Gå direkt till innehåll
Björn Lundell, professor i datavetenskap vid Högskolan i Skövde
Björn Lundell, professor i datavetenskap vid Högskolan i Skövde

Pressmeddelande -

Tre rekommendationer för lyckad anskaffning av globala molnlösningar

Allt fler svenska myndigheter använder sig av globala molnlösningar som till exempel Microsoft 365. Det har visat sig medföra en rad problem men det finns lösningar. I en ny forskningsartikel presenterar Björn Lundell, professor i datavetenskap, tillsammans med medförfattare rekommendationer för en lyckad anskaffning.

Under en längre tid har forskare inom Software Systems Research Group vid Högskolan i Skövde studerat olika typer av inlåsningseffekter, däribland inom ramen för forskningsprojektet SUDO. Forskningen har bland annat behandlat myndigheters anskaffning och användning av globala molnlösningar, specifikt då programvara tillhandahålls som tjänst över internet. Under det senaste decenniet har alltfler organisationer anskaffat den typen av tjänster, så kallade SaaS-lösningar (’Software-as-a-Service’). Ett känt exempel på en sådan lösning är Microsoft 365.

Hotar myndigheters autonomi och Sveriges datasuveränitet

I en nyligen publicerad artikel har forskningen fokuserats på upphandling och de villkor som myndigheter accepterar inför användning av sådana lösningar. Den genomförda studien visar att den undersökta organisationen inte lyckats anskaffa alla tillämpliga licenser och avtalsdokument. Tidigare studier som undersökt ett mycket stort antal myndigheters anskaffning av samma SaaS-lösning visar att inte en enda av de undersökta myndigheterna har lyckats identifiera och anskaffa alla tillämpliga licenser och avtalsdokument.

– För en myndighet som använder en SaaS-lösning under okända villkor för att behandla och förvalta uppgifter och handlingar inom myndigheten är det omöjligt att visa att myndighetens användning av lösningen är lämplig, säger Björn Lundell.

Den nu aktuella studien och tidigare studier visar också att användning av sluten programvara tillhandahållen som en SaaS-lösning orsakar problematisk inlåsning. Detta innebär betydande risk för myndigheters autonomi och Sveriges datasuveränitet menar Björn Lundell.

– Innan en myndighet anskaffar och börjar använda en sådan externt tillhandahållen SaaS-lösning för att behandla och förvalta myndighetens uppgifter och handlingar ställs krav på att myndigheten genomför en gedigen analys av alla villkor som påverkar myndighetens användning av den tilltänkta lösningen. Slutsatsen från en sådan analys måste visa att myndighetens användning av lösningen är laglig och lämplig, säger Björn Lundell.

Omöjligt att anskaffa alla avtalsvillkor

En grundläggande förutsättning för att en myndighet ska kunna genomföra den nödvändiga analysen är att myndigheten lyckats identifiera och anskaffa alla avtalsvillkor för den tilltänkta SaaS-lösningen, vilket har visat sig vara omöjligt för samtliga undersökta myndigheter i den nu aktuella studien och flera tidigare genomförda studier.

– Användning av en SaaS-lösning under okända villkor kan aldrig rekommenderas. Resultat från vår forskning som undersökt ett mycket stort antal myndigheters användning av Microsoft 365-lösningen visar att vi så här långt ännu inte lyckats identifiera en enda myndighet som inför användning av lösningen lyckats identifiera och anskaffa alla relevanta villkor för användning av lösningen vilket omöjliggör en gedigen analys av laglighet och lämplighet, säger Björn Lundell.

För att i möjligaste mån undvika de problem som kan uppstå presenterar artikelförfattarna tre rekommendationer för en lyckad anskaffning av en global molnlösning.

