”Vi har inga alternativ”
En analys av alternativ till Office 365
Sedan den 16 juli 2020, då den österrikiska juristen och aktivisten Max Schrems vann det mål som blivit känt som ”Schrems II”, har frågan om så kallade tredjelandsöverföringar till USA orsakat huvudbry hos många. Det finns många bra längre analyser av vad domen innebär, men inom den offentliga sektorn har rättsfallet i synnerhet inneburit ett ökat intresse för digitala tjänster utanför de traditionella leverantörerna. Bara under 2022 har flertalet stora offentliga aktörer aktivt valt bort, eller planerar att fasa ut, amerikanska molntjänster som Microsoft, Amazon och Google. Frågan har inte bara berört GDPR, eller Dataskyddsförordningen, utan också allmänna sekretess- och informationssäkerhetsfrågor.
För de som har fattat beslutet att välja bort eller fasa ut sina amerikanska moln- och tjänsteleverantörer uppstår frågeställningen hur de berörda tjänsterna ska ersättas. Vi har under internets historia i princip kunnat agera som om landsgränser inte har existerat, och näst intill varje produkt som finns i en vanlig dator har någon koppling till ett amerikanskt företag. I synnerhet Microsoft har, med operativsystemet Windows och mjukvarupaketet Office, haft en tydlig dominans inom svensk offentlig sektor. Tidigare upplagor av Office har tillåtit användaren att förvara datan helt på egna servrar (on prem), men i och med Office 365 har Microsoft tvingat in sina kunder i deras egna moln.
Många aktörer som skulle vilja byta ut sina Microsoftprodukter stannar kvar för att de upplever att det inte finns några alternativ. Med anledning av detta har aktörer inom den offentliga förvaltningen under senare tid genomfört en rad utredningar. Mest känd är den som gjorts inom ramen för eSamverkansprojektet (eSam). I ett arbete initierat av Skatteverket och Kronofogdemyndigheten har åtta myndigheter med stöd av en referensgrupp på 121 organisationer utrett vilka alternativ som finns till tjänster som Office 365. Kravställningen var mycket omfattande så väl tekniskt som juridiskt.
Funktionellt ställdes fem så kallade ska-krav: videokonferens, dokumenthantering, fasta chattrum, kanban-tavla och whiteboard. Utifrån kraven kunde utredningen konstatera att två av de många alternativ som behandlats genomgående klarade de högt ställda kraven, och utöver dessa fanns det flera alternativ som ansågs funktionella för en eller flera av de fem grundläggande funktionerna som efterfrågats. De två huvudalternativen heter Nextcloud och Compliant Office. Det är två funktionellt lika men strukturellt olika tjänstepaket.
Vad gäller Compliant Office, en produkt skapad av företaget IceWarp och i Sverige levererad av företaget Cleura (tidigare City Network), har fokus lagts på en molnlösning vilken man kallar Compliant Cloud. Molnet har en rad relevanta certifieringar och garantier. Tjänstepaketet är också möjligt att driva on-prem. eSam beskriver i sin rapport att lösningen fyller de grundläggande behoven, men att vissa Enterprise-funktioner, exempelvis viss e-postfunktionalitet och stöd för SAML, saknas. Compliant Office bygger delvis på redan existerande open source-lösningar, men är inte open source i sig. Enligt uppgift använder sig idag flera svenska myndigheter av Compliant Office.
Nextcloud, en open source-produkt från det tyska företaget Nextcloud GmbH, är den andra helhetslösningen som nämns av eSam. Till skillnad från Compliant Office så erbjuder inte företaget Nextcloud någon egen driftlösning. Användaren kan alltså antingen välja att driva lösningen själv on-prem, eller att ta hjälp av någon av de många leverantörer som erbjuder Nextcloud som tjänst. Företaget erbjuder dock, vilket är vanligt inom open source-världen, möjlighet att teckna supportavtal. Som en mer traditionell open source-produkt är Nextcloud relativt modulärt, med en stor mängd applikationer att enkelt installera vid behov. Möjligheten finns också att med relativt små medel modifiera eller till och med utveckla funktionalitet om man skulle sakna något särskilt. Bland de mer namnkunniga aktörer som idag använder Nextcloud kan nämnas Gaia-X, Deutsche Telecom, franska staten samt svenska Transportstyrelsen och Försäkringskassan.
Låt oss då säga att man har tagit beslut om att lämna Microsoft, Google eller någon annan amerikansk tjänsteleverantör. Hur ska man gå till väga?
Det första steget bör vara att säkerställa en korrekt kravställning som utgår ifrån så väl praktiska behov som eventuella särskilda lagkrav för den verksamhet man bedriver. För offentliga respektive privata organisationer ser naturligtvis reglering för informations- och personuppgiftshantering delvis olika ut, men kraven som ställs i GDPR bör alltid förutsättas vara aktuella så länge inte mycket särskilda omständigheter föreligger. I offentlig verksamhet gäller även offentlighets- och sekretesslagstiftning, och för vissa även skyddssäkerhetslagstiftning. Olika lagstiftning ställer olika krav; I vissa fall på att system ska ha en viss säkerhet, i vissa fall att information ska vara strukturerad på visst sätt och tillgänglig vid behov. För privata aktörer är det kanske främst relevant viktigt att man vid migrering till nya system säkerställer bibehållen informationssäkerhetsnivå och krav som ställs för eventuella certifieringar.
