Bild: Patrick Turner, Unsplash
Artikel från Högskolan i Skövde

Den här artikeln bygger på ett pressmeddelande. Läs om hur redaktionen jobbar.

Är det förenligt med GDPR att som myndighet använda en molntjänst för att spara data? Tveksamt, menar forskare vid Högskolan i Skövde.

I Sverige använder många myndigheter och offentliga organisationer molnlösningen Microsoft 365 (M365).

*Microsoft 365 är en kommersiell tjänst som erbjuder produkter som e-post och kalender och program som Excel och Word. Vissa av tjänsterna ligger i molnet, det vill säga de finns inte på den enskilda datorn utan är åtkomliga online oavsett vilken enhet användaren använder. 

Många menar att molnlösningen strider mot GDPR/Dataskyddsförordningen, som har till uppgift att skydda människors personuppgifter på nätet.

För ett drygt år sedan fattade till exempel Stockholms stad beslut om att inte använda M365 med hänvisning till GDPR. I Tyskland och Frankrike väntas förbud mot att använda molnlösningen.

Ingen kontroll över sin information

Nyligen gjordes en av de största implementeringarna i Sverige av M365 i en stor, svensk myndighet. Något som, menar Björn Lundell, professor i datavetenskap vid Högskolan i Skövde, för med sig en rad problem.

Han har tillsammans med kollegor studerat hur implementeringen av M365 gick till och såg många stora brister som påverkar både individer och organisationer.

Forskarna konstaterar att myndighetens databehandling sker på okända villkor, vilket i praktiken innebär att myndigheten tappat kontrollen över sin egen information.

– Tyvärr är den nu undersökta myndigheten långt ifrån ensam om att sakna kontroll på sin egen databehandling. Resultat från tidigare forskning, som analyserat implementering av M365, visar att det också finns betydande brister hos många andra myndigheter, däribland flera kunskapsintensiva myndigheter, säger Björn Lundell.

Avtal med problematiska länder

Forskarna menar att det ur ett samhälleligt perspektiv är olämpligt för en myndighet inom EU att skriva avtal med en leverantör som är helägd av ett företag baserat i ett land som står på EU:s lista över icke samarbetsvilliga länder inom skatteområdet.

I studien konstateras att få av beslutsfattarna på myndigheten såg några problem med lösningen ur det perspektivet.

Data hamnar i problematiska länder

Användning av M365 medför vidare att myndighetens data kan behandlas i en rad länder som identifierats som problematiska, inklusive ett land som identifierats som olämpligt av bland andra svenska säkerhetspolisen.

– När myndigheten saknar tillgång till alla relevanta avtalsvillkor blir det i praktiken omöjligt att genomföra en gedigen bedömning av hur myndighetens uppgifter kan komma att behandlas, säger Björn Lundell.

Användning av M365-lösningen kan även orsaka ett antal oförutsedda juridiska problem.

Det kan till exempel handla om exponering för olika upphovsrättslagar och risk för tvister kopplat till andra länders lagstiftning. Detta var något som inte alls analyserades av den undersökta organisationen innan man införde M365.

Analysera villkoren i avtalet

Baserat på studiens resultat rekommenderar forskarna att varje myndighet som överväger att en IT-lösning att alltid först analysera alla avtalsvillkor.

– Självklart behöver myndighetens egen analys visa att den tilltänkta användningen är förenlig med gällande rätt. Detta är särskilt viktigt när det är fråga om att anskaffa en publik molnlösning från en global leverantör som tillhandahåller en programvara som tjänst, säger Björn Lundell.

Vetenskapliga artiklar:

Data processing and maintenance in different jurisdictions when using a SaaS solution in a public sector organisation.

Use of Commercial SaaS Solutions in Swedish Public Sector Organisations under Unknown Contract Terms.

Kontakt:

Björn Lundell, professor i datavetenskap vid Högskolan i Skövde, bjorn.lundell@his.se

Nyhetsbrev med aktuell forskning

Visste du att robotar som ser en i ögonen är lättare att snacka med? Missa ingen ny forskning, prenumerera på vårt nyhetsbrev!

Jag vill prenumerera