Denna artikel är del av en serie av artiklar som diskuterar rättsliga krav och risker med Office 365 utifrån GDPR, OSL och annan relevant lagstiftning. Läs de andra delarna i serien här.
Microsoft Office 365 har blivit en populär molntjänst bland myndigheter, regioner, kommuner och andra offentliga verksamheter. Men användning av Office 365 ökar risken för att sekretessbelagda uppgifter röjs i strid med offentlighets- och sekretesslagen (”OSL”).
Vad är en sekretessbelagd uppgift?
Myndigheter och andra offentliga verksamheter hanterar vanligtvis stora mängder uppgifter. Många av dessa uppgifter kan begäras ut som allmänna handlingar enligt offentlighetsprincipen. Det finns dock vissa uppgifter som inte får lämnas ut eller röjas på något annat sätt på grund av sekretess. Sådana uppgifter kallas också för sekretessbelagda uppgifter.
Vilka uppgifter som är sekretessbelagda styrs av reglerna i OSL. Lagen definierar dock inte exakt vilka uppgifter som är sekretessbelagda utan kräver en bedömning i varje enskilt fall. Det finns omfattande rättspraxis på området även om den felvis kan uppfattas som ojämn. I vissa fall kan det därför vara svårt att avgöra om en uppgift är sekretessbelagd eller inte. Denna osäkerhet leder till praktiska utmaningar, till exempel när en myndighet förbjuder medarbetare att hantera sekretessbelagda uppgifter i Office 365 utan att närmare förtydliga vilka uppgifter förbudet gäller för.
Är sekretessbelagda uppgifter personuppgifter?
En sekretessbelagd uppgift kan vara en personuppgift, men behöver inte vara det. Ett exempel på en sekretessbelagd uppgift som samtidigt är en (känslig) personuppgift är patientuppgifter som hanteras av en offentlig vårdgivare. Ett exempel på en sekretessbelagd uppgift som inte är en personuppgift är en teknisk ritning som omfattas av försvarssekretess (här antar vi att den tekniska ritningen inte innehåller några personuppgifter). Det är viktigt att komma ihåg att begreppet personuppgift definieras i dataskyddsförordningen (“GDPR”). Vad som är en sekretessbelagd uppgift styrs däremot av OSL.
Får sekretessbelagda uppgifter hanteras i Office 365?
Office 365 är en molntjänst vilket innebär att uppgifter som laddas upp i tjänsten hanteras i Microsofts datacenter som finns utanför den egna verksamhetens lokaler. När en offentlig verksamhet använder Office 365 för att kommunicera via epost (Exchange) eller chatt (Teams) hanteras även interna e-postmeddelanden och chattmeddelanden på servrar som finns utanför verksamhetens lokaler och som kontrolleras av Microsoft. Även när verksamhetens medarbetare delar filer med varandra (OneDrive) eller samarbetar på en samarbetsplats (SharePoint) lagras filerna på servrar som kontrolleras av Microsoft. Detta innebär att medarbetare på Microsoft kan få åtkomst till all information som verksamheten hanterar i Office 365, inklusive sekretessbelagda uppgifter (om sådana uppgifter hanteras i tjänsten).
Att Microsofts medarbetare kan komma åt sekretessbelagda uppgifter innebär att det finns en risk för att dessa uppgifter röjs i strid med OSL. I dagsläget är det omdiskuterat exakt när ett sådant röjande inträffar, då OSL inte ineehåller en exakt definition av begreppet röjande. Många juridiska rådgivare anser att ett utlämnande av sekretessbelagda uppgifter till Microsoft är att betraktas som ett röjande. Andra hävdar istället att ett utlämnande av sekretessbelagda uppgifter till Microsoft inte per automatik innebär ett röjande eftersom uppgifterna endast hanteras av automatiserade processer och inte av Microsofts medarbetare. Justitieombudsmannen (“JO”) som granskar myndigheters regelefterlevnad, har en restriktiv syn i frågan men har ännu inte granskat myndigheters användning av Office 365. Rättsläget är med andra ord osäkert.
Utöver risken att Microsoft tar del av sekretessbelagda uppgifter finns även möjligheten att amerikanska myndigheter kan komma åt de uppgifter som hanteras i Office 365 genom att använda USA:s omfattande övervakningslagstiftning. Om sådan åtkomst till sekretessbelagda uppgifter inträffar, sker ett röjande i OSL:s mening.
Vilka åtgärder kan vidtas?
Det finns tekniska säkerhetsåtgärder som kan vidtas för minska risken för att sekretessbelagda uppgifter röjs enligt OSL och som gör det omöjligt för leverantören eller någon annan tredje part att få åtkomst till uppgifterna. Ett exempel på en sådan åtgärd är att kryptera sekretessbelagda uppgifter som hanteras i Office 365. Vid krypteringen är det avgörande att Microsoft (eller någon annan som inte är behörig) inte kan dekryptera uppgifterna. Detta förutsätter att Microsoft inte få tillgång till krypteringsnycklarna. Det finns olika metoder och verktyg för att åstadkomma en sådan kryptering (kontakta oss om du behöver hjälp med detta).
Röjandefrågan utreds
Regeringen har inlett en utredning som ska analysera de rättsliga förutsättningarna för offentliga verksamheter att använda molntjänster som Office 365 (ta del av kommittédirektivet 2019:64 här). En central fråga som ska utredas är risken för röjande av sekretessbelagda uppgifter vid användning av Office 365 och andra molntjänster. Utredningen ska även analysera om denna risk kan elimineras genom att vidta tekniska säkerhetsåtgärder som till exempel kryptering och pseudonymisering. Vidare utreds om avtalsreglerad tystnadsplikt kan utgöra ett tillräckligt skydd mot röjandet. Utredaren ska vid behov lämna författningsförslag. Delar av utredningen ska redovisas den 31 augusti 2020.
Slutsatsen är att OSL kan utgöra ett hinder för att hantera sekretessbelagda uppgifter i OSL. Detta gäller även om samtliga krav på behandling av personuppgifter enligt GDPR är uppfyllda. Vår rekommendation i dagsläget är att offentliga verksamheter inte bör hantera sekretessbelagda uppgifter i molntjänster som Office 365 utan att vidta lämpliga skyddsåtgärder.
I kommande artiklar kommer vi att titta närmare på vilka säkerhetskrav som gäller vid användning av Office 365. Vi kommer även att titta på andra krav som till exempel konsekvensbedömningar avseende dataskydd samt risk- och sårbarhetsanalyser.
Vill du lära dig mer om GDPR, molntjänster och informationssäkerhet kan du läsa om våra aktuella kurser här.
Vill du ha hjälp med rådgivning i frågor om dataskydd, personlig integritet och tredjelandsöverföringar kan du läsa mer här.