Barn- och utbildningsförvaltningen 2023-08-31 GSN/2023:401

Handlingsnummer

2023:2096

Grundskolenämnden

Förslag till beslut

1. Införande av Microsofts applikationsplattform M365 (molntjänst i USA) inom nämndens ansvarsområde godkänns i enlighet med beskrivningen i tjänsteskrivelsen. Detta gäller under förutsättning att lämpliga tekniska och organisatoriska säkerhetsåtgärder enligt tillämpliga bestämmelser vidtas under den fortsatta införandeprocessen samt innan införandet eller användandet av varje ny applikation/programvara som tillhandahålls inom nämndens ansvarsområde utifrån M365.

2. Införande av Azure som katalogtjänst kopplad till M365 inom nämndens ansvarsområde godkänns. Detta gäller under förutsättning att nödvändiga konsekvensbedömningar och lämpliga säkerhetsåtgärder enligt tillämpliga bestämmelser är vidtagna samt att det är säkerställt att aktuell behandling av personuppgifter i Azure endast sker i enlighet med tillämplig dataskyddslagstiftning. Endast information som enligt kommunens informationsklassningsmodell klassas som öppen eller intern får föras över till Azure.

3. Förvaltningen får i uppdrag att genomföra nödvändiga konsekvensbedömningar och riskanalyser samt vidta lämpliga säkerhetsåtgärder innan införandet eller användandet av varje ny applikation som tillhandahålls utifrån M365 och Azure samt säkerställa att aktuell behandling av personuppgifter i respektive applikation endast sker i enlighet med tillämplig dataskyddslagstiftning.

Kostnaden för införandet belastar kommunledningskontorets ram.

Sammanfattning

Eskilstuna kommun har planerat sedan år 2016 att över tid gå från egen drift till molntjänster. Införande av valda delar av M365 innebär en övergång från drift i egna serverhallar till M365. Då M365 är en molntjänst i tredje land så krävs enligt kommunfullmäktiges beslut 21 oktober 2021 § 205 (KSKF/2021:98) att nämnden i sitt personuppgiftsansvar beslutar om införandet.

Kommunen har under många år använt Microsoft som leverantör för ett flertal olika IT-komponenter och basinfrastruktur. Precis som kommunen och övriga IT-

leverantörer har Microsoft alltmer gått över till molntjänster. Microsoft erbjuder den mest konkurrenskraftiga lösningen avseende bland annat kontorsstödsprodukter som exempelvis Officepaketet, Teams, etcetera.

I takt med den ökade digitalisering i samhället är det viktigt att skydda IT-systemen mot dataintrång. M365 ger kommunen kontroll och skydd mot skadlig kod, säkerhetsluckor och cyberattacker och hjälper till att skydda Eskilstuna kommun och kommunens data.

Beslutet om ett införande utgör en väsentlig grund för Eskilstuna kommuns IT- arkitektur och säkerhet, kommunens informationsförsörjning & digitala infrastruktur samt delar av kommunens framtida IT-infrastruktur.

Då M365 innebär en övergång till molntjänst i tredje land så har jurister konsulterats för att bedöma riskerna med denna övergång i relation till de fördelar som det ger kommunen. Juristerna rekommenderar att Eskilstuna kommun bör utifrån en proportionerlig helhetsbedömning och med accepterande av ett visst mått av risk, med stöd av Eskilstunas program för digital transformation med uppsatta mål för digital arbetsplats samt behovsanalys av digital arbetsplats och arbetsmiljö och med ett beaktande av organisatoriska och tekniska skyddsåtgärder och utkomster från genomförd konsekvensbedömning avseende dataskydd – att implementera och tillhandahålla ett användande av plattform M365.

Ärendebeskrivning

Eskilstuna kommun har sedan år 2016 ett licensavtal som är baserat på molntjänster med leverantören Microsoft. Avtalet med Microsoft löper ut i april 2025 vilket innebär att kommunen står i ett vägskäl och behöver beslut om att bryta licensavtalet eller gå över till valda delar av M365 molntjänster. Då M365 är en molntjänst i tredje land krävs att nämnden i sitt personuppgiftsansvar beslutar om införandet.

Beslutet innebär att utifrån kommunfullmäktiges molntjänstbeslut 21 oktober 2021 § 205 (KSKF/2021:98) bedöma om, och i så fall hur och när kommunen kan implementera valda delar av M365 som molnlösning med tillhörande risker, åtgärder och konsekvenser för informationssäkerhet, säker IT-drift, digital arbetsplats/arbetsmiljö och ekonomi – för att kunna dra nytta av moderna digitala tjänster för medarbetarna.

Ärendet har beretts av en styrgrupp med representanter från Eskilstuna kommun med sakkunskap inom digital arbetsplats, digital arbetsmiljö, IT, digitalisering och attraktiv arbetsgivare.

Styrgruppen har tagit stöd av ramavtalade Ateas jurister, vilka är specialiserade inom informationssäkerhet, IT-rättsjuridik och cybersäkerhet för att få en objektiv bedömning och analys av de legala – regelefterlevnads resonemang – dataskydds och andra juridiska frågeställningar, risk och nytta perspektiv, samt proportionalitets bedömning ställt i relation till de IT- och processuella tjänster som Microsoft tillhandahåller för kommun och myndigheter som nyttjar deras molntjänster.

Inom Ateas uppdrag har en konsekvensbedömning genomförts av själva plattformen M365, en så kallad DPIA (Data protection impact assesment), vilken även inkluderat en riskanalys, i enlighet med General Data Protection Regulation (GDPR), där dataskyddssamordnare, informationssäkerhetssamordnare, verksamhetsrepresentant och objektägare digital plattform deltog. Utredningens slutsatser har sedan analyserats och sammanställts av Ateas jurister till ett beslutsunderlag för att ge rätt juridiska förutsättningar om ett införande av plattformen M365.

Bakgrund

Tillvägagångssättet som leverantörer inom IT-branschen tillhandahåller tjänster på är och har under en längre tid varit på väg att förändras. Tjänsterna går från att ha varit lokalt installerade, även kallat för ”on-premesis” förkortat ”on-prem”, till att tillhandahållas i molntjänster. Den här förändringen ser kommunen inom alla sektorer men det är främst förändringen inom området kontorsstödstjänster från Microsoft som just nu driver behovet av att möjliggöra IT-drift i molntjänster som lyder under lagstiftning från tredje land.

Användare i kommunens organisation har över tid byggt upp kompetens och kunskaper kring många av alla Microsofts produkter, dessa utgör en viktig grund i mycket av den administration som sker inom kommunen idag och tillför stora värden.

Kommunens IT-infrastruktur är byggd på lösningar från Microsoft med en IT- funktion som är uppbyggd av kompetens på Microsofts produkter.

Ur ett medarbetar- och verksamhetsbehovsperspektiv skapar ett införande av M365 förutsättningar för en god intern service genom en modern, sömlös digital arbetsplats för att kunna stödja och underlätta för dem som arbetar närmast våra invånare, kunder och besökare.

Eskilstunas kommuns IT-drift i molntjänster (KSKF/2021:98)

Eskilstuna kommuns digitalisering är ett av kommunens verktyg för att förbättra förutsättningarna för att fortsatt kunna bedriva välfärd och möta de utmaningar som uppstår i och med de pågående demografiska förändringarna i samhället. För att eliminera hinder för kommunens digitala utveckling togs ett inriktningsbeslut av kommunfullmäktige 21 oktober 2021 § 205 (KSKF/2021:98), gällande IT-drift i molntjänster som är taget utifrån juridiska, tekniska och ekonomiska aspekter.

Beslutet innebär att kommunen så långt det är möjligt ska välja informationslagring i europeiska molntjänster. Men, där det inte är möjligt kan kommunen använda molntjänster som lyder under lagstiftning från tredje land, men endast för information som enligt kommunens modell för informationsklassning klassas som öppen (0) eller intern (1), förutsatt att lämpliga tekniska och organisatoriska åtgärder vidtagits. Det ankommer på alla användare att respektera regler och riktlinjer, samt att kommunen

behöver i den grad det är görligt tillse att tillräckliga automatiska skyddsmekanismer implementeras.

Genom att medvetet och systematiskt arbeta med att motverka risker minimeras den reella risken för röjande av information som lyder under Dataskyddsförordningen (GDPR) och Offentlighets- och sekretesslagen (OSL 2009:400).

Office365 och Microsoft365

Office 365 (O365) är en fortsättning på tidigare ”Officepaket” med bland annat Word, Excel och Power Point. Varje år paketerar Microsoft dock in allt fler applikationer/programvara och idag ingår flera samarbetstjänster, till exempel OneDrive, Teams, Planner, samt Outlook som ett komplett kontorsstöd och för kommunikation med omvärlden. Eskilstuna kommun har som en följd av pandemin ett intermistiskt beslut om användandet av MS Teams till och med 2023-06-01.

Microsoft 365 är ett paket med tjänster som inkluderar förutom allt innehåll i O365, även operativsystemet Windows 10, Mobilitet och Säkerhetsverktyg. Med Mobilitet och Säkerhet hjälper dessa i huvudsak till att skydda kommunen som organisation och vårt data. De ger kontroll över alla enheter (surfplattor, PC/datorer och telefoner) och skyddar oss mot skadlig kod, säkerhetsluckor och cyberattacker med säker inloggning och autentisering med multifaktorsfunktionalitet, samt verktyg för modern IT-drift för att kunna managera klienter, mjukvara, applikationer.

Lagligheten

Eskilstuna kommun har tagit stöd av ramavtalade Ateas jurister vilka är specialiserade inom informationssäkerhet, IT-rättsjuridik och cybersäkerhet. Dessa har sammanställt bilagan ”Slutrapport – Eskilstuna kommun: Beslutsunderlag Plattform M365” med syfte att ge rätt juridiska förutsättningar att fatta beslut om ett införande.

Beslutsunderlagets främsta syfte är att ”fastslå” hur Eskilstuna kommun bör ställa sig till en implementering och användning av plattformen M365 - kontorsstödsplattform och tillika molntjänsten Microsoft M365.

Underlaget ska ses mot bakgrund av de regelefterlevnadsresonemang – dataskydds- och andra juridiska frågeställningar - som M365 belyser. Det är primärt skrivet med beaktande av Dataskyddsförordningen (DSF) och Offentlighets- och sekretesslagen (OSL). Det ska särskilt framhållas att rättsläget inte är helt tydligt, utan lämnar utrymme för tolkningar av aktuell lagstiftning och fastställda rekommendationer från Europeiska dataskyddstyrelsen (EDPB). Det är emellertid viktigt att noga och fortlöpande följa rättsutvecklingen inom området.

Vidare ska underlaget också ses i ljuset av Eskilstunas digitala transformation och till det, de kopplade behov och nyttor kommunen har av denna tjänst för en vidare utveckling servicen till medborgarna och till medarbetarnas digitala arbetsplats.

Kärnfrågan är om, i så fall på vilka grunder och med vilket stöd, Eskilstuna kommun, kan besluta om en implementering och ett tillhandahållande av Plattformen M365 som huvudsaklig konstorsstödsplattform för Eskilstuna kommuns samtliga förvaltningar.

Problematiken utgörs av de ifrågasättande som följer av det faktum att M365 är en molntjänst, ägd och levererad av ett USA-ägt företag, Microsoft, vars moderbolag lyder under amerikansk övervaktningslagstiftning vilket försvåras av en avsaknad av rättsliga möjligheter för en registrerad att utöva sin rätt i enlighet med DSF.

Juristernas rekommendationer är:

Eskilstuna kommun bör utifrån en proportionerlig helhetsbedömning och med accepterande av ett visst mått av risk,

- med stöd i programmet för digital transformation

- den verksamhets- och behovsanalys som genomförts

- de mål Eskilstuna kommun satt upp för en digital arbetsplats

- med ett beaktande av organisatoriska och tekniska skyddsåtgärder och utkomster från genomförd DPIA,

implementera och tillhandahålla ett användande av plattform M365.

Överväganden ska göras med en nödvändig, rimlig och proportionerlig avvägning mellan skyddet för personuppgifter, en sammanhängande tolkning av ändamålen med informationen i systemet samt verksamheternas behov och den registrerades intressen.

En implementering och ett tillhandahållande av plattformen M365 bör, åtminstone inom en överskådlig framtid, ses som en nödvändig förutsättning för att Eskilstuna kommun på ett rimligt sätt skall kunna fullgöra sina uppdrag och åligganden som följer av annan lagstiftning än Dataskyddsförordningen (DSF), så som exempelvis kommunallagen. Idag finns, såvitt känt, inte en likvärdig 1:1plattform/tjänsteplattform som MS365.

Eskilstuna kommun bör vid användande av ytterligare tjänster i M365 genomföra nödvändiga konsekvensbedömningar, främst utifrån GDPR, men också utifrån andra eventuella lagstiftningar som kan påverkas vid ett i anspråkstagande av en tjänst.

Eskilstuna kommun bör i sitt kontinuerliga utvecklingsarbete följa rättsutvecklingen avseende tredjeland problematiken, då det i dagsläget inte finns någon direkt praxis, och marknaden utifrån andra möjliga tekniska och funktionella lösningar.

Vidare bör Eskilstuna kommun, vid behov, anpassa och eventuellt ompröva sitt ställningstagande, särskilt om rättsläget förändras på ett genomgripande sätt.

Information och uppgifter som omfattas av OSL ska inte hanteras i en molntjänst där leverantören inte är svensk och omfattas av det straffrättsliga skydd för uppgiftshanteringen som tillämpningen av OSL medför. Material som faller under OSL ska inte hanteras i M365.

Eskilstuna kommun bör också som ett led i sin strävan att på bästa sätt efterleva regelverket med dess nuvarande tolkning, initiera ett arbete om en Exit strategi som en åtgärd att hantera risk, en så kallad ”fall back” plan för kommunen, vilken påvisar en ansvarstagande och modern kommun.

Bemötande av DSO: s rekommendationer

Eskilstuna kommuns dataskyddsombud (DSO) har inkommit med skrivelse med anledning av genomförd DPIA och beslut om införande av M365. (Se bilaga)

Delar av de synpunkter som DSO har framfört har korrigerats i DPIA: n.

DSO påtalar vikten av att de registrerade behöver få information om vad införande av M365 innebär. Vid införandet ska samtliga medarbetare få såväl information om registrering och även utbildning i användande av M365.

Kommunledningskontoret delar vidare DSO:s synpunkter om att varje nämnd ska genomföra nya DPIA för att bedöma de risker som finns inom respektive nämnd för användning av de olika tjänsterna inom M365.

DSO har påtalat att användningen av Azure som del av M365 kan innebära hantering av personuppgifter av barn, d.v.s. elevers användarkonton, vilket kan innebära känsliga uppgifter. Kommunledningskontoret menar dock att användningen av Azure per definition inte behöver medföra hantering av känsliga personuppgifter. Det är beroende av vilka Microsoftkomponenter som används av de olika förvaltningarna.

Skolnämnderna har beslutat införa stöd från Microsoft för skolan, vilket in sin tur kan medföra att uppgifter om elevers användarkonton hanteras i tredjelandslösningar. Där ser kommunledningskontoret att skolnämnderna behöver se över om det kan förekomma risker i informationshanteringen. Införande av M365 inom kommunstyrelsens ansvarsområde kommer inte medföra hantering av känsliga personuppgifter.

DSO påtalar om en olämplighet att nyttja Atea för rekommendationer rörande användningen av M365. Kommunledningskontoret delar inte DSO:s synpunkter. Atea är Eskilstuna kommuns ramavtalade licenspartner för alla våra IT-komponenter, oavsett leverantör, och har den bästa kompetensen för denna typ av analyser.

Alternativa lösningar

eSam är ett samarbete mellan flera svenska statliga myndigheter med syfte att hitta alternativa kollaborativa verktyg inom den europeiska marknaden, främst digitala samarbetsplattformar. Eskilstuna kommuns egen utredning ”Alternativ till digital samarbetsplattform” (2022-11-07) konstaterar att en digital samarbetsplattform utifrån eSams förslag med flera olika lösningar av flera olika leverantörer som ett alternativ till en helhetslösning till Microsoft leder till konsekvenser vad avser kostnad, digital mognad, kompabilitet, kvalité, kommunikation samt för samarbeten utanför Eskilstuna kommuns egen verksamhet.

Konsekvenser av att backa ur Microsoft

Befintligt avtal med Microsoft riskerar att brytas då en tidigare överenskommelse med leverantören har träffats om att Eskilstuna kommun förbinder sig att över tid bruka molntjänster framöver. Genom att ligga kvar i lösningar som inte är moderna och i fas med marknadens erbjudande ökar kommunen sitt digitala arv vilket medför ökade kostnader för införande av nya.

