Forskare från Högskolan i Skövde har nyligen gjort en fallstudie på hur en stor, svensk myndighet har gått tillväga när den tagit den globala molnlösningen Microsoft 365 i bruk. Resultaten visar stora brister i efterlevnad av gällande rätt. En av slutsatserna är att stora mängder känslig data kan behandlas under villkor som den svenska säkerhetspolisen har identifierat som problematiska.
Myndigheter tappar kontroll över data i molnet
Digitalisering
Det är inte förenligt med GDPR att som myndighet använda en molntjänst för att spara data. Åtminstone inte som det ser ut idag, menar forskare vid Högskolan i Skövde.
Någonting är fel
Läs vidare – starta din prenumeration
Data kan hamna i fel händer
Björn Lundell är professor i datavetenskap vid Högskolan i Skövde och en av forskarna bakom rapporten. Han tycker att det fiinns alldeles för många aktörer som fattar beslut utan att vara insatta i vilken programvara man har och vilka avtal som gäller.
– Är det du själv eller är det en konsult som som driftar programvaran? Det är en väldigt viktig fråga som inte alla aktörer har koll på. Det går att jämföra med att köra din egen bil eller att köra en leasad bil. I det sistnämna scenariot förutsätter du ju att bilen inte har körförbud, men det är inte alltid det ser ut så när programvaror köps in, säger han och fortsätter:
– I värsta fall riskerar ens uppgifter att hamna i exempelvis Kina, bara för att man inte har full koll på hur avtalet ser ut. Jag säger inte att det måste bli så, men risken finns. Okända villkor är en styggelse.
Signaler om bristande säkerhet
I Frankrike och Tyskland kom nyligen tydliga signaler från deras motsvarigheter till den svenska integritetsskyddsmyndigheten att användandet av Microsoft 365 (M365) inte är förenligt med Dataskyddsförordningen (GDPR) och förbud mot användandet av lösningen är att vänta.
I Sverige är användandet av molnlösningen inom myndigheter och offentliga organisationer däremot brett, men på olika håll höjs samtidigt kritiska röster. I december 2021 fattade till exempel Stockholms stad ett beslut om att inte använda M365 då man ansåg att det under gällande rätt inte är möjligt för en offentlig organisation.
Baserat på studiens resultat rekommenderas varje myndighet som överväger att anskaffa en It-lösning att alltid anskaffa och analysera alla avtalsvillkor innan lösningen används för att behandla myndighetens information.
– Självklart behöver myndighetens egen analys visa att den tilltänkta användningen är förenlig med gällande rätt. Det är särskilt viktigt när det är fråga om att anskaffa en publik molnlösning från en global leverantör som tillhandahåller en programvara som tjänst, säger Björn Lundell.