När Göteborg stad 2017 genomförde övergången till nya it-system drog stadsjuristerna i nödbromsen. Känslig information som lagras i molntjänsten Office 365 var redan att betrakta som röjd. Men ganska snart kunde projektet återupptas. Lösningen hette Customer Lockbox. Nisse Waldefeldt, dåvarande förvaltningschef på intraservice, menade att problemet var löst.
– Microsoft har en sådan funktion sedan innan som heter Customer Lockbox och vi har nu fått till en utökning av det. Då kommer vi bort från den här röjandeproblematiken, sa han till GP i oktober 2017.
Löser inte problemen
I maj 2018 gjorde intraservice en utvärdering av tjänsten för att se hur den, när det gäller teknik och informationssäkerhet, fungerar. Slutsatsen är att tjänsten inte löser problemen kring att känslig information kan röjas:
”De säkerhetsåtgärder som krävs för att erhålla en adekvat skyddsnivå av information kan således inte tillgodoses alls av denna produkt (…)”
Där och då förväntar sig intraservices tjänstemän att avtalet om Customer Lockbox inte förlängs. Men stadens jurister gör en annan bedömning. Politikerna i nämnden för intraservice går på juristernas bedömning. Under våren 2018 förlängs avtalet med ett år. Under 2019 sker det igen. Kostnaden för att förlänga avtalet är fem miljoner kronor om året.
Malin Lundqvist är verksamhetschef IT på intraservice. Hon trodde, efter utvärderingen, att Customer Lockbox skulle tas bort.
– Om jag ska vara självkritisk så var det kanske naivt. Med det underlag vi tog fram var jag inställd på att vi inte skulle förlänga tjänsten. Jag tog inte med den juridiska bedömningen i det förslaget.
Kan ändå få tillgång
Customer Lockbox och de tilläggsavtal som skrevs 2017 innebar att Microsoft skulle skicka ansökningar när de skulle hantera känslig information. Sedan skulle Göteborgs kommun göra sekretessprövningar innan åtkomsten beviljades. Men eftersom Microsoft har alla verktyg, som krypteringsnycklar, kan företagets företrädare fortfarande ta del av Göteborgs stads uppgifter om de vill. Dessutom, om myndigheter kräver att informationen lämnas ut, så är Microsoft tvingade att göra så, oavsett vad det står i avtalen mellan företaget och Göteborgs kommun.
– Göteborg måste godkänna innan Microsoft gör en åtgärd men det innebär inget ökat tekniskt skydd, säger Malin Lundqvist.
Med den bedömning som intraservice gjorde av tjänsten 2018 – är Customer Lockbox att kasta pengar i sjön?
– Man kan inte bara göra den tekniska bedömningen utan måste även ha med den juridiska. För om det faller på det juridiska har man lagt mycket pengar på licenser som inte går att använda. Staden måste göra en samlad bedömning.
I går kunde GP berätta att stadsjuristerna menar att molntjänsten Office 365 fortfarande går att använda, trots möjligheten för amerikanska myndigheter att komma åt informationen. Nu håller intraservice på att gå igenom stadsjuristernas handlingar. Sedan ska nämnden för intraservice hantera frågan.
– Vi ska träffa juristerna imorgon och gå igenom deras rapport. Men just nu är det svårt att uttala sig om juridiken när man inte är jurist. Men det jag kan säga är att Customer Lockbox kostar pengar och vi måste vara säkra på att vi känner att det är värt de pengarna.
Markus Landahl är förste stadsjurist i Göteborg. Han menar att anledningen att stadsjuristerna och intraservice gjort olika bedömningar beror på att de bedömt olika saker.
– Det är delvis olika material som vi har bedömt. Vi har gjort en strikt juridisk bedömning av rättsfrågan, alltså om det handlar om ett röjande.
Samtidigt menar han att frågan om huruvida Customer Lockbox är värt fem miljoner om året är en fråga för intraservice.
– Den värdering vi har gjort är inte en ekonomisk värdering av frågan. Det får intraservice göra. Detta är en strikt juridisk bedömning.
