Vår ambivalens inför molntjänster är stor. Å ena sidan har vi risken att personuppgifter och annan känslig information kommer i orätta händer, å andra all den funktionalitet som vi så gärna vill ha. Dessutom måste det vägas in att molntjänster erbjuder många säkerhetsfördelar, inte minst för mindre organisationer. Vissa menar att vi står i ett vägskäl. Själv ser jag att många redan har gjort sitt val och tyckt att nyttan med molntjänster överstiger risken. Att många kommuner har gjort så är ingen hemlighet men jag blir ganska häpen när jag efter ett tips kollade upp Mitt försvarsmakten, en rekryteringstjänst för Försvarsmakten. Tipset var att denna tjänst ligger i Office 365, en molntjänst som driftas av Microsoft på Irland. För att få korrekt information skrev jag och frågade Försvarsmakten litet om detta.

Hej!

Jag har tre frågor om Mitt försvarsmakten:

  1. Om jag förstår det rätt ligger den här rekryteringssiten som  en molntjänst där informationen ligger på Irland?
  2. Använder siten Google Analytics?
  3. Har det gjorts en riskanalys/informationsklassning innan man valde det här sättet att hantera informationen?

Slutligen skulle jag vilja ut en lista över vilka personuppgifter som hanteras i Mitt försvarsmakten.

Tack för svar!

och fick då följande svar som jag publicerar in extenso:

Hej!

Se svar nedan på dina frågeställningar.

Mitt Försvarsmakten är byggt inom extern molntjänst (Microsoft Office 365). Försvarsmakten har ställt krav på informations- och IT-säkerhet och granskat den färdiga lösningen utifrån kraven med godkänt resultat. Inom ramen för utvecklingsarbetet har den militära underrättelse- och säkerhetstjänsten, MUST, löpande deltagit i granskningar av lösningen och har även godkänt lösningen inför driftsättningen. Försvarsmakten arbetar kontinuerligt med kontroll och förbättringar av informations- och IT-säkerheten i alla IT-tjänster inklusive denna. Försvarsmakten kommenterar inte i detalj hur säkerhetskraven är implementerade.

Personuppgifterna i Mitt Försvarsmakten behandlas med stöd av samtycke från den enskilde. Av samtycket framgår även att Microsoft behandlar personuppgifterna.

Försvarsmakten använder Google Analytics från Google som analysverktyg. Google Analytics använder cookies. Informationen som genereras av dessa (inklusive IP-adresser) kommer att vidarebefordras till och lagras av Google. Denna information används i syfte att utvärdera besöksstatistik. Google kan också överföra denna information till tredje parter om det krävs enligt lag eller i de fall en tredje part behandlar informationen för Googles räkning. Google kommer inte att koppla samman IP-adresser med annan data som Google innehar. Google Analytics anonymiserar den information som skickas till Google.

För personer utan registrerad användarprofil i Mitt Försvarsmakten som har registrerat sig för ett specifikt event behandlas endast uppgift om namn och e-postadress.

För personer med registrerad användarprofil i Mitt Försvarsmakten behandlas uppgifter om

Namn

Personnummer

Kontaktuppgifter (adress, telefonnummer och e-postadress)

Uppgift om kön

Uppgift om svenskt medborgarskap

Uppgift om nuvarande sysselsättning

Uppgift om nuvarande arbetsgivare

Uppgift om godkända betyg MA / SV / EN från gymnasiet

Uppgift om kondition och muskelstyrka

Intresse för Försvarsmakten

Medarbetarstatus, tidigare anställning inom FM

Har ansökt om Veterankort eller har Veterankort

Har sökt tjänst

Har sökt GMU

Har gjort rekryttest

Startat GMU/GU-F/GSU/Kombattantutbildning

Slutfört GMU/delkurs/GU-F

Tagit anställning inom FM

Avtal tecknat

Avtal tecknat den

Samtycker till lagring och bearbetning av information

Kandidaten vill avregistrera sig

Mvh Försvarsmakten

Det ska medges att jag ibland varit aningen tveksam till att det ofta framställs som att Försvarsmakten är säkerhetsexperterna även då det gäller det civila samhällets säkerhet. Men om vi acceptera premissen att Försvarsmakten är någon form av riktkarl för samhällets säkerhet blir detta svar intressant. Frågorna jag ställer mig är:

  1. Har Försvarsmakten gjort rätt riskbedömning när det valt den här lösningen eller har de liksom många andra fallit för frestelsen och sett all fördelar finns med molntjänsterna och låtit detta få överhanden?
  2. Om riskbedömningen är rimlig att hantera personuppgifter och andra uppgifter om exempelvis placeringar som annars uppfattas känsliga, dessutom i en omfattning som svindlar, i en molntjänst i det här sammanhanget – varför skulle det inte vara det i andra sammanhang som exempelvis i kommunal verksamhet?

Observera att jag inte har svaret på dessa frågor – jag bara funderar.