Skatteverkets remissvar m.m.

Beslut

Skatteverket och Kronofogdemyndigheten (Kronofogden) beslutar:

• att inte ersätta applikationen Skype med molntjänsten Teams för videokommunikation och samarbete,

• att tillåta deltagande i externa möten som genomförs i Teams och

• att Skatteverket och Kronofogden, tillsammans med andra myndigheter som väljer att delta i arbetet, ska tillsätta en tvärfunktionell arbetsgrupp som ska utreda lämpliga
  alternativ som video- och samarbetsplattform.

Motivering

Skatteverket och Kronofogden har gemensamt utrett förutsättningarna att ersätta Skype med Teams som huvudsaklig video- och samarbetsplattform. Beslutet följer rekommendationerna i bilagd promemoria.

Det här beslutet är fattat av it-direktör Peder Sjölander för Skatteverket och it-direktör Johan Acharius för Kronofogden. För Skatteverket har strateg Daniel Melin, dataskyddsjurist Elin Hallström och verksamhetsutvecklare Peter Nordström föredragit ärendet och för Kronofogden enhetschef Jens Västberg och rättsutvecklare Soheil Roshanbin. I den slutliga handläggningen har även Skatteverkets rättschef Michael Erliksson samt Kronofogdens rättschef Ulrika Linden deltagit.

Med stöd av Kronofogdens och Skatteverkets beslut om åtgärder för att motverka spridningen av Covid 19 undertecknas beslutet inte.

Promemoria om ersättning av Skype i Skatteverkets och
Kronofogdens verksamhet

Sammanfattning

Möjligheterna till en effektiv digital kommunikation och samarbete är en strategisk fråga för Skatteverket och Kronofogden. Den nuvarande lösningen, Skype, fungerar tillfredsställande men det finns lösningar som ger större effektivitet för verksamheten. En analys av Microsoft Teams (Teams) visar att det ur ett användarperspektiv finns fördelar med en uppgradering av den nuvarande lösningen till förmån för Teams. Teams är en samarbetsplattform som jämfört med Skype mer är en kommunikationsplattform. Teams ger sammantaget en bättre användarupplevelse och kan skapa mervärde för såväl de enskilda medarbetarna som myndigheten genom funktionalitet som Skype saknar.

Användning av Teams på samma sätt som Skype i verksamheten, dvs. som huvudsaklig video- och samarbetsplattform, skulle innebära att stora delar av myndigheternas kommunikation, omfattande mängder personuppgifter och sekretesskyddad information överförs och därigenom blir tillgängliga för Microsoft. Härutöver skulle de personuppgifter som lämnas i samband med kontohantering hos Microsoft också lämna detaljerad organisatorisk information om myndigheterna.

Eftersom myndigheterna skulle använda Microsofts tjänst för videomöten och samarbeten disponerar inte myndigheterna längre själv över uppgifterna när de behandlas hos Microsoft vid användningen av Teams. Krypteringslösningar kan vara adekvata för transport av uppgifter och lagring i vissa situationer men bearbetning av dataflöden förutsätter tillgång till informationen. Det finns därför ingen möjlighet i Teams att genom kryptering, pseudonymisering eller anonymisering förhindra all åtkomst till uppgifterna när de behandlas i Microsofts infrastruktur.

Utifrån ett risk- och säkerhetsperspektiv är användning av Teams som huvudsaklig video- och samarbetsplattform problematisk. De stora informationssamlingar som myndigheterna skulle göra tillgängliga för ett privat bolag i förening med uppgifternas känslighetsgrad och avsaknaden av tillräckliga kompensatoriska åtgärder gör det inte möjligt att överväga Teams som en helhetslösning i myndigheternas verksamhet. Härutöver har Skatteverket och Kronofogden vid sin riskbedömning beaktat risker för inlåsningseffekter, kostnader, kontinuitet och fortlöpande förändringar av Teams. Sammantaget talar även övriga faktorer emot Teams som en helhetslösning som video- och samarbetsplattform.

Förutsättningarna för att behandla uppgifter hos en extern aktör är i stor utsträckning författningsreglerad. Användning av Teams på samma sätt som Skype används idag och den tillgång till uppgifter som Microsoft kan få genom tjänsten är inte förenlig med offentlighets- och sekretesslagstiftning och dataskyddslagstiftning. Problematiken är alltså inte begränsad till enbart frågan om överföring av personuppgifter till tredjeland enligt dataskyddslagstiftningen. Enligt Skatteverkets och Kronofogdens bedömning saknas det rättsligt utrymme att ersätta Skype med Teams som huvudsaklig video- och samarbetsplattform. Däremot kan det i undantagsfall och med tydliga instruktioner finnas förutsättningar för att delta i andras möten via Teams.

Den bedömning som Skatteverket och Kronofogden har gjort är utifrån nuvarande kunskap om Teams. Tjänsten förändras kontinuerligt och ny funktionalitet tillkommer löpande samtidigt som Microsoft gör förändringar i sin leverans av Teams. Med hänsyn till detta föreslås fortsatt dialog med Microsoft för att följa utvecklingen.

Skatteverket och Kronofogden avser att utforska alternativ till Skype som framtida video- och samarbetsplattform. Lösningen bör utöver digitala möten även inkludera funktioner för t.ex. ordbehandling, dokumenthantering och olika samarbetsfunktioner.

Innehåll

1 Bakgrund, uppdrag och avgränsningar 4

2 Nyttan med Teams jämfört med Skype. 4

2.1 Nulägesanalys. 4

2.2 Oklar framtidsutsikt för Skype. 6

2.3 Om Teams. 6

2.4 Ekonomisk påverkan. 7

3 Personuppgiftsbehandling i Teams. 7

3.1 Överföring av personuppgifter vid licensaktivering och kontohantering. 7

3.2 Exponering av personuppgifter i Teams. 8

4 Möjligheter att skydda personuppgifter 9

4.1 Tekniska skydd för uppgifter som Microsoft kan få tillgång till vid bearbetning av dataflöden 9

4.2 Pseudonymisering av uppgifter som överförs direkt till Microsoft 9

5 Möjligheter att använda Teams utifrån en riskanalys. 10

5.1 Risker förknippade med att Microsoft får tillgång till hela myndighetens digitala videokommunikation och dokument 10

5.2 Risker förknippade med beroende till Microsoft 11

5.2.1 Inlåsningseffekter 11

5.2.2 Risker för avbrott i kontinuitet och risker med fortlöpande förändringar av applikationen 11

5.2.3 Prisökningar på on-premise. 11

6 Möjligheter att använda Teams utifrån en rättslig analys. 12

6.1 Offentlighets- och sekretesslagen (OSL) 12

6.2 Dataskyddsförordningen. 13

6.2.1 Personuppgifter som överförs till USA.. 13

6.2.2 Risker för olovlig överföring av personuppgifter till USA.. 13

6.3 Brottsdatalagen. 15

7 Lämplighet 16

8 Rekommendationer 17

8.1 Behöver Skype ersättas?. 17

8.2 Kan Teams ersätta Skype?. 17

8.3 Tillåta deltagande i Teams-möten. 17

8.4 Alternativa lösningar 18

1 Bakgrund, uppdrag och avgränsningar

I Skatteverkets och Kronofogdens verksamhet finns det ett stort behov av en säker, robust och användarvänlig samarbetsplattform. Inom ramen för en sådan plattform har myndigheterna ett angeläget behov av digitala möten (videomöten) internt, mellan olika organisationer i offentlig sektor och även med enskilda, exempelvis i samband med nyrekryteringar, med leverantörer eller vid kundkontakter. Videomöten krävs även för myndigheternas internationella kontakter. I många fall är det flerpartsmöten som behövs och det finns även ett behov av kompletterande verktyg, exempelvis fillagring och applikationsintegration, för att underlätta arbetet i möten och samarbetet mellan deltagarna.