Därefter bör beslutas hur man lämpligast driver sin tekniska miljö. Är det värt att investera i teknisk infrastruktur (datorer, hårddiskar, mjukvara med mera), kompetens och tid för att på ett adekvat sätt driva sin infrastruktur själv? Denna lösning kan på lång sikt löna sig ekonomiskt, men särskilt mindre verksamheter bör i en riskanalys säkerställa att frågor kring informationssäkerhet, redundans och säkerhetskopiering är besvarade innan några beslut fattas.
Beslutas att nyttja en extern molntjänst bör detta kravställas särskilt. Här är det klokt att notera dels var lagringen bör ske (Världen, EU eller kanske till och med Sverige?), dels vad leverantören ställer för garantier för centrala frågor som säkerhet, tillgänglighet (SLA) och säkerhetskopiering. Beroende på vilka särskilda lagar som en viss verksamhet, eller för den delen en enskild behandling, lyder under, kan de olika delarna vara olika viktiga. Inom molnlösningar finns flera intressanta leverantörsgarantier som tar utgångspunkt i de krav som ställs i GDPR, och en särskild code of conduct (EU Data Protection Code of Conduct for Cloud Service Providers) för molnleverantörer har etablerats inom vilken molnleverantörer kan förbinda sig att följa en av tre nivåer av regelefterlevnad. På hemmaplan så finns förslag, än så länge på remisstadiet, om att utveckla ett svenskt moln för offentlig sektor. Detta är dock sannolikt inget för den otålige eftersom frågan fortfarande är under behandling. Det finns även driftlösningar som ligger mellan en helt egen servermiljö och en helt extern sådan.
När beslut har fattats om teknisk lösning så är det viktigt att testa systemet så att det även i praktiken uppfyller de krav som har ställts i urvalsfasen. eSam har nyligen publicerat en rekommendation om hur ett sådant projekt kan genomföras här. Den tänkta mottagaren är sannolikt en offentlig aktör snarare än en privat, men detta steg bör inte skilja sig mellan de olika typerna av aktörer. Ur ett dataskyddsperspektiv är det viktigt att här vara väldigt försiktig med att använda riktiga personuppgifter, i synnerhet innan man har säkrat sitt system genom nödvändiga tekniska åtgärder och tester. I detta steg bör även utredas hur informationen i de nuvarande systemen på ett lämpligt sätt kan migreras till det tilltänkta systemet. Utifrån ett dataskyddsperspektiv är denna process ett ypperligt tillfälle att inventera de personuppgiftbehandlingar som sker, överväga om någon behandling bör upphöra i samband med migreringen eller om någon behandling kräver särskilda säkerhetsåtgärder som inte har funnits i det gamla systemet. På samma sätt som en flytt kan hjälpa någon att göra sig av med gamla skridskor och kläder kan en migrering synliggöra personuppgifter och behandlingar som har legat undanstoppade digitalt. Efter test är det tid för migrering av data och att faktiskt börja använda det nya systemet.
Att lämna de stora amerikanska Tech-jättarna kan innebära flera fördelar. Kostnaden, i synnerhet för den som implementerar open source-lösningar som Nextcloud, kan bli lägre än att betala återkommande kostnaden för mjukvarulicenser. En lösning utanför de stora jättarna ger också ofta större möjligheter att anpassa tekniken till sina enskilda behov. För större organisationer kan intresset grunda sig i möjligheten att ha direkt kontroll över var verksamhetens data befinner sig. Inom privat sektor kan incitamentet att lämna de amerikanska molnen och tjänsterna komma från kunder, kanske i synnerhet från offentlig sektor, som i högre utsträckning än tidigare har åsikter om hur deras data hanteras. Ytterligare skäl kan vara att bygga redundans för system som ständigt måste vara tillgängliga, där lösningar som Nextcloud kan fungera som ett komplement.
Oavsett skäl för att lämna Microsoft, Google eller någon annan amerikansk nätjätte så bör en migrering ske kontrollerat. Det är viktigt att i varje steg ta höjd för att ett driftsatt system ska befolkas av vanliga användare som typiskt sett har vant sig vid vissa tekniska lösningar och gränssnitt. Specifikt vad avser så kallad Office-mjukvara så finns det redan idag flera open source-lösningar, OnlyOffice och LibreOffice för att nämna två, som sannolikt är konstruerade helt eller delvis för att vara så visuellt och funktionellt nära Microsofts motsvarande program som möjligt. I båda dessa program är det möjligt att skapa, spara, öppna och konvertera filer i och till en mängd olika filformat. Generellt kan sägas att open source-mjukvara just nu närmar sig aktörer som Microsoft i hur man väljer att integrera olika tjänster och funktioner med varandra. Det är dock viktigt att, som nämnts ovan, säkerställa att den funktionalitet som just ni behöver finns att tillgå eller är möjlig att med en försvarbar insats konstruera själv.