Den nationella molnpolicyn och Sveriges digitala suveränitet

Fru talman! Rashid Farivar har frågat mig

om jag anser att den nationella molnpolicyn ska betraktas som enbart vägledande eller som ett styrande dokument för myndigheter, kommuner och regioner och vilka konsekvenser regeringen ser om dessa principer inte följs

om jag avser att agera för att se till att myndigheter, kommuner och regioner säkerställer att de fullt ut förstår och kontrollerar avtalsvillkor, jurisdiktionsfrågor och dataåtkomst innan avtal om molntjänster ingås

om jag bedömer att regeringens molnpolicy kommer att minska Sveriges beroende av amerikanska molnleverantörer när policyn samtidigt inte innehåller några krav eller styrmedel som gynnar svenska eller europeiska alternativ och hur jag avser att agera utifrån min bedömning

om jag avser att agera för att se till att offentliga aktörer i praktiken ska säkerställa fungerande exitstrategier och möjligheten att byta leverantör innan avtal om molntjänster tecknas och innan avtal förnyas med samma leverantör.

Det är en ambitiös mängd frågor och ett ambitiöst innehåll i dessa frågor, kanske jag får lägga till.

Regeringens molnpolicy är vägledande och ska kunna användas som stöd av den offentliga förvaltningen vid dess användning av molntjänster.

De offentliga aktörerna har behov av olika it-lösningar, inklusive olika molntjänster, för att säkerställa kostnadseffektivitet, hög säkerhet och tillgänglighet för sina respektive verksamheter. Varje aktör måste, i enlighet med den svenska förvaltningsmodellen, göra självständiga bedömningar och är själv ansvarig för sin användning av molntjänster.

Regeringen har vidtagit flera åtgärder för att underlätta för den offentliga förvaltningen vid val av och upphandling av molntjänster.

Enligt förordningen (2024:1005) om samordnad och säker statlig itdrift ska Försäkringskassan, Lantmäteriet, Skatteverket och Trafikverket tillhandahålla it-driftstjänster, till exempel molntjänster, inom ramen för det samordnade statliga tjänsteutbudet och stödja statliga myndigheter vid valet av it-driftslösning.

Regeringen har därtill gett Upphandlingsmyndigheten i uppdrag att inrätta ett forum som ska samordna upphandlingsstöd kopplat till upphandling av it och ge möjlighet att utbyta erfarenheter.

När det gäller frågan om Sveriges beroende av amerikanska molnleverantörer är det ett faktum att användningen av digitala tjänster i Europa präglas av ett beroende av leverantörer med hemvist utanför EU.

Regeringen bedömer att den offentliga förvaltningens inköp av digitala tjänster behöver bli effektivare och mer tillgängliga för fler leverantörer.

Kammarkollegiet har getts i uppdrag att genomföra en förstudie om ett så kallat dynamiskt inköpssystem för innovativa digitala lösningar för den offentliga förvaltningen. I förstudien ska Kammarkollegiet lämna förslag på åtgärder som gör det attraktivt för små och medelstora företag att delta i det aktuella systemet. Dessutom ska myndigheten analysera vilka typer av produkter som bör omfattas av ett sådant inköpssystem och vid urvalet prioritera produktkategorier där det finns många svenska och europeiska leverantörer.

För regeringen är det viktigt att marknaden för molntjänster är dynamisk och välfungerande. Regeringen välkomnar därför molntjänster med standarder och lösningar som främjar portabilitet, det vill säga förmågan att till exempel flytta data, funktioner eller tjänster från ett system till ett annat system.

En så kallad exitklausul, det vill säga ett avtalsvillkor som reglerar hur man ska hantera ett avslut av ett leverantörsavtal, ingår normalt sett i avtalsparternas avtal för olika it-lösningar – till exempel it-drift. Exempel på situationer där ett sådant villkor blir aktuellt är när ett avtal är på väg att löpa ut och man som kund efter ny upphandling ska byta leverantör, men det kan också handla om att man av något annat skäl behöver avsluta avtalet med viss leverantör. Vid ett sådant avslut behöver man flytta – migrera – den information man eventuellt har lagrat genom leverantören, och det kan då ingå att leverantören ska vara behjälplig med att möjliggöra den flytten.

Regeringen har även gett Post- och telestyrelsen, PTS, i uppdrag att stödja tillämpningen av molnpolicyn. Inom ramen för uppdraget ska PTS ge vägledning till den offentliga förvaltningen i frågor om avvägningen mellan effektivitet och säkerhet i förhållande till aktörernas behov av molntjänster för olika ändamål.

Fru talman! Tack, civilminister Erik Slottner, för ett utförligt svar!

