Utrullningen av Microsoft molnbaserade system Office 365 pausades under hösten 2017 eftersom det fanns risk att obehöriga på Microsoft kunde få tillgång till sekretesskyddade uppgifter. Då hade redan 23 000 av kommunens anställda fått tjänsten. Nya avtal med Microsoft upprättades och senare samma höst kunde utrullningen av tjänsten fortsätta till ytterligare 20 000 kommunanställda.
Ny lag från 2018
På Microsofts datacenter i Dublin lagras dokument och handlingar från de anställda inom Göteborgs kommun. Förra året införde USA en ny lag, kallad Cloud Act. I korthet innebär den att amerikanska myndigheter kan, efter domstolsbeslut, få tillgång till information från amerikanska företags kunder, oavsett var i världen den informationen finns lagrad. För att lagen ska användas krävs att det handlar om misstankar om grov brottslighet.
Det innebär att alla handlingar, till exempel mejl eller dokument, som finns inom Office 365 är inom räckhåll för amerikanska myndigheter – om de begär handlingarna och en amerikansk domstol beslutar att gå begäran till mötes. Dessutom kan det också ske utan att varken svenska kommuner, myndigheter eller den som uppgiften gäller, informeras.
LÄS MER: Säkerhetsläcka i Göteborg – kan vara toppen på ett isberg
– Vi har vänt och vridit oerhört mycket på detta och analyserat lagstiftningen. Vår bedömning är att så länge inte någon får en faktisk tillgång till de här uppgifterna, vilket inte sker per automatik bara för att de lämnas till Microsoft, så sker inget röjande av uppgifter gentemot amerikanska myndigheter.
Men i och med det här så finns systemet på plats för att amerikanska myndigheter kan plocka fram sekretesskyddade uppgifter om personer i Göteborg.
– Ja, den möjligheten finns ju och i så fall kan det bli ett sekretessbrott men som sagt, det är en så oerhört liten risk.
Samtidigt saknas det möjlighet att skydda uppgifter från att lämnas ut – är inte svenska kommuner då i händerna på amerikanska myndigheter och deras bedömning?
– Jo, det är man. Men sedan har vi också Microsoft som från sin sida rättsprövar många av de här förfrågningarna. Samtidigt är det oerhört osannolikt att uppgifter som inte ska ut ändå kommer att läcka.
Göteborgs kommuns jurister lutar sig bland annat på hur sällan som Microsoft har tvingats lämna ut uppgifter som företagets kunder lagrar på Microsofts servrar. Under andra halvan av 2018 plockade amerikanska myndigheter vid åtta tillfällen ut känslig information från Microsofts servrar.
eSAM gör annan bedömning
Göteborgs stad var tidigt ute med att införa Office 365 när projektet inleddes för några år sedan. På samma sätt är man även tidigt ute nu, när det gäller bedömningen av hur Cloud Act påverkar tjänsten. Men Göteborgs bedömning delas inte av eSam, ett samverkansprogram mellan Sveriges Kommuner och Landsting och 23 myndigheter. De har tidigare sagt att användandet av Office 365 visst måste ses som ett röjande i juridisk mening.
LÄS MER: Utrullningen av Office 365 återupptas – säkerhetsproblemen har avtalats bort
Även Kammarkollegiet och EU:s dataskyddsmyndighet har lyft fram olika frågetecken kring den amerikanska lagstiftningen. Bland annat bristen på insyn i hur informationen hanteras och att det är oklart om ”svenska intressen tillgodoses”.
– Ja, eSam gör en annan bedömning och även en hel del andra kommuner. Men det får stå för dem och det här får stå för oss. Det finns många olika faktorer att väga in i en sådan här bedömning och det vi har tittat på handlar bara om den rent juridiska delen, säger Sarah Arlebrink.
I nästa steg kommer den juridiska bedömningen från stadsledningskontoret att tas om hand av tjänstemännen inom intraservices förvaltning. Sedan kommer ett tjänsteutlåtande skrivas som ska upp i nämnden för intraservice. Det blir sedan upp till politikerna där att besluta hur kommunen ska gå vidare med frågan.
Det här är Office 365
• Office 365 är i grunden det vanliga Office-paketet med till exempel ordbehandlaren Word och mejl-programmet Outlook.
• Systemet är molnbaserat, vilket innebär att filer och dokument inte sparas lokalt utan på servrar. På så sätt blir materialet tillgängligt oavsett var man är, så länge det finns en internetuppkoppling.
• På Microsofts servrar kan allt från mejl, filer som finns bifogade i mejl till de handlingar och filer som kommunens personal arbetar med lagras och i nästa steg, efter domstolsbeslut, begäras ut av amerikanska myndigheter.
