"Det här diskuteras mycket i kommunala forum just nu", säger Sune Lindström, samordnare i Piteå kommuns informationssäkerhetsgrupp.
Med stöd av avtalet Privacy shield har personuppgifter från EU kunnat lagras och behandlas i USA. I somras förklarade EU-domstolen avtalet ogiltigt, eftersom skyddet för personuppgifter anses för svagt.
– Det här rör ju hela samhället och alla molntjänster som driftas, sköts eller ägs av ett amerikanskt rättsobjekt, säger Pål Resare, förbundsjurist vid Sveriges kommuner och regioner, SKR.
Förutom exempelvis vanliga sociala medier, e-postleverantörer och sökmotorer, berörs många av de datasystem som kommuner och regioner använder sig av.
– Hela offentliga Sverige står och vacklar nu, säger Sune Lindström, samordnare i Piteå kommuns informationssäkerhetsgrupp.
Han berättar att kommunen nu kommer att kartlägga sina datasystem för att se vilka som överför personuppgifter till USA.
– Vi kommer att börja med det inom kort. Alla verksamheter kan ganska enkelt gå in och se i vilka system som de hanterar personuppgifter, säger Sune Lindström.
I somras meddelades dom i det så kallade Schrems II-målet. Domen innebär att det inte längre finns någon giltig generell överenskommelse för överföring av personuppgifter mellan EU och USA.
Enligt EU-domen kan Privacy shield inte garantera skyddet för personuppgifter, på grund av USA:s generösa övervakningslagstiftning. Ett sätt att komma runt stoppet för Privacy shield är att i stället grunda överföringen på så kallade standardavtalsklausuler. Men enligt Elisabeth Jilderyd, jurist och internationell samordnare vid Datainspektionen, kvarstår grundproblemet med USA:s övervakningsmöjligheter.
– Risken finns ju kvar även om man använder sig av standardavtalsklausuler. Då måste man fundera på om man kanske måste ta fram ytterligare garantier, säger hon och berättar att den europeiska dataskyddsstyrelsen, EDPB, jobbar för fullt med att ta fram vägledning till medlemsländerna.
Vid årsskiftet skulle Piteå kommun ha infört Microsoft 365 i alla verksamheter.
– Vi har pausat det. Vi hinner inte få till regelverk, informera och ha dialog med verksamheterna om vad som är möjligt att göra. I och med att vi ska upp i molnet så måste vi tänka oss för. Det kommer att finnas uppgifter som inte ska lagras där. Vi fortsätter att lagra information i våra egna serverhallar tills vi har klarhet i de här frågorna, säger Sune Lindström.
"Vi behöver få direktiv från SKR om hur vi ska tackla den här frågan", säger Piteå kommuns administrativa chef Leif Wikman.
Enligt Leif Wikman, administrativ chef vid Piteå kommun, håller kommunen på att ta fram ett nytt styrdokument kring dataskydd. Dokumentet väntas kunna antas vid årsskiftet. Därefter kan införandet av Microsoft 365 återupptas.