Kommentar till Skatteverkets promemoria om MS365 och Teams

Den 28 februari 2024 skrev Computer Sweden att Skatteverket nu beslutat att använda Office 365 och Teams.

Reaktionerna blev många. Exempelvis utropade Svenskt Näringsliv att äntligen kan Skatteverket använda amerikanska molntjänster. En rådgivare på ett stort konsultbolag – som är Microsoft Cloud-partner – skrev ”Äntligen! Jag känner mig bönhörd. Skatteverkets personal får använda fungerande verktyg.”

Skatteverket publicerade sedermera det man kallade en preliminär bedömning och uppgav att ”I dagsläget finns inget beslut om att Skatteverket ska köpa in Microsoft 365 och Teams.”

En leverantör av alternativ till Microsoft 365 och Teams har också kommenterat utredningen.

Vi menar att utredningen behöver kommenteras av flera skäl.

Kommentaren i korthet

• Skatteverkets tänkta användning av Microsoft 365 (M365), Teams och Entra ID är kraftigt begränsad.
  • Inga dokument, filer eller e-post ska lagras i Microsofts moln. Teams-chattar ska automatiskt raderas efter ett dygn. Ingen information som omfattas av sekretess ska hanteras i chatten. Inga känsliga personuppgifter ska hanteras i chatten. Funktioner som fildelning, inspelning, liveundertexter, transkribering, telefoni med mera ska inte användas.
• Utredningen anger uttryckligen att Skatteverket inte kommer att kunna utöva sitt ansvar enligt arkivlagen vid en övergång till Microsoft 365-lösningarna.
• Utredningens omfattning är kraftigt begränsad.
  • Väsentliga frågor lämnas obesvarade, inklusive en analys ur informationssäkerhetsperspektiv.
• Utredningen beaktar inte GDPR:s regler om att personuppgifter ska skyddas från utlämnanden till tredjelands myndigheter när ett personuppgiftsbiträde anlitas.
  • Det gäller särskilt artikel 28.3 a och artikel 32.4 i GDPR.

---

Vad har Skatteverket bedömt?

Skatteverkets utredning utgår ifrån en kraftigt begränsad användning:

• Inga dokument, filer eller e-post ska lagras i Microsofts moln. All sådan data ska hanteras hos Skatteverket.
• Användningen av Teams ska hårt begränsas. Förslaget är att alla chattar automatiskt ska raderas efter 24 timmar. Ingen information som omfattas av sekretess ska hanteras i chatten. Inga känsliga personuppgifter ska hanteras i chatten. Inga filer ska delas över Teams.
• Interna Teams-möten ska tillämpa Microsofts totalsträckskryptering. Det stänger ner flera funktioner. Fildelning, inspelning, liveundertexter, transkribering, telefoni och annan funktionalitet ska inte användas.
• Externa mötesdeltagare måste installera Teams-klienten för att delta i möten med totalsträckskryptering. (Sådana möten blir därmed inte plattformsoberoende eftersom Teams datorklient endast har officiellt stöd på Windows och macOS.)

AI-funktioner berörs inte över huvud taget, och det får förmodas att de inte heller ingår.

Vi kan utgå ifrån att majoriteten av alla verksamheter som använder Microsoft 365 och Teams idag skulle behöva begränsa sin användning kraftigt om de valde att följa Skatteverkets exempel.

Upplägget innebär att Skatteverket skulle betala för Microsoft-licenser av det dyrare slaget, trots att mängder av funktionalitet inte ska användas. Varför dessa begränsningar? Arbetsgruppen anger att den valt att ”endast utreda en omfattning av möten med begränsad funktionalitet för att möta krav på sekretess och behandling av personuppgifter.”

Utredningen anger också att ”Det har inte givits möjlighet att inom ramen för denna grundläggande utredning tillräckligt belysa samtliga relevanta aspekter av en övergång till de aktuella produkterna. Det återstår därför vissa frågor, om bl.a. arkivvård, dataskydd och it- och informationssäkerhet, som måste tas om hand i det fortsatta arbetet.”

Ändå anger utredningen att ”Arbetsgruppens preliminära bedömning är att det inte föreligger några rättsliga, säkerhetsmässiga eller funktionella hinder mot att Skatteverket och Kronofogdemyndigheten använder Entra ID, M365Apps eller Teams.”