I det fall det beslutas att inte gå in i molntjänsten krävs att Eskilstuna kommun i god tid avtalar om nya licenser av Microsoft (s.k. ”on-prem licenser” vilka lagrar all information lokalt) samt snarast identifierar konsekvenser av att inte införa en helhetslösning. Alternativet med lokal lagring kommer att leda till ökade licenskostnader, ökade driftskostnader och mer intern förvaltning. En licenshantering som återgår till att all information lagras lokalt leder till avsaknad av till exempel Teams.

Eskilstuna kommun behöver identifiera flera olika lösningar som tillsammans skapar en helhetslösning, finna möjligheter för kompabilitet och integrationer. De alternativa lösningarna ska upphandlas och implementeras - innan licensavtalet löper ut.

Inom IT-branschen saknas erfarenheter vad avser omställning och implementering av flera olika lösningar av flera olika leverantörer som alternativ till en helhetslösning som med Microsoft.

Ur ett medarbetar- och verksamhetsperspektiv kommer ersättningar med flera nya och olika lösningar med stor sannolikhet att medföra en rörig digital arbetsmiljö. Dessa kommer att kräva nya kompetensbehov; från IT ut till användare och i verksamheten plus ökade kostnader i omställning och utbildning.

Konsekvenser av ett införande

M365 förutsätter att samtliga nämnder beslutar om ett införande för att kunna bibehålla befintligt licensavtal. Med M365 inkluderas Office 365, operativsystemet Windows 10, Mobilitet (inklusive Teams) och Säkerhet.

M365 införs som en hybridlösning vilket ger fortsatt möjlighet att lagra skyddsvärd information lokalt. Det finns möjlighet till licensieringsnivåer som ger utökad funktionalitet för säkerhet som kan beslutas och aktiveras av varje nämnd. Anses detta nödvändigt ökar licenskostnaderna i olika grad beroende på vilken typ av licens som ska utökas med en extra säkerhet.

Behovet av investeringar i egen infrastruktur minskar i förhållande till dagens on-prem lösning med vilken information lagras lokalt. IT-kostnaderna kan fördelas på ett mer linjärt sätt i relation till antal användare än dagens on-prem lösning som kräver investeringar i IT-infrastruktur. Investeringsbehovet kopplat till kontorsstödstjänster kommer sjunka med tiden.

Samtliga nämnder behöver dock genomföra konsekvensbedömningar (så kallad DPIA) för att besluta om vilka komponenter inom M365 som kan användas inom respektive nämnd.

Säkerhet

världen största It-företag med 3 500 säkerhetsexperter runt om i världen som arbetar dygnet runt veckans alla dagar med att skydda de tjänster deras kunder nyttjar.

Microsofts tjänster användas av flera hundra miljoner människor, banker, sjukhus och myndigheter över hela världen.

Finansiering

Den bedömda kostnaden för införande av M365 i hela kommunen är 4,8 miljoner kronor, varav 2,2 miljoner kronor för 2023 och 2,6 miljoner kronor för 2024.

Kostnaden belastar kommunstyrelsens ram.

Den ekonomiska effekthemtagningen blir från 2025 0,9 miljoner kronor årligen. Därutöver tillkommer andra ekonomiska effekthemtagningar som en följd av införande av M365 på mellan 5-10 miljoner kronor årligen.

Nyttor och kostnader för enskilda nämnder kan variera beroende på mognadsgrad och utvecklingspotential.

Potentialen i nyttor ligger i att verksamheten kan utnyttja de applikationer som finns i M365 molntjänst för utveckling av digitalisering på en nivå som inte har varit möjlig tidigare utan större insatser.

Att fortsätta med så kallad on prem-lösningar på egna servrar skulle däremot öka licenskostnaderna med över 10 miljoner kronor

Kommunledningskontorets bedömning

Kommunledningskontorets sammanfattande bedömning är att följa de rekommendationer som tagits fram av jurister och beskrivits i denna tjänsteskrivelse samt i bilagd rapport, samt att ett införande av M365 är en nödvändig förutsättning för att Eskilstuna kommun på ett rimligt sätt skall kunna fullgöra sina uppdrag och åligganden.

Konsekvenser för hållbar utveckling och en effektiv organisation

Eskilstuna kommun behöver möta både den ökade digitaliseringen i samhället och inre ökade förväntningar av en modern digital arbetsplats. Att fortsätta nyttja Microsoft som IT-plattform och implementera M365 bidrar till att öka organisationens inre effektivitet för medarbetare och verksamheter.

En intern service för medarbetare och verksamheter genom en modern och sömlös digital arbetsplats är en förutsättning för att stödja och underlätta för dem som arbetar närmast våra invånare, kunder och besökare och bidra till en god arbetsmiljö.

Ett serviceinriktat förhållningssätt ska gälla såväl inom den egna organisationen, mellan verksamheter inom kommunkoncernen, och till de som nyttjar kommunens service och tjänster - oavsett tid, plats eller verksamhet. En modern digital arbetsplats med användarvänlig och sömlösa funktioner bidrar till en god digital arbetsmiljö samt bidrar till en attraktiv arbetsgivare.

Med införandet följer dock ett krav på att använda molntjänsterna enligt kommunens beslutade riktlinjer och anvisningar för informationssäkerhet för att säkerställa medarbetares och invånares integritet och att noga och fortlöpande följa rättsutvecklingen inom området.

Beslutet skickas till:

Kommunstyrelsen

BARN- OCH UTBILDNINGSFÖRVALTNINGEN

Xxxx Xxxxxxxx Xxxxxxxx Förvaltningschef

Samtliga nämnder Xxxxxxxxx Xxxxxxx Dataskyddsombud

Information om EU-kommissionens beslut om adekvat skyddsnivå för USA

Adekvat skyddsnivå

Vid överföring av personuppgifter till ett land utanför EU/EES behöver personuppgiftsansvariga säkerställa att de registrerades friheter och rättigheter har ett skydd som i väsentliga delar är samma som inom EU/EES. Det handlar om mänskliga rättigheter. Det finns beslut om adekvat skyddsnivå för ett antal länder där EU- kommissionen fattat beslut om att landet har en adekvat skyddsnivå.

När kommissionen gör sin bedömning tittar de bl a på följande:

• landets lagar och internationella åtaganden

• vilka möjligheter den registrerade har att få rättslig prövning

• om landet respekterar de mänskliga rättigheterna och de grundläggande friheterna

• att det finns oberoende tillsynsmyndigheter som ansvarar för att dataskyddsreglerna följs och som kan hjälpa de registrerade

Länk till IMY:s information om adekvat skyddsnivå inkl lista över godkända länder.

Beslutet om adekvat skyddsnivå för USA

Den 10 juli kom nyheten från EU-kommissionen om att de har fattat beslut om adekvat skyddsnivå för personuppgifter i USA om mottagaren omfattas av ”EU-US Data Privacy Framework” (DPF). Det innebär att de har bedömt att USA har en skyddsnivå som i väsentliga delar är jämförbar med den inom EU med de åtgärder som införs i samband med det nya ramverket.

Ramverket innebär inte att det per automatik går att föra över personuppgifter till vilken organisation eller leverantör som helst i USA utan de måste omfattas av ramverket, och behandlingen av personuppgifter behöver leva upp till GDPR i övrigt. Man får enbart föra över personuppgifter till USA till organisationer som finns i en lista över självcertifierade organisationer och organisationen måste vara klar med sin självcertifiering och ha uppdaterat sin personuppgiftspolicy.

Ramverket är giltigt fr o m datumet för beslutet, dvs den 10 juli 2023.

Ramverket och hur det fungerar i praktiken kommer att ses över. En första översyn av ramverket görs ett år från att det börjar gälla och man kommer då bl a att titta på om USA har allt på plats som ramverket kräver och om det fungerar i praktiken.

IMY:s pressmeddelande

EU-Kommissionens pressmeddelande

Den här sidan innehåller även länkar till information, adekvansbeslutet mm.

EDPB:s Information note on data transfers under the GDPR to the United States after the adoption of the adequacy decision on 10 July 2023

Information om adekvansbeslutet.

Vad ramverket tillför

Enligt EU-kommissionen tillför ramverket bl a att

• de amerikanska underrättelsemyndigheternas tillgång till uppgifter från EU begränsas till vad som är nödvändigt och proportionerligt.

• en dataskyddsdomstol inrättas som EU-medborgare kan vända sig till. Om dataskyddsdomstolen till exempel anser att uppgifter har samlats in i strid med de nya skyddsåtgärderna kan den besluta att uppgifterna ska raderas.

• privatpersoner i EU kommer att kunna utnyttja flera möjligheter till prövning om deras personuppgifter har hanterats på ett felaktigt sätt av de amerikanska företagen.

• amerikanska företag måste uppfylla vissa skyldigheter som till exempel krav på att radera personuppgifter som inte längre behövs för det ändamål de samlades in för och krav på att se till att skyddet av personuppgifterna kvarstår om uppgifterna delas med en tredje part.

• det amerikanska regelverket innehåller flera skyddsåtgärder när det gäller tillgången till uppgifter som överförs av amerikanska myndigheter.

• USA har vidtagit säkerhetsåtgärder som ska underlätta dataflödena över Atlanten i allmänhet.

Vad som gäller om överföring till USA är aktuell

Efter att Privacy Shield ogiltigförklarades krävdes en viss mer komplicerad arbetsgång vid överföring till USA än tidigare. Framöver blir arbetsgången olika beroende på om organisationen som överföringen görs till omfattas av det nya ramverket eller inte.

GDPR och övriga regelverk behöver dock fortfarande efterlevas.

När organisationen omfattas av det nya ramverket

Här följer kort information om vad som gäller när biträde, underbiträde etc omfattas av det nya ramverket EU-US Data Privacy Framework (DPF):

• Säkerställ att den organisation som personuppgifter ska föras över till är ansluten till ramverket.

• Som skyddsåtgärd vid överföring uppges EU-US Data Privacy Framework.

• Överföringsmekanismerna i artikel 46 används inte utan i stället gäller artikel 45 Överföring på grundval av ett beslut om adekvat skyddsnivå

• Standardavtalsklausuler används inte då de ersätts av Data Privacy Framework.

• Extra skyddsåtgärder som hindrar åtkomst i tredjelandet behövs inte längre. Dock behövs skyddsåtgärder utifrån informationens skyddsvärde, att fler personuppgfiter än nödvändigt inte behandlas etc i vanlig ordning för efterlevnad av GDPR.

• Det behövs ingen Transfer Impact Assessment, TIA, dvs en konsekvensbedömning av överföringen och USA:s lagars påverkan på personuppgiftsbehandlingen. En vanlig konsekvensbedömning enligt GDPR kan behöva göras.

• Man behöver som alltid säkerställa att GDPR efterlevs och ha dokumentation som visar att så är fallet.

• Man behöver också tänka över vilken information som är lämplig att föra över till landet.

• Det är också lämpligt att ha en s k exitplan i händelse av att ramverket ogiltigförklaras, dvs en plan för hur man avslutar eller flyttar sin information till annan leverantör eller hämtar hem den.

Att en organisation finns i ramverkets lista över organisationer innebär inte per automatik att organisationen i fråga är klar med certifieringen och de krav som ställs utan det behöver säkerställas. Man säkerställer att organisationen, så som personuppgiftsbiträde, underbiträde m fl, omfattas av EU-US Data Privacy Framework enligt följande:

• Gå till ramverkets lista över organisationer.

• Stå i fliken med aktiva organisationer.

• Sök fram organisationen.

• Klicka på organisationens namn för att komma vidare.

• Granska vilka andra organisationer så som t ex dotterbolag som omfattas.

• Granska integritetspolicyn som ska vara aktuell. Datum för senaste revidering står angivet. De ska t ex inte hänvisa till Privacy Shield.

Lista över självcertifierade organisationer

Lista där man söker information om organisationer för att se om de uppfyller kraven i ramverket.

När organisationen inte omfattas av det nya ramverket

Vid överföring till organisation i USA som inte omfattas av EU-US Data Privacy Framework gäller samma arbetssätt som under tiden fr o m att Privacy Shield ogiltigförklarades. Dvs att personuppgiftsansvarig behöver göra en Transfer Impact Assessment, TIA, för att analysera hur USA:s lagar påverkar den aktuella, använda annan skyddsåtgärd än DPF så som t ex standardavtalsklausuler och skydda informationen. Det som är nytt är att de verktyg som USA:s regering implementerar i anslutning till det nya ramverket även gäller vid dessa överföringar vilket innebär att hänsyn till dem ska tas när en TIA görs.

Kritik mot ramverket

Både Europaparlamentet och Europeiska Dataskyddsstyrelsen (EDPB) har tidigare kommenterat det utkast till ramverk som EU-kommissionen presenterade. Även om vissa delar anses förbättrade finns det kritik och ramverket anses inte åtgärda alla punkter och att det behövs förtydliganden som lyftes fram i Schrems II-domen den 16 juli 2020 och att det behövs förtydliganden.

I ett yttrande som EDPB antog den 28 februari framgår t ex behov av förtydligande kring:

• vissa rättigheter för registrerade

• vidareöverföring av personuppgifter till andra länder

• räckvidden för de undantag som finns i regleringen

• avsaknad av krav på förhandstillstånd för massinsamling av uppgifter (insamling i bulk) och hur länge sådana massinsamlade uppgifter ska sparas och hur de kan spridas

• hur mekanismen för att söka rättelse kommer att fungera i praktiken.

Mer generell kritik finns utöver synpunkter på hur ramverket adresserar möjligheterna för amerikansk underrättelseverksamhet att få tillgång till personuppgifter. Liksom tidigare ramverk som legat till grund för adekvansbeslut avseende USA, gäller det för de organisationer som själva förklarat att de vill efterleva principerna i ramverket. Flera av principerna har uppdaterats men många av dem är desamma som under Privacy Shield. Det gäller till exempel undantag från registrerades rätt till tillgång, avsaknaden av definitioner av vissa nyckelbegrepp och avsaknaden av särskilda regler för automatiserat beslutsfattande och profilering.

Om ramverket är tillräckligt lär prövas och flera har legat i startgroparna för att få detta prövat av EU-domstolen, t ex NOYB som är den organisation där Maximilian Schrems ingår. De har skrivit om sin syn på saken på sin webb.

Bara framtiden kan utvisa om ramverket håller eller om det blir ytterligare ett ogiltigförklarande och hur länge det i så fall dröjer. Även förändringar i USA kan påverka i framtiden.

EDPB:s Opinion 5/2023 on the European Commission Draft Implementing Decision on the adequate protection of personal data under the EU-US Data Privacy Framework

EDPB:s syn på utkastet till ramverket.

Europaparlamentets resolution av den 11 maj 2023 om huruvida ett adekvat skydd säkerställs genom ramen för dataskydd mellan EU och USA

NOYB:s kritik mot ramverket

Övrigt att tänka på

Det är inte lämpligt att ”lägga alla ägg i samma korg”, dvs placera alla eller många av sina behandlingar av personuppgifter hos samma leverantör, vilket gäller annars också, inte minst med tanke på läget i omvärlden, pågående IT-attacker mm. Att placera många personuppgiftsbehandlingar hos samma leverantör ökar sårbarheten och ingen leverantör är immun mot IT-attacker.

Ämne: Uppdatering inför beslut om införande "Stöd för digital arbetsplats - M365" - NY PP-mall till Per S B

Från: Pia Thunström

Till: Arbetsmarknads- och vuxenutbildningsnämnden; Förskolenämnden BoU; Grundskolenämnden BoU; Gymnasienämnden BoU; kommunstyrelsen; kultur-fritidsnamnden; mrnsekreterare; Servicenämnden; stadsbyggnadsnamnden; Socialnämnden; Överförmyndarnämnden; torshalla-stads-namnd; Vård och Omsorgsnämnden; Arbetsmarknads- och vuxenutbildningsförvaltningen; barn-utbildningsforvaltningen; Kommunledningskontor; kultur-fritidsforvaltningen; Registrator Miljö och Räddningstjänstförvaltningen; Serviceförvaltningen; stadsbyggnadsforvaltningen; Registrator Socialförvaltningen; torshalla- stads-namnd; Vård och Omsorgsförvaltningen

Mottaget: 2023-08-17 15:54:40

Hej.

• Den 10 juli fattade EU-kommissionen beslut om adekvat skyddsnivå för överföring av personuppgifter till USA. Det nya ramverket heter EU-US Data Privacy Framework. (Se mer info i bifogat dokument). Dokumentet tar upp GDPR-regelverket och berör inte kommunens riktlinjer. Vi i kommunen har i inriktningsbeslutet rörande molntjänster (KF okt 2021) förtydligat att endast det vi benämner som öppen och intern information (skyddsnivå 0 och 1) får transporteras och lagras i tredjeland (underförstått länder med adekvansbeslut från EU-kommissionen). Det nya MS365-beslutet som KS fattat beslut om, och som nu förvaltningarna arbetar med för att lyfta till sina nämnder, följer den inriktningen.

• Om det nya ramverket är tillräckligt lär prövas och framtiden får utvisa om det håller. Detta nya ramverk påverkar alltså inte de beslut nämnderna nu ska ta gällande ”Stöd för digital arbetsplats

– M365”. Beslut ska fortfarande tas.

