Kyrkan väljer it-plattform som Stockholm ratat: Blir säkrare

I förra veckan kom beskedet att Stockholms stad har stoppat ett planerat införande av Microsofts molntjänst 365 i stadens förvaltningar och bolag, vilket Realtid var först att rapportera om. Detta efter att en utredning kommit fram till att man då inte hade kunnat garantera skyddet av känsliga personuppgifter.

Svenska kyrkan är däremot i färd med att börja använda tjänsten. Detta efter att kyrkomötet i november klubbade att Svenska kyrkan skulle gå över till ett enhetligt system, i stället för hur det har varit förut, att alla församlingar har sin egen lösning.

– Så vi går inte, som Stockholm, från en säker plattform till en teoretiskt osäker plattform, vi går från en hysteriskt dålig sjutton-varianter-på-plattformar till en säker plattform. Vi ökar alltså vår säkerhet medan Stockholm, från en bättre position, minskar sin säkerhet, säger Per Starke, som är chef för avdelningen för gemensamma funktioner i Svenska kyrkan.

Bakgrunden till Stockholms stads beslut är GDPR-lagen i kombination med den så kallade Schrems II-domen. Enligt den har EU-domstolen slagit fast att det avtal, Privacy Shield, som amerikanska företag har använt för transatlantisk överföring inte är giltigt. Detta eftersom underrättelselagen Fisa ger amerikanska myndigheter rätt att inhämta data från amerikanska datakommunikationsföretag. Där ingår även personuppgifter som ägs av europeiska företag och berör EU-medborgare.

Den österrikiska advokaten och aktivisten Maximilian Schrems har drivit fallet, därav namnet. Tillämpningen av domen är något som många nu brottas med.

– När det gäller den frågan så har integritetsskyddsmyndigheten, IMY, den på sitt bord och de har ännu inte gett något utslag. Men om IMY kommer med någon riktlinje som gör att vi får omvärdera det så gör vi ju det, säger Per Starke.

Den frågan är än så länge en teoretisk risk, menar Per Starke. Men när det gäller den mer praktiska problemställningen så kommer det nya systemet att förbättra säkerheten för personuppgifter.

Mer konkret innebär det att i stället för att personuppgifter skickas som bifogade filer i ett mejl, som ofta sker i dag, så skickas en länk som bara mottagaren kan öppna. Uppgifterna utsätts alltså aldrig för möjlig avlyssning.

– Som läget är i dag, när Svenska kyrkan har olika system och olika plattformar så läcker det personuppgifter som ett såll.

Vad finns det för alternativ till Microsoft 365?

– Det man skulle kunna göra är antingen att egenutveckla, vilket skulle vara hur dyrt som helst, eller att man gör ett hopplock med en mängd olika leverantörer, men ingen av dem får ju vara amerikansk i så fall, säger Per Starke, och fortsätter:

– Ska man vara konsekvent så får man sluta googla, använda Instagram, Twitter, allting som ligger utanför EU har det här problemet, så du kan ju inte använda någon programvara vars moderbolag sitter utanför EU, och då kan du ju tänka dig hur mycket möjligheter du har i it-världen. De är nästan noll.

Han tycker ändå att det är bra att Stockholms stad markerar. Och företagen jobbar på olika lösningar för att inte på sikt riskera att få problem med den europeiska marknaden.

– Alla organisationer, företag, myndigheter i hela Europa sitter ju i samma rävsax, och det är jättebra att Stockholms stad gör det de gör. De myndigheter som gör som Stockholm är väldigt få, jämfört med alla som använder amerikanska produkter, men det är jättebra att de sätter press på de här stora amerikanska leverantörerna att hitta lösningar.