Mot den bakgrunden frågar vi oss om arbetsgruppen har beaktat den egna utredningens avsnitt om arkivreglerna. Där anges nämligen uttryckligen att Skatteverket inte kommer att kunna utöva sitt ansvar enligt arkivlagen om myndigheten övergår till MS365, Teams och Entra ID.

Utredningen anger vidare att en riskanalys återstår att göras, både från ett informations- och it-säkerhetsperspektiv. Utredningen innehåller ingen informationsklassning och tillhörande riskbedömning, varken per verksamhetsgren eller på samlad nivå. Ur ett informationssäkerhetsperspektiv tar utredningen exempelvis ingen hänsyn till den samlade uppgiftsmängd som skulle överföras till Microsoft gällande hur Skatteverkets personal använder lösningarna och vilka externa parter myndigheten har möten med.

Vi fortsätter nu med några ytterligare frågetecken som utredningen väcker.

Beredskap och roll i civilförsvaret

Skatteverket och Kronofogden kom år 2021 fram till att myndigheterna inte skulle kunna byta ut Skype mot Teams. 2024 års preliminära bedömning beskriver 2021 års Teams-utredning såhär:

Utredningen 2021 omfattade framförallt de rättsliga förutsättningarna för att nyttja Microsoft Teams. I den förnyade utredningen har även andra aspekter tagits i beaktande, som beredskap och resiliens, verksamhetsnytta, Skatteverkets möjlighet att leverera en it-arbetsplats till andra myndigheter och den omständigheten att de alternativ till Microsoft 365 som är tillgängliga har visat sig svåra att realisera.

2021 års utredning hade åtta huvudavsnitt. Tre av dessa fokuserade på rättsliga frågor. Ett avsnitt fokuserade på verksamhetsnytta, ett avsnitt fokuserade på möjligheter att använda Teams utifrån en riskanalys och ett avsnitt fokuserade på lämplighet. I avsnittet om lämplighet angav 2021 års utredning bl.a.:

Redan idag samlas stora mängder information från svenska myndigheter hos dessa tre molntjänstleverantörer [Azure, AWS och GCP] vilket ökar samhällets sårbarhet, eftersom störningar hos någon av dessa molntjänstleverantörer kommer påverka många myndigheter samtidigt … Mot bakgrund i bl.a. den förhöjda hotbilden mot Sverige, upprustningen av totalförsvaret, skärpningarna av säkerhetsskyddslagen och utvecklingen på dataskyddsområdet är det uppenbart att myndigheter behöver beakta fler parametrar än tidigare, primärt gällande säkerhet och digital suveränitet. Att Skatteverket och Kronofogden i sitt val av lösning för digital kommunikation och samarbete skulle bortse från riskerna för Sveriges suveränitet är då inte möjlig.

2023 års utredning nämner inte resiliens annat än där det antyds att 2021 års utredning inte beaktade resiliens. Vi kan inte se att den nya utredningen för något resonemang om hur Microsoft 365-lösningarna skulle påverka Skatteverkets resiliens, beredskap eller motståndskraft – vare sig positivt eller negativt – som en del av det civila försvaret.

Utredningen anger att Skatteverket kan behöva behålla Skype, som myndigheten idag driftar lokalt, parallellt med Teams. Utredningen för dock inget resonemang om hur länge Skype förväntas vara ett gångbart alternativ och vad myndighetens plan är rent konkret inför den dag Microsoft slutar uppdatera Skype.

Utredningens omfattning

Utredningen har haft ett begränsat uppdrag och lämnar väsentliga frågor obesvarade. Vi belyser här några delar där det framgår.

En utgångspunkt för utredningen är ett tänkt scenario där implementeringen av produkterna begränsas till en miniminivå, bl.a. beträffande vilka uppgifter som översänds till Microsoft och vilken funktionalitet som är aktiverad. Därigenom har analysen kunnat inrikta sig på produkterna i ett grundutförande. Resultatet av denna inledande utredning utgör således basen för kommande undersökningar av om ytterligare funktioner kan läggas till.