• Utifrån beslutet om ett nytt ramverk bifogas en uppdaterad PP att nyttja, om så önskas. Ett försök har gjorts att förtydliga de punkter nämnderna ska ta beslut om (2 punkter), samt förtydliga vad som kommer ske efter det att en nämnd tagit beslut. (Se rödmarkerade delar i PP: n).

• Vi har inte uppdaterat tjänsteskrivelsen med senaste beslutet. Om man önskar göra så är valfritt. Som sagt, tiden får utvisa om ramverket håller.

Vänligen, Pia

Pia Karjalainen Thunström

Kommunstrateg digitalisering & kommunikation

/Programledare för effektiva stödprocesser

016-710 12 88

pia.thunstrom@eskilstuna.se

Kommunledningskontoret/Kommunikation, IT och digitalisering

Eskilstuna kommun, 631 86 Eskilstuna Besöksadress: Stadshuset, Fristadstorget 1 eskilstuna.se

Vi gör Eskilstuna - tillsammans

Från: Pia Thunström

Skickat: den 19 juni 2023 14:18

Till: Arbetsmarknads- och vuxenutbildningsnämnden <Arbetsmarknads- vuxenutbildningsnamnden@eskilstuna.se>; Förskolenämnden BoU <forskole namnden@eskilstuna.se>; Grundskolenämnden BoU <grundskolenamnden@eskilstuna.se>; Gymnasienämnden BoU

<gymnasienamnde n@eskilstuna.se>; kommunstyrelsen <ko mmunstyrelsen@eskilstuna.se>; kultur- fritidsnamnden <kultur-fritidsnamnden@eskilstuna.se>; mrnsekreterare

<mrnsekreterare@eskilstuna.se>; Servicenämnden <servicenamnde n@eskilstuna.se>; stadsbyggnadsnamnden <stadsbyggnadsnamnden@eskilstuna.se>; Socialnämnden

<Socialnamnde n@eskilstuna.se>; Överförmyndarnämnden <overformyn darnamnden@eskilstuna.se>; torshalla-stads-namnd <torshalla-stads-namnd@eskilstuna.se>; Vård och Omsorgsnämnden <vard- omsorgsnamnden@eskilstuna.se>

Kopia: Arbetsmarknads- och vuxenutbildningsförvaltningen <arbetsmarknads- vuxenutbildningsforvaltningen@eskilstuna.se>; barn-utbildningsforvaltningen <barn- utbildningsforvaltningen@eskilstuna.se>; Kommunledningskontor <_kl k@eskilstuna.se>; kultur- fritidsforvaltningen <ku ltur-fritidsforvaltningen@eskilstuna.se>; Registrator Miljö och Räddningstjänstförvaltningen <registrator.mrf@eskilstuna.se>; Serviceförvaltningen

<Serviceforvaltningen@eskilstuna.se>; stadsbyggnadsforvaltningen

<stadsbyggnadsforvaltningen@eskilstuna.se>; Registrator Socialförvaltningen

<registrator.socialforvaltningen@eski lstuna.se>; torshalla-stads-namnd <torshalla-stads- namnd@eskilstuna.se>; Vård och Omsorgsförvaltningen <vard-omsorgsforvaltningen@eskilstuna.se> Ämne: Information och instruktioner inför beslut till samtliga nämnder (kännedom till förvaltningar)

Till samtliga nämnder och förvaltningar

På Kommunstyrelsen 7 juni togs beslut om införandet av Stöd för digital arbetsplats - M365. M365 är en molntjänst i tredje land vilket kräver att respektive nämnd i sitt personuppgiftsansvar beslutar om ett införande. Alla nämnder är expedierade och ärendet finns i varje nämnds diarie.

Bakgrund:

Eskilstuna kommun har sedan 2016 ett licensavtal som är baserat på molntjänster med leverantören Microsoft. Avtalet med Microsoft löper ut i april 2025 vilket innebär att kommunen står i ett vägskäl och behöver besluta om att bryta licensavtalet eller att gå över till valda delar av M365 molntjänster.

M365 förutsätter att samtliga nämnder beslutar om ett införande för att kunna bibehålla befintligt licensavtal. Eskilstuna kommun har tagit stöd av ramavtalade Ateas jurister specialiserade inom informationssäkerhet, IT-rättsjuridik och cybersäkerhet. Dessa har sammanställt beslutsunderlaget ”Slutrapport – Eskilstuna kommun: Beslutsunderlag Azure AD, plattform M365”, samt genomförd DPIA (konsekvensanalys) av Azure AD för plattformen M365.

Det Eskilstuna kommuns nämnder behöver ta beslut om är:

Besluta om ett införande av M365 inom nämndens ansvarsområde i enlighet med beskrivningen i tjänsteskrivelsen.

1. Införande av M365 inom nämndens ansvarsområde godkänns

Besluta om att genomföra nödvändiga konsekvensbedömningar i det fall nämnden godkänner ett införande av M365.

2. Förvaltningen får i uppdrag att genomföra nödvändiga konsekvensbedömningar i det fall nämnden godkänner ett införande av M365.

Mvh,

Pia Karjalainen Thunström

Kommunstrateg digitalisering & kommunikation

/Programledare för effektiva stödprocesser

016-710 12 88

pia.thunstrom@eskilstuna.se Kommunledningskontoret/Kommunikation, IT och digitalisering Eskilstuna kommun, 631 86 Eskilstuna

Besöksadress: Stadshuset, Fristadstorget 1

eskilstuna.se

Vi gör Eskilstuna - tillsammans

Beslut – Införande av Microsoft 365

Mall till alla nämnder

• Operativsystemet Windows 10

• Mobilitet och Säkerhetsverktyg

• Office 365 – med bl.a.

– Word, Excel och Power Point

– Samarbetstjänster, t.ex. OneDrive, Teams, Planner och Outlook

Förutsätter följande produkter från Microsoft

• Azure – digital plattform med bl.a. AD

• Intune - Klienthantering

• Eskilstunas strategi sedan 2016 – Gå från lokalt installerade tjänster till molntjänster

– Effektivare, säkrare, nya tjänster som underlättar digitaliseringen

• Idag hybridlösning

– Microsoft M365 pilot

– Microsoft Education

– Teams – molntjänst

– Azure & Intune - molntjänster

• Avtalet med Microsoft löper ut april 2025 - behöver besluta om att bryta licensavtalet eller gå över till valda delar av M365 molntjänster

• Användandet av M365 innebär hantering av personuppgifter - nämnderna är personuppgiftsansvariga

• Schrems II-domen 16/7 -20 gör att rättsläget om hur vi kan använda molntjänster som lyder under lagstiftning från 3:e land är oklart

• 10/7 -23 Beslut om nytt ramverk EU-USA

Beslut i KF 21/10 2021 om molntjänster

1. Eskilstuna kommun ska i första hand använda inomeuropeiska molntjänster för informationslagring.

2. Där inomeuropeiska alternativ ej finns kan information på skyddsnivå 0 och 1 lagras i molntjänster som lyder under lagstiftning från tredje land, förutsatt att organisationen vidtagit tekniska och organisatoriska åtgärder för att minimera risker med röjande av information.

3. Personuppgifter som lagras för IT-drift ska minimeras till så få som möjligt och får inte vara känsliga eller anses särskilt skyddsvärda. Inga andra personuppgifter än de som anses nödvändiga för att upprätthålla IT-driften av tjänsten ska hanteras i molntjänsten.

4. Vid införande av tjänster som innebär informationslagring i molntjänster från tredje land ska en riskanalys och vid behov en konsekvensbedömning göras och personuppgiftsansvarig nämnd ska fatta beslut om införande.

5. Kommunstyrelsen får i uppdrag att följa utvecklingen nationellt och internationellt avseende informationslagring i molntjänster från tredje land och vid behov vidta nödvändiga åtgärder.

Fördelar

- IT-arkitektur och säkerhet, kommunens informationsförsörjning & digitala infrastruktur är uppbyggd runt Microsoft

- Medarbetarna har erfarenhet och kunskap i att arbeta i Microsoftmiljön – en sömlös (helhetslösning) & digital arbetsmiljö

- Får tillgång till många olika produkter för kontorsstöd, istället för flera olika produkter från olika leverantörer - kan t.ex. behålla Teams

- Underlättar digitaliseringsarbetet – integrationer

- Kostnadseffektivt

- Mycket god IT- och informationssäkerhet

Nackdelar

- Osäkert rättsläge - lämnar utrymme för tolkningar av lagstiftning och rekommendationer från EU – vi tar en viss risk

- M365 är en molntjänst, levererad av Microsoft. Lyder under amerikansk övervakningslagstiftning vilket försvårar för ”en registrerad” att utöva sin rätt i enlighet med dataskyddsförordningen och för personuppgiftsansvarig att få tillräcklig insyn/kontroll över informationen och när tjänsterna används.

- Kräver att medarbetarna kan hantera informationen på rätt sätt (informationsklass 0 -1, restriktivt med personuppgifter).

- Vi kommer inledningsvis inte kunna använda alla Microsoft-komponenter

p.g.a. rättsläget

- Vi behöver ta fram en exit-strategi

Något om rättsläget

• Många kommuner (och än fler företag) använder M365

• Integritetsmyndigheten har inte gjort någon tillsyn och därmed ingen sanktion mot någon av kommunerna

• Beslut i andra EU-länder

– Förbud mot M365 i skolan i Frankrike (regeringen) och delstaten Hessen (IMY)

– Beslut att tillåta Teams i skolan i Polen (domstol) och beslut att tillåta Google workspace i Danmark (IMY).

Juristernas rekommendationer

Eskilstuna kommun bör utifrån en proportionerlig helhetsbedömning och med accepterande av ett visst mått av risk, - med stöd i sitt program för digital transformation - den verksamhets- och behovsanalys som genomförts - de mål kommunen satt upp för en digital arbetsplats - med ett beaktande av organisatoriska och tekniska skyddsåtgärder och utkomster från genomförd DPIA avseende Azure AD, implementera och tillhandahålla ett användande av plattform M365.

Eskilstuna kommuns respektive nämnder bör vid användande av ytterligare tjänster i M365 genomföra nödvändiga konsekvensbedömningar, främst utifrån GDPR men också utifrån andra eventuella lagstiftningar som kan påverkas vid ett i anspråkstagande (DPIA) av en tjänst.

Vidare bör Eskilstuna kommun – KLK/IT - vid behov, anpassa och eventuellt ompröva sitt ställningstagande, särskilt om rättsläget förändras på ett genomgripande sätt.

Information och uppgifter som omfattas av Offentlighets- och sekretesslagen (OSL) ska inte hanteras i en molntjänst där leverantören inte är svensk och omfattas av det straffrättsliga skydd för uppgiftshanteringen som tillämpningen av OSL medför. Material som faller under OSL ska inte hanteras i M365.

Eskilstuna kommun bör också som ett led i sin strävan att på bästa sätt efterleva regelverket med dess nuvarande tolkning, initiera ett arbete om en Exit strategi som en risk mitigerande åtgärd varande en s k ”fall back” plan för kommunen, vilken påvisar en ansvarstagande och modern kommun.

Besluta om ett införande av M365 inom nämndens ansvarsområde i enlighet med beskrivningen i tjänsteskrivelsen.

1. Införande av M365 inom nämndens ansvarsområde godkänns

Besluta om att genomföra nödvändiga konsekvensbedömningar i det fall nämnden godkänner ett införande av M365.

2. Förvaltningen får i uppdrag att genomföra nödvändiga konsekvensbedömningar i det fall nämnden godkänner ett införande av M365.

Kostnaden för införandet belastar kommunledningskontorets ram.

- Samtliga nämnder fattar beslut om införande och att ge sin förvaltning i uppdrag att genomföra nödvändiga konsekvensbedömningar

- Ett införandeprojekt startas av KLK & SEF

- Ge stöd till samtliga nämnder som genomför konsekvensbedömningar DPIA & ev TIA (TIA är dataöverföringsanalyser)

- Införande sker successivt vartefter beslut fattas under 2023-2024

- Planerar och tar fram utbildningsmaterial - användare ska utbildas

- KLK tar fram en exit-strategi tillsammans med SEF

- Följer rättsläget

Uppgjord av

Emil Lindqvist

Godkänd av

Datum

Rev

Referens

Niklas Narvell/Pia Thunström

2022-11-07

Utredning digital samarbetsplattform

Uppgjord av

Emil Lindqvist

Godkänd av

Datum

Rev

Referens

Niklas Narvell/Pia Thunström

2022-11-07

Sammanfattning

Eskilstuna kommun behöver utreda vilken samarbetsplattform som kan medverka till kommunens önskan om ökat samarbete via digitala plattformar som kan stödja; chatt, videokonferens och dokumentdelning. I dagsläget är det MS Teams som gäller för de dokument och den dokumentation som är av säkerhetsklass 0 och 1.

Arbetet bygger på, intervjuer, analyser och erfarenheter som tar stöd från vår egen verksamhet men också externa parter. Utredningen visar att det finns alternativ till en digital samarbetsplattform som bygger på inom-europeiska lösningar och tillgodoser våra grundläggande behov ur ett produktperspektiv men medför konsekvenser ur ett funktionsperspektiv. Utifrån kravspecifikationen har två lösningsförslag beaktats.

Att byta digital samarbetsplattform som eventuellt tar stöd från flera olika lösningar leder till konsekvenser vad avser kostnad, digital mognad, kompabilitet, kvalité, kommunikation och samarbete utanför vår egen verksamhet.

Att byta ut etablerade lösningar är förenat med ökade kostnader då flera systemlösningar behöver kombineras. Behovet av Microsofts andra produkter kommer kvarstå oberoende till den digitala samarbetsplattformen, delvis beroende på nuvarande avtalstid.

Offentliga verksamheter som gjort förflyttningen vittnar om att det saknas lämpliga helhetslösningar som lever upp till funktionella krav och att man i stället behöver titta på hybridlösningar.

En digital samarbetsplattform som eventuellt bygger på flera olika system medför en ”rörig” digital verktygslåda. Tydligare uttryckt innebär det fler verktyg som ska komplettera ett fullständigt system. En konsekvens som kan bidra till sämre användarvänlighet och minskad nytta och på så vis minska den digitala mognaden.

När vår organisations digitala mognad ökar, så ökar också behovet av tillgänglighet på vilken klient som helst (dator, mobil, platta etc). Funktionerna i det tilltänkta systemet ska vara enkla och enhetliga för att möta upp medarbetares och verksamheternas behov. Det bör därför ställas höga krav på användarvänlighet med sömlösa funktioner om plattformen bygger på fler samarbetslösningar. Utrymmet för störningar och otillgänglighet i en sådan tjänst är litet vilket ställer ökade krav på kontinuitetsplaner.

Slutligen saknas erfarenhet från IT-branschen vad avser omställning och implementering för ett sådant arbete. Det saknas även erfarenhet av att ställa om vilket kommer att medföra nya kompetensbehov inom den egna organisationen; från IT ändå ut till användare och verksamheten. Kostnader kommer även att öka kring omställning och utbildning.

eSam skriver i sin rapport avseende arbetet Digital plattform för offentlig sektor: Konsekvensanalysen visar att det finns stora utmaningar inför ett fortsatt arbete. Det krävs både tid och resurser och även ett förändrat synsätt som tar höjd för behovet av ett

helhetsperspektiv för hela offentlig sektor”

Uppgjord av

Emil Lindqvist

Godkänd av

Datum

Rev

Referens

Niklas Narvell/Pia Thunström

2022-11-07

Innehåll

Bakgrund 4

Syfte 4

Metod och nulägesanalys 4

Lösningsalternativ 5

Kostnadsförslag 5

Lösningsförslag 6

Alternativ 1 – Nextcloud, helhetslösning 6

Erfarenheter 6

Alternativ 2 – Nextcloud, hybridlösning 6

Konsekvensanalys 7

Uppgjord av

Emil Lindqvist

Godkänd av

Datum

Rev

Referens

Niklas Narvell/Pia Thunström

2022-11-07

Bakgrund

Beslut om att använda MS Teams sträcker sig till 2022-12-31 samt licensiering t o m 2023-03-31.

Kommunfullmäktige har i oktober 2021 fattat ett beslut om att i första hand använda inomeuropeiska molntjänster. Detta kan påverka de möjligheter som finns för att hitta lämplig plattform eller separata alternativ

Syfte

Utredningen har som syfte att stödja framtida beslutsfattningar om lösningar som i sig själva eller tillsammans med andra lösningar kan utgöra en digital sammarbetsplattform för Eskilstuna kommun och de krav som ställs på våra verksamheter.

Med begreppet digital sammarbetsplattform avses ett eller flera verktyg där följande funktioner ska/bör finnas med:

• Videokonferens

• Chat

• Dokumenthantering/lagring

• Event/stormöten

Metod och nulägesanalys

En nulägesanalys och kartläggning av grundläggande funktionalitet i nuvarande samarbetsplattform i Microsoft Teams har tagits fram genom intervjuer av nyckelroller inom den egna organisationen, andra offentliga aktörer, samt analys av arbetet digital samarbetsplattform för offentlig sektor, dSam.

