I en ny studie från Högskolan i Skövde har forskare gjort en fallstudie på hur en stor, svensk myndighet gjort när den tagit den globala molnlösningen Microsoft 365 i bruk.
Resultaten visar stora brister i efterlevnad av gällande rätt. En av slutsatserna är att stora mängder känslig data kan behandlas under villkor som den svenska säkerhetspolisen identifierat som problematiska.
I Frankrike och Tyskland kom nyligen tydliga signaler från deras motsvarigheter till den svenska integritetsskyddsmyndigheten att användandet av Microsoft 365 (M365) inte är förenligt med Dataskyddsförordningen (GDPR) och förbud mot användandet av lösningen är att vänta.
I Sverige är dock användandet av molnlösningen inom myndigheter och offentliga organisationer brett samtidigt som andra beslut fattas. I december 2021 fattade till exempel Stockholms stad ett beslut om att inte använda M365 då man ansåg att det under gällande rätt inte är möjligt för en offentlig organisation.
Myndigheter tappar kontroll över sin information
Nyligen gjordes en av de största implementeringarna i Sverige av M365 i en stor, svensk myndighet. Något som för med sig en rad problem och det är mycket tveksamt om det är förenligt med gällande rätt, menar Björn Lundell, professor i datavetenskap vid Högskolan i Skövde.
Han har tillsammans med kollegor studerat hur implementeringen av M365 gick till. Forskarna ser en rad mycket stora brister som påverkar såväl individer som organisationer och innebär en rad juridiska, organisatoriska, tekniska och samhälleliga utmaningar. Studien har identifierat att den analys som föregick anskaffningen av lösningen har betydande brister.
Forskarna konstaterar att myndighetens databehandling sker på för myndigheten okända villkor, vilket i praktiken innebär att myndigheten tappat kontrollen över sin egen information.
– Tyvärr är den nu undersökta myndigheten långt ifrån ensam om att sakna kontroll på sin egen databehandling. Resultat från tidigare forskning som analyserat implementering av M365 visar att det också finns betydande brister hos många andra myndigheter, däribland flera kunskapsintensiva myndigheter, säger Björn Lundell.
Avtal med problematiska länder
Forskarna menar att det ur ett samhälleligt perspektiv är olämpligt för en myndighet inom EU att skriva avtal med en leverantör som är helägd av ett företag baserat i ett land som står på EU:s lista över icke samarbetsvilliga länder inom skatteområdet. I studien konstateras det att de allra flesta beslutsfattarna inom den undersökta organisationen inte såg några problem med lösningen ur det perspektivet.
Användning av lösningen medför vidare att myndighetens data kan behandlas i en rad länder som identifierats som problematiska, som inkluderar ett land som identifierats som olämpligt av bland andra svenska säkerhetspolisen.
– När myndigheten saknar tillgång till alla relevanta avtalsvillkor för lösningen blir det i praktiken omöjligt att genomföra en gedigen analys och bedömning av hur myndighetens uppgifter kan komma att behandlas och förvaltas som en konsekvens av att lösningen används, säger Björn Lundell.
Användning av M365-lösningen för databehandling av känslig information och behandling av digitala tillgångar för vilka organisationen saknar upphovsrätt och tillämpliga licenser kan även orsaka ett antal oförutsedda och oönskade juridiska problem.
Det kan till exempel handla om exponering för olika upphovsrättslagar och risk för tvister i främmande jurisdiktioner. Detta var något som inte alls analyserades av den undersökta organisationen innan implementeringen.
Utmaningarna är många men det finns lösningar
Införande och användning under okända avtalsvillkor i en offentlig organisation, som kan involvera databehandling i flera olika länder, exponerar organisationen för flera, okända lagar och regler som gäller i de olika länderna. Att använda en molnlösning under dessa omständigheter utsätter organisationens behandling och förvaltning av dess uppgifter och handlingar för betydande risker. Men det finns lösningar menar Björn Lundell.
Baserat på studiens resultat rekommenderas varje myndighet som överväger att anskaffa en It-lösning att alltid anskaffa och analysera alla avtalsvillkor innan lösningen används för att behandla myndighetens information.
– Självklart behöver myndighetens egen analys visa att den tilltänkta användningen är förenlig med gällande rätt. Detta är särskilt viktigt när det är fråga om att anskaffa en publik molnlösning från en global leverantör som tillhandahåller en programvara som tjänst, säger Björn Lundell.
Läs mer om studien:
Lundell, B., Gamalielsson, J., Katz, A., & Lindroth, M. (2022). Data Processing and Maintenance in Different Jurisdictions When Using a SaaS Solution in a Public Sector Organisation. JeDEM – EJournal of EDemocracy and Open Government, 14(2), 214–234. https://doi.org/10.29379/jedem.v14i2.749