Det har varit många turer kring Göteborgs stads utrullning av Office 365 sedan beslutet togs 2016. Hela utrullningen pausades för ganska precis ett år sedan, då stadsjuristen gjorde den juridiska bedömningen att sekretessbelagd information rent teoretiskt kan anses vara röjd så snart en tredje part har teknisk möjlighet att komma åt den. Känsliga uppgifter riskerade helt enkelt att betraktas som röjda om de lämnades över till Microsoft.

Därefter har utrullningen dragit igång igen – och avtalet förnyades i våras. Detta trots att grundproblemen med röjda uppgifter inte ansetts lösta.

Läs mer: Göteborg förlänger omstritt Office 365-avtal – ”det kan behövas lagändringar”

Nu ger emellertid säkerhetschefen Staffan Wikström på Intraservice i Göteborg stad grönt ljus åt själva grundsäkerhetsnivån i Office 365. Denna verifiering sker i en rapport som kommer nu i dagarna.

– Vi har fått ta del av en stor volym granskningsrapporter och certifieringar från Microsoft som vi gått igenom nu, säger Staffan Wikström. Detta tillsammans med tilläggsprodukten Customer Lockbox gör att Göteborgs stad sammantaget anser att grundnivån när det gäller säkerheten i Office 365 är så pass god nu att det går att använda de här tjänsterna för verksamheten.

Customer Lockbox är en lösning där Microsoft garanterar att inga människor kommer att kunna få tillgång till stadens information utan att staden godkänt det. Med detta bedöms den tidigare påtalade röjandeproblematiken vara löst.

Men Staffan Wikström tillägger att det inte gäller all typ av sekretessklassad information, till exempel den som omfattas av säkerhetsskyddslagstiftningen. Däremot har de för avsikt att använda Office 365 för annan konfidentiell information inom till exempel skola, socialtjänst och hälso- och sjukvård.

– Vi har fortfarande inte släppt på att man får använda Office 365 för sekretessbelagd information, men vår avsikt är att göra det. Jag skulle tro att det sker inom ett par månader.

Det är dock inte tänkt att Office 365 ska ersätta några primärsystem för socialtjänst eller journalsystem inom välfärdsverksamhete.

Staffan Wikström betonar dock att verifieringen gäller grundsäkerhetsnivån i Office 365, inte den konfiguration och implementering som staden själv måste göra. ”Bedömningen förutsätter att Office 365 konfigureras på ett sådant sätt att stadens krav i övrigt är uppfyllda gällande exempelvis loggning, autentisering och kryptering”, står det i rapporten.

Det råder grönt ljus för Office 365 men inte automatiskt för användningen, skulle man kunna säga.

I rapporten tas också den nya amerikanska lagstiftningen Cloud Act upp, men Staffan Wikström säger att det fortfarande är oklart hur denna påverkar en kommunal verksamhet i Sverige.

Läs mer: Ny amerikansk lagrysare skakar om molnbranschen

– Där är vi väldigt osäkra och vi kan helt enkelt inte göra en bedömning av hur den lagstiftningen påverkar, utan vi kommer att ha en löpande bevakning. Men våra jurister ser det inte som en ”showstopper”.

När det gäller hur kommunala verksamheter kan eller bör använda sig av molntjänster efterlyser Staffan Wikström nationell samverkan.

– Det finns inga rätt eller fel, det saknas rättspraxis och det gör att man är utelämnad till sin egen bedömning. Nu måste alla kommuner göra sin bedömning, och det kommer säkert inte att bli samma. Det finns en brist på nationell samverkan.