• IT-arkitekter inom kommunen (3).

• Intervju med leverantörsrepresentant

• Intervju med projektledare dSam

För att nå en slutsats har vi identifierat vilka funktioner som nyttjas i dag (Microsoft Teams) och som behöver ersättas vid förändring.

Uppgjord av

Emil Lindqvist

Godkänd av

Datum

Rev

Referens

Niklas Narvell/Pia Thunström

2022-11-07

(Utöver skallkraven finns också andra funktioner som till exempel Kanban-tavla, ett sätt att planera och visualisera arbetsflöden, digital whiteboard och kalendersynk som förloras vid en eventuell förändring).

Lösningsalternativ

I utredningen har vi valt att titta närmre på system som i sig själva eller med hjälp av andra kan utgöra grunden för en framtida digital plattform. Systemen i utredningen valdes på grund av att de testats eller redan används av andra aktörer inom offentlig verksamhet och kan utvärderas efter reella erfarenheter.

	Chat	Video	Stormöten	Lagring	Kalender	Ord/Kalkyl	Kostnad i SEK / år
MS Teams	x	x	x	x	x	X	15 634 200*
Nextcloud	x	x		x	x	X	23 940 000
Webex	x	x					15 960 000
Jitsi Meet		x					Uppgift saknas
Rocket Chat	x						Uppgift saknas
Screen 9			x				Uppgift saknas

*Teams ingår i Microsoft licensen och är inget tillägg. Därför förändras ej kostnaden om man fortsätter att nyttja Microsofts för övrigt, t ex Office-paketet.

Till ovanstående prisbilder tillkommer utbildningsinsatser i den totala kostnaden oavsett produkt. Schablonuträkning: 2 timmar per anställd = 600 x 13 300 = 7 980 000

Kostnadsförslag

MS Teams	Nextcloud	Webex
Licenser, antal och kostnad	Licenser och kostnad	Licenser och kostnad
E3 – 2300 st – 4050 kr / år	13 300 st – 1800 kr / år	13 300 st – 1200 kr / år
F3 – 6100 st – 660 kr / år
A3 – 4900 st – 460 kr / år
Totalt 15 634 200 SEK / år	Totalt 23 940 000 SEK / år	Totalt 15 960 000 SEK / år

Jitsi meet	Rocket chat	Screen 9
Licenser och kostnad	Licenser och kostnad	Licenser och kostnad
Uppgifter saknas*	Uppgifter saknas*	Uppgifter saknas*

* I kalkylerna finns det lösningar som saknar uppgifter om kostnad vilket beror på att vi inte kunnat erhålla kostnadsförslag från licenspartner eller att verksamheter som fått offert valt att inte offentliggöra den.

Uppgjord av

Emil Lindqvist

Godkänd av

Datum

Rev

Referens

Niklas Narvell/Pia Thunström

2022-11-07

Lösningsförslag

Alternativ 1 – Nextcloud, helhetslösning

Referens: Utredning av digital samarbetsplattform dSam. https://esamverkan.se

Nextcloud är en lösning med öppen källkod från ett tyskt företag (Nextcloud GmbH) som står bakom och erbjuder support och underhåll. Ett antal svenska partners finns på marknaden. Nextcloud erbjuder inte själva molntjänster utan förlitar sig på partners. Det finns svenska och europeiska leverantörer som erbjuder lösningen som molntjänst och lösningen finns även för egen IT-drift.

Nextcloud Hub erbjuder funktionalitet som liknar det Microsoft 365, Google Workspace.

Lösningen är anpassningsbar och det går att välja att tillgängliggöra en bred flora av funktionalitet med hjälp av de 100-tal appar som finns tillgängliga. Vanligast förekommande appar är beständig chatt med stöd för gruppchatt och personlig chatt, mötes och videokonferenstjänst, e-post, kalender, fil- och dokumenthantering,

dokumentredigerare för webb som ger stöd för samtidig redigering, ”tasks”/kanban,

kalender och Whiteboard.

Erfarenheter

Enligt intervju med projektledare för dSam (Se bilaga) har man enligt erfarenheter från Skatteverket gjort bedömning att Nextcloud inte lever upp till de krav man ställer på plattformen som helhetslösning. Nextcloud erbjuder funktioner som videomöten och chat så tycker man att det är otillräckligt. Det gäller specifikt funktioner så som videomöten och gruppchat. Utifrån de erfarenheterna har man från Skatteverket tagit beslut att gå vidare med en hybridlösning, se lösningsalternativ 2 nedan.

Alternativ 2 – Nextcloud, hybridlösning

Referens: Utredning av digital samarbetsplattform dSam. https://esamverkan.se

Hybridlösning med Nextcloud som grundplattform och komplimenterande samarbetslösningar till de funktioner som ej lever upp till verksamhetens krav. Enligt intervju med projektledare för dSam (Se bilaga) finns det brister inom de tjänster Nextcloud erbjuder och som i stället ersätts av andra lösningar som komplement.

Chat – Rocket chat

Referens: Utredning av digital samarbetsplattform dSam. https://esamverkan.se

Rocket.Chat är en programvara med öppen källkod för fasta chattrum med stöd för

Uppgjord av

Emil Lindqvist

Godkänd av

Datum

Rev

Referens

Niklas Narvell/Pia Thunström

2022-11-07

gruppchatt, personlig chatt och videomöten. Rocket.Chat (samtal) använder Jitsi (koppling till mobil) eller BigBlueButton (virtuella klassrum/grupper för möten, dokument och chatt) som lösning för videomöten. Det finns stöd för att hantera filer kopplade till chattarna. Rocket.Chat har öppna programmeringsgränssnitt (API:er) för utökad funktionalitet och integration med andra system. Exempelvis går det att koppla ihop Rocket.Chat med andra lösningar via Matterbridge (sätt att synka flera system med varandra samtidigt).

Videokonferens – Jitsi meet

Referens: Utredning av digital samarbetsplattform dSam. https://esamverkan.se

Jitsi är vanligt förekommande i de analyserade lösningarna, både som paketerad tjänst och som integrerad videomötesfunktion i t.ex. helhetslösningar. Jitsi är baserad på öppen källkod med ett företag baserat i USA (8x8) som erbjuder support, underhåll och molntjänster. Flera bolag erbjuder kommersiell support inklusive Element (krypterade mobila lösningar end to end). Flera europeiska och svenska leverantörer erbjuder Jitsi som tjänst. Lösningen finns även för drift i egen IT-miljö.

Jitsi har funktioner för att hålla små till medelstora videomöten och fungerar i de flesta moderna webbläsare. Exempelvis finns funktionalitet som chatt under mötet, skärmdelning, egen bakgrundsbild eller suddig bakgrund, möjlighet att spela in mötet, dela ljud och videofilmer, streaming och totalsträckskryptering (end to end).

Stormöten – Screen 9

Referens: Utredning av digital samarbetsplattform dSam. https://esamverkan.se

Screen 9 är ett svenskt företag som fokuserar på att leverera en videoplattform med tjänster kring distribution av live och on-demand video. Tjänsten kan köpas på flera sätt. Screen 9 erbjuds som molntjänst, hybrid och drift i eget datacenter.

Konsekvensanalys

• Fördelen med inom-europeiska lösningar är att de är kompatibla med gällande EU- lagstiftning. Eskilstuna kommun slipper lägga ned tid och resurser på att avtalsmässigt skydda informationen från en leverantör där det finns rädslor om olovlig spridning och behandling av informationen. Det kan vara både tidskrävande och dyrt att ständigt konstruera olika skydd för att kunna nyttja tjänsten.

• Även om vi upphandlar en tjänst idag som är inom-europeiskt ägd så är det ingen garanti för att för att det inte kan bli uppköpt av en större global aktör utanför EU. Exempel är Skype och Candy Crush som båda tidigare var svenska företag men numera ingår/ägs av Microsoft.

• Att samarbeta och kommunicera med organisationer utanför kommunen är en viktig del i vår verksamhet. Det är därför viktigt att vi ställer höga krav på en

Uppgjord av

Emil Lindqvist

Godkänd av

Datum

Rev

Referens

Niklas Narvell/Pia Thunström

2022-11-07

etablerad digital samarbetsplattform så att vi enkelt kan upprätthålla god kommunikation. En förflyttning till en miljö som saknar integrationer med etablerade lösningar kan få negativa konsekvenser gällande vår kommunikation med externa samarbetspartners.

• Att byta ut etablerade lösningar är förenat med kostnader, i vårt fall minst dubbelt så höga. Behovet av Microsofts produkter kvarstår oberoende till digital samarbetsplattform. Andra utmaningar är kompetensförsörjning och förändringsledning. Även implementeringsarbetet kommer att kräva särskild kompetens vilket medför risk för högre resurskostnader.

• På grund av corona-pandemin har det funnits ett stort behov av distansarbete och kravet på en digital arbetsplats ökat. Microsoft Teams har blivit ett erkänt och etablerat verktyg i kommunens digitala verktygslåda. Enkla och användarvänliga funktioner är något som verksamheten efterfrågar och kravet på sömlösa integrationer blir av allt större vikt.

• Att flytta från en etablerad digital samarbetsplattform till en hybridlösning innebär att man behöver lära sig fler system än ett. Implementeringsarbetet kommer kräva stora förändringar för kommunens samtliga verksamheter och resan omfattar både teknik och kultur. Risken för en ”rörig” digital verktygslåda ökar vilket sannolikt medför ett minskat användande.

• Att byta ut en helhetstjänst ökar risken för integrationsproblem och tillgänglighetsstörningar vilket kan få stora konsekvenser för den egna organisationen. Det behövs ställas utökade krav på kontinuitetsplaner då en samarbetsplattform som dagligen används för intern och extern kommunikation blir en viktig verksamhetsfunktion. Utrymmet för störningar eller otillgänglighet i en sådan funktion behöver hållas ner.

• I takt med att vi utökar funktioner i den digitala verktygslådan och allt fler lösningar levereras som tjänst, ökar tillgängligheten på vilken klient som helst. Krav på system som fungerar sömlöst över olika klienter blir av allt större vikt. En digital samarbetsplattform som kombineras av olika tjänster är också beroende av systemintegrationer vilket medför en ökad risk för kompabilitetsproblem.

Kommunledningskontoret 2023-05-15 KSKF/2022:432 Kommunikation och delaktighet Handlingsnummer

Pia Karjalainen Thunström 016-710 12 88 2023:100

Kommunstyrelsen

Stöd för digital arbetsplats - Microsoft 365

Förslag till beslut

1. Införande av Microsoft 365 (M365) inom kommunstyrelsens ansvarsområde godkänns.

2. Kommunledningskontoret får i uppdrag att genomföra konsekvensbedömningar för att besluta om vilka komponenter inom M365 som kan användas.

3. Kommunledningskontoret får i uppdrag att säkerställa att medarbetare inom förvaltningen har rätt anvisningar och kompetens för hantering av information inom de komponenter som görs tillgängliga inom ramen för M365.

4. Kommunledningskontoret får i uppdrag att följa rättsläget.

5. Kommunledningskontoret får i uppdrag att tillsammans med servicenämnden ta fram en strategi för att kunna lämna M365 om rättsläget förändras.

6. Kostnaden för införandet belastar kommunledningskontorets ram.

Sammanfattning

Kommunen har under många år använt Microsoft som leverantör för ett flertal olika IT-komponenter och basinfrastruktur. Precis som kommunen och övriga IT- leverantörer har Microsoft alltmer gått över till molntjänster. Microsoft erbjuder den mest konkurrenskraftiga lösningen avseende bland annat kontorsstödsprodukter som exempelvis Officepaketet, Teams, etcetera.

Ärendebeskrivning

Ärendet har beretts av en styrgrupp med representanter från Eskilstuna kommun med sakkunskap inom digital arbetsplats, digital arbetsmiljö, IT, digitalisering och attraktiv arbetsgivare.

Bakgrund

Tillvägagångssättet som leverantörer inom IT-branschen tillhandahåller tjänster på är och har under en längre tid varit på väg att förändras. Tjänsterna går från att ha varit

lokalt installerade, även kallat för ”on-premesis” förkortat ”on-prem”, till att tillhandahållas i molntjänster. Den här förändringen ser kommunen inom alla sektorer men det är främst förändringen inom området kontorsstödstjänster från Microsoft som just nu driver behovet av att möjliggöra IT-drift i molntjänster som lyder under lagstiftning från tredje land.

Kommunens IT-infrastruktur är byggd på lösningar från Microsoft med en IT- funktion som är uppbyggd av kompetens på Microsofts produkter.

Eskilstunas kommuns IT-drift i molntjänster (KSKF/2021:98)

Office365 och Microsoft365

OneDrive, Teams, Planner, samt Outlook som ett komplett kontorsstöd och för kommunikation med omvärlden. Eskilstuna kommun har som en följd av pandemin ett intermistiskt beslut om användandet av MS Teams till och med 2023-06-01.

Lagligheten

Underlaget ska ses mot bakgrund av de regel efterlevnadsresonemang – dataskydds och andra juridiska frågeställningar - som M365 belyser. Det är primärt skrivet med beaktande av Dataskyddsförordningen (DSF) och Offentlighets- och sekretesslagen (OSL). Det ska särskilt framhållas att rättsläget inte är helt tydligt, utan lämnar utrymme för tolkningar av aktuell lagstiftning och fastställda rekommendationer från Europeiska dataskyddstyrelsen (EDPB). Det är emellertid viktigt att noga och fortlöpande följa rättsutvecklingen inom området.

Juristernas rekommendationer är:

Eskilstuna kommun bör utifrån en proportionerlig helhetsbedömning och med accepterande av ett visst mått av risk,

- med stöd i programmet för digital transformation

- den verksamhets- och behovsanalys som genomförts

- de mål Eskilstuna kommun satt upp för en digital arbetsplats

- med ett beaktande av organisatoriska och tekniska skyddsåtgärder och utkomster från genomförd DPIA,

implementera och tillhandahålla ett användande av plattform M365.

Vidare bör Eskilstuna kommun, vid behov, anpassa och eventuellt ompröva sitt ställningstagande, särskilt om rättsläget förändras på ett genomgripande sätt.

Bemötande av DSO: s rekommendationer

Eskilstuna kommuns dataskyddsombud (DSO) har inkommit med skrivelse med anledning av genomförd DPIA och beslut om införande av M365. (Se bilaga)

Delar av de synpunkter som DSO har framfört har korrigerats i DPIA: n.

Kommunledningskontoret delar vidare DSO: s synpunkter om att varje nämnd ska genomföra nya DPIA för att bedöma de risker som finns inom respektive nämnd för användning av de olika tjänsterna inom M365.

Alternativa lösningar

Konsekvenser av att backa ur Microsoft

Inom IT-branschen saknas erfarenheter vad avser omställning och implementering av flera olika lösningar av flera olika leverantörer som alternativ till en helhetslösning som med Microsoft.

Konsekvenser av ett införande

Samtliga nämnder behöver dock genomföra konsekvensbedömningar (så kallad DPIA) för att besluta om vilka komponenter inom M365 som kan användas inom respektive nämnd.

Säkerhet

I takt med den ökade digitalisering i samhället är det viktigt att skydda IT-systemen mot dataintrång. De senaste åren har det skett många incidenter av varierande omfattning i samhällets IT-system, något som visar hur viktigt hög säkerhet och kvalitetssäkrade processer är för att skydda vår information. Microsoft är ett av världen största It-företag med 3 500 säkerhetsexperter runt om i världen som arbetar dygnet runt veckans alla dagar med att skydda de tjänster deras kunder nyttjar.

Microsofts tjänster användas av flera hundra miljoner människor, banker, sjukhus och myndigheter över hela världen.

Finansiering

Den bedömda kostnaden för införande av M365 i hela kommunen är 4,8 miljoner kronor, varav 2,2 miljoner kronor för 2023 och 2,6 miljoner kronor för 2024.

Kostnaden belastar kommunstyrelsens ram.

Nyttor och kostnader för enskilda nämnder kan variera beroende på mognadsgrad och utvecklingspotential.