Redan idag sker dagligen ett stort antal digitala möten och med pandemin har behovet av digitala möten ökat markant. På sikt är det också aktuellt med videomöten i ärendehandläggning och kundmöten i de fall det är lämpligt och ändamålsenligt. Möjligheten till en effektiv digital kommunikation och effektiva samarbetsmöjligheter är en strategisk fråga för såväl Skatteverket som Kronofogden.

Den nuvarande lösningen, Skype, fungerar tillfredsställande, men det finns ett behov av att utvärdera andra lösningar. Skatteverket och Kronofogden utvärderar gemensamt i denna rapport om Teams är en lösning som skulle kunna tillgodose myndigheternas behov och samtidigt uppfylla myndigheternas krav.

Inom ramen för denna rapport ska följande frågor besvaras:

• Vilken nytta finns det med Teams jämfört med den nuvarande lösningen?
• Vilka personuppgifter hanteras i Microsofts infrastruktur vid användning av Teams?
• Vilka möjligheter finns det att skydda personuppgifter genom kryptering, pseudonymisering eller anonymisering?
• Vilka risker finns det med Teams?
• Vilka rättsliga möjligheter finns det för att använda Teams?
• Vilka lämplighetsöverväganden aktualiseras vid användning av Teams?

En utkontraktering av video- och samarbetsplattform i Skatteverkets och Kronofogdens regi är en fråga som aktualiserar tillämpningen av säkerhetsskyddslagen men inom ramen för denna analys berörs inte säkerhetsskyddsfrågor närmare.

2 Nyttan med Teams jämfört med Skype

2.1 Nulägesanalys

Skatteverket och Kronofogden använder sig idag av Skype för företag (Skype) som huvudsakligt kommunikationsverktyg. Myndigheterna har även tillgång till videokonferens (videolänk) genom Polycom (hårdvarubaserat videokonferenssystem) men användning av Polycom har begränsats med hänsyn till att flertalet medarbetare under pandemin inte arbetar från kontoren. Härutöver är Skatteverkets och Kronofogdens implementation av Polycom sådan att det inte är en lika smidig lösning som Skype vid videomöten med externa parter.

En inventering som Kronofogden gjorde under mars 2021 visade att Skype överlag fungerade bra, i synnerhet så länge som det avsåg kontakt med de externa parter som ingår i Skatteverkets och Kronofogdens avtalade ”Skype-samverkan” (Skype-federation). I Skype-federationen ingår flertalet stora myndigheter inom den offentliga förvaltningen vid sidan av vissa kommuner och regioner.

Även i Skatteverkets verksamhet har Skype fungerat utan större bekymmer. Den feedback som har inkommit är att Skype inte fungerar tillfredsställande när anställda har deltagit i externa Skypemöten med andra myndigheter. Det kan delvis ha sin förklaring i brister i de externa parternas Skype-miljöer.

Beskrivning av funktionalitet som finns tillgänglig i dagsläget.

Medarbetare på Skatteverket och Kronofogden har idag också möjlighet att ansluta till externa möten via exempelvis Teams, Webex och Zoom. Idag genomförs dessa externa möten via webbläsaren. Vid sådana möten får information som omfattas av sekretess eller säkerhetsskydd inte avhandlas och medarbetarna är i övrigt ålagda att följa myndigheternas rutiner som ska tillförsäkra en laglig informationshantering, bl.a. att reglerna i dataskyddsförordningen följs. Så kan exempelvis vara fallet när en medarbetare måste delta i ett externt möte som är knuten till respektive myndighets huvuduppdrag (uppgift av allmänt intresse) och det saknas andra alternativ.

Arbete pågår med att tillhandahålla klienter för bl.a. Teams och Zoom för att säkerställa att externa möten har högsta kvalitet vad gäller ljud och bild samt möjlighet till funktionalitet som saknas i webbläsaren. Sannolikheten att det rent tekniskt fungerar att ansluta till externa möten bedöms öka vid användande av klient jämfört med webbläsare.

2.2 Oklar framtidsutsikt för Skype

Videokonferenslösningar är idag nödvändiga och betydelsen av dem har ökat under rådande pandemi och även inför framtidens förändrade arbetssätt. Enkelt uttryckt är tillgång till videomöten viktigare än någonsin och kan betecknas som verksamhetskritiskt. Mot den bakgrunden är det viktigt att ha en klar bild över förutsättningarna att fortsätta använda Skype som lokalt installerad programvara.

Skatteverket och Kronofogden har fått tvetydig information kring vad som gäller i fråga om Skype. Enligt tidigare uppgifter skulle Skype komma att fasas ut helt och ersättas med Teams och på grund av detta är den framtida supporten begränsad till oktober 2025. Skype Online kommer inte heller att fortsätta erbjudas efter juli 2021.

Samtidigt har Microsoft meddelat att det kommer en ny version av Skype som släpps under senare halvan 2021 ihop med nya versioner av Exchange, Sharepoint och Office. Skillnaden mot tidigare är att dessa enbart kommer att finnas som prenumerationslicenser och inte går att köpa som fristående licenser i och med Microsofts skifte för nästkommande version av applikationer (s.k. Vnext-applikationer). Detta innebär att Skype framöver kommer genomgå tvingande uppdateringar av programvaran.

Skatteverket och Kronofogden har ännu inte informerats om eventuella nya funktioner som kommer i nästa version av Skype. Mot bakgrund av Microsofts satsning på Teams är det dock sannolikt att det enbart handlar om säkerhetsuppdateringar och möjligheter till bättre integration med andra programvaror. Med andra ord kan framtidsutsikterna för Skype vara begränsade vad gäller nya funktioner. Samtidigt har Skatteverket och Kronofogden i sina dialoger med Microsoft inte fått något annat besked än att Skype kommer att finnas kvar som en applikation. Denna bild bekräftas också av övriga myndigheter som Skatteverket och Kronofogden har haft kontakt med, dvs. att andra myndigheter fått besked från Microsoft om att Skype, Sharepoint, och Exchange kommer att finnas kvar som produkter parallellt med de molnbaserade tjänsterna.