Jag välkomnar att regeringen nu har presenterat en nationell molnpolicy. Det är ett viktigt steg framåt och kommer inte en dag för tidigt.

Molntjänster är i grunden något positivt. De kan skapa effektivare offentlig verksamhet, bättre digital service och bättre möjligheter att använda artificiell intelligens. Men just därför är det viktigt att vi hanterar riskerna på ett ansvarsfullt sätt.

Fru talman! Det som kanske tydligast framgår av ministerns svar är att regeringen betraktar molnpolicyn som ett vägledande dokument. Det innebär i praktiken att varje myndighet, kommun och region själv får avgöra hur policyn ska tillämpas. Om policyn inte följs får det heller inga direkta konsekvenser.

Jag måste säga att jag är något förvånad över detta. Regeringen konstaterar själv i molnpolicyn att frågor om data, jurisdiktion, leverantörsberoenden och digital suveränitet är av strategisk betydelse för Sverige. Men när det kommer till genomförandet lämnas ansvaret tillbaka till varje enskild offentlig aktör.

Fru talman! Problemet är att det ser väldigt olika ut i verkligheten. Vissa myndigheter har omfattande juridisk och teknisk kompetens; andra har det inte. Många mindre myndigheter, kommuner och regioner har begränsade resurser att analysera komplexa avtalsstrukturer, underleverantörskedjor, jurisdiktionsfrågor och utländsk lagstiftning.

När regeringen själv identifierar risker kopplade till bland annat extraterritoriell lagstiftning borde frågan vara självklar: Hur kan regeringen vara säker på att varje enskild myndighet har förmåga att göra dessa bedömningar på egen hand?

Fru talman! Jag noterar att ministern hänvisar till stöd från Försäkringskassan, Lantmäteriet, Skatteverket, Trafikverket, Upphandlingsmyndigheten och PTS. Det är naturligtvis positivt, men stöd är inte samma sak som styrning. Vägledning är inte samma sak som krav, och rekommendationer är inte samma sak som efterlevnad.

Därför vill jag fråga ministern: Om regeringen bedömer att frågor om digital suveränitet, dataåtkomst och strategiska beroenden är så viktiga som man beskriver i molnpolicyn, varför nöjer sig regeringen då med en vägledande policy utan krav på efterlevnad?

Fru talman! En policy är ju just en policy. En policy är vägledande och blir inte lagstiftning.

Det här är den molnpolicy som vi aviserade i digitaliseringsstrategin som regeringen fattade beslut om förra året. Där lovade vi att återkomma med en molnpolicy för att stödja myndigheter, kommuner och regioner i deras användning av olika molntjänster. Syftet är att öka användningen av molntjänster, för det tror vi är bra, men också att molntjänstanvändning ska ske på ett så säkert och tryggt sätt som möjligt.

Lagstiftningen finns där i dag. Vi har en dataskyddslagstiftning, och vi känner väl till GDPR och EU:s dataskyddslagstiftning för personlig integritet. Vi har olika sekretesslagstiftningar som gör att vi inte får hålla på och dela data hur som helst. Lagstiftningen finns alltså, och det är upp till de implementerande myndigheterna, kommunerna och regionerna att följa denna lagstiftning.

Bryter man mot lagen är det som med annan lagstiftning så att det måste anmälas och avgöras i domstol. Beroende på hur lagstiftningen ser ut kan då olika typer av viten eller andra förelägganden utdömas, så det är inga konstigheter i sig. Den här policyn handlar ju om att hjälpa just kommuner, myndigheter och regioner att implementera mer molntjänster och samtidigt göra detta i enlighet med den lagstiftning som finns gällande personlig integritet och sekretess. Det är poängen med detta.

Som ett stöd i implementeringen av molnpolicyn har vi utsett Post- och telestyrelsen som en stödjande och vägledande myndighet.

Jag förstår frågeställningen från ledamoten, men jag tror inte att vi står så långt ifrån varandra egentligen. Vad jag inte riktigt förstår är dock om Sverigedemokraterna vill göra molnpolicyn till lag. Den är ju inte utformad på det sättet, utan lagstiftningen finns där i botten.

Denna lagstiftning gör i dag att det finns en tveksamhet inför hur man ska hantera data. När kan man exempelvis hantera och lagra data i ett tredje lands dataservrar eller i en molntjänst? Detta ger nu vägledning om det för att skapa större säkerhet och större trygghet hos kommuner, regioner och myndigheter gällande att kunna använda sig av molntjänster. Det ser vi är väldigt positivt, och den användningen kan öka.

Fru talman! Tack, civilministern, för svaret!

Jag vill fortsätta med frågan om digital suveränitet och Sveriges beroende av utländska molnleverantörer.