Att fortsätta med så kallad on prem-lösningar på egna servrar skulle däremot öka licenskostnaderna med över 10 miljoner kronor

Kommunledningskontorets bedömning

Konsekvenser för hållbar utveckling och en effektiv organisation

KOMMUNLEDNINGSKONTORET

Tommy Malm Eva Norberg

Kommundirektör Kommunikationsdirektör

Beslutet skickas till:

Samtliga nämnder

DPIA-Konsekvensbedömning avseende dataskydd

Plattform M3G5

Innehållsförteckning

1 Övergripande information 3

2 Sammanfattning 4

3 Om konsekvensbedömning 5

4 Tröskelanalys 7

5 Konsekvensbedömning avseende dataskydd och förhandssamråd 11

5.1 Systematisk beskrivning av behandlingen och dess syften 11

5.2 Behovet av och proportionaliteten hos behandlingen 14

5.2.1 Inledning 14

5.2.2 Uppfyllande av grundläggande principer 14

5.2.3 Bedömning av åtgärder som stärker den registrerades rättigheter 1G

5.2.4 Sammanfattning 17

5.3 Bedömning av risker för registrerades rättigheter och friheter 17

5.3.1 Inledning 17

5.3.2 Riskdokumentation 18

5.3.3 Kvarstående höga risker 20

5.4 Medverkan från berörda parter 21

G Slutlig, sammantagen bedömning 22

Bilaga A Refererade artiklar och skäl i dataskyddsförordningen 24

Bilaga B Minimikrav för konsekvensbedömning 27

Bilaga C Bedömning av allvarsgrad och sannolikhetsnivå 25

Bilaga D Förhandssamråd 30

1 Övergripande information

Här uppges uppgifter om detta dokument, personuppgiftsbehandlingens identitet, ansvariga för behandlingen och medverkande vid utformningen av behandlingen.

Plattformen M3G5 (Azure AD personuppgifter)

Personuppgiftsbehandlingens identitet

Ange benämning av personuppgiftsbehandling, ett unikt id för att identifiera personuppgiftsbehandlingen samt eventuell version.

Kommunstyrelsen, Eskilstuna kommun

Företrädare för kommunen Niklas Narvell, IT-chef

Personuppgiftsansvarig(a) för personuppgiftsbehandlingen

Ange information om personuppgiftsansvarig eller gemensamt personuppgiftsansvariga.

Eskilstuna kommuns IT avdelning och Microsoft

Verksamhet(erna) där behandlingen utförs

Ange den verksamhet där behandlingen utförs, exempelvis enhet, verksamhetsområde.

Medverkande

Ansvarig

Person/roll (inkl. kontaktuppgifter) med mandat att för per- sonuppgiftsansvarigs räkning överväga, besluta och i före- kommande fall fastställa konsekvensbedömning enligt arti- kel 35. Informationsägare eller annan roll. Se delegations-

ordning (verkställighet).

IT-chef Niklas Narvell

Andra medverkande

T.ex. processansvarig, verksamhetsutvecklare, IT-strateg, in- formationssäkerhetsspecialist, IT-säkerhetsspecialist och per- sonuppgiftsbiträden.

Dataskyddssamordnare Robert Mar- cinkiewicz,

Förvaltningsjurist SF. Rafaela Svéd, IT-säkerhetssamordnare

Carolina Bengtsson, SEF,

Informationssäkerhetssamordnare Rimona Hussni, VOF

Dataskyddsombud (*) (Obligatorisk)

Inkl. kontaktuppgifter. Dataskyddsombudet, om sådant är utsett, ska alltid rådfrågas vid konsekvensbedömning (se av- snitt 7.1).

Charlotte Nilsson (DSO), SEF, ej kallats till DPIA-workshop.

Registrerades medverkan (Obligatorisk information) Enligt artikel 35.9 ska synpunkter inhämtas från de registre- rade eller deras företrädare när det är lämpligt. Om registre- rade inte tillfrågas ska en motivering ges till beslutet (se av- snitt 5.4).

Synpunkter har inte inhämtats från de re- gistrerade. Representanter från de olika verksamheterna inom kommunen har medverkat vid DPIA-workshop av denna DPIA. Vidare har HR inkluderats i styr-

gruppen.

2 Sammanfattning

De förekommande personuppgifterna genererar en viss risk, se nedan. Risken bedöms vara av sådan art att den registrerades rättigheter inte torde äventyras.

Respektive personuppgiftsansvarig ska genomföra en egen DPIA. Denna DPIA avser Azure AD.

Sammanfattning av konsekvensbedömningen

Fylls i sist, mycket kan hämtas från avsnitt 6.

Sammanställning av beslut under konsekvensbedömningens gång

Beslut om konsekvensbedömning

☒ JA

☐ NEJ

Kommentar/motivering

Om konsekvensbedömning genom-

förts, är risknivå sänkt till acceptabel nivå?

☒ JA

☐ NEJ

Ja, genom tekniska samt organisatoriska skyddsåtgärder.

Dataskyddsombudet har rådfrågats

☒ JA

☐ NEJ

Kommentar/motivering

Dataskyddsombudet har mottagit konse- kvensbedömningen den 3 maj 2023.

Dataskyddsombudets rekommendat- ioner godtogs (om nej, motivera)

☒ JA

☐ NEJ

Kommentar/motivering Dataskyddsombudet (DSO) har mottagit konsekvensbedömningen. DSO har möj- lighet att granska konsekvensbedöm- ningen. Eventuellt yttrande eller fråge- ställningar avseende denna konsekvensbe- dömning ska besvaras av personuppgifts-

ansvarig.

Beslut om förhandssamråd

☐ JA

☒ NEJ

Kommentar/motivering

Behandlingen leder inte till en hög risk för de registrerades fri- och rättigheter. Risker kan begränsas tillräckligt genom tekniska och organisatoriska säkerhetsåt- gärder med tanke på tillgänglig teknik

och kostnader.

Har förhandssamråd genomförts och risker sänkt till acceptabel nivå?

☐ JA

☒ NEJ

Kommentar/motivering

Ej aktuellt, förhandssamråd har ej genom- förts.

Gå vidare med personuppgiftsbe-

handlingen

☒ JA

☐ NEJ

Se ovan rubrik ”Beslut om förhandssam-

råd”

3 Om konsekvensbedömning

Enligt artikel 35.1 i dataskyddsförordningen är den personuppgiftsansvarige skyldig att inför en ny personuppgiftsbehandling utföra en konsekvensbedömning om en behandling sannolikt leder till en hög risk för fysiska personer rättigheter och friheter. En konsekvensbedömning kan också behöva göras om risken för en pågående personuppgiftsbehandling ändras.

En konsekvensbedömning är en process för att beskriva personuppgiftsbehandlingen, bedöma om den är nödvändig och proportionell och för att hantera risker för fysiska personers rättigheter och friheter som uppkommer genom behandlingen, genom att bedöma dessa risker och bestämma vilka åtgärder som ska vidtas. Genom en konsekvensbedömning kan man som personuppgiftsan- svarig visa för de registrerade att man uppfyller de krav som ställs i dataskyddsförordningen, bland annat det grundläggande ansvaret vad gäller efterlevnad av förordningen som ligger på den per- sonuppgiftsansvarige enligt artikel 24.11 i dataskyddsförordningen.

I artikel 35 hänvisas till en sannolikt hög risk ”för enskildas rättigheter och friheter”. Hänvis- ningen till de registrerades ”rättigheter och friheter” avser i första hand dataskydd och integritet, men kan även omfatta andra grundläggande rättigheter såsom yttrandefrihet, tankefrihet, fri rör- lighet, förbud mot diskriminering, rätt till frihet, samvete och religion.

Konsekvenser för den registrerade kan orsakas både med avseende på utförandet av behandlingen, men även på behandlingens karaktär. I skäl 752 i dataskyddsförordningen beskrivs behandlingar som kan medföra risker och olika typer av konsekvenser för fysiska personers rättigheter och fri- heter. Skador som kan uppkomma kan vara fysiska, materiella eller immateriella och kan exem- pelvis leda till diskriminering, identitetsstöld eller bedrägeri, ekonomisk förlust, skadat anseende, förlust av konfidentialitet när det gäller personuppgifter som omfattas av tystnadsplikt, obehörigt hävande av pseudonymisering eller annan betydande ekonomisk eller social nackdel, om registre- rade kan berövas sina rättigheter och friheter eller hindras att utöva kontroll över sina personupp- gifter.

Det finns olika metoder för att genomföra en konsekvensbedömning, men i artikel 35.73 stadgas fyra grundläggande krav i dataskyddsförordningen på vad en konsekvensbedömning ska inne- hålla.

1. En systematisk beskrivning av den planerade behandlingen och behandlingens syfte.

2. En bedömning av behovet av och proportionaliteten hos behandlingen i förhållande till syftena.

3. En bedömning av riskerna för de registrerades rättigheter och friheter.

4. De åtgärder som planeras för att hantera riskerna och för att visa att dataskyddsförord- ningen efterlevs.

1 I artikel 24.1 stadgas att ”[m]ed beaktande av behandlingens art, omfattning, sammanhang och ändamål samt ris- kerna, av varierande sannolikhetsgrad och allvar, för fysiska personers rättigheter och friheter ska den personupp- giftsansvarige genomföra lämpliga tekniska och organisatoriska åtgärder för att säkerställa och kunna visa att behand- lingen utförs i enlighet med denna förordning. Dessa åtgärder ska ses över och uppdateras vid behov”.

2 Se bilaga A.

3 Se också skäl 84 och 90 i dataskyddsförordningen.

Som komplement till dataskyddsförordningens minimikrav har Artikel 25-gruppen4 tagit fram kriterier för konsekvensbedömning i dokumentet Riktlinjer om konsekvensbedömning avseende dataskydd och fastställande av huruvida behandlingen ”sannolikt leder till en hög risk” i den me- ning som avses i förordning 201G/G75, antagna den 4 april 2017.5 Dessa kriterier klargör de grund- läggande kraven i förordningen, men erbjuder tillräckligt utrymme för olika genomförandefor- mer. Kriterierna kan användas för att visa att en viss metod för konsekvensbedömning uppfyller de krav som ställs i förordningen.

Det finns situationer när en konsekvensbedömning inte behöver göras. Det gäller dels om det re- dan har gjorts en konsekvensbedömning för en behandling som är mycket lik den planerade be- handlingen. Då kan resultatet från den tidigare konsekvensbedömningen kan användas. En konse- kvensbedömning behöver inte heller genomföras om den planerade personuppgiftsbehandlingen inte sannolikt leder till en hög risk för enskildas fri- och rättigheter eller om det gäller behand- lingar som har kontrollerats av en tillsynsmyndighet eller ett dataskyddsombud i enlighet med ar- tikel 20 i direktiv 55/4G/EG (dataskyddsdirektivet, det vill säga före dataskyddsförordningens ikraftträdande) och vars genomförande inte har ändrats sedan föregående kontroll.

4 Artikel 29-gruppen är den oberoende europeiska arbetsgruppen som behandlade frågor om integritetsskydd och skydd av personuppgifter fram till den 25 maj 2018 (införande av den allmänna dataskyddsförordningen). Artikel 29- gruppen har ersatts av Europeiska dataskyddsstyrelsen (European Data Protection Board, förkortad EDPB).

5 Kriterierna återfinns i bilaga B.

4 Tröskelanalys

Som framgått ovan ska den personuppgiftsansvarige enligt artikel 35.1 i dataskyddsförordningen inför en ny personuppgiftsbehandling (eller vid förändringar av risker avseende en pågående be- handling) utföra en konsekvensbedömning om behandlingen sannolikt leder till en hög risk för fysiska personer rättigheter och friheter. Om en behandling inte sannolikt leder till en hög risk för enskildas fri- och rättigheter, behöver en konsekvensbedömning inte göras. För att ta reda på om den nya behandlingen medför en sådan risk genomförs en så kallad tröskelanalys.

Tröskelanalysen består av nio kriterier, framtagna av Integritetsskyddsmyndigheten (IMY) med stöd av Artikel 25-gruppens riktlinjerG. Kriterierna pekar på när en konsekvensbedömning måste genomföras innan personuppgiftsbehandlingen påbörjas.7

Om den planerade behandlingen uppfyller minst två av de nio kriterierna ska generellt sett en konsekvensbedömning genomföras. Även ett (1) kriterium kan tyda på att en konsekvensbedöm- ning behöver genomföras, beroende på riskerna för de registrerades fri- och rättigheter avseende personuppgifternas behandling. En konsekvensbedömning kan således komma att behöva genom- föras även om endast ett av kriterierna är uppfyllt.8

En behandling kan omvänt uppfylla två eller fler kriterier, men den personuppgiftsansvarige kan ändå göra bedömningen att den ”sannolikt inte leder till en hög risk”. I sådana situationer bör den personuppgiftsansvarige motivera och dokumentera anledningarna till att en konsekvensbedöm- ning inte utförs, och inkludera/registrera dataskyddsombudets synpunkter.5 Vid tveksamhet om konsekvensbedömning ska genomföras eller inte är rekommendationen från IMY att man genom- för en konsekvensbedömning.

Nedan presenteras den tröskelanalys som genomförts inom ramarna för plattformen M3G5

Övergripande information
Personuppgiftsansvarig	Kommunstyrelsen, Eskilstuna kommun
Kontaktuppgifter	KLK Eskilstuna kommun, G31 8G Eskilstuna
Företrädare	IT-chef Niklas Narvell
Dataskyddsombud	Charlotte Nilsson, ej närvarande

6 Artikel 29-gruppen, Riktlinjer om konsekvensbedömning avseende dataskydd och fastställande av huruvida be- handlingen ”sannolikt leder till en hög risk” i den mening som avses i förordning 2016/679, Antagna den 4 april 2017.

7 Förteckning enligt artikel 35.4 i Dataskyddsförordningen, dnr DI-2018-13200, 2019-01-16. https://www.imy.se/verksam- het/dataskydd/det-har-galler-enligt-gdpr/konsekvensbedomningar-och-forhandssamrad/forteckning-over-nar-en-konsekvensbedomning-ska- goras/

8 Artikel 29-gruppen, Riktlinjer om konsekvensbedömning avseende dataskydd och fastställande av huruvida be- handlingen ”sannolikt leder till en hög risk” i den mening som avses i förordning 2016/679, Antagna den 4 april 2017, s. 12.

9 Artikel 29-gruppen, Riktlinjer om konsekvensbedömning avseende dataskydd och fastställande av huruvida be- handlingen ”sannolikt leder till en hög risk” i den mening som avses i förordning 2016/679, Antagna den 4 april 2017, s. 13.

Tröskelanalys [namn på behandling]
Uppgift om:	Behandling X	Behandling Y
Ändamål med behandlingen	Tillhandahålla ett verktyg för att genomföra den kommunala stra- tegin kring den digitala arbets- platsen. Syftet med Azure AD är att hantera och organisera använ- dare. Detta omfattar också kostnadsa- spekter och behov samt beak- tande av de samlade legala per- spektivet för en kommun
Kategorier av registrerade	Anställda, elever, konsulter, leverantörer
Kategorier av personuppgifter	Förnamn, efternamn, visnings- namn, e-post, telefon nummer, grupp, titel
Mottagare	IT-avdelningen, Eskilstuna kom- mun & Microsoft (uppgifterna läggs i Azure AD:et)
Tredjelandsöverföring	Ja
Grund för tredjelandsöverfö- ring	Standardavtalsklausuler (SCC), organisatoriska och tekniska åt- gärder
Gallringsrutin	Pågående arbete
Kriterier
Behandlingen utvärderar eller poängsätter människor, till ex- empel ett företag som erbjuder genetiska tester till konsumen- ter för att bedöma och förutse risker för sjukdomar, ett kre- ditupplysningsföretag eller ett företag som profilerar interne- tanvändare.	☐ JA ☒ NEJ Kommentar:	☐ JA ☐ NEJ Kommentar:
Behandlar personuppgifter i syfte att fatta automatiserade beslut som har rättsliga följder eller liknande betygande följ- der för den registrerade.	☐ JA ☒ NEJ Kommentar:	☐ JA ☐ NEJ Kommentar:
Systematiskt övervakar männi- skor, till exempel genom kame- raövervakning av en allmän plats eller genom att samla in personuppgifter från interne- tanvändning i offentliga mil- jöer.	☐ JA ☒ NEJ Kommentar: Uppgifterna som behandlas i Azure AD innebär inte systematiskt övervakning.	☐ JA ☐ NEJ Kommentar:

Behandlar känsliga personupp- gifter enligt artikel 5 eller upp- gifter som är av mycket person- lig karaktär, till exempel ett sjukhus som lagrar patientjour- naler, ett företag som samlar in lokaliseringsuppgifter eller en bank som hanterar finansiella

uppgifter.

☐ JA

☒ NEJ

Kommentar: Se avsnitt 5.1 avse- ende attribut i AD.

☐ JA

☐ NEJ

Kommentar:

Behandlar personuppgifter i stor omfattning.

☒ JA

☐ NEJ

Kommentar:

☐ JA

☐ NEJ

Kommentar:”

Kombinerar uppgifter från två eller flera behandlingar på ett sätt som avviker från vad de re- gistrerade rimligen kunnat för- vänta sig, till exempel när man

samkör register.

☒ JA

☐ NEJ

Kommentar:

Flödet finns beskrivet i bilaga 1

”Skapa AD-konto”

☐ JA

☐ NEJ

Kommentar:

Behandlar personuppgifter om personer som av något skäl be- finner sig i ett underläge eller i beroendeställning och därför är sårbara, till exempel barn, anställda, asylsökande, äldre

och patienter.