2.3 Om Teams

Teams är jämfört med Skype främst en samarbetsplattform där samtliga delar av Skype ingår, men som utgör en del i ett större erbjudande. Det innebär att Teams förutsätter övriga tjänster som Exchange Online och Sharepoint Online.

För att kunna använda Teams måste Skatteverket och Kronofogden acceptera Microsoft Online Services Terms vid aktivering av nuvarande Microsoft 365 licenser.

Exempel på ytterligare funktioner i Teams:

• Permanenta grupper och kanaler. Det går att skapa både grupper och kanaler i Teams som kan leva över tid där både konversationer och dokument sparas. Dessa grupper och kanaler kan vara öppna för alla eller stängda och enbart möjliga att gå med i som inbjuden. Dessa grupper och kanaler kan även hantera externa användare. Exempelvis kan vi ha myndighetsgemensamma grupper och kanaler eller för enskilda projekt med externa parter.
• Eftersom Teams är byggt som en samarbetsplattform är det sömlösa övergångar mellan chatt, möten och samverkan med dokument. Illustrativt skulle det kunna jämföras med att vi slår samman samarbetsrummen i Sharepoint med Skype.
• Konferenser med fler deltagare. Skype är idag begränsat till 250 externa användare medan Teams stödjer upp till 10 000 användare.
• Teams-klienten är integrerad med Office, Exchange och Sharepoint. Möjligheten att svara på e-post inifrån Teams-klienten minskar hopp mellan olika programvaror. Detta gäller även för Teams-appen för mobiltelefoner.
• Möjlighet att använda sig av Microsofts egna AI-bottar, men det går även koppla på egna bottar.
• Teams är mer vanligt förekommande än Skype vilket troligtvis underlättar när vi bjuder in externa parter till våra möten.
• Breakout rooms. Att kunna dela upp möten i mindre grupper för att sedan återgå till större samling.
• Under pandemin har Microsoft arbetat med att få in funktioner som ska underlätta vardagen för anställda. Exempelvis ”pendlingsfunktion” som ska återspegla resvägen till och från jobbet där meditation m.m. erbjuds.

2.4 Ekonomisk påverkan

Skatteverket och Kronofogden har idag 12 500 Microsoft 365 E3 licenser till en kostnad av ca 31 miljoner kronor per år. I dessa ingår licenserna för Teams. Med största sannolikhet kommer licenskostnaden att öka för att säkerställa att vi har licenser med nödvändiga säkerhetsfunktioner för att erhålla en så säker användning som möjligt. Det innebär en uppgradering från Microsoft 365 E3 till E5 vilket kostar Skatteverket och Kronofogden ytterligare ca 30 miljoner kronor per år. Priset är baserat på nuvarande avtal där pris för uppgradering är låst.

Att licensiera Microsofts programvaror och tjänster med en s.k. on-premise licensering (licensering för lokal installation) för Sharepoint, Exchange, Skype, Windows för klienter samt Office skulle öka kostnaderna. Anledningen är att Microsoft licensierar onlinetjänster per användare (12 500) för Skatteverket och Kronofogden medan on-premise licenseras per enhet (15 000). Kostnaden för licenserna är jämförbara men eftersom det är 2 500 fler enheter än användare skulle kostnaden öka med 6 miljoner kronor per år.

För att en besparing ska uppstå vid byte till annan leverantör behöver stora delar av de funktioner som Microsoft idag tillhandahåller ersättas. Exempelvis kommer inte kostnaden att minska om enbart Skype byts ut mot en annan videolösning.

3 Personuppgiftsbehandling i Teams

3.1 Överföring av personuppgifter vid licensaktivering och kontohantering

Teams ingår som en del av Microsoft 365. Licensaktivering och kontroll av att användaren har en licens av Microsoft 365 sker löpande och den överföringen går direkt mot Microsoft i USA.

Den information som förmedlas vid licensaktivering är:

Denna typ av information är obligatorisk för aktivering av licenser. Vidare måste licenser kopplas till ett konto som existerar i Azure Active Directory (AD) varför personliga konton måste nyttjas.

Vid aktivering kommer samtliga användarkonton (ca 12 500 st.) behöva Azure AD som är Microsofts molnbaserade identitets- och åtkomsthanteringstjänst som hjälper anställda att logga in och få åtkomst till resurser i exempelvis Microsoft 365. I Azure AD hanteras bl.a. vissa uppgifter såsom namn, e-post, lösenord, organisatorisk tillhörighet, befattning m.m. men det är enbart vissa funktioner, bl.a. för autentisering, som överför uppgifter till USA.

3.2 Exponering av personuppgifter i Teams

Att utnyttja Microsofts infrastruktur för videomöten och samarbete medför att personuppgifter och annan data förs över till Microsoft i stor skala. Det handlar bl.a. om video- och röstsamtal i realtid, namn på deltagarna, presentationsbilder, presentationsmaterial, dokument, snabbmeddelanden, kalenderbokningar m.m. I var och en av dessa finns det som huvudregel personuppgifter som Skatteverket och Kronofogden kommer att överföra till Microsoft istället för att som idag behandla informationen i egen regi. Härutöver skulle de personuppgifter som lämnas i samband med kontohantering hos Microsoft också lämna detaljerad organisatorisk information om myndigheterna.

I vissa situationer, exempelvis i enskilda samtal mellan två medarbetare, kan viss information vara krypterad hela vägen, dvs. att samtalet inte förs genom Microsofts servrar utan sker direkt och krypterad mellan respektive användare (s.k. end-to-end kryptering). Detta gäller dock inte all information under samtalet utan enbart röst eller videoflödet. I övriga fall, exempelvis vid flerpartssamtal, sker bearbetning av videoströmmar m.m. i Microsofts infrastruktur. Så är även fallet som huvudregel vid användning av funktionerna i samarbetsplattformen såsom fildelning eller snabbmeddelanden. Det finns möjlighet att skydda särskilda dokument från insyn från Microsoft genom egna krypteringsnycklar men det gäller inte all data som Microsoft behandlar. Sammanfattningsvis är utgångspunkten för bedömningen att användning av Teams förutsätter att informationen i allt väsentlig är tillgänglig för Microsoft, låt vara att bolaget enligt egen uppgift vidtagit långtgående interna organisatoriska och säkerhetsmässiga åtgärder för att begränsa tillgången till kunders information.

Utöver den personuppgiftsbehandling som görs av Microsoft kommer underleverantörer till Microsoft också få tillgång till myndigheternas personuppgifter. Dessa underleverantörer ändras över tid och om en underleverantör adderas som Skatteverket och Kronofogden inte kan acceptera finns ingen reell möjlighet att i tid lämna Teams innan underleverantören får tillgång till uppgifterna.

Nedan ges exempel på personuppgifter som Skatteverket och Kronofogden för över till Microsoft vid användning av Teams. Listan är inte uttömmande.

