Skatteverkets val av Microsoft 365 – en kommentar från ITSL Solutions

Bakgrund: Skatteverkets beslut att införa M365 och Teams

Skatteverket har nyligen tagit beslutet att införa Microsoft 365 (inklusive Office 365 och Teams) som samarbetsplattform. Beslutet motiveras av flera faktorer: nya juridiska förutsättningar, Rysslands invasion av Ukraina, ekonomiska påfrestningar och ett förändrat arbetssätt med mer distansarbete. I praktiken innebär detta en helomvändning – för bara tre år sedan sade Skatteverket (tillsammans med Kronofogden) nej till Microsoft Teams eftersom man då bedömde att det inte var förenligt med lagen att låta stora mängder känslig information hanteras i en amerikansk molntjänst.

Det som främst ändrats nu är dels EU-kommissionens adekvansbeslut (EU–US Data Privacy Framework) som kom sommaren 2023 och innebär att det numera finns en laglig överföringsmekanism av personupgifter. Dels trädde en lagändring i kraft i Sverige (juli 2023) med en sekretessbrytande bestämmelse som ger myndigheter möjlighet att överföra sekretessbelagd information till externa IT-tjänster under vissa villkor amerikansk personuppgiftshantering anses hålla ”adekvat nivå” för dataskydd. Utöver dessa rättsliga förändringar lyfter Skatteverket även fram behovet av robusta digitala samarbetsverktyg i kris (inspiration från Ukrainas användning av molntjänster) och kravet på ökad kostnadseffektivitet i spåren av inflation och stramare budgetar. Anställdas vana vid Microsofts verktyg och fördelarna med en gemensam plattform inom offentlig sektor nämns också – det är en lägre tröskel för användarna att gå till M365 jämfört med mer obekanta alternativ.

Skatteverkets besked väcker stor uppmärksamhet i offentlig sektor. Myndigheten betonar att deras utredning inte är ett facit för andra; varje myndighet måste göra sin egen analys och riskbedömning. Trots det ses detta allmänt som en viktig händelse – ”något av den sista bastionen som faller”, enligt Computer Swedens chefredaktör. Beslutet signalerar att molntjänster som M365 nu, under rätt förutsättningar, anses kunna användas även i verksamheter med höga krav på säkerhet och integritet. Men är detta verkligen sant…

Fakta: Myndigheters ställningstaganden kring Microsoft 365

• Skatteverket & Kronofogden (2021): Beslutade våren 2021 att inte ersätta Skype med Teams för interna videomöten. Man ansåg det oförenligt med gällande rätt att överföra stora mängder sekretesskänslig information till en amerikansk molntjänst. (Detta beslut har nu omprövats av Skatteverket, se nedan.)
  
• Pensionsmyndigheten: Har som medlem i eSam (myndigheternas samverkansprogram) intagit linjen att hantering av sekretessreglerade uppgifter i utländska molntjänster strider mot svensk lag, dataskyddsförordningen och annan reglering. (Flera tunga aktörer – t.ex. Kammarkollegiet och Försäkringskassan – delar denna bedömning. Man har nu (2025) även tagit ställning genom att upphandla Open source produkter för att ersätta Skype i organisationen.
  
• eSam (2018): Redan 2018 uttalade eSams juridiska expertgrupp att användning av amerikanska molntjänster i offentlig sektor i princip inte var acceptabel, bl.a. med hänvisning till risken för främmande makts insyn. Efter Schrems II-domen 2020 förstärktes denna ståndpunkt. (Not: Hösten 2023 gjorde eSam en ny analys i ljuset av adekvansbeslutet och kom fram till att molntjänster under vissa villkor kan användas – dock ingen carte blanche).
  
• Skatteverkets omsvängning (2024).: Efter ovan nämnda lagändringar och skyddsmekanismer inledde Skatteverket en ny prövning av Microsoft 365. I början av 2024 meddelade myndigheten en preliminär bedömning att det inte förelåg några oöverstigliga rättsliga, säkerhetsmässiga eller funktionella hinder för att använda vissa delar av Microsoft 365 (till exempel Entra ID, Office-apparna och Teams) under strikta förhållningsregler. Skatteverket beslutade därefter att införa M365 i verksamheten, dock i form av en hybridlösning där känslig data och de mest skyddsvärda systemen fortsatt hanteras i egen regi. Myndigheten lutar sig bland annat mot Microsofts EU Data Boundary-initiativ (som ska garantera att datahantering sker inom EU) samt mot den nya lagstiftningen om sekretessbrytande undantag för teknisk bearbetning. Samtidigt betonar Skatteverket att man även framöver kommer hantera information i högsta sekretessklasser utanför det publika molnet och följa utvecklingen noga.
  