☒ JA

☐ NEJ

Kommentar: Anställda och elever

☐ JA

☐ NEJ

Kommentar:

Använder ny teknik eller nya organisatoriska lösningar, till exempel en sakernas internet- applikation (Internet of

Things, IoT).

☒ JA

☐ NEJ

Kommentar:

☐ JA

☐ NEJ

Kommentar:

Behandlar personuppgifter i syfte att hindra registrerade från att få tillgång till en tjänst eller ingå ett avtal, till exempel när en bank granskar sina kun- der mot en databas för kredit- upplysning för att besluta om

de ska erbjudas lån.

☐ JA

☒ NEJ

Kommentar:

☐ JA

☐ NEJ

Kommentar:

Övriga faktorer10

☐ JA

10 Exempel på övriga faktorer som kan påverka bedömningen av om en konsekvensbedömning ska göras är om

- tjänsteleverantören omfattas av extraterritoriell lagstiftning oavsett var denne bedriver sin verksamhet i värl- den,

- det förekommer tredjelandsöverföring,

- behandlingen innefattar komplexa molntjänstavtal,

- leverantören anlitar ett flertal samarbetspartners med vilka denne delar registrerades uppgifter avseende olika ändamål, såsom marknadsföring, support, felsökning, forskning m.m.,

- det förekommer en stor mängd personuppgiftsbiträden och underbiträden i Sverige och utomlands, eller

☒ NEJ

Kommentar:

☐ NEJ

Kommentar:

Beslut

☒ Konsekvensbedömning ska genomföras.

☐ Konsekvensbedömning ska ej genomföras.

Motivering till beslut

Mer än två kriterier i tröskelanalysen har besvarats med Ja

- det är stor förekomst av kakor (cookies) i leverantörens applikationer och websida som har andra funkt- ioner än att bara vara nödvändiga för tjänstens funktionalitet, t.ex. marknadsföring och analys.

5 Konsekvensbedömning avseende dataskydd och förhands- samråd

5.1 Systematisk beskrivning av behandlingen och dess syften

Konsekvensbedömningen ska enligt artikel 35.7 a till att börja med innehålla en systematisk be- skrivning av den planerade behandlingen och behandlingens syften. Beskrivningen anses tillräck- ligt omfattande för att kunna sägas uppfylla kraven i dataskyddsförordningen, om följande krite- rier beaktas.

- Behandlingens art, omfattning, sammanhang och ändamål beaktas (skäl 50).

- Registrering av personuppgifter, mottagare och den period under vilken personuppgif- terna kommer att lagras.

- En funktionell beskrivning av behandlingen tillhandahålls.

- De tillgångar som är nödvändiga för personuppgifterna (maskinvara, programvara, nät- verk, personer, papper eller spridningskanaler för papper) är identifierade.

- Efterlevnad av godkända uppförandekoder beaktas (artikel 35.8).11

I det här avsnittet finns olika punkter samlade i olika tabeller, som underlag för att ge en beskriv- ning som beaktar kriterierna ovan. Uppge beskrivningar på tillräckligt detaljerad nivå för att kunna upptäcka om det finns brister i dataskyddet som kan ge upphov till händelser som riskerar de registrerade rättigheter och friheter. Redan befintliga beskrivningar kan användas, men se till att rätt version är kopplad till konsekvensbedömningsdokumentationen.

Beskrivning av behandling

I nedanstående tabell anges olika punkter med fokus på de två första kriterierna i punktlistan ovan, det vill säga behandlingens art, omfattning, sammanhang och ändamål samt registrering av personuppgifter, mottagare och den period under vilken personuppgifterna kommer lagras.

Uppgifter som ska finnas i registerförteckning enligt artikel 30 är markerade med (*).

Beskrivning av behandling
Benämning på behandling	Plattformen M3G5 (Azure AD personuppgifter)
Personuppgiftsansvarig eller gemensamt per- sonuppgiftsansvariga (*)	Kommunstyrelsen, Eskilstuna kommun
Dataskyddsombud (*)	Charlotte Nilsson, ej kallad till Workshop-DPIA
Ändamål (*)	Tillhandahålla ett verktyg för att genomföra den kommunala strategin kring den digitala arbetsplat- sen. Detta omfattar också kostnadsaspekter och be- hov samt beaktande av de samlade legala perspekti- vet för en kommun
Kategorier av registrerade (*)	Anställda, elever, konsulter, leverantörer

11 Se Artikel 29-gruppen, Riktlinjer om konsekvensbedömning avseende dataskydd och fastställande av huruvida be- handlingen ”sannolikt leder till en hög risk” i den mening som avses i förordning 2016/679, Antagna den 4 april 2017, Bilaga 2.

Kategorier av personuppgifter (*)	Förnamn, efternamn, visningsnamn, e-post, telefon nummer, grupp, titel – se bilaga 1, tjänsteanteck- ning
Behandlas känsliga personuppgifter? (*, del av kategorier av personuppgifter)	Attribut finns i lokalt AD/Azure AD som består Skola-Klass. Av attribut kan det då framgå att en elev studerar i grundsärskola (namn på skolan kan indikera detta).
Behandlas personuppgifter som faller utanför kategorierna för känsliga personuppgifter, men som kan vara särskilt skyddsvärda eller har högt integritetsvärde för den registrerade?	Nej
Mottagare/Kategorier av mottagare (*) inbegri- pet mottagare i tredjeländer	Eskilstunas IT & Digitalisering och Microsoft
Sker överföringar till tredjeländer? Om ja, vilket tredje land? () Vilken överföringsmekanism används? Är en Transfer Impact Assessment (TIA) planerad att genomföras? Vilka säkerhetsåtgärder? ()	Ja, till USA. Överföringsmekanism – SCC (Microsofts OST inkl DPA) Skyddsåtgärder – artikel 32. Det rättsliga läget har beskrivits i ”Slutrapport – Eskilstuna kommun: be- slutsunderlag Azure AD, Plattform M3G5”. TIA har ej genomförts. Om en TIA ska genomföras kommer utredas. Exakt tidsaspekt för detta är för närvarande inte fastställt.
Tidsfrister/Lagringstid/Behandlingstid (*)	Pågående arbete inkl process
Om möjligt, allmän beskrivning av de tekniska och organisatoriska säkerhetsåtgärder enligt ar- tikel 32.1 (*)	Multifaktorsautentisering på administratörskon- ton, automatiserade processer för synk av konton. Dokumenterade rutiner för radering av konton. Behörighetsstyrning för administration av konton.
Omfattning. T.ex. antal registrerade, mängden uppgifter, antal kate- gorier av uppgifter, varaktighet, geografisk omfattning.	Ca 10 000 anställda, elever ca 20 000, leverantörer och konsulter (inga kända uppgifter)
Varifrån kommer uppgifterna? Från registrerad/någon annanstans?	I en onboarding i Personec (HR personalsystem), samt i skoladministrativ plattform. Se bilaga 1 ”Skapa AD-konto”
Annan information om behandlingen.	Eskilstuna kommun har genom att endast använda sig av ett begränsat antal personuppgifter i Azure AD, riskmitigerat sin behandling

Funktionell beskrivning av behandlingen

Infoga (eller bifoga) en schematisk bild över hur personuppgifterna flödar, som inkluderar externa mottagare för uppgifterna. Om uppgifter överförs till andra länder ska detta framgå av bilden.

Se bilaga 2

Den schematiska bilden kompletteras med en mer detaljerad beskrivning av dataflöden (mellan system och aktörer) och viss teknisk information i rutan nedan. Här anges till exempel överföring mellan olika interna och externa aktörer, överföring mellan olika rättssystem (tredje land), logiska

och tekniska beskrivningar, till exempel information om databaser, tabeller och fält innehållandes personuppgifter och hur personuppgifter flödar mellan olika parter och gränssnitt, inkluderat de- taljer om portar, protokoll, API:er, och kryptering.

• Användardata skapas i källsystem (Personalsystem/elevregister). Data hämtas från Skatteverket.

• Data hämtas till identitetssynkmotor via webservice (krypterat med SSL).

• Synkas till AD via identitetssynkmotor.

• Synkas från AD till Azure AD via Azure AD Connect med TLS/SSL.

Beskrivning av dataflöden och viss teknisk information

Den funktionella beskrivning kompletteras i rutan nedan med en beskrivning av process/rutin. Beskrivningen behövs för att kunna identifiera eventuella risker och även för att behandlingen ska utformas på ett sätt som tar hänsyn till skyddet av personuppgifter och risker för de registrerades rättigheter. Här kan refereras till befintliga modeller om sådana finns. Med fördel kan olika delar av behandlingen beskrivas, även genom hela livscykeln för uppgifter såsom insamling av person- uppgifter, olika typer av hantering (till exempel sammanslagning, strukturering, hämtning, an- vändning, ändring), överföringar, restriktioner (till exempel åtkomst), lagring och radering/gall- ring.

AD-kontot inaktiveras (vid ex. avslut av anställning) vilket leder till att synkning till Azure AD inte sker. I Azure ligger det sedan i en ”papperskorg” i 30 dagar innan det raderas. I AD ligger det inaktivt i 50 dagar innan det tas bort helt. Det som finns kvar efter 50 dagar (i AD) är användarnamn och epostadress kopp-

lat till personnummer så att en person kan få tillbaka dessa om de börjar på kommunen igen.

Beskrivning av process/rutin

Identifiera de tillgångar som behövs för att kunna genomföra behandlingen

I den här delen identifieras de tillgångar som är nödvändiga för personuppgifterna, det vill säga det fjärde kriteriet i punktlistan ovan. Detta avser maskinvara, programvara, nätverk, personer, papper eller spridningskanaler för papper. Till exempel ska det här framkomma om e-post an- vänds för att informera den registrerade i något ärende. Observera att även personer som är nöd- vändiga för personuppgifterna ska identifieras, vilket innebär att roller och funktioner inom orga- nisationen som behövs för att genomföra behandlingen också omfattas av detta kriterium.

Azure AD

Identifiera de tillgångar som behövs för att kunna genomföra behandlingen

Efterlevnad av godkända uppförandekoder

Här redogörs för om det finns en uppförandekod (områdesspecifika bestämmelser kring person- uppgiftsbehandlingar). Om ja, vilken? Om uppförandekod finns ska de tas i beaktande.

Nej: Microsoft har inga godkända uppförandekoder utifrån artikel 40, 42 samt 43 GDPR.

Uppförandekod

5.2 Behovet av och proportionaliteten hos behandlingen

5.2.1 Inledning

Utöver en systematisk beskrivning av den planerade behandlingen och dess syften ska konsekvens- bedömningen också enligt artikel 35.7 b i dataskyddsförordningen innehålla en bedömning av be- hovet av och proportionaliteten hos behandlingen i förhållande till syftena. Detta omfattar en be- dömning av hur de grundläggande dataskyddsprinciperna i artikel 5 i dataskyddsförordningen uppfylls, närmare bestämt principerna om

- Laglighet

- Ändamål

- Uppgiftsminimering

- Lagringsminimering12

Kravet på en bedömning av behovet av och proportionaliteten hos behandlingen omfattar också en bedömning av åtgärder som stärker den registrerades rättigheter. Åtgärderna kan vara organisa- toriska, som framtagande av en rutin för handläggning och att utse ansvariga, och tekniska, till ex- empel att alla personuppgifter i ett system går att utsöka. För att åtgärderna ska kunna anses vara effektiva ska de utgå från behandlingen och dess ändamål.

5.2.2 Uppfyllande av grundläggande principer

Laglighet

Rättslig grund för behandlingen (artikel G)

Ange rättslig grund och motivera valet

Myndighetsutövning, Allmänt intresse, Avtal

Rättslig grund för att behandla känsliga person- uppgifter (artikel 5)

Ange rättslig grund och motivera valet

N/A

Ändamål
Ändamålet med behandlingen	Tillhandahålla ett verktyg för att genomföra den kommunala strategin kring den digitala arbetsplat- sen. Detta omfattar också kostnadsaspekter och be- hov samt beaktande av de samlade legala perspekti- vet för en kommun
Finns andra sätt än den planerade behandlingen för att uppnå ändamålet?	Nej, inte ett 1:1 förhållande med motsvarande funktionalitet
Nödvändighet
Om den rättsliga grunden är samtycke:	N/A

12 Principerna som stadgas i artikel 5.1 a-f i dataskyddsförordningen är principen om laglighet, korrekthet och öppen- het, principen om ändamålsbegränsning, principen om uppgiftsminimering, principen om riktighet, principen om lagringsminimering och principen om integritet och konfidentialitet. I denna mall har endast de principer tagits med som anges i kriterierna för en tillräckligt omfattande konsekvensbedömning i Artikel 29-gruppens riktlinjer. (Se Arti- kel 29-gruppen, Riktlinjer om konsekvensbedömning avseende dataskydd och fastställande av huruvida behandlingen ”sannolikt leder till en hög risk” i den mening som avses i förordning 2016/679, Antagna den 4 april 2017, Bilaga 2.)

- Beskriv/motivera varför detta sätt att uppnå

ändamålet har valts, snarare än något av de andra sätt som angetts ovan?

Om den rättsliga grunden är annan än sam- tycke:

- Är behandlingen nödvändig för att uppnå än- damålet? Motivera

- Beskriv/motivera varför detta sätt att uppnå

ändamålet har valts, snarare än något av de andra sätt som angetts ovan?

Tillhandahålla ett verktyg för att genomföra den kommunala strategin kring den digitala arbetsplat- sen. Detta omfattar också kostnadsaspekter och be- hov samt beaktande av de samlade legala perspekti- vet för en kommun

Hur motverkas ändamålsglidning?

Har ni identifierat alla ändamål för behand-

lingen?

Ja, såvitt känt

Är alla ändamål förenliga med det ursprungliga

ändamålet?

Ja, såvitt känt

Finns det risk för att personuppgifter kommer att bli återanvända för andra ändamål (gradvis,

”obemärkt”)?

Nej mot bakgrund av vad som framkommit är detta redan reglerat

Hur begränsa till enbart det definierade ända-

målet?

Systemkrav – Azure AD uppgifter har redan be-

gränsats, policys

Uppgiftsminimering

Redogör för både tekniska och organisatoriska åtgärder som säkerställer att personuppgifterna är adekvata, rele- vanta och inte för omfattande i förhållande till det specificerade ändamålet.

Är de kategorier av personuppgifter som be-

handlas tillräckliga för ändamålet?

Ja, såvitt känt

Behandlas fler kategorier av personuppgifter än

nödvändigt för ändamålet?

Nej

Finns det tydliga instruktioner för vad som är obligatorisk information och frivillig informat-

ion i exempelvis blanketter?

Såvitt känt är Azure AD:et uppsatt enligt instruktioner.

Se bilaga 1

Finns kunskap om hur undvika identifiering

(om nödvändigt) vid statistiska ändamål?

N/A

Lagringsminimering

Finns det lagstadgad gallring för uppgifterna? Om ja, följs den?

Såvitt känt finns ingen lagstadgad gallringsre-

gel för Azure AD uppgifter.

Hur länge behöver uppgifter lagras?

Ange för respektive ändamål

Så länge som uppgifter om den registrerade behövs (kopplat till Personec och HR´s ruti- ner)

Elevdata – så länge eleven har sin skolplikt en-

ligt Skollagen

Kan det särskiljas olika lagringstid för olika de-

lar av uppgifterna?

Inte av de aktuella Ad uppgifterna

Om uppgifterna inte kan raderas just nu, kan åtkomsten till dem stoppas?

Ja det kan de, de kan flyttas till ett ”mellanla-

ger” – non accessable

Finns det automatisk radering/gallring av upp-

gifter?

Efter mellanlagring + 50 dagar

5.2.3 Bedömning av åtgärder som stärker den registrerades rättigheter

Information till den registrerade

Beskriv hur information om personuppgiftsbehandlingen utformats och kommer att lämnas till den registrerade.

Artikel 12 – Klar och tydlig information och

kommunikation samt klara och tydliga villkor för utövandet av den registrerades rättigheter

Onboarding/HR rutiner

Artikel 13 – Information när registrerad själv

lämnat uppgifterna

Se ovan

Artikel 14 – Information när uppgifterna inte

erhållits från den registrerade

Alla uppgifter hämtas från system, se bilaga 1 ”

Skapa AD-konto”

Rätt till tillgång och till dataportabilitet

Ange hur den registrerades rätt till tillgång och dataportabilitet säkerställs.