• Bild på anställda i kontaktkort
• Bild via video på mötesdeltagare
• Röst på mötesdeltagare och vad som sägs under mötet i realtid
• Namn på mötesdeltagare
• Uppgifter om bokade möten från kalendern
• Analyser av möteseffekter som kan kopplas till mötesdeltagarna
• Kalenderuppgifter inkl. koppling till mötesdeltagarna
• Loggade telemetriuppgifter; vilka som konverserat (chatt och möten), vilka möten som ägt rum m.m.
• Personuppgifter i dokument som delas
• Personuppgifter i chatt-konversationer mellan anställda (loggas beroende på konfiguration)

4 Möjligheter att skydda personuppgifter

4.1 Tekniska skydd för uppgifter som Microsoft kan få tillgång till vid bearbetning av dataflöden

Vid användning av Teams behöver Microsoft genomföra behandling av information i klartext eftersom behandling av krypterad information inte är möjlig med dagens teknik, i vart fall kan det inte ske med tillräckligt god kryptografisk säkerhet.

I fallet med Teams har Microsoft tillgång till alla säkerhetsfunktioner och programvara som används vid behandling av Skatteverkets och Kronofogdens information. Med hänsyn till detta har Microsoft även möjligheten att införa och ta bort funktioner som därigenom tillgängliggör myndigheternas uppgifter under bearbetning. Skatteverket och Kronofogden har ingen kännedom om sådana funktioner finns implementerade i Teams och har heller ingen reell möjlighet att säkerställa att sådana inte finns.

Microsoft har olika certifieringar och låter tredje part genomföra revisioner vilket är positivt för tilliten till Teams. Dessa kan dock inte läka att Microsoft de facto kan modifiera både säkerhetsfunktioner och programvara samt att det finns utrymme för undantag från certifieringsschemat om så krävs av det landets lagstiftning.

4.2 Pseudonymisering av uppgifter som överförs direkt till Microsoft

Som framgår av avsnitt 4.1 finns ingen möjlighet att förhindra att Microsoft ges åtkomst till de omfattande mängder information som överförs till Microsoft vid användning av Teams.

Frågan är om uppgifterna kan skyddas genom pseudonymisering, dvs. att ersätta personuppgifter som lagras i Azure AD med en identifierare. Pseudonymisering medför att personuppgifterna inte längre kan tillskrivas en specifik person utan att kompletterande uppgifter används. Några av de problem som uppstår med detta är:

• Det behöver säkerställas att inget utrymme ges för uppgiftsmottagaren, i det här fallet Microsoft, att komma över de kompletterande uppgifter som behövs för att identifiera personer, eller på annat sätt identifiera personerna (t.ex. genom att spåra deras aktiviteter i Teams). I sammanhanget är det av vikt att det inte är säkert att kodnycklarna skulle skyddas av sekretess.
• Azure AD tillsammans med Teams saknar funktionalitet som möjliggör denna nivå av systemövergripande pseudonymisering av information.
• Vid nyttjande av pseudonymisering i tjänster som Teams gör detta tjänsten oanvändbar för verksamheten. Samtal mellan personer baseras t.ex. på att deltagarna vet vilka de talar med. Vid en pseudonymisering förloras möjligheten att hantera sammankopplingen av deltagande individer i samtal vilket är en grundförutsättning för behovet av kommunikationstjänsten. Användare som inte kan identifiera de individer de interagerar med kan inte heller säkerställa rätt informationshantering och att enbart individer med verksamhetsbehov deltar i möten och tar del av annan skyddsvärd information.
• Statstjänstemän måste i normalfallet uppträda med sitt riktiga namn i kontakter med medborgare och företag.

Sammantaget kan en stor del av personuppgiftsbehandlingen i Teams inte pseudonymiseras. Till den del pseudonymisering ändå kan ske är det inte praktiskt gångbart om Teams ska användas på ett ändamålsenligt sätt. Till detta kommer att från början pseudonymiserade konton med tiden visa mönster som troligen skulle göra kontots aktivitet spårbar till enskilda personer, eftersom användningen av Teams loggas i stor omfattning.

Det ska tilläggas att om anonymisering, dvs. användande av uppgifter som helt saknar koppling till fysiska personer, skulle användas för de uppgifter som krävs vid licenshanteringen skulle Teams bli än mer oanvändbar. Dessutom, i likhet med vad som gäller vid pseudonymisering, kommer förmodligen inte anonymiseringen att kunna upprätthållas över tid med hänsyn till aktivitetsloggningen.

5 Möjligheter att använda Teams utifrån en riskanalys

5.1 Risker förknippade med att Microsoft får tillgång till hela myndighetens digitala videokommunikation och dokument

Skatteverket och Kronofogden bedriver verksamhet som till stora delar är författningsreglerade, inte minst mot bakgrund av de samhällsviktiga funktioner som respektive myndighet utför. Många av uppgifterna i myndigheternas verksamheter omfattas av sekretess för att skydda såväl de enskilda som det allmännas intresse. Härutöver behandlar myndigheterna känsliga personuppgifter gällande såväl de egna anställda som enskilda privatpersoner.

Om Skype ersätts med Teams som huvudsakligt verktyg för videomöten och samarbete i Skatteverkets och Kronofogdens verksamhet exponeras bl.a. följande informationssamlingar för risker:

• Information om alla anställda, inklusive respektive myndighets ledning.
• Information om medarbetarnas befattning.
• Information om myndigheternas interna organisationer, rutiner och arbetssätt.
• Information om vad som sägs vid flerpartssamtal mellan medarbetare i respektive myndighet och vid externa kontakter genom Teams.

Användning av Teams som samarbetsplattform aktualiserar även risköverväganden kring uppgifter som förekommer i dokument och snabbmeddelanden som kan bli föremål för såväl intern som extern åtkomst. Detta inkluderar arbetsmaterial som inte är diarieförda som allmänna handlingar. Det är således fråga om mycket stora informationssamlingar med känslig information från respektive myndighets verksamhet. Aggregerat och ackumulerat kan informationssamlingarna kräva en högre skyddsnivå än de enskilda uppgifterna eller handlingarna var för sig.

Skatteverket och Kronofogden har inte skäl att ifrågasätta den tekniska säkerheten hos Microsoft, tvärtom förefaller bolaget uppfylla en tillräckligt god säkerhetsnivå sett till hur informationen hanteras hos Microsoft. Att använda Microsofts infrastruktur utgör emellertid ett hot mot säkerheten för respektive myndighets information genom att Microsoft kan vara skyldig att dolt bereda amerikanska myndigheter tillgång till information från Skatteverkets och Kronofogdens verksamheter. Detta på urval av beslut som myndigheter inte får kännedom om eller har rättsliga möjligheter att angripa när amerikansk lagstiftning tillämpas extraterritoriellt.

Som framgår av avsnitt 3.2 är det inte möjligt att tekniskt begränsa åtkomsten till data som behandlas i Microsofts infrastruktur. Sett till sammanhanget har Skatteverket och Kronofogden inte funnit några andra effektiva säkerhetsåtgärder som ger uppgifterna adekvat skydd. Mot den bakgrunden och med beaktande av försiktighetsprincipen gör Skatteverket och Kronofogden bedömningen att Skype inte kan ersätta Teams ur ett risk- och säkerhetsperspektiv i myndigheternas verksamheter.