• Kronofogdens bedömning (2025): Kronofogdemyndigheten gjorde 2025 en egen – och motsatt – bedömning jämfört med Skatteverket. I sitt beslut den 9 maj 2025 (dnr KFM 9943-2025) konstaterar Kronofogden att en utkontraktering av myndighetens IT-drift till Microsofts infrastruktur inte är förenlig med Offentlighets- och sekretesslagen (OSL) och därför inte kan genomföras. Detta innebär att Kronofogden, till skillnad från Skatteverket, anser att riskerna enligt sekretessregelverket fortfarande väger tyngre än de potentiella nyttorna med Microsofts molntjänster. Beslutet illustrerar att varje myndighet kan göra sin egen lämplighetsbedömning – och att åtminstone en stor myndighet (Kronofogden) fortsatt anser tredjelandsmoln vara oförenligt med gällande sekretesskrav enligt OSL.

Begränsningar: därför täcker inte M365 all sekretesshantering

Skatteverkets beslut innebär att en aktör öppnar upp för amerikanska molntjänster– men bara upp till en viss känslighetsnivå. Det är viktigt att förstå att detta inte omfattar all sekretessklassad information.Information som är känsligt kan fortfarande inte kan läggas i en publikt driftad molntjänst utan att bryta mot lagar eller utsätta data för onödiga risker. Skatteverket själv är noga med att man endast utvärderat en ”enkel” version av Teams och Office 365 – man har inte inkluderat mer avancerade molntjänster som t.ex. Microsoft Copilot (AI) eller Intune i sitt underlag. Med andra ord finns det fortfarande tydliga begränsningar i vad man anser lämpligt att göra i M365-miljön.

Ett konkret exempel är inspelning och journalföring av känsliga möten: Flera banker som Skatteverket talat med använder visserligen Teams för möten, men de spelar inte in eller lagrar samtalen i Teams. Istället använder de en separat lösning för att hantera inspelningar internt. Det visar att även om själva mötet sker i molnet så vill man inte att själva behandlingen av det känsliga materialet sker utanför egen kontroll.

Kontentan: Molntjänster som M365 kan höja effektiviteten för öppen och mindre känslig information, men de räcker inte till för hantering av sekretesskyddade uppgifter. Här behövs en parallell lösning – en plattform där myndigheten har full kontroll över data, drift och säkerhet.

Hubs – ett parallellt spår för känslig information

För att möta behovet av säker digital kommunikation har vi på ITSL Solutions utvecklat Hubs – en samarbetsplattform byggd för att hantera sekretessbelagd information på ett tryggt sätt. Offentliga aktörer har länge tvingats skicka skyddsvärda uppgifter via fax eller brev, just för att det saknats godkända digitala alternativ. Hubs löser detta problem: plattformen möjliggör att känslig information kan överföras digitalt på ett säkert sätt, med robust kryptering och svensk drift. Lösningen har dessutom granskats och godkänts av DIGG (myndigheten för digital förvaltning) inom ramen för den nationella infrastrukturen för Säker Digital Kommunikation (SDK).

Det innebär att Hubs uppfyller de stränga krav som ställs på hantering av sekretess i offentlig sektor. M365 och Hubs fyller således olika roller i myndighetens IT-landskap: M365 erbjuder breda samarbetsverktyg för vardagligt arbete och mindre känslig information, medan Hubs utgör det säkra rummet för kommunikation och dokument som måste hållas innanför myndighetens egen vägg. Istället för att se dem som konkurrerande plattformar bör man se dem som komplement – två parallella informationssfärer under samma organisation.

Det måste vara lätt att göra rätt: En person, två likvärdiga system men olika infomrationsklass – smidigt med Hubs och M365

Att arbeta i två informationssfärer kan låta krångligt, men tekniken gör det hanterbart. Om det är krångligt så kommer misstag att ske. Vi på ITSL har utformat Hubs för att det ska vara lägg och göra rätt. Börjar man en konversation i team ska man enkelt växla över den itill Hubs, mötestbokningen ska finnas på båda plattformarna men bara visa känslig infomration i ena. Bokningar av säkra möten ska kunna göras i den plattform som passar bäst, och genomföras på ett säkert sätt.