Det har inte givits möjlighet att inom ramen för denna grundläggande utredning tillräckligt belysa samtliga relevanta aspekter av en övergång till de aktuella produkterna. Det återstår därför vissa frågor, om bl.a. arkivvård, dataskydd och it- och informationssäkerhet, som måste tas om hand i det fortsatta arbetet.

Arbetsgruppens initiala uppgift har varit att undersöka om det skett förändringar som innebär att det idag finns rättsliga förutsättningar för att gå vidare med en fördjupad bedömning av de aktuella tjänsterna.

Rapporten utgår strikt från den avgränsning som fastslagits. Den informationsmängd som skapas och behandlas genom Skatteverkets användning av de aktuella tjänsterna har begränsats till en nödvändig nivå. Det tillkommer att analysera hur tjänsterna kan användas i praktiken och vilka tekniska och administrativa utmaningar som då identifieras … Denna rapport behöver följas av en djupare studie. Riskanalys både från ett informations-, och it-säkerhetsperspektiv behöver utföras.

Ett problem av principiell natur är att tjänst- och diagnostikdata bevaras enligt Microsofts standardinställningar. Det innebär att tidpunkterna för gallring av de allmänna handlingarna i praktiken kommer att bestämmas av Microsoft, inte av Skatteverket. Det är oklart om Skatteverket, efter att ha gjort en egen bedömning av hur länge handlingarna behövs för verksamheten, kan ge Microsoft instruktioner om vilka gallringsfrister som ska gälla för handlingarna eller om att handlingarna ska bevaras. Vidare är det Microsofts rutiner, vilka kan förändras över tid, som styr vilka uppgifter som införs i loggarna över tjänst- och diagnostikdata och hur loggarna ska utformas. I de avseendena kommer alltså Skatteverket att sakna reell möjlighet att utöva sitt arkivansvar enligt 4 § arkivlagen, om Skatteverket övergår till M365Apps, Teams och Entra ID.

Synen på utlämnanden till tredjeland

Utredningen tycks utgå ifrån att det går att göra en riskbedömning enligt artikel 32 i GDPR för att acceptera möjligheten att tredjelands myndigheter kan komma åt uppgifter som Skatteverket gör tillgängliga för Microsoft. Det får förmodas att utredningen avser artikel 32.1 i GDPR.

Utredningens utgångspunkt tycks emellertid inte vara förenlig med GDPR. Reglerna om att anlita personuppgiftsbiträden anger att personuppgiftsbiträdets garantier ska avse åtgärder som vidtas på ett sådant sätt att behandlingen uppfyller kraven i GDPR och säkerställer att personers rättigheter skyddas. Det kräver mer än att bara uppfylla säkerhetskraven i artikel 32.1. GDPR innehåller till exempel också de grundläggande principerna i artikel 5 och kravet på rättslig grund enligt artikel 6.

GDPR har dessutom specifika regler som syftar till att skydda personuppgifter hos ett personuppgiftsbiträde från att lämnas ut till tredjelands myndigheter. Dessa regler finns i artikel 28.3 a och 32.4 GDPR. Skatteverket har i utredningen inte beaktat dessa regler vilket är en brist.

Cleura beskriver dessa regler och deras innebörd i avsnittet GDPR:s skydd mot åtkomst från tredjeland i rapporten Vad din verksamhet behöver veta om det tredje adekvansbeslutet.

EDPS, som är tillsynsmyndighet för EU:s institutioner, har bedömt att EU-kommissionen av flera skäl använt Microsoft 365 på ett olagligt sätt. EDPS pekar specifikt på att EU-kommissionen, enligt regler motsvarande artikel 28.3 a GDPR, inte säkerställt att det endast är unionsrätten eller en medlemsstats nationella rätt som kan hindra att personuppgiftsbiträdet (Microsoft med underbiträden) informerar den personuppgiftsansvarige (EU-kommissionen) om utlämnanden av personuppgifter i EU till tredjelands myndigheter. EU-kommissionen hade inte heller gjort tillräckligt enligt motsvarigheten till artikel 32 GDPR för att säkerställa personuppgifternas integritet och konfidentialitet.

