Microsoft Office 365 har blivit en populär molntjänst för kontorsstöd bland företag, myndigheter och andra organisationer. De fördelar som ofta anförs med Office 365 är sänkta kostnader (till följd av att färre resurser behövs för drift och att on-premise-licenser blir allt dyrare), högre säkerhet (eftersom det är svårt att tävla med ledande företag som Microsoft om informationssäkerhet) och ökad effektivitet genom bättre funktioner för samarbete (till exempel genom att flera medarbetare kan redigera ett dokument samtidigt).
Dessa fördelar kommer genom att Microsoft erbjuder Office 365 som en molntjänst. Att Microsoft tillhandahåller tjänsten till tiotusentals kunder gör det möjligt för företaget att erbjuda attraktiva priser och samtidigt utveckla innovativa funktioner. Men att Office 365 är en molntjänst innebär också att all data som en verksamhet lägger upp i tjänsten behandlas i Microsofts datacenter som finns utanför den egna verksamhetens lokaler. Detta innebär att Microsoft, liksom alla andra leverantörer av molntjänster, kan komma åt en verksamhets data, som till exempel e-post, chattkonversationer och filer som lagras på olika delningsytor.
Rättsliga krav
Microsofts möjligheter till åtkomst av en verksamhets data kan innebära rättsliga krav, som kan leda till ökade kostnader. I många fall upptäcks de rättsliga kraven (och kostnaderna) bara när ett beslut om att migrera till Office 365 redan har fattats eller, ännu senare, när tjänsten har implementerats i verksamheten. Men vilka lagar är det som ställer dessa krav?
Eftersom data som hanteras i Office 365 omfattar personuppgifter gäller dataskyddsförordningen (“GDPR”) med omfattande krav på åtgärder och risk för höga sanktionsavgifter vid regelbrott. Utöver GDPR finns ett flertal speciallagar som kan bli tillämpliga beroende på typ av verksamhet och typ av data som hanteras i tjänsten. Ett exempel är Solvency II som ställer särskilda krav på företag inom försäkringsbranschen i samband med outsourcing. Ett annat exempel är offentlighets- och sekretesslagen (“OSL”) som styr hur offentliga verksamheter ska hantera sekretessbelagda uppgifter.
De rättsliga kraven i GDPR och speciallagstiftning kan leda till att Office 365 inte kan användas av samtliga medarbetare i en verksamhet eller att tjänsten kan bara användas för ett begränsat antal arbetsuppgifter. Detta medför praktiska problem för ett företag, en myndighet eller en annan organisation som vill använda Office 365 i den dagliga verksamheten.
Föreställ dig en tjänsteman på en myndighet som vill skanna in ett dokument som innehåller sekretessbelagda uppgifter. Skannern skickar dokumentet via e-post (det finns inget annat sätt för tjänstemannen att få tillgång till dokumentet). Eftersom myndigheten använder Exchange via Office 365 (Microsofts molnlösning för e-post) innebär detta att dokumentet blir åtkomligt för medarbetare på Microsoft. Ska tjänstemannen riskera att röja sekretessbelagda uppgifter för en obehörig tredje part eller ska tjänstemannen istället avstå från att skanna in dokumentet? En fråga som inte har ett enkelt svar.
Kostsamma åtgärder
För att bemästra sådana utmaningar kan det krävas kostsamma åtgärder som till exempel kryptering. Men åtgärder som kryptering kan medföra andra problem. Det kan exempelvis vara svårt för enskilda medarbetare att använda kryptering. Eller så fungerar vissa funktioner i Office 365 inte när dokument är krypterade på ett sätt som gör det omöjligt för Microsoft att dekryptera densamma (vilket säkerställer att medarbetare på Microsoft inte kan få tillgång till information i dokumentet). Exempelvis kan Office 365:s funktion för att samarbeta i ett och samma dokument samtidigt inte användas när dokument är krypterat på detta sätt.
En annan åtgärd kan vara att endast några få medarbetarna får använda Office 365 vid utförandet av sina arbetsuppgifter. Medarbetare som hanterar känslig information måste istället använda en annan mjukvara som inte ligger i molnet. Denna lösning riskerar dock att bli en kostsam och nästintill ogenomförbar åtgärd i parktiken.
Otillåtna överföringar till USA
En särskild risk som aktualiseras med användning av Office 365 är överföring av personuppgifter till USA. Denna risk har ökat avsevärt efter EU-domstolens dom i mål C-311/18 (“Schrems II-målet”) som säger att personuppgifter inte längre lagligen kan överföras till USA (eller behandlas med åtkomst från USA) med stöd av Privacy Shield-ramverket. Du kan läsa mer om Schrems II-målet här.
En vanlig feluppfattning är att användning av Office 365 inte innebär en behandling av personuppgifter varför det inte förekommer några tredjelandsöverföringar när tjänsten används. Mot bakgrund av den vida definition som finns av begreppet personuppgift är det dock omöjligt att använda tjänsten utan att behandla personuppgifter då även IP-adresser, logguppgifter och information i Active Directory utgör personuppgifter.
En annan vanlig feluppfattning är att personuppgifter måste lagras i ett tredjeland för att det ska räknas som överföring. Som tredjelandsöverföring räknas dock även när en person som befinner sig i ett tredjeland får åtkomst till personuppgifter som lagras inom EU/EES. När Microsofts personal, som sitter i USA, kommer åt personuppgifter som lagras inom EU/EES innebär detta alltså en tredjelandsöverföring enligt reglerna i GDPR.
Rekommendation och utblick
Rekommendationen är att noggrant analysera de rättsliga krav som kan bli aktuella innan verksamheten fattar beslutet om att migrera sitt kontorsstöd till Office 365.
I kommande artiklar kommer vi bland annat undersöka vilka specifika krav som måste vara uppfyllda enligt GDPR för att en verksamhet ska kunna använda Office 365. Vi kommer även belysa vilka särskilda krav OSL ställer på offentliga verksamheter som vill använda Office 365.
Vill du lära dig mer om GDPR, molntjänster och informationssäkerhet kan du läsa om våra aktuella kurser här.
Vill du ha hjälp med rådgivning i frågor om dataskydd, personlig integritet och tredjelandsöverföringar kan du läsa mer här.