I molnpolicyn konstaterar regeringen att både Sverige och Europa behöver stärka sin digitala suveränitet. Man konstaterar också att ensidiga beroenden av utländska leverantörer kan innebära betydande risker. Det är en analys som jag delar. Det är dock samtidigt svårt att se hur regeringens politik faktiskt ska minska dessa beroenden.

Fru talman! I dag domineras den offentliga sektorns molnanvändning i stor utsträckning av ett fåtal mycket stora amerikanska leverantörer – på samma sätt som riksdagens molntjänster domineras av dessa. Ministern konstaterar själv att detta beroende existerar.

Samtidigt innehåller molnpolicyn inga krav, inga styrmedel och inga konkreta incitament för att stärka svenska eller europeiska alternativ. Jag har därför svårt att se hur utvecklingen ska förändras.

Fru talman! Jag vill också beröra frågan om exitstrategier. Ministern säger i sitt svar att exitklausuler normalt sett ingår i avtal för olika it-lösningar. Detta är ett påstående som flera forskare och experter inom området ifrågasätter. Jag har till exempel ställt den här frågan gällande riksdagens användning av molntjänster. Jag har inte fått något svar om exitstrategier.

Forskning visar tvärtom att många offentliga verksamheter saknar både fungerande exitstrategier och avtalsmässiga förutsättningar för att på ett kontrollerat sätt lämna vissa molntjänster.

Om man inte vet hur man ska lämna en tjänst är man i praktiken inlåst. Om man är inlåst har man inte full kontroll över sin digitala framtid. Det gäller särskilt när verksamhetskritiska funktioner, stora datamängder och centrala arbetsprocesser byggs upp kring en specifik leverantörs plattform.

Fru talman! Digital suveränitet handlar inte om att stänga ute internationella aktörer. Det handlar om att säkerställa att Sverige och svenska offentliga verksamheter har verklig handlingsfrihet att kunna välja, att kunna byta, att kunna lämna och att kunna behålla kontrollen över sina data och sina digitala tillgångar.

Min fråga till ministern blir därför: Hur ska regeringen säkerställa att offentliga aktörer, kommuner och regioner faktiskt har fungerande exitstrategier i praktiken och inte bara i teorin när forskning och erfarenheter pekar på att många verksamheter redan i dag har mycket svårt att lämna sina befintliga molnleverantörer?

Fru talman! Frågan om digital suveränitet är viktig. Under mina snart fyra år som civilminister är detta en fråga som verkligen har ökat i sprängkraft och blivit alltmer aktualiserad i debatten både inom Sverige och inte minst på EU-nivå. Den politiska utvecklingen i USA har såklart drivit på den här debatten i Europa, och vi behöver öka vår digitala självständighet.

Det är inte bara av säkerhetspolitiska skäl detta är viktigt utan också av ekonomiska skäl för att skapa bättre tillväxtmöjligheter för Europa framöver.

Det är inte bra utan ett fattigdomsbevis att Europa är så utlämnat till ett antal amerikanska techjättar för att kunna hantera vår data och erbjuda oss molntjänster etcetera. Därför är många initiativ nu på gång, inte minst på EU-nivå, för att öka Europas digitala suveränitet. Alla förstår dock att detta inte är något som görs över en natt, och vi kommer att fortsätta använda amerikanska techleverantörer under många år framöver.

Vi har inget mål att bli helt kvitt dem heller, utan vi vill ju ha de bästa it-tjänsterna och de bästa molntjänstleverantörerna vi kan ha. De är i dag många gånger amerikanska. Min förhoppning är att fler av dem framöver ska vara europeiska och gärna svenska.

Bara några dagar efter att regeringen presenterade sin molnpolicy presenterade EU-kommissionen sin Cloud and AI Development Act, där man ger en del svar på hur Europa ska kunna bli mer digitalt självständigt. Det ser i grunden mycket positivt ut. Där klassificerar man också olika typer av data och molntjänster i olika riskkategorier för att kunna vägleda användarna gällande vad som bör lagras eller vilken typ av molntjänster som bör användas för vilken typ av verksamhet.

Här pekas bland annat – precis som i vår AI-strategi – ökad beräkningskraft ut som helt avgörande för att nå denna digitala suveränitet. Ett antal gigafactories och AI factories håller nu på att etableras runt om i Europa, och vi vet att Sverige är ett attraktivt land att etablera olika datacenter i. Vi ser en rad etableringar av datacenter i Europa som också skapar förutsättningar att hantera data, få ökad beräkningskraft och kunna erbjuda mer av molntjänstleverantörer.