Artikel 15 – Rätt till tillgång

N/A

Artikel 20 – Rätt till dataportabilitet

N/A

Rätt till rättelse och radering Ange hur den registrerades rätt till rättelse och radering säkerställs samt hur det säkerställs att personuppgifter som raderas inte går att återskapa.
Artikel 16 – Rätt till rättelse	Rättelse sker i HR personalsystem/Personec och Extens
Artikel 17 – Rätt till radering	Se ovan
Artikel 15 – Anmälningsskyldighet till motta- gare	N/A

Rätt att göra invändningar och begränsning av behandling Ange hur den registrerades rätt att göra invändningar och rätt till begränsning av personuppgiftsbehandling säker- ställs.
Artikel 18 – Rätt till begränsning av behandling	N/A
Artikel 15 – Anmälningsskyldighet till motta- gare	N/A
Artikel 21 – Rätt att göra invändningar	Detta styrs av gällande processer och krav

Förhållandet till personuppgiftsbiträden

Redovisa förhållandet till personuppgiftsbiträden (PuB-avtal)

Artikel 28 – Personuppgiftsbiträden

SCC inkl DPA (Microsoft)

Skyddsåtgärder för internationella överföringar

Om tredjelandsöverföring förekommer, beskriv överföringarna och ange vilka överföringsmekanismer som använts för överföringarna samt motivera varför dessa är tillämpliga.

Kapitel V

SCC, administrativa och tekniska säkerhetsåt-

gärder, Informationssäkerhets anvisning, risk resonemang

Förhandssamråd13

Förhandsamråd vid behov (registrerade bör i

vissa fall tillfrågas vid utformning av behand- ling)

N/A

Övrigt

Artikel 22 – Rätt till att inte bli föremål för be-

handlingen enligt artikel 22 Automatiserat indi- viduellt beslutsfattande, inbegripet profilering

N/A

Artikel 34 – Information till den registrerade

om en personuppgiftsincident

Onboarding process /paket med information

5.2.4 Sammanfattning

Sammanfattande tabell

I rutan nedan sammanfattas bedömningen om personuppgiftsansvarig uppfyller de grundläg- gande principerna vid personuppgiftsbehandlingen.

Se till att sammanfattningen tydligt ger svar på behovet av och proportionaliteten hos behandlingen.

De förekommande personuppgifterna genererar en viss risk, se nedan. Risken bedöms vara av

sådan art att den registrerades rättigheter inte torde äventyras.

I rutan nedan sammanfattas bedömningen av planerade åtgärder för att stärka de registrerades rät-

tigheter

Planeras inom återkommande rutin arbete, del i kontinuerlig uppföljning

5.3 Bedömning av risker för registrerades rättigheter och friheter

5.3.1 Inledning

Målet med en konsekvensbedömning avseende dataskydd är att minimera risker för den registre- rades rättigheter och friheter. För att möjliggöra detta ska i samband med konsekvensbedöm- ningen en riskbedömning göras, där man hanterar risker för kränkningar av den registrerades rät- tigheter och friheter, det vill säga risker som kan resultera i negativa konsekvenser för enskilda in- divider.

13 Se bilaga D.

Riskbedömningsdelen av en konsekvensbedömning ska innehålla följande:

- Riskens ursprung (orsak/sårbarhet) (skäl 50 i dataskyddsförordningen).

- Identifiering av möjliga konsekvenser för den registrerades rättigheter och friheter vid händelser, däribland obehörig åtkomst, oönskad ändring och förlust av uppgifter.

- Identifiering av hot som kan leda till obehörig åtkomst, oönskad ändring och förlust av personuppgifter (personuppgiftsincident).

- Uppskattning av sannolikhetsgrad och konsekvensgrad (skäl 50 i dataskyddsförord- ningen).

- Fastställande av planerade åtgärder för att minska eller eliminera dessa risker (artikel 35.7 d i dataskyddsförordningen och skäl 50 i dataskyddsförordningen).14

Riskbedömningsdelen av en konsekvensbedömning kan av praktiska skäl genomföras samtidigt som en riskbedömning avseende informationssäkerhet. Det är dock viktigt att värdera och doku- mentera de risker som tillhör konsekvensbedömningen separat. Detta för att riskbedömningen i samband med konsekvensbedömningen endast ska fokusera på risker för den registrerade och inte organisationen, eftersom det bara är den registrerades perspektiv som är av relevans i en konse- kvensbedömning.

Hänvisa till aktuellt riskbedömningsdokument (diarienummer eller motsvarande beständigt refe- rensnummer) eller bifoga riskerna och de riskreducerande åtgärderna i sin helhet till detta doku- ment. Se bilaga C till stöd vid genomförande.

5.3.2 Riskdokumentation

Identifiering av åtgärder för att hantera riskerna

Identifiera tekniska och organisatoriska åtgärder för att eliminera eller minska allvarsgrad av kon- sekvenserna och sannolikheten för riskerna.

14 Artikel 29-gruppen, Riktlinjer om konsekvensbedömning avseende dataskydd och fastställande av huruvida be- handlingen ”sannolikt leder till en hög risk” i den mening som avses i förordning 2016/679, Antagna den 4 april 2017, Bilaga 2.

Planerade åtgärder

ID	Planerade åtgärder	Ev. fler kolumner med info om t.ex. ansvarig för åtgärd eller handlings- plan
	Pågående arbete avseende gallringsrutiner, processer
	Eventuellt bör kommunen genomföra en trans- fer Impact Assessment (TIA) för Azure AD upp- gifterna
	Följa den rättsliga utvecklingen avseende tredje- lands överföringar och bedöma eventuella åtgär- der att vidta.

5.3.3 Kvarstående höga risker

Dokumentera de risker från riskbedömningsdelen av konsekvensbedömningen som är fortsatt höga efter att riskreducerande åtgärder har vidtagits.

Riskscenario

(hot, aktör och konse- kvenser)

Riskreducerande åt- gärder

Riskvärde efter åt- gärder

Kommentar

Se ovanstående riska- nalys. Några kvarstå-

ende höga risker har

	inte bedömts finnas i analysen

5.4 Medverkan från berörda parter

Enligt Artikel 25-gruppens riktlinjer omfattar minimikraven för innehållet i en konsekvensbe- dömning medverkan från berörda parter enligt följande.

• Rådfrågan av dataskyddsombudet (artikel 35.2).

• När så är lämpligt, inhämtning av synpunkter från de registrerade eller deras företrädare (artikel 35.5).

Om krav på en konsekvensbedömning föreligger, det vill säga om det sannolikt föreligger en hög risk för den registrerades rättigheter och friheter, ska dataskyddsombud enligt artikel 35.2 i data- skyddsförordningen rådfrågas om konsekvensbedömningen, vilket ska dokumenteras i denna ruta. Rutan får endast fyllas i av dataskyddsombudet.

Se skrivelse från DSO

Dataskyddsombudets bedömning och rekommendationer

Enligt artikel 35.5 i dataskyddsförordningen ska synpunkter inhämtas från de registrerade eller de- ras företrädare när det är lämpligt. Detta dokumenteras i nedanstående ruta.

Inhämtning av synpunkter från de registrerade eller deras företrädare

Har ni rådgjort med registrerade eller deras fö-

reträdare?

☒ JA

☐ NEJ

Om ja: Redogör för dessa synpunkter.

Representanter har deltagit i denna DPIA, se ovan.

HR har även inkluderats i styrgruppen.

Om nej: Motivera varför ni bedömer att det inte är lämpligt att inhämta eller följa synpunkter

från de registrerade.

6 Slutlig, sammantagen bedömning

De som genomfört konsekvensbedömningen ska här skriva en sammantagen bedömning med re- kommendationer.

De förekommande personuppgifterna genererar en viss risk, se ovanstående analys. Risken be- döms vara av sådan art att den registrerades rättigheter inte torde äventyras.

En rekommendation är att implementera och tillhandahålla en användning av Plattformen M3G5 med de noterade personuppgifterna i Azure AD för kommande tjänster i M3G5.

Det ska noteras att respektive förvaltning inom kommunen måste själva ta ställning till hur de

önskar använda plattformen och därmed vilken information som ska läggas i verktyget utifrån sin informationsklassificering samt att de dessförinnan genomför en DPIA.

Sammantagen bedömning och rekommendationer

Dataskyddsombudet har rådfrågats

☐ JA

☐ NEJ

Kommentar/motivering

Se avsnitt 2

Dataskyddsombudets rekommendationer godtogs (om nej, motivera)

☐ JA

☐ NEJ

Kommentar/motivering

Delar av de synpunkter som DSO har fram- fört har korrigerats i DPIA: n.

DSO påtalar i sina rekommendationer vikten av att de registrerade behöver få information om vad det innebär. Vid övergång till M3G5 ska samtliga medarbetare få såväl information om registrering och även utbildning i använ- dande av M3G5.

Kommunledningskontoret delar DSO: s syn- punkter om att varje nämnd ska genomföra nya DPIA för att bedöma de risker som finns inom respektive nämnd för användning av de olika tjänsterna inom M3G5.

Kommunledningskontoret delar däremot inte DSO: s invändning att införande av M3G5 kommer innebära hantering av personuppgif- ter av barn. Däremot kan användandet av Azure för Microsoftprodukter inom skolan in- nebära risker för hantering av känsliga person- uppgifter. Där ser kommunledningskontoret att skolnämnderna behöver se över informat- ionshanteringen.

DSO påtalar om en olämplighet att nyttja den

tilltänkta leverantören för rekommendat- ioner. Detta är felaktigt då det är Eskilstuna

kommuns ramavtalade licenspartner Atea

vilka nyttjats för att erhålla en opartisk analys och rekommendationer.

Beslut om förhandssamråd

☐ JA

☐ NEJ

Kommentar/motivering

Gå vidare med personuppgiftsbehand-

lingen

☐ JA

☐ NEJ

Kommentar/motivering

Bilaga A Refererade artiklar och skäl i dataskyddsförordningen

Artikel 5 i dataskyddsförordningen – Principer för behandling av personuppgifter

1. Vid behandling av personuppgifter ska följande gälla:

a) Uppgifterna ska behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den regi- strerade (laglighet, korrekthet och öppenhet).

b) De ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål. Ytterligare behandling för ar- kivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller stat- istiska ändamål i enlighet med artikel 85.1 ska inte anses vara oförenlig med de ursprung- liga ändamålen (ändamålsbegränsning).

c) De ska vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas (uppgiftsminimering).

d) De ska vara riktiga och om nödvändigt uppdaterade. Alla rimliga åtgärder måste vidtas för att säkerställa att personuppgifter som är felaktiga i förhållande till de ändamål för vilka de behandlas raderas eller rättas utan dröjsmål (riktighet).

e) De får inte förvaras i en form som möjliggör identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna behand- las. Personuppgifter får lagras under längre perioder i den mån som personuppgifterna en- bart behandlas för arkivändamål av allmänt intresse, vetenskapliga eller historiska forsk- ningsändamål eller statistiska ändamål i enlighet med artikel 85.1, under förutsättning att de lämpliga tekniska och organisatoriska åtgärder som krävs enligt denna förordning ge- nomförs för att säkerställa den registrerades rättigheter och friheter (lagringsminimering).

f) De ska behandlas på ett sätt som säkerställer lämplig säkerhet för personuppgifterna, inbe- gripet skydd mot obehörig eller otillåten behandling och mot förlust, förstöring eller skada genom olyckshändelse, med användning av lämpliga tekniska eller organisatoriska åtgärder (integritet och konfidentialitet).

2. Den personuppgiftsansvarige ska ansvara för och kunna visa att punkt 1 efterlevs (ansvarsskyl- dighet).

Artikel 6.1 i dataskyddsförordningen – Laglig behandling av personuppgifter

1. Behandling är endast laglig om och i den mån som åtminstone ett av följande villkor är upp- fyllt:

a) Den registrerade har lämnat sitt samtycke till att dennes personuppgifter behandlas för ett eller flera specifika ändamål.

b) Behandlingen är nödvändig för att fullgöra ett avtal i vilket den registrerade är part eller för att vidta åtgärder på begäran av den registrerade innan ett sådant avtal ingås. c) Be- handlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personupp- giftsansvarige.

c) Behandlingen är nödvändig för att skydda intressen som är av grundläggande betydelse för den registrerade eller för en annan fysisk person.

d) Behandlingen är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning.

e) Behandlingen är nödvändig för ändamål som rör den personuppgiftsansvariges eller en tredje parts berättigade intressen, om inte den registrerades intressen eller grundläggande rättigheter och friheter väger tyngre och kräver skydd av personuppgifter, särskilt när den registrerade är ett barn.

Led f i första stycket ska inte gälla för behandling som utförs av offentliga myndigheter när de fullgör sina uppgifter.

Skäl 4 i dataskyddsförordningen

Behandlingen av personuppgifter bör utformas så att den tjänar människor. Rätten till skydd av personuppgifter är inte en absolut rättighet; den måste förstås utifrån sin uppgift i samhället och vägas mot andra grundläggande rättigheter i enlighet med proportionalitetsprincipen. Denna för- ordning respekterar alla grundläggande rättigheter och iakttar de friheter och principer som er- känns i stadgan, såsom de fastställts i fördragen, särskilt skydd för privat- och familjeliv, bostad och kommunikationer, skydd av personuppgifter, tankefrihet, samvetsfrihet och religionsfrihet, yttrande- och informationsfrihet, näringsfrihet, rätten till ett effektivt rättsmedel och en opartisk domstol samt kulturell, religiös och språklig mångfald.

Skäl 75 i dataskyddsförordningen

Risken för fysiska personers rättigheter och friheter, av varierande sannolikhetsgrad och allvar, kan uppkomma till följd av personuppgiftsbehandling som skulle kunna medföra fysiska, materi- ella eller immateriella skador, i synnerhet om behandlingen kan leda till diskriminering, identi- tetsstöld eller bedrägeri, ekonomisk förlust, skadat anseende, förlust av konfidentialitet när det gäller personuppgifter som omfattas av tystnadsplikt, obehörigt hävande av pseudonymisering el- ler annan betydande ekonomisk eller social nackdel, om registrerade kan berövas sina rättigheter och friheter eller hindras att utöva kontroll över sina personuppgifter, om personuppgifter be- handlas som avslöjar ras eller etniskt ursprung, politiska åsikter, religion eller övertygelse eller medlemskap i fackförening, om genetiska uppgifter, uppgifter om hälsa eller sexualliv eller fäl- lande domar i brottmål samt överträdelser eller därmed sammanhängande säkerhetsåtgärder be- handlas, om personliga aspekter bedöms, framför allt analyser eller förutsägelser beträffande så- dant som rör arbetsprestationer, ekonomisk ställning, hälsa, personliga preferenser eller intressen, tillförlitlighet eller beteende, vistelseort eller förflyttningar, i syfte att skapa eller använda person- liga profiler, om det sker behandling av personuppgifter rörande sårbara fysiska personer, framför allt barn, eller om behandlingen inbegriper ett stort antal personuppgifter och gäller ett stort antal registrerade.

Skäl 84 i dataskyddsförordningen

I syfte att sörja för bättre efterlevnad av denna förordning när behandlingen sannolikt kan inne- bära en hög risk för fysiska personers rättigheter och friheter, bör den personuppgiftsansvarige vara ansvarig för att en konsekvensbedömning utförs avseende dataskydd för att bedöma framför allt riskens ursprung, art, särdrag och allvar. Resultatet av denna bedömning bör beaktas vid fast- ställandet av de lämpliga åtgärder som ska vidtas för att visa att behandlingen av personuppgifter är förenlig med denna förordning. I de fall en konsekvensbedömning avseende dataskydd ger vid handen att uppgiftsbehandlingen medför en hög risk, som den personuppgiftsansvarige inte kan begränsa genom lämpliga åtgärder med avseende på tillgänglig teknik och genomförandekostna- der, bör ett samråd med tillsynsmyndigheten ske före behandlingen.

Skäl 50 i dataskyddsförordningen

I sådana fall bör den personuppgiftsansvarige före behandlingen, med beaktande av behandling- ens art, omfattning, sammanhang och ändamål samt upphovet till risken, göra en konsekvensbe- dömning avseende dataskydd i syfte att bedöma den höga riskens specifika sannolikhetsgrad och allvar. Konsekvensbedömningen bör främst innefatta de planerade åtgärder, skyddsåtgärder och mekanismer som ska minska denna risk, säkerställa personuppgiftskyddet och visa att denna för- ordning efterlevs.

Bilaga B Minimikrav för konsekvensbedömning

Artikel 35.7 i dataskyddsförordningen

Bedömningen ska innehålla åtminstone

a) en systematisk beskrivning av den planerade behandlingen och behandlingens syften, in- begripet, när det är lämpligt, den personuppgiftsansvariges berättigade intresse,

b) en bedömning av behovet av och proportionaliteten hos behandlingen i förhållande till syftena,

c) en bedömning av de risker för de registrerades rättigheter och friheter som avses i punkt 1, och

d) de åtgärder som planeras för att hantera riskerna, inbegripet skyddsåtgärder, säkerhetsåt- gärder och rutiner för att säkerställa skyddet av personuppgifterna och för att visa att denna förordning efterlevs, med hänsyn till de registrerades och andra berörda personers rättigheter och berättigade intressen.

