Som vi skrev i början av året har Stockholms stad beslutat sig för att satsa på Zoom X som samarbetsverktyg.
Det är en lösning där amerikanska videokonferensleverantören Zoom samarbetar med tyska Deutsche Telekom. Lösningen ska vara konfigurerad på ett sådant sätt att den ska lämpa sig för offentlig sektor i Europa med de krav på skydd av personuppgifter och annan information som finns där. Bland annat för att man använder sig av Deutsche Telekoms datacenter i Tyskland.
Men Esam, som är ett samarbete mellan 34 myndigheter, fortsätter att avråda sina medlemmar från den här lösningen. Kort efter Stockholms besked gjorde Esam en uppdaterad analys riktad till sina medlemmar där de slår fast att lösningen ändå inte skyddar personuppgifter i tillräcklig grad.
Överföring av data till USA
Även om informationen i lösningen till viss del hanteras via Deutsche Telekoms servrar i Tyskland medan annan information överförs till AWS servrar i Tyskland, så hävdar Esams molngrupp att det handlar om en överföring av data till USA.
Den möjlighet som personal på Zoom har att tillgå de här uppgifterna rent tekniskt gör att det finns en åtkomst till informationen och det räcker för att det ska räknas som en överföring, säger Linda Lindström, jurist på Esam.
– Det som är specifikt med Zoom X är att den innefattar en europeisk lagringsyta jämfört med hur Zoom annars är uppbyggt. Men som vi har fått tjänsten beskriven så finns det en sådan åtkomst att det handlar om en överföring, oavsett var man har placerat lagringen.
I rapporten hänvisar de till Europeiska dataskyddsstyrelsen EDPB som i en rekommendation om lämpliga skyddsåtgärder vid överföring av personuppgifter till tredjeland, preciserat att tillgänglighet genom fjärråtkomst ska betraktas som överföring.
Både Linda Lindström och Peter Nordström, strateg på Skatteverket och medlem i Esams molngrupp, påpekar att de inte vill kommentera Stockholms stads beslut och understryker att det är en generell bedömning de gör, där de inte gått in på specifika myndigheters krav och behov.
– Det är heller inte som en följd av Stockholms beslut som vi kommer med den här kompletterande bedömningen nu, utan eftersom vi fått svar från Zoom på en första analys vi gjorde i slutet av förra året, säger Peter Nordström.
Stänger av vissa funktioner
Anders Häregård, verksamhetsstrateg på it-avdelningen på Stockholms stad, säger till Computer Sweden att de tog beslut att satsa på Zoom X efter att staden för ungefär ett år sedan konstaterade att de inte kunde använda Microsoft Teams. Samtidigt hade organisationen ett väldigt stort behov av att komplettera sin nuvarande digitala arbetsplats, där de använde Skype som mötestjänst, och de behövde en ny samarbetsplattform med fler funktioner.
De har också deltagit i det arbete som skett inom Esam för att hitta nya samarbetsmöjligheter, säger han.
– Det är väldigt bra att man pratar om vilka gränser som finns och det arbetet har varit väldigt viktigt för oss. Men sedan har vi kommit fram till att om man begränsar användningen i den här tjänsten, inte slår på alla funktioner i lösningen och genomför en del säkerhetsåtgärder, så hamnar vi på rätt sida.
Anders Häregård säger vidare att det är en lång rad säkerhetsåtgärder som staden nu genomför och som de håller på att dokumentera, men att de vill vänta med att ge mer ingående detaljer fram tills arbetet är helt klart.
Någon exakt tidpunkt för när tjänsten tas i drift är inte klar, nu pågår dokumentation, förberedelser och tester.
– Men vi har granskat tjänsten utan och innan, och känner oss trygga med den konfiguration vi kommer fram till, säger han. Sedan kan andra organisationer komma fram till att de har andra krav.
Skulle vara bra för marknaden
Peter Nordström från Esam säger att samverkansgruppen haft en dialog med Zoom sedan ett år tillbaka och att denna fortsätter.
– Det har ju varit essensen i hela arbetet med digitala samarbetsplattform för offentlig sektor att få fler alternativ på marknaden. Ett Zoom som kan levereras på ett lagligt sätt skulle vara väldigt bra för marknaden.
Har det inkommit fler frågor kring Zoom X nu efter Stockholms stads beslut att välja den här tjänsten?
– Det var ju redan på tapeten. Det har funnits ett intresse under en lång tid, och mycket frågor, så jag tror inte att Stockholm vare sig gjorde till eller från ur det perspektivet.
Zoom har till Esam framhållit att support på nivå ett och två uteslutande sker av Deutsche Telekom medan Zoom tillhandahåller operationell support och stöd. Esam påpekar i analysen dock att de inte bara tar hänsyn till supporten utan också driften, och att det enligt den information de har fått, så ansvarar Zoom för installation, uppdatering, övervakning, nyckelutväxling och annan ombesörjning av plattformen.
”I det ansvaret ingår att utföra uppgifter och säkerställa funktioner som, enligt Esams molngrupp, medför att det amerikanska företag Zoom får anses ha åtkomst till informationen i Zoom X-plattformen.” skriver de i analysen.
I analysen står vidare att Zoom uppgett att en kund kan använda Zoom X med kryptering för att skydda uppgifterna från åtkomst från tredjelands myndigheter, men Esam menar att detta inte räcker för att skydda uppgifterna, enligt EDPB:s rekommendationer.
Vad gäller kryptering (både med så kallad advanced chat encryption och krypteringen i AWS) menar molngruppen att krypteringsnycklarna inte enbart står under kundens kontroll när det är Zoom som kontrollerar Zoom X-programvarans funktionssätt, däribland hur nycklarna genereras och hanteras. Även när det gäller AWS så sker nyckelhanteringen utanför kundens kontroll. ”Även om kunden skulle välja en egen krypteringsnyckel så hanteras den momentant inuti AWS vid varje krypteringstillfälle”, skriver de.
Esam, eller Esamverkansprogrammet, är ett medlemsdrivet program för samverkan mellan 34 myndigheter.
