Vi sparar data i cookies, genom att använda våra tjänster godkänner du det.

Riktig journalistik gör skillnad.

Bild: Ernst Henry Photography

Den här artikeln ingår för dig som är kund.

Dags för en rättssäker digitalisering

Den göteborgska upphandlingen av mjukvarutjänster med Microsoft slutade med en skandal rörande resorna till USA. Nu visar det sig att avtalet som tecknades kan strida mot både Dataskyddsförordningen och svensk lag.

Det här är en text från GP Ledare. Ledarredaktionen är oberoende liberal.

Mellan åren 2014 och 2017 gjorde politiker och tjänstemän från Göteborgs stad en rad resor till USA i samband med upphandlingen av tjänster från mjukvaruföretaget Microsoft. Tanken var att kommunen helt skulle gå över till Office 365.

Du läser nu en av dina fria artiklar på GP.se

Resorna som genomfördes granskades av Stadsrevisionen och fackförvaltningen Intraservice fick svidande kritik. Det uppdagades oklara redovisningar av reslängd, utflykter utan koppling till jobbet samt traktamenten för fler dagar än jobbresans längd. Det var Muteborgsanda över det hela.

Kanske viktigare än att politiker och tjänstemän smörjde kråset i samband med resorna är resultatet av utflykten. Idag arbetar hela kommunen med Office 365. Förra året förlängdes avtalet för ytterligare en period. Detta trots att det inte var helt klarlagt om alla frågetecken kring säkerheten var undanröjda, vilket nämndens politiker var väl medvetna om.

Politikerna i Intraservice uppfattade att de inte hade något val. Och det är enkelt att förstå dem. Marknaden för kombinerade kontors- och molntjänster är något av ett oligopol med två stora aktörer, Microsoft och Google.

Utgångspunkten är denna: Det finns från myndigheters sida i Sverige ett stort behov av att använda webbaserat kontorsstöd. På ren svenska: Ordbehandlare och andra användbara program. Allt oftare används även funktionen att lagra dokument på nätet, vilket är en av huvudfunktionerna med just Office 365.

Men här uppstår problem förklarar Statens inköpscentral, en del av Kammarkollegiet, i en färsk rapport. Det råder, enligt inköpscentralen, ”Viss osäkerhet gällande rättsläget för t.ex. hantering av känslig eller sekretessbelagd information.” Till saken hör att inköpen av dessa programvaror är decentraliserad. Det vill säga, en kommun, i detta fall Göteborgs stad, fattar efter eget huvud beslut om vad som köps in och oftast också på vilka premisser det görs.

Den genomförda studien har det enkla syftet att klarlägga behoven som myndigheterna har och vilka tjänster som nu erbjuds samt vilka rättsliga utmaningar inköpen (och användningen) bjuder på. Kanske kan det utmynna i ett nytt ramavtal eller någon sorts riktlinje från Kammarkollegiet om hur myndigheter ska upphandla tjänsterna.

Problemet som Kammarkollegiet uppmärksammar är att när tjänster som Office 365 används flyttas information till platser som inte lyder under svensk lag.

Microsoft lyder framförallt under amerikansk lagstiftning. Det innebär konkret att deras informationshantering kan gå stick i stäv med vad Dataskyddsförordningen eller svensk lag kräver. Vad detta betyder är egentligen mycket enkelt. Den svenska myndighet som upphandlar en tjänst med ett amerikanskt bolag, exempelvis Microsoft, kan inte garantera att informationen som lagras i molntjänster av detta företag inte hamnar på villovägar.

Som Kammarkollegiet konstaterar: ”Det synes inte finnas några garantier för att en amerikansk myndighets bedömning måste överensstämma med en svensk myndighets bedömning”. Vidare förklarar man att eftersom den amerikanska myndighetens inhämtning av information kan vara hemlig saknas ens möjlighet för den svenska myndigheten att göra något åt det.

Cloud Act, vilket är lagen som möjliggör för amerikanska myndigheter att inhämta information även om den är lagrad i EU (vilket alltså gäller för Göteborgs stad vars data hanteras på Irland), förklaras vara ”problematisk” av Kammarkollegiet och en svensk myndighet som, ”låter företag som lyder under ett sådant regelverk hantera sekretessreglerade uppgifter, synes därmed ge det utländska regelverket företräde framför svensk lagstiftning.”

Monika Beiring (M), då 2:e vice ordförande för Intraservice politiska nämnd, idag ordförande, gick efter granskningen av resorna till Microsoft skarpt ut i en debattartikel och föreslog hårda internkontroller (GP 7/3 -2018). En väldigt rimlig åtgärd.

Men hur ställer hon sig idag till att avtalet som tecknades efter resorna tycks vara oförenligt med Dataskyddsförordningen? Vad ämnar Intraservice gör åt det? Vilka alternativa lösningar för kontorsbaserade webb- och molntjänster överväger man för kommunen? Någon myndighet måste ta ett första steg att lösgöra sig från den här härvan, kommer Göteborg stad börja?

Tyska federala myndigheter har idag en egen statlig molntjänst, ”Bundescloud”. Under 2019 kommer ordbehandlare och kalkylprogram att läggas till systemet som i dag mest rör filhantering. Den lösningen skulle kunna vara ett föredöme för Sverige. Det innebär givetvis inte att staten behöver utveckla tjänsterna, det kan marknaden lösa.

Göteborgs stad kan ändå glädjas åt att man inte är ensam i den här soppan. Oligopolsituationen på marknaden är allvarlig. Men ska det ändras behövs det en ordentlig efterfrågan, från svenska myndigheter och kommuner, på programvarulösningar som följer svensk och europeisk lag. Först då kommer privata svenska aktörer vakna.