Kryptering ände-till-ände (E2EE)

Skatteverket fäster i utredningen tilltro till den totalsträckskryptering, eller kryptering ände-till-ände (E2EE) som Microsoft erbjuder i Teams för de som betalar för en dyrare licens.

Vi tror inte att det är klokt att förlita sig på en kryptering som Microsoft helt och hållet kontrollerar i syfte att skydda uppgifter i Microsofts moln från amerikanska myndigheter. En sådan krypterings funktionssätt tycks nämligen i praktiken vila på avtalsmässiga garantier. Amerikanska underrättelselagar kan trumfa avtalsrättsliga garantier.

Som vi har berört i vår rapport Amerikansk vs europeisk övervakning: Analys av skillnader i rättighetsskyddet vid användning av molntjänster kan amerikanska underrättelselagar som FISA 702 tvinga en amerikansk molntjänstleverantör att vidta alla åtgärder som krävs för att genomföra en inhämtning.

Det kan mycket väl vara så att Microsoft inte kan forcera krypteringen av en dataström som väl har krypterats så som Microsoft beskriver att totalsträckskrypteringen med Teams-tjänsten och programvaran är tänkt att fungera. Eftersom det är Microsoft som kontrollerar hur Teams-tjänsten och programvaran fungerar uppstår emellertid en annan fråga: kan Microsoft åläggas att ändra hur Teams-tjänsten och programvaran fungerar, åtminstone i enskilda fall? Skulle Microsoft exempelvis kunna skicka en instruktion till Teams-programvaran som används i en viss verksamhet – kanske rentav av specifika personer – att använda krypteringsnycklar som Microsoft redan har kopior av? I så fall skulle Microsoft ha möjlighet att dekryptera dataströmmar som passerar via Microsofts moln.

Utredningen tycks utgå ifrån att Microsofts avtalsmässiga garantier går att lita på utan undantag för vad amerikansk lag kan tvinga Microsoft att göra. Det saknas en analys av detta i förhållande till Microsofts totalsträckskryptering samt vilka möjligheter Skatteverket har – om några – att i efterhand upptäcka om en krypterad dataström har dekrypterats.

Vi ser därför inte att det är visat att kryptering där Microsoft bestämmer över hur nycklarna hanteras kan ge Skatteverkets uppgifter ett ändamålsenligt skydd. Om vi utgår ifrån att krypteringen ska skydda mot åtkomst från amerikanska myndigheter framstår det inte heller som att krypteringen uppfyller den kryptering vid tredjelandsöverföringar som EDPB beskriver i rekommendationerna 01/2020.

Mot den bakgrunden konstaterar vi att våra slutsatser om kryptering i rapporten Vad din verksamhet behöver veta om det tredje adekvansbeslutet fortfarande framstår som relevanta.

Utredningens förmåga att agera självständigt

Delar av utredningen, särskilt delar av avsnitt 2.2.1, 2.3 och 2.4 i bilagan om Teams, framstår som att de hade kunnat vara skrivna av Microsoft eller av någon som agerat å Microsofts vägnar.

Vi drar den slutsatsen av följande skäl:

• Vissa påståenden om Microsofts tjänster accepteras som vedertagen sanning, istället för att beskrivas som information som Microsoft har uppgett.
• Vissa skrivningar framstår rentav som om de hade kunnat vara marknadsföringsmaterial från Microsoft. Exempelvis:
  • “Det är väsentligt att poängtera att Microsofts insamling, bearbetning och användning av diagnostikdata regleras av deras dataskyddspolicy samt tillämpliga dataskyddsförordningar, såsom Allmänna dataskyddsförordningen (GDPR) inom Europeiska unionen. Microsoft förbinder sig att hantera denna data på ett sätt som respekterar användarnas integritet och säkerhet”.
• Språket i dessa avsnitt är delvis onaturligt eller felaktigt (“dataskyddsförordningar”) på ett sätt som tyder på direktöversättning från engelska.

Inlåsning, ökade kostnader och förlorad kontroll

2021 års Teams-utredning beaktade riskerna med leverantörsinlåsning samt prisökningar på Microsofts molntjänster. Den nya utredningen gör det inte.