Här är det viktigt att utforma apllikationen så att det ska vara lätt att göra rätt, och svårt att göra fel.

En anställd är fortfarande en och samma person även om hen verkar i både M365 och Hubs – och det går att synka vissa funktioner så att upplevelsen blir sömlös. Ta kalendern som exempel: En medarbetare kan ha möten som ligger i Hubs (kanske rörande ett sekretessklassat projekt) och andra möten i Outlook/Exchange via M365. Med smart integration kan Hubs lägga in en placeholder i Outlook-kalendern för det konfidentiella mötet. På så vis ser kollegor i den vanliga Outlook-kalendern att personen är uppbokad (utan att känsliga detaljer exponeras i Microsofts moln). Samtidigt finns den fullständiga mötesinformationen i Hubs – deltagare, agenda, videomöteslänk etc – men bara åtkomlig för dem som har rätt behörighet i det systemet.

Denna typ av integration gör att medarbetarna slipper dubbelboka eller manuellt uppdatera två kalendrar. Hubs och M365 pratar med varandra i den mån det behövs för att underlätta användarens jobb, men all känslig data stannar i Hubs. Resultatet blir att säkerhet och sekretess upprätthålls utan att produktiviteten försämras. Man får det bästa av två världar: globalt kollaborativt verktyg för allt som kan vara öppet, och ett nationellt suveränt verktyg för allt som måste vara slutet.

Öppen källkod och datasuveränitet – en tydlig trend i Europa

Avslutningsvis är det värt att zooma ut och se den större trenden. Europa rör sig tydligt mot öppen källkod och digital suveränitet. EU-kommissionen har deklarerat att open source är strategiskt viktigt för att stärka EU:s position i den digitala världen. På ett event i Bryssel tidigare i år betonades att öppen källkods betydelse aldrig varit större i en omvärld med ökade krav på digital suveränitet. Logiken är enkel: Genom att bygga på öppen källkod kan man undvika leverantörslåsningar, öka transparensen och säkerställa att datahanteringen sker på egna villkor – något som blivit allt viktigare i kölvattnet av Schrems II och liknande integritetsutmaningar.

Även i Sverige ser vi hur myndigheter börjar prioritera kontroll över sina data. Inom eSam-projektet har 34 myndigheter gått samman för att hitta alternativ till molntjänster under tredjelandslagstiftning, baserade på öppen källkod och öppna standarder. Flera myndigheter och kommuner experimenterar med egna plattformar eller europeiska lösningar för allt från dokumenthantering till videomöten. Allt detta pekar mot en framtid där offentlig sektor har en mix av kommersiella och öppna lösningar, noga utvalda för att balansera effektivitet med oberoende och sekretess.

Skatteverkets val att ge sig in i molnet med Microsoft 365 känns utmanande utifrån synvinkeln om digital suveränitet och att äga sin egen data. Men logiskt utifrån funktionalitet och användartrygghet då M365 har bra funktionalitet till användaren samtididigt som alternativen finns och fungerar väl, men är inte kända för användarna än.

Vår förhoppning är att men det betyder inte att man släpper kravet på suveränitet. Den trend vi ser är att parallellt med att organisationer har M365 ser vi en fortsatt satsning på egna, säkra kanaler (som Hubs) och ett ökande intresse för öppna källkods-alternativ. Datasuveränitet – att själv äga och kontrollera sin information – har seglat upp som ett nyckelbegrepp. Vi på ITSL märker att allt fler värdesätter att våra lösningar är byggda på öppen källkod och kan drivas i egna miljöer. Det ger trygghet i att ingen utomstående aktör dikterar villkoren eller får insyn i känsliga data.

I Europa talas det ibland om ”digitalt oberoende” och att ”ta tillbaka kontrollen”. Med kombinationen av globala verktyg som M365 och lokalt förankrade, öppna lösningar som Hubs, kan svenska myndigheter uppnå just det: innovation och användarvänlighet, utan att ge avkall på suveränitet och sekretess.

Fredrik Jonasson

VD ITSL Solutions