Svensk myndighetsanvändning av Microsofts molntjänster får kritik

publicerad 25 januari 2023
- av Sofie Persson

I en ny studie har svenska forskare tittat på en icke nämnd myndighets användning av techjätten Microsofts molntjänst. Implementeringen av tjänsten hos myndigheten är problematisk, menar forskarna, och det finns bland annat flera brister i säkerheten vid lagring av personuppgifter.

Det var den 16 juli 2020 domen föll i det så kallade Schrems ll-målet. Där kom EU-domstolen fram till att det så kallade Privacy Shield-avtalet mellan USA och EU inte gav tillräckligt starkt skydd av personuppgifter eftersom de förs över till USA.

Under 2021 meddelade därmed åtta svenska myndigheter, däribland Skatteverket och Arbetsförmedlingen, att man avslutar arbetet med Microsoft Teams. Man ansåg att det var för riskabelt eftersom personuppgifterna som hamnar i USA kunde begäras ut av exempelvis amerikansk underrättelsetjänst.

Stockholm stad meddelade under januari 2022 att man helt kommer att stoppa Microsofts molntjänster efter en utredning där man menade att ”införande av tjänsten för närvarande är problematiskt”.

Fortfarande finns dock myndigheter i Sverige som använder sig av Microsofts molnlösningar för att lagra data, vilket vissa menar strider mot Dataskyddsförordningen.

Nyligen ska även en stor svensk myndighet ha gjort en stor implementering av tjänsten, vilken är dock oklart, något som forskare nu granskat.

Björn Lundell, professor i datavetenskap vid Högskolan i Skövde, har tillsammans med kollegor studerat hur implementeringen gick till och menar att det finns en hel del brister i bland annat myndighetens databehandling.

– Tyvärr är den nu undersökta myndigheten långt ifrån ensam om att sakna kontroll på sin egen databehandling. Resultat från tidigare forskning, som analyserat implementering av M365, visar att det också finns betydande brister hos många andra myndigheter, däribland flera kunskapsintensiva myndigheter, säger han enligt forskning.se

Myndighetens data kan också komma att behandlas i ett flertal länder som anses vara problematiska, vilket också inkluderar ett land som den svenska säkerhetspolisen anser är olämpligt för ändamålet. Eftersom myndigheten saknar tillgång till alla arbetsvillkor, menar Lundell, kan det i praktiken bli omöjligt att veta exakt hur myndighetens uppgifter kan komma att behandlas.

Det finns också risk för att det kan skapa juridiska problem eftersom olika länder kan ha olika upphovsrättslagar, vilket gör att det kan uppstå tvister. Detta har i sin tur inte analyserats av myndigheten innan man började använda molntjänsten.

Forskarna menar nu att varje myndighet bör analysera alla avtalsvillkor innan man börjar använda en molntjänst eller liknande.

Microsoft kommer från och med januari 2023 att börja implementera en ny typ av molntjänst som man menar ska begränsa data och lagring av personuppgifter till enbart EU.

Ladda ner Nya Dagbladets mobilapp!