Det utredningen nämner är att myndigheten behöver en exitstrategi, undersöka möjliga alternativa lösningar samt ha alternativa kommunikationsvägar i fall när Microsofts tjänster inte är tillgängliga. Gott så. Utredningen förklarar emellertid inte vilken data som måste kunna migreras till en annan leverantör, med hur kort varsel det måste kunna ske och hur det i så fall ska gå till. En annan leverantörs lösning behöver ju först införas för att kunna användas som alternativ kommunikationsväg, eller för att fortsätta nyttja exporterad data.

När en verksamhet gör sig beroende av en enskild leverantörs lösningar, utan att det finns en annan leverantör som realistiskt alternativ, så försätter verksamheten sin leverantör i en maktposition. Ju viktigare leverantörens lösningar är för verksamheten, ju svårare det är och ju längre tid det tar för verksamheten att byta leverantör, desto starkare blir leverantörens position.

Det gäller dels leverantörens prissättningsmakt, dels leverantörens frihet att ensidigt ändra i tjänsterna och avtalsvillkoren som reglerar hur tjänsterna tillhandahålls.

Liksom i Sverige har offentlig sektor i Danmark ett djupt beroende till Microsoft. Det finns också en god bild av vilka ekonomiska konsekvenser det har fått eftersom danska medier, inte minst publikationen Version2, men också dansk public service, har ägnat frågan betydande uppmärksamhet.

År 2018 betalade danska kommuner minst 313 miljoner danska kronor till Microsoft, år 2023 ligger siffran på cirka 538 miljoner. En ökning med över 70 procent.

I Danmark råder ingen tvekan om att det här är ett problem. Frågan är uppe på regeringsnivå. Danmarks liberala digitaliseringsminister har till Version2 kommenterat beroendet som ”i grunden problematiskt” och sagt att ”När teknikjättar använder sin dominerande ställning för att höja priserna utan att vi kan välja bort dem, måste vi spendera ännu mer skattepengar utan att få mer för pengarna.” Microsoft själva ser inga problem med prissättningen, som de har beskrivit som ”rättvis”.

Den danska regeringen har nu avsatt pengar för att undersöka om det är lämpligt att främja användning av öppen källkod i offentlig sektor. Regeringen har också tillsatt en expertgrupp på grund av techjättarna. Version2 rapporterar att ordföranden för expertgruppen delar digitaliseringsministerns oro och ser beroendet som ett omfattande samhällsproblem. ”Man ger upp den möjlighet till demokratisk kontroll som vi har på andra områden. Det finns bara inte på samma sätt på det här området. Det är som om vi har glömt bort att det digitala också är en form av infrastruktur som faktiskt är väldigt kritisk för ett samhälle, och som är viktig att både investera i och ha någon form av kontroll över”, säger han.

Ordföranden för föreningen för kommunala it- och digitaliseringschefer i Danmark, som själv är it-chef på en kommun, har också lyft problemen från ett kommunalt perspektiv. Han säger att Microsofts produkter visserligen förbättras över tid, men kommenterar till DR att ”De saker vi får extra kan vi inte nödvändigtvis använda för att effektivisera vår service till medborgarna. Det gör det osannolikt att vi kan hitta besparingar någon annanstans.”

I Sverige har Computer Sweden refererat en rapport från år 2023 som angav att det offentligas utgifter för it-tjänster ökat med 25 procent sedan år 2019. “Och det är de stora it-tjänsteleverantörerna som kammar hem pengarna. Trots att 98 procent av de leverantörer som sålde till offentlig sektor mellan 2019 och 2022 var små och medelstora företag så stod de stora bolagen, som bara utgjorde två procent, för 67 procent av det offentligas utbetalningar för it-tjänster.”

Ibland hävdas att amerikanska molntjänstleverantörer är nödvändiga för att klara välfärden, där allt färre ska försörja allt fler. I oktober 2023 rapporterade Version2:

Den offentliga sektorn upplever stora prisökningar på it-licenser, så stora att Region Hovedstaden i Danmark under våren sade upp 150 medarbetare. Om man tittar på en av de största it-leverantörerna till kommunerna, så har Microsoft generellt höjt priserna på licenser med 40 procent under de senaste åren.

Har du frågor om molntjänster och digitalisering?

Vi kan hjälpa din organisation att genomföra digitaliseringsresan på ett lagligt och hållbart sett.