Så hanterar du GDPR när du använder Teams

GDPR Vid ett besök hade den nya kunden 88 000 Team igång. Här berättar Dorites grundare Sven Engborg om appen som ger koll på antalet Team samt deras information. Och juristen Mathias Strand förklarar hur Teams blir kompatibelt med GDPR.

Så hanterar du GDPR när du använder Teams

Det är en vattendelare. Flera svenska kommuner och myndigheter har gjort bedömningen att deras organisationer inte kan använda Teams utan komma i konflikt med GDPR. Detta på grund av risken för att exempelvis amerikansk säkerhetstjänst avkräver Microsoft uppgifter om deras europeiska kunder, då även data som lagras i Sverige. 

Någonting är fel

Du är inloggad som prenumerant hos förlaget Pauser Media, men nånting är fel. På din profilsida ser du vilka av våra produkter som du har tillgång till. Skulle uppgifterna inte stämma på din profilsida – vänligen kontakta vår kundtjänst.
Telekom idag premium

Läs vidare – starta din prenumeration

  • Tillgång till vår digitala Premium-tjänst om professionell kommunikation.
  • Nischade nyhetsbrev för Professional och Contact Center.
  • Få tillgång till alla avsnitt i vår utbildnings-tv om Teams, SD-Wan och Chattbotar.
  • Sex papperstidningar om året med tydligt fokus på Telekom-branschens viktigaste frågor.
Redan prenumerant?

Sven Engborg är konsult, föreläsare och grundare av Dorite. Han slår fast att myndigheter i USA förvisso har laglig rätt att begära in uppgifter om svenskar som blir föremål för en brottsutredning på amerikansk mark. Det krävs dock en allvarlig åtalspunkt, och Microsoft har dessutom sagt att de kommer överklaga varje sådant krav till högsta instans. 

– Hela GDPR handlar om att man ska jobba med ett riskperspektiv, ett riskscenario. Om man har gjort allt rätt så är ju riskerna plötsligt oerhört små, och de blir inte lägre bara för att du flyttar data till en europeisk leverantör – om du inte vidtar de rätta åtgärderna. Ordning, reda och kontroll är ju ett sätt att vara GDPR-fähig, men även att leva upp till andra interna och externa krav, exempelvis de egna regelverken samt från andra myndigheter, säger Sven Engborg till Telekom idag. 


Information under radarn

En förutsättning är att man har en överblick över alla de Team som skapas, och vet vad som finns i dem. Europeiska dataskyddsstyrelsen (EDPB) föreskriver att man ska tillämpa skyddsåtgärder om man arbetar i Teams, för att bli mer compliant. En grundprincip är att man har ordning och reda på informationen, och hos många organisationer lagras mycket information i Teams i form av dokument, chattar, anteckningar och annat. 

– Informationen i Teams-ytan flyger ju helt under radarn, för det är ingen som har koll på vad det är för Team, vilka människorna är eller vilken information som de hanterar. Vad gör vi när Teamet är över? Hur städar man det? Om någon slutar, vem har då ansvar för att ta bort den personen? Vad händer om ägaren av Teamet slutar? Har Teamet externa gäster? Det är jättemycket av ”governance” som saknas på den typen av Teams-ytor, säger han. 

Utöver att många organisationer inte har koll på sina Team så plockas de allt för sällan bort, och därför har antalet en tendens att växa. Sven Engborg berättar att en svensk verksamhet som är kund till Dorite hade 88 000 Team igång. 


Appen ger kontroll

Det finns dock appar som gör det möjligt att ta kontroll. En av dem är utvecklad av Dorite. Den innebär att personen som ska skapa ett Team måste gå via ett formulär i appen. Där kan man se information som exempelvis vilken avdelning eller kanske process som är kopplad till Teamet, och vad det är för typ – kanske ett projekt eller ett avdelningsteam? Man kan även se om den information som de hanterar är känslig eller inte.

– Det är metadata om Teamet som sedan kan sparas i en katalogtjänst där du väldigt enkelt kan filtrera fram alla Team som exempelvis har kommit till HR-avdelningen. Då får man väldigt snabbt en överblick – är det rätt människor? Verkar de göra rätt saker, eller är det något som jag känner att vi måste ta tag i? Då får man ett verktyg där man verkligen kan börja få kontroll på vad som finns, säger Sven.

Han konstaterar att Microsoft har gjort så att det ska vara enkelt att skapa Teams. De ville ha en snabb onboarding och har därför inte lagt energi på att skapa governance kring detta.

– En skillnad med Teams är att hela behörighetshanteringen är delegerad ut till den enskilda användaren. Så har det ju aldrig varit förut. Om man tidigare ville ha en mapp så behövde man kanske kontakta servicedesk eller en chef och säga att man ville ha en mapp avsedd för ett specifikt projekt, och berätta vilken information man hade tänkt dela där. Men man kan skapa ett Team, kanske med externa gäster, och sedan är det bara att köra, säger han. 


Verksamheterna är inte beredda

Sven Engborg anser att verksamheterna inte är beredda på vad en sådan här superdelegering av informationen utan en behörig administration innebär. 