5.2 Risker förknippade med beroende till Microsoft

5.2.1 Inlåsningseffekter

Teams är inte en självständig applikation som kan användas som en enskild tjänst utan är ett komplement till andra applikationer i Microsofts programsvit. Det innebär att användning av Teams skapar beroenden för Skatteverket och Kronofogden i förhållande till Microsofts övriga tjänster och myndigheterna kan följaktligen inte enkelt byta ut enskilda komponenter i framtiden. Ett sådant beroende till en enskild leverantör är problematiskt för myndigheterna eftersom det finns stora fördelar med att fritt kunna välja olika tjänster och leverantörer allteftersom behov och teknik förändras.

Härutöver är det inte känt för Skatteverket och Kronofogden hur Teams lagrar data, metadata och loggar. Det i sig skapar också en teknisk inlåsningseffekt och försvårar myndigheternas förutsättningar för god dokumenthantering och arkivering.

5.2.2 Risker för avbrott i kontinuitet och risker med fortlöpande förändringar av applikationen

Om en myndighet väljer att flytta en del av sin verksamhet till en extern leverantör innebär detta att leverantören måste kunna säkerställa en kontinuitet som motsvarar lagstadgade krav på myndigheten.

Respektive myndighet behöver även genomföra en analys för hur dess kontinuitet påverkas av att flytta sin driftmiljö till en extern part och vilka åtgärder som krävs för att fortsätta säkerställa detta. Detta arbete är inte genomfört i Skatteverkets och Kronofogdens verksamheter.

Med en molntjänst som kontinuerligt förändras genom nya funktioner kommer det krävas en förvaltning som löpande granskar ny funktionalitet och om eventuellt nya bedömningar behöver göras. Utöver detta är det viss ny funktionalitet och förändringar i tjänsten som kunder inte kan påverka, i linje med hur publika molntjänster fungerar. Riskerna som kan accepteras kan vara helt annorlunda om ett år jämfört med idag.

5.2.3 Prisökningar på on-premise

Under föregående avtalsperiod, 2017-2020, höjde Microsoft priset[1] för on-premise-licenser med 12 % och för molntjänsterna med 11 %. I samband med Microsofts tillkännagivande av nästa version av Office Professional Plus har Microsoft med motivering att det är en produkt de inte tror så många kommer använda valt att höja priset[2] med 10 %.

Risken finns att kostnaden för Microsofts on-premise licenser ökar i förhållande till deras molntjänster samtidigt som funktionaliteten i on-premise är avsevärt mindre.

6 Möjligheter att använda Teams utifrån en rättslig analys

6.1 Offentlighets- och sekretesslagen (OSL)

Grundläggande för alla upphandlingar av tjänster där sekretesskyddade uppgifter kan tillgängliggöras för utomstående är att myndigheten alltid är ytterst ansvarig om det sker ett obehörigt röjande av uppgifterna. En myndighet måste därför alltid säkerställa att uppgifterna får ett effektivt och ändamålsenligt skydd och i övrigt hanteras i enlighet med gällande rätt.

En utkontraktering av digitala videomöten och samarbetsplattform leder till att tjänsteleverantören hanterar en stor mängd av myndigheternas uppgifter inom ramen för uppdraget. Utmärkande för den här typen av tjänster är att det pågår ett konstant uppgiftsflöde. Skatteverket och Kronofogden kommer vid användning av Teams att ha begränsade möjligheter att styra över vilka uppgifter som avhandlas under exempelvis ett videomöte eller vid fildelning även med beaktande av möjligheten att säkerställa tillämpningen av interna föreskrifter. Den stora mängden uppgifter gör att en rad olika sekretessbestämmelser kan aktualiseras och att de situationerna kan vara svåra att förutse. I det här perspektivet måste Skatteverket och Kronofogden också överväga om en eller flera underleverantörer kan komma att ges tillgång till myndighetens uppgifter.

Med hänsyn till respektive myndighets verksamhet och antalet anställda står det klart att sekretesskyddade uppgifter kommer att tillgängliggöras för Microsoft i samband med användning av Teams.

För att förhindra ett obehörigt röjande av sekretesskyddade uppgifter till utomstående kan Skatteverket och Kronofogden vid utkontraktering av it-tjänster typiskt sett vidta rättsliga, organisatoriska eller tekniska åtgärder. Skyddet kan upprätthållas genom att leverantören inte tillåts ta del av informationen eller att den information som blir tillgänglig för leverantören inte leder till skada eller men för det intresse som sekretessen avser att skydda.

I regel är det vanligt att Skatteverket och Kronofogden tecknar en sekretessförbindelse med en tjänsteleverantör. Sedan 2020 gäller lag om tystnadsplikt vid utkontraktering av teknisk bearbetning eller lagring av uppgifter vilket innebär ett utökat skydd för uppgifter genom att straffansvar medföljer för den som på grund av anställning m.m. hos tjänsteleverantören obehörigen röjer sekretesskyddade uppgifter för utomstående. Sammantaget finns det rent generellt möjligheter att skydda sekretesskyddade uppgifter när en extern it-leverantör anlitas.

Microsoft är emellertid ett amerikanskt företag som enligt amerikansk lag kan vara skyldig att bereda myndigheterna i hemlandet tillgång till uppgifter för att tillgodose underrättelseverksamhetens behov var än företaget har sin verksamhet. Frågan som uppstår är om de åtgärder som Skatteverket och Kronofogden kan vidta kommer att vara tillräckliga. Detta för att ge uppgifterna det skydd som krävs sett till a) uppgifternas mängd, b) sekretessens styrka och c) den men och skada som det innebär det intresse som sekretessen avser att skydda om uppgifterna blev tillgängliga för amerikanska myndigheter.

eSams juridiska expertgrupp har den 23 oktober 2018 konstaterat att om uppgifter görs tekniskt tillgängliga för en it-leverantör som till följd av ägarförhållanden är bunden av regler i ett annat land, enligt vilken tjänsteleverantören kan bli skyldig att överlämna information får uppgifterna anses vara obehörigen röjda. eSam anser att detsamma får anses gälla om redan ägarförhållande eller geografisk placering av leverantörens infrastruktur ger anledning att befara att skyddet för privatliv eller det allmännas intressen inte säkerställs. Enligt eSams bedömning krävs att tjänsteleverantören enligt avtal inte får ta del av eller vidarebefordra uppgifter som finns tillgängliga för dem och att omständigheter i övrigt medför att det är osannolikt att detta ändå sker. I det här perspektivet beaktas bl.a. möjligheterna att kunna vidta rättsliga åtgärder mot den som bryter mot parternas överenskommelser vilket kan vara problematiskt när det gäller utländska bolag som är bundna av andra rättsordningar.

