Microsoft om GDPR och Teams: Annat läge nu än för ett år sedan

Situationen ser annorlunda ut i dag

Men hur ser Microsoft på saken, och stämmer Skatteverkets slutsats för alla? Telekom idag fick en pratstund med Daniel Akenine, teknisk chef på Microsoft Sverige. Han menar att man inte får fastna i ögonblicksbilder.
– Jag skulle även säga att det stora problemet inte handlar om Teams eller molntjänster, problembilden är otroligt mycket större än så. Det påverkar till exempel även forskare som behöver dela data med kollegor i USA och medicinsk övervakningsutrustning. Om man tänker sig frågan integritet och Schrems II – så händer det nya saker hela tiden. Det pågår massvis med aktivitet och både en mängd tekniska- samt organisatoriska förändringar för att försöka lösa problemen. Det gör att situationen ser ganska annorlunda ut i dag än vad den gjorde för ett år sedan, säger han.

Den naturliga frågan på det blir ju, vad har då hänt som skulle kunna förändra synen? Daniel lyfter fram EU Data Boundary.
– Det är ett projekt som syftar till att alla data som innehåller personuppgifter stannar inom EU. Det är det uttalade målet och projektet ska vara klart till slutet av 2022, säger han. Man har också sett hur europeiska dataskyddsmyndigheter idag har uttalat sig kring att data som lagras inom EU inte per automatik ska ses som en tredjelandsöverföring även om den är påverkad av lagstiftning i andra länder.

Rätt verktyg krävs

Här gäller det att hålla tungan rätt i mun för det är stor skillnad på data och data. Teknikchefen förklarar att viss data överförs till USA, men att det finns verktyg för att hantera den på rätt sätt.
– Med EU Data Boundary är målet att kunddata stannar i allra högsta grad i Europa, men det finns viss kringdata såsom viss säkerhetsdata som förs över. Annars skulle data inom EU inte kunna få samma skydd mot it-attacker som resten av världen. Denna data anonymiseras, pseudonymiseras eller krypteras för att säkras. Det här är saker Microsoft redan gör. Vidare har vi även gjort investeringar i nationell säkerhet i bland annat Frankrike och Tyskland i så kallad ”sovereign cloud”. Alltså en lösning som helt är inriktade på nationella säkerhetskrav och där molntjänsten är anpassad för att uppfylla en viss certifiering, säger han.

Utöver dessa mer högtflygande säkerhetsåtgärder lyfter Daniel även fram att det finns flera skyddsåtgärder i Teams som exempel att krypteringsnycklar skapas ute hos klienten – utan möjlighet till access för Microsoft.

Men trots det har det i Sverige pratats om att offentliga organisationer inte ”får” använda Teams och i höstas gick till och med Integritetsskyddsmyndigheten ut med en avrådan från att använda Teams och Azure innan man gjort en djup analys av alla delar. Hur kommenterar Microsoft det?
– Jag skulle säga att mycket har ändrats sedan i fjol när man tog ställning till Teams, inte minst då nyheterna med EU Data Boundary. Det vi ser nu, särskilt ute i Europa, är att kunder fattar andra beslut. Tydliga exempel är ju EU-myndigheter som till exempel kommissionen och parlamentet som valt Microsoft 365. Så genom att göra en klassificering av information och använda de skyddsåtgärder som finns – är det fullt framkomligt.

Förändring i synen på gång

Att det ser annorlunda ut nere på kontinenten och här hemma i Sverige är tydligt. Varför det hittills varit så är inget som Daniel vill kommentera. Dock tror han att vi kan komma att få se en förändring framöver.
– Det är svårt för Microsoft att göra bedömningarna åt kunderna. Här måste man se till sig själv och titta på hur känslig information man hanterar.. Det vi däremot kan visa är hur våra tjänster fungerar och vad för alternativ som finns.

– Men jag tycker att vi i Europa har sett ett antal intressanta bedömningar på sistone. Dutch ministry of Justice har djupanalyserat situationen under ett år. Där kom de fram till att med ett antal policys och användningsåtgärder för myndigheter på plats – ser man ingen hög risk att använda Teams eller Microsoft 365.

I höstas lanserade Microsoft en slags verktygslåda för riskanalys för de som inte hade resurser att göra det själv. Ett viktigt steg enligt Daniel som menar att man genom att skapa ett slags databank kan underlätta samt kapa kostnaderna kring analysen.
– I dag ligger det väldigt mycket ansvar på kunderna att göra en analys som tidigare var inkluderat i Privacy Shield-avtalet. För många kommuner har det varit kostsamt och det är resurser man inte har. Det är ju snart två år sedan Schrems-domen kom och jag tror att de flesta har tittat igenom detta och beslutat om en strategi. Många har även gjort sin riskanalys, men där har vi ibland sett att man kanske inte gjort tillräckligt djuplodande analyser. Därför stöttade vi framtagandet av en risk- och sårbarhetsanalys.

Nytt avtal på gång

EU och USA har på sistone tagit kliv framåt i frågan, och bara för ett par veckor sedan kom ett första utkast på nytt dataöverföringsavtal. Och det är ett framsteg som Microsoft applåderar.
– Vi ser väldigt positivt på det här då det är ett politiskt principavtal om vilka åtgärder man ska implementera. Det som händer nu är att man från EU:s sida behöver input från bland annat Europeiska dataskyddsstyrelsen och sedan göra ett så kallat adekvansbeslut. Från USA:s sida krävs det att man ska få vissa mekanismer på plats via en så kallad presidentorder – men målsättningen med avtalet är ju att komma tillbaka till en situation där integritetsskydd och säkerhet garanteras.

Så innebär det att om tre år är problemen åtgärdade – och vi kommit förbi dagens diskussion?
– Jag tror att om vi tittar framåt nu kommer avtalet på plats, det utmanas sannolikt igen i EU-domstolen, men förhoppningsvis är det så robust att det godkänns. Har man kommit till den punkten har vi nått en långsiktig lösning på de problem vi har diskuterat de senaste två åren. Och i förlängningen är det här positivt då vi då landar i både säkrare molntjänster och starkare dataskyddsavtal, säger Daniel Akenine.

Denna artikel var tidigare publicerad på tidningen telekomidag.se