23 januari 2023

Myndigheter tappar kontroll över känslig data

Digitalisering
Artikel från Högskolan i Skövde

Den här artikeln bygger på ett pressmeddelande. Läs om hur redaktionen jobbar.

Är det förenligt med GDPR att som myndighet använda en molntjänst för att spara data? Tveksamt, menar forskare vid Högskolan i Skövde.

I Sverige använder många myndigheter och offentliga organisationer molnlösningen Microsoft 365 (M365).

*Microsoft 365 är en kommersiell tjänst som erbjuder produkter som e-post och kalender och program som Excel och Word. Vissa av tjänsterna ligger i molnet, det vill säga de finns inte på den enskilda datorn utan är åtkomliga online oavsett vilken enhet användaren använder. 

Många menar att molnlösningen strider mot GDPR/Dataskyddsförordningen, som har till uppgift att skydda människors personuppgifter på nätet.

För ett drygt år sedan fattade till exempel Stockholms stad beslut om att inte använda M365 med hänvisning till GDPR. I Tyskland och Frankrike väntas förbud mot att använda molnlösningen.

Ingen kontroll över sin information

Nyligen gjordes en av de största implementeringarna i Sverige av M365 i en stor, svensk myndighet. Något som, menar Björn Lundell, professor i datavetenskap vid Högskolan i Skövde, för med sig en rad problem.

Han har tillsammans med kollegor studerat hur implementeringen av M365 gick till och såg många stora brister som påverkar både individer och organisationer.

Forskarna konstaterar att myndighetens databehandling sker på okända villkor, vilket i praktiken innebär att myndigheten tappat kontrollen över sin egen information.

– Tyvärr är den nu undersökta myndigheten långt ifrån ensam om att sakna kontroll på sin egen databehandling. Resultat från tidigare forskning, som analyserat implementering av M365, visar att det också finns betydande brister hos många andra myndigheter, däribland flera kunskapsintensiva myndigheter, säger Björn Lundell.

Avtal med problematiska länder

Forskarna menar att det ur ett samhälleligt perspektiv är olämpligt för en myndighet inom EU att skriva avtal med en leverantör som är helägd av ett företag baserat i ett land som står på EU:s lista över icke samarbetsvilliga länder inom skatteområdet.

I studien konstateras att få av beslutsfattarna på myndigheten såg några problem med lösningen ur det perspektivet.

Data hamnar i problematiska länder

Användning av M365 medför vidare att myndighetens data kan behandlas i en rad länder som identifierats som problematiska, inklusive ett land som identifierats som olämpligt av bland andra svenska säkerhetspolisen.

– När myndigheten saknar tillgång till alla relevanta avtalsvillkor blir det i praktiken omöjligt att genomföra en gedigen bedömning av hur myndighetens uppgifter kan komma att behandlas, säger Björn Lundell.

Användning av M365-lösningen kan även orsaka ett antal oförutsedda juridiska problem.

Det kan till exempel handla om exponering för olika upphovsrättslagar och risk för tvister kopplat till andra länders lagstiftning. Detta var något som inte alls analyserades av den undersökta organisationen innan man införde M365.

Analysera villkoren i avtalet

Baserat på studiens resultat rekommenderar forskarna att varje myndighet som överväger att en IT-lösning att alltid först analysera alla avtalsvillkor.

– Självklart behöver myndighetens egen analys visa att den tilltänkta användningen är förenlig med gällande rätt. Detta är särskilt viktigt när det är fråga om att anskaffa en publik molnlösning från en global leverantör som tillhandahåller en programvara som tjänst, säger Björn Lundell.

Vetenskapliga artiklar:

Data processing and maintenance in different jurisdictions when using a SaaS solution in a public sector organisation.

Use of Commercial SaaS Solutions in Swedish Public Sector Organisations under Unknown Contract Terms.

Kontakt:

Björn Lundell, professor i datavetenskap vid Högskolan i Skövde, bjorn.lundell@his.se

Relaterade artiklar - Digitalisering

Man tittar på sin smarta klocka på handleden.

11 april 2024

Ny typ av lysdioder kan ge bättre skärmar

Forskare vid Linköpings universitet har utvecklat lysdioder som kan bli starten för en ny generation skärmar till telefoner, datorer och surfplattor. Den nya tekniken kan få digitala skärmar att reagera på beröring, ljus, fingeravtryck och användarens puls.

DigitaliseringSkärmar och skärmtid
Tunna lysande trådar med blått ljus längt ut på slutet av trådarna.

8 februari 2024

Manipulerade ljuspartiklar kan ge bättre kvantdatorer

Genom att tämja ljuspartiklar och deras kvanttillstånd har forskare tagit ett kliv mot ännu mer kraftfulla kvantdatorer.

Digitalisering
Rödhårig kvinna sitter framför datorskärmar i kontorsmiljö.

6 december 2023

Programmerare över 35 kan hälsa hem

Det går fort att bli "för gammal" som programmerare i många länder världen över. Det skriver forskare i en ny bok. – Man går från att vara ung och lovande tills man i 35-årsåldern betraktas som gammal, säger Jakob Svensson, professor i medie- och kommunikationsvetenskap.

DigitaliseringArbetsliv
Digitalisering i vården och risker: Två personer i munskydd och blå kläder står och tittar på en digital platta i en operationssal.

1 december 2023

Allvarliga risker för patienterna när vården digitaliseras

Digitaliseringen i vården för med sig avsevärda och ökande risker. Konsekvenserna av intrång och haverier kan bli "katastrofala", enligt FOI-forskare som har kartlagt svaga punkter.

DigitaliseringVård och omsorg

Senaste Nytt

Nyhetsbrev med aktuell forskning

Visste du att robotar som ser en i ögonen är lättare att snacka med? Missa ingen ny forskning, prenumerera på vårt nyhetsbrev!

Jag vill prenumerera