattat.

Registrerade

Kategorier registrerade består av anställda i Regeringskansliet, anlitade konsulter och allmänheten

Personuppgifter

De personuppgifter som behandlas är av följande slag: Namn, foton, video, IP-adresser och kontaktuppgifter som t.ex. e-postadresser och telefonnummer

Vilken behandling det handlar om nämns inte.

När det gäller underbiträden är avtalet tydligt:

I det fall personuppgiftsbiträdet anlitar underbiträden ska dessa godkännas av personuppgiftsansvarig. Personuppgiftsbiträdet har en skyldighet att inga särskilt personuppgiftsbiträdesavtal med sådant underbiträde. I sådant avtal ska föreskrivas att underbiträdet har motsvarande skyldigheter som personuppgiftsbiträdet har enligt detta avtal. Personuppgiftsansvarig ska få en kopia av avtal mellan personuppgiftsbiträdet och underbiträdet.

Dock var det ingen kopia som fanns att begära när jag bad om det så min tolkning är att varken Nordlo Improve eller Regeringskansliet ansåg att Cloudflare är ett underbiträde och att tjänsten behandlar personuppgifter.

Det finns några problem till i PUB-avtalet. T.ex. refererar paragrafen om tredjelandsöverföring till Privacy Shield:

7 Överföring till tredjeland

7.1 I det fall överföring av personuppgifter till tredjeland blir aktuellt ska personuppgiftsbiträdet fått personuppgiftsansvariges godkännande till sådan överföring och någon av följande förutsättningar är uppfyllda:

* Det finns en adekvat skyddsnivå i mottagarlandet,

* avtal som innehåller EU-kommissionens standardavtalsklausul har ingåtts, utan ändringar eller tillägg som står i strid med klausulerna.,

* personuppgiftsbiträdet har upprättat bindande företagsinterna regler (s.k. Binding Corporate Rules) och mottagaren av personuppgifterna i tredje land omfattas av dessa, eller

* personuppgiftsbiträdet har anslutet sig till EU-U.S. Privacy Shield-principerna genom registrering på US Department of Commerce Privacy Shield-lista.

Privacy Shield upphörde 16:e juli 2020 och Schrems II-domen, alltså 4 månader innan PUB-avtalet tecknades den 19:e oktober 2020. Enligt Regeringskansliet har avtalet aldrig uppdaterats sedan dess.

Dags att sammanfatta… och anmäla

GDPR är svårt och det finns få verksamheter som gör helt rätt från början. Därför var jag alltid både snäll och ödmjuk när jag informerade Regeringskansliet om mina fynd och bad om uppgifter.

Min bedömning är att användningen av Cloudflare för en av Sveriges viktigaste webbplatser kan skapa risker att en främmande makt (nämligen USA) får viktig information om besökarna, både Regeringskansliets anställda och en stor mängd aktörer som arbetar med svenska policyfrågor.

Jag var nyfiken att höra varför Regeringskansliet tyckte annorlunda men det verkar inte som att de tänkte på det överhuvudtaget. Trots upprepade försök hittades ingen riskanalys och inget underbiträdesavtal som kunde förklara hur de och deras huvudleverantör ansåg att användningen av Cloudflares tjänster förhåller sig till GDPR.

Detta tyder tyvärr på en kompetensbrist och en nonchalans hos Regeringskansliet och jag skulle inte vara överraskad om det gömde sig fler problem i deras IT-infrastruktur. Men jag hinner tyvärr inte gräva mer.


EDIT: Den 21:a mars lades till en tjänst för monitoring från Microsoft Azure som laddas från USA på webbsidan. Jag har inte hunnit prata om det med Regeringskansliet men detaljerna finns med i klagomålet till IMY


Därför avslutar jag detta mini-gräv och skickar ett kort klagomål till Integritetsskyddsmyndigheten angående användningen av Cloudflare och bristen på underbiträdesavtal. Hela klagomålet går att ta del av här (PDF, 70 Kb).

Tack för att du läste! Jag hoppas att det kan hjälpa Regeringskansliet att leverera bättre IT-tjänster till sina medarbetare och allmänheten!


UPPDATERING 2023-04-04: Efter detta inläggs publicering återkom Regeringskansliet angående min synpunkt att de bör ha en kopia av ett PUB-avtal mellan Nordlo och Cloudflare. Den 27:e mars fick jag ett PDF-dokument som innehåller texten från denna sida (Cloudflares Data Processing Addendum). Jag nöjer mig med att Regeringskansliet nu har åtgärdat det men jag anser fortfarande att själva behandlingen strider mot GDPR.