Är det överhuvudtaget möjligt för myndigheter inom EU att använda amerikanska molntjänster med avseende på GDPR och med tanke på hur den amerikanska lagstiftningen ser ut? Det är en fråga som stötts och blötts sedan dataskyddsförordningen infördes i maj förra året.

I Sverige har frågan behandlats av bland andra Esam och Statens inköpscentral i Stockholm, och många myndigheter i Sverige, bland annat regionerna i Stockholm och Göteborg, använder olika amerikanska molntjänster, inte minst Microsoft Office. Som Computer Sweden skrev i början av mars blir det i alla fall inget ramavtal för molnbaserade kontorstjänster – eftersom Statens inköpscentral efter en utredning kommit fram till att ingen leverantör skulle svara upp mot de funktionella, juridiska och säkerhetsmässiga kraven.

I Nederländerna har man valt en annan strategi som kan komma att påverka hela EU, inklusive Sverige. Där har regeringen tillsatt arbetsgrupper som efter utredningar, påtryckningar och förhandlingar praktiskt taget tvingat Microsoft att anpassa inte bara produkterna i sig, utan framför allt statens avtal med Microsoft.

Innovation, organisation och ledarskap – vad behöver du göra idag för att vara relevant imorgon? Det får du veta på CIO Governance den 12 september – boka plats här

Det nederländska analysföretaget Privacy Company har på uppdrag av det nederländska ministeriet för juridik och säkerhet genomfört flera utredningar om de amerikanska molntjänsternas lämplighet med avseende på dataskyddsförordningen.

I ett par tidigare utredningar, så kallade Data Protection Impact Assessments, DPIA, har Privacy Company kommit fram till att de nederländska myndigheterna inte kan använda Microsoft Office, varken i desktop-, moln- eller mobilversionerna, vilket äventyrat Microsofts möjligheter att knyta ett avtal med nederländska staten med 300 000 användare inom bland annat polisen, tullen, skatteverket och rättsväsendet. Problemet består i att Microsofts produkter samlar in till exempel telemetridata på ett sätt som bryter mot dataskyddsförordningen GDPR.

Nya Office får tummen upp

Sent i april släppte dock Microsoft den senaste versionen (1904) av desktopversionen Office 365 ProPlus med en koppel förändringar som fått tummen upp av Privacy Company i deras senaste rapport som presenterades i en bloggpost den 29 juli. Förändringarna som Microsoft fört in innebär framför allt att Microsoft byter status i ljuset av dataskyddsförordningen från personuppgiftsansvarig till personuppgiftsbiträde (på engelska data controller respektive data processor) för de personuppgifter som Microsoft samlar in. Enligt Privacy Company har Microsoft därmed åtgärdat alla åtta brister som framkommit i tidigare utredningar.

I Nederländerna har regeringen via justitiedepartementet tillsatt fem arbetsgrupper, så kallade Strategic Vendor Management-grupper eller SVM:s, vars uppgifter är att utreda och förhandla avtal med olika leverantörer, där en av grupperna är helt fokuserad på Microsoft.

I ett brev till det nederländska representanthuset slår SVM Microsoft fast att Microsoft bytt status från personuppgiftsansvarig till personuppgiftsbiträde för alla sina onlinetjänster, att de behandlar personuppgifter för endast tre ändamål, att de inte samlar in data för profilering, analys, marknadsundersökningar eller marknadsföring, samt att Microsoft givit den nederländska staten effektiva möjligheter till granskning.

Med uppdateringen av Office 365 ProPlus i april införde Microsoft både tekniska och organisatoriska förändringar som minskar risken för dataläckage, hit hör bland annat omfattande dokumentation om vilka data som samlas in samt förändringar i verktyget Data Viewer Tool i Windows 10 som nu inkluderar data från Office och som gör att användaren kan se vilka telemetridata från Office som skickas till Microsoft.

Inkluderat i Office finns även så kallade Connected Experiences, alltså tillägg med funktioner som rättstavning, översättning och hjälpfunktioner. Tre av dessa tillägg har förändrats så att Microsoft inte längre kan räknas som personuppgiftsansvarig, men återstående 14 funktioner återstår med Microsoft som personuppgiftsansvarig.

För dessa 14 funktioner har Microsoft sett till att systemadministratörer kan stänga av funktionerna, med följd att Microsoft inte kan fråga om användarens samtycke till datainsamling, vilket enligt dataskyddsförordningen heller inte får ske för denna typ av datainsamling. Systemadministratörer kan även ange magnituden av insamlingen av telemetridata i tre steg från allt till inget.