Det står klart för Skatteverket och Kronofogden att Teams som huvudsaklig video- och samarbetsplattform medför att stora mängder skyddsvärda och sekretesskyddade uppgifter kommer att bli tillgängliga för Microsoft. Med anledning av vad som har framkommit om de amerikanska övervakningsprogrammen i bl.a. EU-domstolens avgörande Schrems II (C-311/18) finns det en reell risk för att uppgifterna som amerikanska bolag får tillgång till kan komma att lämnas vidare till det egna landets myndigheter. Uppgifterna omfattas i regel av sekretess och ett utlämnande av uppgifter skulle, genom risken för vidareförmedling, innebära skada eller men för det intresse som sekretessen avser att skydda. Härutöver är det klart att Skatteverket och Kronofogden inte kan förhindra åtkomst till uppgifterna genom tekniska eller organisatoriska åtgärder. Det finns också ett begränsat utrymme för rättsliga åtgärder mot Microsoft, dels för att uppgiftsöverföringen kan ske dolt utan att Skatteverket och Kronofogden har kontrollmöjlighet dels för den begränsade möjligheten att vidta civilrättsliga eller straffrättsliga åtgärder mot enskilda som befinner sig utanför Sverige och dessutom agerar med stöd av amerikansk lagstiftning.

Avsaknaden av effektiva rättsliga, tekniska eller organisatoriska åtgärder medför att Skatteverket och Kronofogden inte kan leva upp till offentlighets- och sekretesslagens krav att hindra ett obehörigt röjande av sekretesskyddade uppgifter i respektive myndighets verksamhet. Det innebär att användning av Teams blir otillåten enligt OSL när sekretesskyddade uppgifter överförs till Microsofts infrastruktur.

6.2 Dataskyddsförordningen

6.2.1 Personuppgifter som överförs till USA

Användning av Teams innebär som framgått att personuppgifter förs över till Microsofts infrastruktur och som framgår av avsnitt 3.1 kommer vissa uppgifter att överföras direkt till USA.

Skatteverket och Kronofogden får inte längre överföra personuppgifter till USA med stöd av EU-kommissionens beslut om Privacy Shield enligt artikel 45.1 i EU:s dataskyddsförordning. Beslutet upphävdes den 16 juli 2020 av EU-domstolen och det framgår klart av domen att det föreligger en omedelbar konflikt mellan utformningen av de amerikanska övervakningsprogrammen och EU:s rättighetsstadga.

För överföring av personuppgifter till USA med stöd av EU-kommissionens standardavtalsklausuler krävs att det vidtas ytterligare förstärkningsåtgärder för att uppnå ett tillräckligt skydd av den personliga integriteten. Eftersom det idag saknas kända praktiska lösningar som förhindrar Microsoft från att ta del av uppgifterna som överförs till bolaget vid användningen av Teams är detta inte möjligt. Uppgifter kan därför inte föras över med stöd av standardavtalsklausulerna.

Någon möjlighet för Skatteverket och Kronofogden att tillämpa undantagsbestämmelser i artikel 49 i dataskyddsförordningen finns inte eftersom det är fråga om omfattande och regelmässiga överföringar av personuppgifter till tredjeland. Det är en sak att använda Teams för externa möten när andra alternativ saknas, men en annan att ersätta myndigheternas huvudsakliga video- och samarbetsplattform. Eftersom det finns andra alternativ än Teams för videomöten, är utrymmet snävt för att tillämpa en undantagsgrund för överföring av personuppgifter till tredjeland.

6.2.2 Risker för olovlig överföring av personuppgifter till USA

Av särskilt intresse är risken för ett olovligt röjande genom att uppgifterna överförs av Microsoft till amerikanska myndigheter. Detta kan komma att ske genom amerikanska extraterritoriell övervakningslagstiftning, framförallt FISA 702, och medför, om en amerikansk begäran efterföljs, ett olovligt röjande och tredjelandsöverföringar i strid med dataskyddsförordningen.

Vad gäller risken att de amerikanska myndigheterna i praktiken bereder sig tillgång till uppgifterna är det problematiskt med sannolikhetsbedömningar, eftersom leverantörer som lämnar ut information regelmässigt är belagda med tystnadsplikt. Om de amerikanska myndigheterna skulle begära ut uppgifter är detta ingenting som Skatteverket och Kronofogden kan räkna med att bli informerade om. Det finns dock anledning att anta att uppgifterna kan vara intressanta för de amerikanska myndigheterna eftersom de inte är tillgängliga på något annat sätt. Till detta kommer att Microsoft bedöms ha små möjligheter att kunna motsätta sig ett utlämnande som strider mot dataskyddsförordningen, och att eventuella utfästelser om att göra detta därför inte räcker som garanti för att lämpliga åtgärder kommer att vidtas för att skydda de registrerades rättigheter.

Vad gäller konsekvensbedömningen vid ett olovligt röjande är uppgifternas känslighet eller skyddsnivå (till exempel genom sekretess) och mängden uppgifter avgörande. Som Skatteverket och Kronofogden arbetar idag med digital kommunikation skulle omfattningen av de uppgifter som behandlas i Teams vara mycket omfattande. Det handlar om i princip varje uppgift som kommuniceras internt och externt. Se närmare avsnitt 3.2 men för att nämna några ges följande exemplifiering:

• Ärenderelaterade uppgifter och personuppgifter som omfattas av sekretess,
• personuppgifter om den egna personalen som i vissa fall omfattas av sekretess,
• uppgifter som avslöjar myndigheternas organisation på ett uttömmande sätt,
• uppgifter om myndigheternas arbetsmetodik och övriga infrastruktur,
• uppgifter av strategisk betydelse för respektive myndighets ledning, och
• ansiktsbilder på samtliga anställda, övriga myndighetsanställda och övriga enskilda som deltar i videomöten med respektive myndighet.

Skatteverket har redan vissa interna begränsningar i vilken mån ärenderelaterade uppgifter får kommuniceras genom Skype. Några sådana begränsningar finns inte i Kronofogdens ordinarie verksamhet. Även om det med interna riktlinjer går att försöka begränsa mängden känslig och sekretessreglerad information som görs tillgänglig för Microsoft innebär en användning av Teams som huvudsaklig video- och samarbetsplattform att det inte går att förhindra att stora mängder känsliga och sekretesskyddade uppgifter ändå kan bli tillgänglig för bolaget, i synnerhet inte sett till respektive myndighets verksamhet och antalet anställda. Dessutom skulle alltför stora inskränkningar i vad som får sägas eller delas vid användning Teams i praktiken leda till att syftet med användningen av Teams, dvs. ett behov av en effektiv samarbetsplattform, går förlorad.

Olovligt röjande av denna information till amerikanska myndigheter skulle kunna leda till mycket allvarliga konsekvenser både för registrerade och för myndigheterna.