– Om jag som säljare skapar ett Team för en kund eller för ett offertarbete, då är det inte säkert att säljchefen har koll på det. Andra vet inte vem som är med i Teamet, och om jag då slutar och går till en konkurrent så har man ingen aning om vad som händer med informationen i det här Teamet. Man kanske måste göra en snabb åtgärd, som att slänga ut personen och få ut informationen, säger Sven Engborg. 

Att skydda individers integritet är den viktigaste aspekten med GDPR, och med appen kan verksamhetschefen ha koll på sina Teams, ta ansvar för informationen och eventuellt kryptera den om innehållet är extra känsligt. 


För förenklad syn i Sverige

Mathias Strand har en lång erfarenhet inom svensk och europeisk digitalisering, bland annat från sin tidigare roll som chefsjurist på Microsoft. Han är i dag rådgivare och expert inom området, och tycker att det är märkligt att vissa kommuner ratar en tjänst som exempelvis används av den hårt reglerade bankvärlden.    

– När det kommer till GDPR och integritetsfrågan så är min uppfattning att det på många håll, speciellt i Sverige, finns en förenklad syn kring att man inte kan använda vissa verktyg, som Teams för att GDPR står i vägen för detta. Men det är ingen tvekan om att det finns en framkomlig väg för användande av molntjänster såsom Teams, säger Mathias Strand till Telekom idag. 

Det krävs att man i förväg har gjort sitt arbete i form av risk- och sårbarhetsanalyser, vilket alla myndigheter, organisationer och företag behöver göra oavsett val av verktyg. Det är bedömningar kring typen av data som förekommer i Teams. Om det finns risker så bör man titta på mitigerande åtgärder, exempelvis tilläggsfunktioner, rutiner och regler samt garantier i avtalen. 


Rädsla ger förbud

Efter det kommer ofta frågan om tredjelandsöverföring upp, det vill säga åtkomst till data av part utanför EU. Som ansvarig för hanteringen av personuppgifter har du en omsorgsplikt och behöver se till att du vet hur det ser ut och att tillräckliga garantier och skydd finns på plats.

Mathias Strand var tidigare chefsjurist på Microsoft. Idag driver han egen verksamhet.

– I min erfarenhet så är detta vad  många är rädda för, så man gör det arbetet väldigt enkelt. Det finns en risk för åtkomst utifrån – ja då blir det förbud, och så kan vi inte använda tjänsten. Då bannlyser man ett jätteviktigt verktyg som är nödvändigt för väldigt många andra aspekter. Då har man missat hela tanken med hur man gör en risk- och sårbarhetsanalys, säger Mathias. 

Man ska jämföra riskerna med att använda Teams, respektive en annan tjänst, eller ingen tjänst alls. Sedan tittar man på allvarligheten i riskerna och huruvida sannolikheten är låg eller hög. 

– Då är det mycket enklare att överskåda hela scenariot eller paketet, och där kommer man inte sällan fram till att riskerna med införandet av Teams i det stora flertalet arbeten inte bara är möjligt utan också något att föredra, Man får inte glömma att molntjänster har stora fördelar när man väger in cybersäkerhetsaspekter.

Experten anser att molntjänster behövs för att kunna bygga upp ett skydd mot cyberangrepp, såsom belastningsattacker.

– Hur snabbt övergick inte Ukraina till en moln-infrastruktur efter krigsutbrottet i februari?  


Sverige ligger efter inom etisk ai

Mathias Strand pratar om fyra områden inom digitalisering och reglering. Utöver dataintegritet tillkommer rådighet och sekretess, samt cybersäkerhet. Det fjärde området är algoritmerna och ai som ska jobba med datan. 

Nu riktar EU mycket fokus mot ansvarstagande ai, eller etisk ai. Där anser Mathias Strand att Sverige ligger efter, för i den kommande EU-regleringen, “AI Act”, kommer krav på att man har gjort bedömningar av de olika algoritmer man använder. 

Här handlar riskerna om fördomsfulla algoritmer som gör felaktiga urval. Faran är system som antingen har byggts fel eller tränats fel så att de diskriminerar. Ett exempel kan vara en AI-funktion för att sålla bland arbetssökandes cv:n, vilket ses som ett högrisk ai-system med en mängd krav vad gäller dokumentation och förhandsgranskning. Han menar att det finns många obehagliga exempel där man aningslöst har börjat använda ai-system med katastrofala följder.

– Ta bara exemplet med systemet för barnomsorgsförmåner i Nederländerna som felaktigt anklagade tusentals familjer för bidragsfusk, delvis på grund av en algoritm som konstaterade att förekomsten av dubbla nationaliteter ökade risken för bedrägligt beteende. Med de nya EU-reglerna så blir böterna dryga och det ska bli lättare för enskilda att stämma och hålla myndigheter och företag ansvariga för konsekvenserna, säger Mathias Strand.

Senaste artiklarna

Telekom idag

Telekom idag Premium

Nyhetstjänsten för dig som jobbar med professionell kommunikation. Nu med nya nischade nyhetsbrev för ditt intresseområde och utbildnings-tv om aktuell teknik.