Office Online kan inte användas i Nederländerna

Allt detta gäller dock endast desktop-versionen av Office. När det kommer till Office Online och mobilversionen råder status quo, det vill säga Microsoft har hittills inte gjort några anpassningar för att möta kraven från den nederländska staten. Det gäller även operativsystemet Windows 10 Enterprise. Frågan är om det överhuvudtaget går att anpassa Office Online; SVM Microsoft anser att det i dagsläget inte går att minimera datainsamlingen i Office Online. SVM Microsoft fortsätter dock att förhandla med Microsoft om hur systemen ska kunna anpassas, både vad gäller Windows 10 Enterprise, mobilapparna och Office Online.

Rekommendationen från SVM Microsoft blir därför att nederländska staten bör hålla sig från att använda Office Online och mobilapparna, och att använda Windows 10 Enterprise tillsammans med en konfigurationsnivå, kallad Security, som drar ned nivån på datainsamlingen till ett absolut minimum.

Mobilapparna är också särskilt problematiska; åtminstone tre av dem (på IOS) skickar data om användningen till ett amerikanskt marknadsföringsföretag som specialiserar sig på prediktiv profilering. Detta görs utan att användaren får information om syftet med databehandlingen, och utan att ge användaren möjlighet att förhindra densamma.

Den nederländska staten är i vart fall på god väg att förhandla sig till en anpassning av Office så att produkten kommer att gå att använda för de offentliga organisationerna. De tekniska förändringarna Microsoft vidtagit i och med den senaste versionen av Office 365 ProPlus slår igenom för alla användare och kunder inom Europa, men det gäller inte avtalen.

Upp till varje organisation att förhandla avtal

Privacy Company skriver i sin bloggpost att organisationer utanför den nederländska staten måste begrunda integritetsriskerna när eller om de vill använda Office 365 ProPlus, Office Online, mobilapparna och Windows 10 Enterprise.

Det finns ett antal åtgärder organisationerna själva kan vidta genom att konfigurera systemen på ett korrekt sätt, men för att verkligen mota Olle i grind borde de vända sig direkt till Microsoft, gärna i en kollektiv insats tillsammans med exempelvis en branschorganisation, för att förhandla fram integritetsgarantier liknande dem som den nederländska staten kommit fram till.

Om sådana förhandlingar kommer till stånd kan man med fördel luta sig mot den pågående utredning som EU:s European Data Protection Supervisor, EDPS, genomför i syfte att genomlysa de avtal Microsoft erbjuder Europeiska institutioner. Organisationer kan även vidta egna DPIA-utredningar och eventuellt rapportera kvarvarande integritetsrisker till EU:s dataskyddsmyndighet (Data Protection Authority) enligt artikel 36 i dataskyddsförordningen.

På frågan varför Microsoft helt enkelt inte generellt förändrar avtalen inom EU på samma vis som nederländska staten förhandlat fram är Microsoft svaret skyldig. När Computer Sweden frågar Microsoft om fallet med den nederländska staten svarar Microsoft bara ”öppenhet och kundkontroll är kärnan i Microsofts åtagande kring integritet och ansvar. Vi värdesätter kunders input och det hjälper oss att forma våra inställningar kring integritet och användbarhet samt förbättrar våra produkter”. Fallet Nederländerna tas även upp i en bloggpost av Julie Brill, chefsjurist på Microsoft, men utan att gå in på detaljer.

Ett första steg mot gemensam EU-strategi

GDPR-experten Anders Jonson är inte imponerad av Microsoft insatser för att anpassa Office-produkterna till dataskyddsförordningen GDPR. ”Den stora frågan är varför Microsoft inte anpassar avtalen generellt för hela EU. Som det ser ut nu har Microsoft anpassat själva produkten Office för desktop, vilket är bra, men sedan återstår att förhandla med Microsoft för att få till samma integritetsgarantier som den nederländska staten förhandlat fram för sin del. Därför blir det intressant att se vad EDPS-mötet i Haag leder till för annars blir det upp till varje stat, organisation eller företag att förhandla egna avtal för komma upp till samma nivå som den nederländska staten”.

– Hur Microsoft sedan ska anpassa Office 365 Online kan jag inte förstå för det kommer bli betydligt svårare, säger Anders Jonson.

Den 29 augusti organiserar SVM Microsoft och EDPS ett första möte i nederländska Haag tillsammans med ett råd av kunder och inköpare av molntjänster för att diskutera anskaffning av molntjänster, integritetsfrågor och dataskydd. Mötet räknas som ett första steg mot en gemensam EU-strategi för inköp av molntjänster och hur dessa bör utvärderas med avseende på dataskyddsförordningen.

Läs också:
British Airways får böta två miljarder för brott mot GDPR
Microsoft vinner molnaffär värd 19 miljarder