Skatteverket och Kronofogden gör följande bedömning:

1. Som framgår av avsnitt 4.1 finns ingen möjlighet för Skatteverket och Kronofogden att förhindra en olovlig personuppgiftsöverföring till USA genom tekniska åtgärder och organisatoriska åtgärder är inte tillräckliga i detta sammanhang,
2. det finns skäl att anta uppgifterna skulle vara av intresse för de amerikanska myndigheterna eftersom de inte är tillgängliga på annat sätt, dvs. det finns en reell risk för att uppgifterna faktiskt överförs,
3. myndigheterna har inga kontrollmöjligheter för att upptäcka om sådan överföring sker,
4. omfattningen av personuppgifterna är stor,
5. personuppgifterna, i synnerhet i Skatteverkets verksamhet, är känsliga, och
6. en olovlig personuppgiftsbehandling och överföring innebär stora negativa konsekvenserna för de enskilda vars personuppgifter behandlas i respektive myndighets verksamhet.

En riskbedömning enligt dataskyddsförordningens bestämmelse om lämpliga tekniska och organisatoriska åtgärder lämnar enligt Skatteverkets och Kronofogdens bedömning inget utrymme för att ersätta Skype med Teams. Detta även om Microsoft endast skulle behandla personuppgifter i EU och Microsofts utfästelse om att motsätta sig domstolsbeslut i sig skulle accepteras som en tillräcklig garanti för att dataskyddsförordningens bestämmelser skulle följas. Riskerna för att ett utlämnande sker är för stora och konsekvenserna är för allvarliga.

Mot den bakgrunden anser Skatteverket och Kronofogden att det inte finns förutsättningar för användning av Teams i myndigheternas verksamhet som huvudsakligt verktyg för video- och samarbeten.

6.3 Brottsdatalagen

I Skatteverkets verksamhet förekommer personuppgiftsbehandling som omfattas av Brottsdatalagen. Skatteverket är behörig myndighet[3] i den verksamhet som rör brottsbekämpning, vilket innebär att brottsdatalagen blir tillämplig i den verksamheten. I den verksamheten får Skatteverket enligt 8 kap. 1 § brottsdatalagen överföra personuppgifter till ett tredjeland endast om överföringen är nödvändig för att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott, verkställa straffrättsliga påföljder eller upprätthålla allmän ordning och säkerhet. Dessutom ska överföringen riktas till en behörig myndighet i ett tredjeland och omfattas av ett beslut om adekvat skyddsnivå, tillräckliga säkerhetsåtgärder eller ett undantag för särskilda situationer. Myndigheten ska särskilt beakta risken för att enskilda får ett försämrat skydd för sina personuppgifter.

Skatteverkets brottsdatalag innehåller inte några avvikande bestämmelser från brottsdatalagen vad gäller tredjelandsöverföring, vilket betyder att bestämmelserna i brottsdatalagen gäller.

Bestämmelsen i 8 kap. 1 § brottsdatalagen tar sikte på överföringar som krävs för att utföra brottsbekämpande uppgifter där överföringen riktar sig till behöriga myndigheter i tredjeland. Om Teams används av Skatteverket finns det en risk för överföring av personuppgifter till tredjeland som inte är en överföring som Skatteverket avser att göra och som inte riktar sig till behöriga myndigheter i tredjeland. Den sortens överföring kan inte omfattas av 8 kap. 1 § i brottsdatalagen.

De enda situationer då tredjelandsöverföring enligt brottsdatalagen får ske till andra än behöriga myndigheter i ett tredjeland är de som omfattas av 8 kap. 8 § brottsdatalagen. Det rör sig om enskilda fall när ett första villkor för tillämpning är att övriga villkor i 8 kap. 1 § brottsdatalagen är uppfyllda. Redan att det ska röra sig om enskilda fall och att överföringen ska vara nödvändig för brottsbekämpande ändamål gör att det är mycket osannolikt att användning av Teams skulle kunna omfattas av bestämmelsen i 8 kap. 8 § brottsdatalagen.

Av det ovanstående följer att det inte finns något lagligt utrymme för den tredjelandsöverföring som Skatteverket inte avser att göra och som kan ske genom Skatteverkets användning av Teams.

Enligt 3 kap. 16 § brottsdatalagen ska den personuppgiftsansvarige innan ett personuppgiftsbiträde anlitas försäkra sig om att biträdet kommer att vidta de lämpliga tekniska och organisatoriska åtgärder som krävs för att behandlingen ska vara författningsenlig och för att skydda registrerades rättigheter. Detta innebär bland annat att den personuppgiftsansvarige ska se till att personuppgifterna som biträdet hanterar av biträdet skyddas mot olaglig tredjelandsöverföring.

Som framgår av avsnitt 6.2 är Skatteverkets och Kronofogdens uppfattning att Microsofts eventuella utfästelser om att motsätta sig begäran från amerikanska myndigheter om utlämnande av personuppgifter inte en tillräcklig åtgärd för att skydda personuppgifterna. Detta eftersom en sådan utfästelse inte binder de amerikanska myndigheterna. De enda säkerhetsåtgärder som skulle vara tillräckliga är sådana som hindrar Microsofts åtkomst till personuppgifterna och sådana åtgärder är inte möjliga att vidta i Teams.

Sammantaget bedömer Skatteverket att personuppgifter som omfattas av brottsdatalagens område inte kan hanteras i Teams, oaktat att OSL ofta torde utgöra ett första hinder för detta.

7 Lämplighet

Utöver alla tekniska, funktionella och rättsliga frågeställningar finns även en mer övergripande frågeställning, den om lämplighet. Vilka tjänster är lämpliga att använda och vilken information är lämplig att lagra och bearbeta i externa tjänster?

En myndighet måste bedöma hur andra länder, i enlighet med sin lagstiftning, kan skaffa sig åtkomst till information som tillhör myndigheten utan att myndigheten är informerad om åtkomsten. Om myndigheter i andra länder faktiskt skaffar sig åtkomst eller inte är oväsentligt så länge möjligheten finns. Mot detta hot kan leverantörer från andra länder ange i sina avtal att de kommer försöka bestrida sådan åtkomst och att de kommer försöka skydda kundens information och intressen. I slutändan är det dock myndigheter i det andra landet som beslutar om tillgången. Oaktat detta är det olämpligt att myndigheter överlåter till en kommersiell leverantör att besluta om att bestrida en begäran om utlämnande till andra länders myndigheter. I slutändan agerar myndigheten då inte till fullo under lagarna i Sverige utan överlåter detta i viss mån till myndigheter i annat land.

Den svenska marknaden för molntjänster domineras idag av tre amerikanska molntjänstleverantörer, antingen direkt eller indirekt genom att andra leverantörer har sin drift hos någon av dessa tre amerikanska molntjänstleverantörer. Redan idag samlas stora mängder information från svenska myndigheter hos dessa tre molntjänstleverantörer vilket ökar samhällets sårbarhet, eftersom störningar hos någon av dessa molntjänstleverantörer kommer påverka många myndigheter samtidigt. Svenska myndigheter saknar inblick i hur mycket, aggregerad och ackumulerad, information som finns hos dessa tre molntjänstleverantörer vilket i sig är en risk för samhället och totalförsvaret.

