Microsoft 365 är olagligt att använda i offentlig tysk verksamhet

En arbetsgrupp av dataskyddsmyndigheter från den federala staten och flera delstater i Tyskland har tillsammans kommit fram till att Microsoft 365 (paketet av Word, Excel, OneDrive, Teams et cetera) är olagligt att använda inom offentlig verksamhet.

Anledningen är att produkterna läcker personlig information på ett sätt som inte går att förena med det krav på dataskydd som GDPR medfört. Dataskyddsmyndigheterna är inte otydliga i sitt yttrande, utan konstaterar rakt att ”ingen dataskyddskompatibelt användning av Microsoft 365 är möjlig” [vår översättning].

Även på EU-nivå har frågetecken rests kring användandet av Microsoft 365 inom offentliga verksamhet. I juli rapporterade Europeiska Datatillsynsmannen (European Data Protection Supervisor) att licensavtalen mellan Microsoft och EU inte var kompatibla med GDPR.

Sverige

I Sverige har frågan om (särskilt) amerikanska molntjänster inom offentlig sektor också varit föremål för debatt. I oktober 2018 uttalade sig eSam (ett samverkansorgan mellan myndigheter och SKR) i ett rättsligt ställningstagande. De konstaterade att sekretessreglerade uppgifter måste betraktas som röjda ifall de lagras i amerikanska molntjänster, eftersom amerikanska myndigheter då kan tvinga molntjänsten att överlämna dem.

Kammarkollegiet höll med eSam och tillade att myndigheter som använder amerikanska molntjänster riskerar att bryta mot GDPR. De har fått rätt i sin kritik av Schrems II-domen, som konstaterar – i grunden – att amerikanska molntjänster inte erbjuder ett adekvat skydd för européers privatliv.

Även Försäkringskassan delade kritiken mot användning av amerikanska molnstjänster – de ansåg redan 2019 att frågan om vad lagen tillät var klargjord.

Med anledning av att bland annat Göteborg Stad fortsätter att använda Microsoft 365 för sin verksamhet har vår f.d. EU-parlamentariker Amelia Andersdotter lämnat in en JO-anmälan.

Det vore bra för svensk offentlig verksamhet om man fick ett tydligt, otvetydigt besked om att det inte är tillåtet att använda molntjänster som läcker personlig information till obehöriga. Av allt att döma kommer ingen ta steg mot att åtgärda situationen förrän detta är klargjort.

Beroendet av Microsoft

I Tyskland är 96 procent av alla offentliga myndigheter beroende av Microsofts molntjänster. Detta beroende har nu inrikesministeriet tagit upp som ett problem.

The present market analysis shows that the federal administration is highly dependent on the software provider Microsoft. This can have critical consequences, which are likely to increase even further in view of market developments. This results in an urgent need for action […].

Beroendet gör att arbetet med att faktiskt följa lagen om dataskydd blir betydligt svårare. Detta är ett problem även i Sverige, och en stor anledning till att offentlig sektor behöver ändra hur man upphandlar och använder mjukvara.