Artikel 25-gruppens riktlinjer15

Arbetsgruppen föreslår följande kriterier som kan användas av personuppgiftsansvariga för att be- döma huruvida en konsekvensbedömning, eller en metod för att utföra en konsekvensbedöm- ning, är tillräckligt omfattande för att iaktta förordningen:

• En systematisk beskrivning av behandlingen tillhandahålls (artikel 35.7 a):

o Behandlingens art, omfattning, sammanhang och ändamål beaktas (skäl 50).

o Registrering av personuppgifter, mottagare och den period under vilken personupp- gifterna kommer att lagras.

o En funktionell beskrivning av behandlingen tillhandahålls.

o De tillgångar som är nödvändiga för personuppgifterna (maskinvara, programvara, nätverk, personer, papper eller spridningskanaler för papper) är identifierade.

o Efterlevnad av godkända uppförandekoder beaktas (artikel 35.8).

• En bedömning av behovet av och proportionaliteten hos behandlingen (artikel 35.7 b):

o De planerade åtgärderna för att visa att förordningen efterlevs har fastställts (arti- kel 35.7 d och skäl 50), med beaktande av följande:

▪ Åtgärder som bidrar till att behandlingen är proportionell och nödvändig på grundval av

• särskilda, uttryckligt angivna och berättigade ändamål (artikel 5.1

b),

• laglig behandling (artikel G),

• adekvata, relevanta och inte för omfattande uppgifter (artikel 5.1 c),

• begränsad lagringstid (artikel 5.1 e).

▪ Åtgärder som stärker de registrerades rättigheter:

15 Artikel 29-gruppen, Riktlinjer om konsekvensbedömning avseende dataskydd och fastställande av huruvida be- handlingen ”sannolikt leder till en hög risk” i den mening som avses i förordning 2016/679, Antagna den 4 april 2017, bilaga 2.

• Information till den registrerade (artiklarna 12, 13 och 14).

• Rätt till tillgång och till dataportabilitet (artiklarna 15 och 20).

• Rätt till rättelse och radering (artiklarna 1G, 17 och 15).

• Rätt att göra invändningar och till begränsning av behandling (ar- tiklarna 18, 15 och 21).

• Förhållandet till personuppgiftsbiträden (artikel 28).

• Skyddsåtgärder för internationella överföringar (kapitel V).

• Förhandssamråd (artikel 3G).

• Hantering av risker för de registrerades rättigheter och friheter (artikel 35.7 c):

o Uppskattning av riskens ursprung, art, särdrag och allvar (se skäl 84) eller, mer spe- cifikt, för varje risk (obehörig åtkomst, oönskad ändring och att uppgifter försvin- ner) ur de registrerades perspektiv:

▪ Beaktande av riskens ursprung (skäl 50).

▪ Identifiering av möjliga konsekvenser för de registrerades rättigheter och friheter vid händelser, däribland obehörig åtkomst, oönskad ändring och förlust av uppgifter.

▪ Identifiering av hot som kan leda till obehörig åtkomst, oönskad ändring och förlust av uppgifter.

▪ Uppskattning av sannolikhetsgrad och allvar (skäl 50).

o Fastställande av planerade åtgärder för att hantera dessa risker (artikel 35.7 d och skäl 50).

• Medverkan från berörda parter:

o Rådfrågan av dataskyddsombudet (artikel 35.2).

o När så är lämpligt, inhämtning av synpunkter från de registrerade eller deras före-

trädare (artikel 35.5).”

Bilaga C Bedömning av allvarsgrad och sannolikhetsnivå

Bedömning av allvarsgrad och sannolikhetsnivå - utgå från förutbestämda bedömningskriterier.

Med GDPR och EDPB:s riktlinjer som grund, och metod för risk- och konsekvensbedömning inom informationssäkerhet som inspiration ges här ett förslag på nivåer för bedömning av allvars- grader för konsekvenser för en behandling, och sannolikhetsnivå för att hot/händelse ska ske som ligger till grund för konsekvensen.

Bestäm först bedömningsnivåer för allvarsgrad och sannolikhet (jmf med Informationssäkerhet.se

- Stöd för systematiskt arbete med informationssäkerhet i organisationer (informationssaker- het.se)), till exempel:

Allvarsgrad/Bedöm- ning av konsekvens om den sker (inom parantes IMY:s nivåer vid per- sonuppgiftsinci- dentsanmälan)	Beskrivning (generell, behöver bedömas med avse- ende på olika rät- tigheter och fri- heter)	Sannolikhets- nivå Sannolikhet att hot/händelse som medför risk sker
1 Försumbar (Obetydlig)	Försumbar skada eller kränkning för de registrerade	1 Försumbar
2 Måttlig (Begränsad)	Måttlig skada eller kränkning för de registrerade.	2 Begränsad
3 Betydande (Betydande)	Betydande skada eller kränkning för de registrerade	3 Signifikant
4 Mycket allvarlig (Mycket allvarlig)	Mycket allvarlig skada eller kränk- ning för de regi- strerade	4 Maximal

Bilaga D Förhandssamråd

Om personuppgiftsansvarig inte kan genomföra åtgärder som kan minska risken för de registrera- des rättigheter för behandlingen, och ändå vill påbörja behandlingen eller genomföra ändring av behandling som ger högre risk, kan ett förhandssamråd begäras med IMY.

Innan begäran av förhandssamråd ska

• En gedigen konsekvensbedömning genomföras och dokumenteras.

• Kvarstående risker redogöras.

• Beskrivning ske för varför riskerna inte kunnat åtgärdas.

Se Förhandssamråd - Integritetsskyddsmyndigheten (imy.se)

Där finns bland annat en blankett för begäran av förhandssamråd. Dokumentationen av konse- kvensbedömning ska skickas med till IMY som bilaga.

Sammanträdesdatum

2023-06-07

1(2)

§ 141 KSKF/2022:432

Stöd för digital arbetsplats - Microsoft 365

Beslut

1. Införande av Microsoft 365 (M365) inom kommunstyrelsens ansvarsområde godkänns.

2. Kommunledningskontoret får i uppdrag att genomföra konsekvensbedömningar för att besluta om vilka komponenter inom M365 som kan användas.

4. Kommunledningskontoret får i uppdrag att följa rättsläget.

5. Kommunledningskontoret får i uppdrag att tillsammans med servicenämnden ta fram en strategi för att kunna lämna M365 om rättsläget förändras.

6. Kostnaden för införandet belastar kommunledningskontorets ram.

Ärendebeskrivning

Kommunen har under många år använt Microsoft som leverantör för ett flertal olika IT- komponenter och basinfrastruktur. Precis som kommunen och övriga IT-leverantörer har Microsoft alltmer gått över till molntjänster. Microsoft erbjuder den mest konkurrenskraftiga lösningen avseende bland annat kontorsstödsprodukter som exempelvis Officepaketet, Teams, etcetera.

Kommunstyrelsen Protokollsutdrag

Sammanträdesdatum

2023-06-07

Sida

2(2)

genomförd konsekvensbedömning avseende dataskydd – implementera och tillhandahålla ett användande av plattform M365.

Förslag till beslut

Kommunledningskontoret föreslår kommunstyrelsen besluta

1. Införande av Microsoft 365 (M365) inom kommunstyrelsens ansvarsområde godkänns.

2. Kommunledningskontoret får i uppdrag att genomföra konsekvensbedömningar för att besluta om vilka komponenter inom M365 som kan användas.

4. Kommunledningskontoret får i uppdrag att följa rättsläget.

5. Kommunledningskontoret får i uppdrag att tillsammans med servicenämnden ta fram en strategi för att kunna lämna M365 om rättsläget förändras.

6. Kostnaden för införandet belastar kommunledningskontorets ram.

Yrkanden

Jimmy Jansson (S) yrkar bifall till kommunledningskontorets förslag.

Beslutet skickas till:

Samtliga nämnder

Eskilstuna 2023-05-15

Tjänsteskrivelse - bemötande av Dataskyddsombudets (DSO) kommentarer avseende följande dokument;

- Slutrapport – Azure AD (beslutsunderlag)

- Genomförd DPIA inklusive dess bilaga Azure AD

Beslutsunderlagets främsta syfte är att ”fastslå” hur Eskilstuna kommun, KLK som ansvarig för det kommunövergripande IT & Digitaliseringstjänsterna, bör ställa sig till en implementering och användning av plattformen M365 - kontorsstödsplattform och tillika molntjänsten Microsoft M365, där Azure AD är den absolut grundläggande förutsättningen för användandet av plattformens tjänster.

Inkomna kommentarer från DSO överensstämmer i stora drag med tidigare synpunkter avgivna från DSO över andra liknande genomförda konsekvensbedömningar i kommunen. Det finns därför ingen anledning att i detta skede bemöta kommentarerna i detalj.

Det som i stora drag framhålls från DSO är att det är olagligt då tillräcklig skyddsnivå för registrerades personuppgifter inte är för handen enligt DSO. Vidare framhålls att materialet är ofullständigt I sina stycken och behöver kompletteras.

I föreliggande slutrapport med dess bilaga, DPIA, är det utförligt beskrivet de juridiska överväganden som behöver genomföras i ett fall som detta, vilket också omfattar den Europeiska Dataskyddsstyrelsen rekommendationer i denna fråga avseende tredjelandsöverföring.

Vad avser kommentarer kring “skyddsvärda uppgifter”, elever/barn <18 år, så hanteras dessa personuppgifter redan av kommunen i implementerade lösningar, exempelvis Intune. Frågan får därför anses belyst och avgjord.

Av den genomförda DPI: an framgår att de personuppgifts risker som ett implementerade av Azure AD skulle utgöra är av acceptabel nivå för de registrerade. Riskanalysen är genomförd med deltagare från Eskilstuna kommuns verksamheter och utgör deras bedömningar av risker.

Av slutrapportens Executive Summary ska det särskilt framhållas att i förevarande fall bör Eskilstuna kommun utifrån en proportionerlig helhetsbedömning och med accepterande av ett visst mått av risk genomföra en implementering av Azure AD, utgörande en förutsättning för plattformen M365 som sådan.

Materialet bedöms utgöra ett tillräckligt underlag för att Eskilstuna kommun ska kunna fatta ett beslut i föreliggande frågeställning.

Värt att också framhållas är att följa den pågående rättsutvecklingen i den juridiska frågan där så sent som den 8 maj 2023 EU-kommissionären för konkurrens och den digitala agendan uttalade att ett nytt Data Protection Framework (DPF) mellan EU och USA, är nära förestående. Utmaningar kopplade till tredjelands överföringar till USA torde därefter vara lösta.

Vidare uppmanas Eskilstuna kommuns nämnder, såsom varande ansvariga för sina respektive personuppgiftsbehandlingar, genomföra erforderliga DPI: or för nya tjänster.

Sensitivity: Confidential

Page 1 of 1

Samtliga nämnder Charlotte Nilsson Dataskyddsombud

Dataskyddsombudets rekommendationer gällande M365 Azure

Av beslutsunderlaget för Plattform M365 framgår att man vill använda plattformen M365. Det arbete som har gjorts som inför beslutsunderlaget är dock gjort kring Azure som är en grundläggande funktion vid användning av M365 och dess kontorstjänster. Azure är en katalogtjänst för lagring av användaridentiteter, grupper, datorer, skrivare mm. Nästa steg är sedan att koppla på andra tjänster.

Ett led i arbetet har varit att göra en DPIA, dvs en konsekvensbedömning. Den görs enligt krav i dataskyddsförordningen för att bedöma risker, ta fram åtgärder och bedöma om den tilltänkta behandlingen av personuppgifter lever upp till dataskyddsförordningen.

Enligt artikel 35 i dataskyddsförordningen ska den personuppgiftsansvarige rådfråga dataskyddsombudet vid genomförande av en konsekvensbedömning avseende dataskydd. Fördelen med att involvera sitt dataskyddsombud är att få stöd under arbetet, få den bedömd när den kan anses tillräckligt väl genomförd. Så har inte skett då jag fick den för kännedom när den ansågs vara klar. Jag har dock därefter granskat den och lämnat synpunkter och rekommendation om komplettering och fortsatt arbete innan slutsatser kan dras om risker. DPIA:n var vid tillfället inte godkänd.

I slutrapporten står det att det framgår av DPIA:n att det inte finns några påtagliga risker vad avser behandling av personuppgifter i Azure AD. Jag kan dock konstatera att arbetet inte har kommit så långt att den slutsatsen kan dras. När jag tog del av DPIA:n fanns det brister och den behövde därför kompletteras och utvecklas. Några av bristerna följer här:

• DPIA:n var inte skriven så att en utomstående kan förstå.

• Personuppgifterna var inte korrekt dokumenterade utan skyddsvärdet är högre än vad som framgår.

• Uppgift om personuppgiftsansvarig är inte korrekt då det endast är nämnder som kan vara personuppgiftsansvariga i kommunen.

• Risknivån har bedömt utan att erforderliga analyser har gjorts. DPIA:n behöver utvecklas och det har inte gjorts någon analys av överföringen till tredje land. För det krävs en s k TIA (Transfer Impact Assessment) för vart och ett av de länder som personuppgifter förs över till. Utöver USA kan det tillkomma länder för support och annat dataflöde. Dessa behöver identifieras.

• Beslut har fattats att förhandssamråd inte behövs då risker inte anses höga och att åtgärder vidtagits. För att risk ska kunna bedömas behöver adekvata analyser ha gjorts, vilket inte är fallet. Tillräckligt med risker har inte tagits upp och därför finns inte heller tillräckliga åtgärder redovisade.

• Rättslig grund behöver förtydligas.

• Andra sätt att göra behandlingen har inte beskrivits. Alternativ och skillnader behöver beskrivas.

• Hur de registrerade ska informeras behöver beskrivas.

• Extra skyddsåtgärder tas fram vid en TIA. Tillräckliga skyddsåtgärder är inte möjligt att tillämpa pga globalt uppsatta system och support i tredjeländer där personuppgifter görs tillgängliga i klartext.

• Viktiga risker saknas i riskdokumentationen.

Enligt det inriktningsbeslut som togs i KF hösten 2021 så framgår det bl a att Eskilstuna kommun i första hand ska använda inomeuropeiska montjänster för informationslagring, om alternativ inte finns så ska inte information över skyddsnivå 0 och 1 lagras i molntjänster som lyder under lagstiftning från tredjeland samt att personuppgifter inte får vara känsliga eller extra skyddsvärda.

Om beslut tas enligt beslutsunderlaget bryter det mot det beslut som togs i KF hösten 2021 då alla personuppgifter som rör barn, dvs personer under 18 år, klassas som extra skyddsvärda. Om det framgår att elever går i förskoleklass, vilket jag inte har fått bekräftat, så klassas de som känsliga personuppgifter.

Jag vill även påtala det olämpliga i att använda den tilltänkta leverantören för att göra analyser och ta fram underlag samt rekommendationer inför beslut, vilket har varit fallet här.

EU-kommissionen arbetar på ett beslut om adekvat skyddsnivå för överföring av personuppgifter till USA. Europaparlamentet har nu i maj publicerat en resolution där de uppmanar kommissionen att säkerställa att det blir ett ramverk som håller för prövning då de fortfarande ser brister. Det är därmed oklart när ett beslut om adekvat skyddsnivå gällande USA kan finnas på plats.

Slutsats och rekommendation

Då DPIA inte är tillräckligt genomarbetad, viktiga risker inte hanterats och det inte har gjorts någon analys av överföringen till tredje land, samt att man inte har undersökt om andra tredjeländer än USA är aktuella för tjänsten kan inte adekvat riskbedömning och dokumentation anses finnas för Azure.

Det framgår inte av underlaget vilka eller hur många tjänster som kommer att tillkomma vid ett införande av MS365. Varje tjänst kräver sitt analysarbete då de skiljer sig åt vad gäller behandling av personuppgifter och ändamål. Gjord analys och riskbedömning gäller inte dessa. Omfattningen av vad ett beslut om införande av Azure/M365 leder till är därför okänt. Det kommer dock att leda till ett omfattande dataskyddsarbete.

Det bryter mot inriktningsbeslutet i KF då informationens skyddsvärde är högre än vad som beslutats och adekvata analyser inte har gjorts.

Då M365 ännu inte lever upp till dataskyddsförordningen hjälper det inte om riskerna eventuellt skulle visa sig vara låga eftersom dataskyddsförordningen är en lag och som sådan behöver efterlevas. Europeiska Dataskyddsstyrelsen, EDPB, påtalar vikten av efterlevnad i sin rapport om den samordnade action som EU:s tillsynsmyndigheter gjorde 2022 vad gäller offentliga organisationers användning av molntjänster “2022 Coordinated Enforcement Action Use of cloud-based services by the public sector”, där de skriver följande:

“The EDPB therefore underlines the need for public bodies to act in full compliance with the GDPR when using cloud-based products or services.”

Min rekommendation är därför:

• att ett adekvat arbete med objektiva analyser i form av DPIA och TIA utförs så att adekvat dokumentation och åtgärder tas fram

• att det förtydligas vilka tjänster som tillkommer och omfattningen av dessa

• att dataskyddsförordningen efterlevs

Document Metadata

Table of Contents

Barn- och utbildningsförvaltningen 2023-08-31 GSN/2023:401

Document Metadata