Tidigare har fokus hos myndigheter gällande val av it-baserade tjänster ofta handlat om t.ex. kostnadseffektivitet, bekvämlighet och/eller leverantörsinlåsning. Mot bakgrund i bl.a. den förhöjda hotbilden mot Sverige, upprustningen av totalförsvaret, skärpningarna av säkerhetsskyddslagen och utvecklingen på dataskyddsområdet är det uppenbart att myndigheter behöver beakta fler parametrar än tidigare, primärt gällande säkerhet och digital suveränitet. Att Skatteverket och Kronofogden i sitt val av lösning för digital kommunikation och samarbete skulle bortse från riskerna för Sveriges suveränitet är då inte möjlig.

8 Rekommendationer

8.1 Behöver Skype ersättas?

Microsoft har en uttalad ”cloud first”-policy vilket innebär att ny funktionalitet alltid först implementeras i molntjänsterna och släpps eventuellt senare i en uppdatering för on-premise. I nästa version av Skype satsar Microsoft på att förbättra både integration med och verktyg för migration till Teams. Microsoft går också över till en prenumerationsbaserad licensmodell och har antytt att de avser att oftare släppa uppdateringar liknande Semi-Annual Channel-versionen av Windows Server. Dessa uppdateringar ger möjlighet att snabbare införa ny funktionalitet och kommer vara möjliga att installera utan stora migrationsprojekt genom s.k. in place-uppgradering.

Denna version beräknas släppas i slutet av 2021 med förmodat produktnamn Skype for Business 2022. Troligtvis kommer den att följa Microsofts tidigare supportmodell med fem års mainstream support och två års extended support. Det innebär att Skype kommer att finnas kvar som alternativ inom en överskådlig framtid. Skatteverket och Kronofogden har i dagsläget således inget akut behov av att ersätta Skype, däremot kommer en uppgradering av Skype till senare version behövas för att fortsätta använda Skype med mainstream support.

Microsoft har även annonserat att nästa version av Office on-premise inte kommer ha någon inbyggd Skype-klient utan den kommer att vara en separat nedladdning. Istället är det Teams som kommer ingå i nästa version av Office on-premise.

8.2 Kan Teams ersätta Skype?

Slutsatsen, baserat på säkerhet, juridik och lämplighet, är att Teams i nuläget inte kan ersätta Skype hos Skatteverket eller Kronofogden.

Det skulle krävas att Microsoft skulle vidta väsentliga ändringar i Teams för ett annat övervägande och då kvarstår ändå problematiken kring lämplighet och inlåsningseffekter. Fokus bör därför vara att utforska alternativ till Skype som både är lämplig och minimerar inlåsningseffekter.

8.3 Tillåta deltagande i Teams-möten

Skatteverket och Kronofogden har behov av att delta i externa videomöten där myndigheterna inte kan välja vilken plattform som används. I många sammanhang bjuds myndigheterna in till Teams-möten. Det har konstaterats ovan att användning av Teams i egen regi ofrånkomligen innebär såväl en direkt överföring av personuppgifter till USA genom licensaktivering som en risk för överföring vid behandling av personuppgifter i tjänsten.

Skillnaden mot tillfällig användning av Teams i någon annans regi är dels att ingen direkt överföring av personuppgifter sker till USA eftersom myndigheterna inte hanterar konton och licenser, dels att hanteringen av personuppgifter i högre grad kan begränsas då aktiviteten i Teams inte är kopplade till ett personligt konto och det rör sig om enstaka möten. Till detta kommer att deltagarna i videomöten i viss utsträckning bestämmer själva vilka personuppgifter de delar med sig av. Spridning av personuppgifter kan härigenom begränsas och spridning av sekretessbelagda uppgifter kan uteslutas genom regler och riktlinjer vid medarbetarnas användning av Teams.

Skatteverkets och Kronofogdens sammantagna bedömning är att det ska vara tillåtet för myndigheterna att använda Teams vid externa möten när verksamheten kräver det men att hanteringen av personuppgifter och sekretessbelagda uppgifter ska regleras genom regler och riktlinjer som görs kända för medarbetarna. Möjligheten att ansluta till dessa möten kan ske antingen via webbläsare eller Teams-klient. Skatteverkets och Kronofogdens uppfattning är att klienten ger utökad funktionalitet som efterfrågats av verksamheten samtidigt som ljud och bild får bättre kvalitet.

8.4 Alternativa lösningar

Rekommendationen är att utforska alternativ till Skype som videolösning men framförallt alternativ till Teams som samarbetsplattform.

Lösningen bör innehålla t.ex. videomöte, chatt, kontorsstöd, dokumenthantering och digitala samarbetsfunktioner. Alternativ på marknaden har identifierats som innehåller samtliga delar men ett annat alternativ är att kombinera olika programvaror.

Kostnaden för en alternativ lösning behöver ställas mot kostnaden att uppgradera licenserna från Microsoft, ca 30 miljoner kronor och ytterligare skyddsåtgärder för att försöka läka bristerna i Teams.

Både Skype och flera alternativa lösningar för med sig betydande inlåsningseffekter vilket skapar osunda leverantörsberoenden. Framtida lösning bör därför vara:

• En lösning som kan anpassas efter våra behov över tid.
• En lösning som både kan köpas som tjänst och on-premise.
• En lösning med öppna API:er som möjliggör enkel integration.
• En lösning som vi antingen på egen hand eller genom leverantörer kan modifiera och vidareutveckla.

Fördelarna med att utvärdera tillsammans med andra myndigheter är att snabbare kunna utvärdera funktioner i tjänster med gemensamma krav. För Skatteverket och Kronofogden bör utvärderingen av alternativ ske gemensamt och med en tvärfunktionell arbetsgrupp som driver arbetet. Denna arbetsgrupp kan då samarbeta med övriga myndigheter som ställer sig bakom denna promemoria. Styrgrupp för arbetsgruppen bör vara respektive myndighets it-direktör. Arbetet påbörjas under maj 2021 och ett färdigt förslag om väg framåt bör kunna presenteras oktober 2021.

[1] https://news.microsoft.com/sv-se/2018/06/11/licensing-update/ Länk till annan webbplats. senast kontrollerad den 3 maj 2021.

[2] https://www.microsoft.com/en-us/microsoft-365/blog/2021/02/18/upcoming-commercial-preview-of-microsoft-office-ltsc/ Länk till annan webbplats. senast kontrollerad den 3 maj 2021.

[3] En behörig myndighet är enligt 1 kap. 6 § brottsdatalagen 1. En myndighet som har till uppgift att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott, verkställa straffrättsliga påföljder, eller upprätthålla allmän ordning och säkerhet, när den behandlar personuppgifter för ett sådant syfte, eller 2. en annan aktör som har anförtrotts myndighetsutövning för ett syfte som anges i 1, när den behandlar personuppgifter för ett sådant syfte.