Precis som jag sa i mitt svar ger vi också Upphandlingsmyndigheten olika uppdrag för att främja bra it-upphandlingar. Bland annat är ett av målen att öka upphandlingen av svenska och europeiska företag på det här området. Vi har också, inte minst, uppdraget till Kammarkollegiet att ta fram ett dynamiskt inköpssystem. Vi har verkligen uttryckt att man ska ta fram inköpssystem med produktkategorier och välja ut produktkategorier inom områden där vi vet att det finns många svenska och europeiska små och medelstora företag.

Vi gör faktiskt en hel del för att stärka den digitala suveräniteten. I och med molnpolicyn skapar vi bättre förutsättningar för detta. I molnpolicyn nämner vi också det vi kallar portabilitet, det vill säga att om en tjänst inte levererar vad den har lovat eller vi inte känner att den är så säker som vi trodde när vi ingick ett avtal ska man lätt kunna hämta hem dessa data och byta till ett annat system i stället. Det nämns också i molnpolicyn.

Jag vill återigen säga att det i den svenska förvaltningsmodellen är de enskilda myndigheterna, kommunerna och regionerna som måste ta dessa beslut på egen hand. Det gäller även exitstrategierna.

Fru talman! Jag vill tacka civilminister Erik Slottner för debatten. Jag fick inte riktigt svar gällande exitstrategier, men jag tänker bara lyfta att det är ett stort problem.

Jag tror att vi i grunden delar uppfattningen att molntjänster kommer att spela en avgörande roll för den offentliga sektorns digitalisering under de kommande åren. Vi delar sannolikt också uppfattningen att säkerhet, robusthet, innovation och effektivitet måste gå hand i hand. Men efter dagens debatt kvarstår ändå några viktiga frågor.

Regeringen konstaterar själv att den digitala suveräniteten behöver stärkas. Regeringen konstaterar att beroenden av utländska leverantörer kan innebära risker. Regeringen konstaterar att kontroll över data, portabilitet och exitstrategier är viktiga principer, vilket civilministern redogjorde för. Men samtidigt väljer regeringen att göra molnpolicyn vägledande snarare än styrande och lämnar huvuddelen av ansvaret till enskilda myndigheter, kommuner och regioner. Jag tycker att det är ett problem.

Fru talman! Min uppfattning är att detta riskerar att skapa en situation där de problem som identifieras också blir de problem som lämnas olösta. Digital suveränitet uppstår inte genom goda ambitioner, utan det krävs praktisk förmåga, kompetens, uppföljning och i vissa fall tydligare styrning. Jag hoppas därför att regeringen fortsätter arbetet noggrant och följer utvecklingen.

Avslutningsvis vill jag tacka civilministern för en givande debatt här i dag och för det arbete som han har utfört under mandatperioden. Jag vill också tacka för det goda samarbete vi har haft under åren, både i trafikutskottet och i civilutskottet. Jag önskar ministern en glad midsommar och en riktigt fin sommarledighet med möjlighet till vila och återhämtning inför den valrörelse som väntar.

Fru talman! Jag tackar, och tar emot tacket, för det goda samarbete vi har haft under mandatperioden. Vi får väl se hur avkopplande och lugn just den här sommaren blir, men lite nedvarvning hoppas även jag på. Jag önskar också ledamoten Rashid Farivar en fin midsommar och en fin sommar.

På temat för den här interpellationsdebatten kan jag bara säga att vi definitivt har mer att göra. Det är inte så att vi nu har vidtagit de åtgärder som behöver vidtas för att göra Europa mycket mer digitalt oberoende och suveränt, utan vi har mer att göra. Men det är ett arbete som har påbörjats och där debatten – och insikten – om det allvar som frågan bär på har infunnit sig.

Sverige kan dock inte jobba på egen hand här, utan vi måste göra detta tillsammans i EU. Jag ser faktiskt allt detta som framför allt en europeisk fråga. Men Sverige kommer att vara ett viktigt bidrag i arbetet med att göra Europa mer digitalt oberoende, för vi har väldigt goda förutsättningar i form av många företag som skulle kunna erbjuda alla de tjänster som kommer att göra Europa mer digitalt oberoende.

Vi pratar ju väldigt mycket om Europas beroende av amerikanska techjättar, men glöm inte att USA också är beroende av oss. Inte minst när det gäller att bygga ut konnektivitet och 5G – liksom 6G i framtiden – är ett svenskt och ett finskt företag väldigt viktiga. Vi har alltså ett ömsesidigt beroende av varandra, vilket jag tycker tål att påminnas om emellanåt. Det gör att USA faktiskt också har ett stort intresse av att upprätthålla goda relationer med Europa, inte minst på det här området.

Sedan behöver vi genom regelförenklingar och avregleringar på europeisk nivå göra det mycket mer gynnsamt för företag att investera, innovera och inte minst växa i Europa. Det är bara så vi på lång sikt kan bli digitalt suveräna.

Interpellationsdebatten var härmed avslutad.