De tre rekommendationerna

1: Analysera under vilka villkor lösningen kan användas

En myndighet som överväger att teckna ett kontrakt för användning av en SaaS-lösning rekommenderas genomföra en omfattande analys av alla villkor som påverkar myndighetens tilltänkta användning av lösningen. Denna analys behöver identifiera huruvida och i så fall under vilka villkor myndigheten kan anskaffa alla nödvändiga licenser för att säkerställa att myndighetens uppgifter och handlingar kan behandlas och förvaltas såväl under som efter avslutad användning av den tilltänkta SaaS-lösningen. Analysen behöver särskilt beakta myndighetens behov av att kunna återanvända alla upprättade handlingar som myndigheten behandlat och förvaltat genom användning av den anskaffade SaaS-lösningen, vilket inkluderar behov av att analysera och för vanliga lösningar även anskaffa patentlicenser från flera olika rättighetsinnehavare.

2: Ställ krav på reviderade avtalsvillkor

För att möjliggöra en laglig och lämplig behandling och förvaltning av en myndighets handlingar genom användning av en globalt tillhandahållen SaaS-lösning (som exempelvis Microsoft 365) rekommenderas myndigheten ställa krav på reviderade avtalsvillkor för tillhandahållande av lösningen.

3: Säkerställ en god långsiktig förvaltning

En myndighet som överväger användning av en globalt tillhandahållen SaaS-lösning behöver säkerställa upprätthållande av en långsiktigt god förvaltning av myndighetens uppgifter och handlingar under en tidsperiod som vida överstiger livslängden för tilltänkt lösning. Myndigheten rekommenderas säkerställa att leverantören tillhandahåller SaaS-lösningen under villkor som möjliggör för myndigheten att upprätthålla en laglig och lämplig behandling och förvaltning av myndighetens uppgifter och handlingar under hela livslängden för respektive handling. Detta inkluderar att leverantören tillhandahåller alla nödvändiga patentlicenser under eviga villkor för samtliga format som implementerats och någon gång använts av lösningen.

Mer information på konferensen Hållbar digitalisering 2023

För den som vill veta mer om rekommendationerna ovan kommer de att diskuteras mer i detalj och följas av fler rekommendationer som kommer att behandlas under konferensen Hållbar Digitalisering den 15 augusti 2023.

Läs mer om den aktuella studien:

Lundell, B., Gamalielsson, J., Katz, A. & Lindroth, M. (2023) Avoiding lock-in effects through obtaining all necessary licences before use of a SaaS solution in a public sector organisation: a case study, European Journal of Law and Technology, Vol. 14(1).

https://ejlt.org/index.php/ejlt/article/view/861

Läs också:

Lundell, B., Gamalielsson, J. & Katz, A. (2023) Implementing the HEVC standard in software: Challenges and Recommendations for organisations planning development and deployment of software, Journal of Standardisation, Vol. 2.

https://doi.org/10.18757/jos.2022.6695

Lundell, B., Gamalielsson, J., Katz, A. & Lindroth, M. (2022) Data Processing and Maintenance in Different Jurisdictions When Using a SaaS Solution in a Public Sector Organisation, JeDEM – eJournal of eDemocracy and Open Government, Vol. 14(2), pp. 214–234.

https://doi.org/10.29379/jedem.v14i2.749

Lundell, B., Gamalielsson, J., Katz, A. & Lindroth, M. (2022) Use of Commercial SaaS Solutions in Swedish Public Sector Organisations under Unknown Contract Terms, In Janssen, M. et al. (Eds.) EGOV 2022: Electronic Government, Lecture Notes in Computer Science, Vol 13391, Springer, Cham, pp. 73-92.

https://doi.org/10.1007/978-3-031-15086-9_6

Kontakt

Björn Lundell, professor i datavetenskap vid Högskolan i Skövde.
Telnr: 0500-448319, E-mejl: bjorn.lundell@his.se

Ämnen

Regioner


Vi är en modern högskola som präglas av en öppen och välkomnande atmosfär, förstklassiga utbildningar och internationellt konkurrenskraftig forskning. En plats där vi gör framsteg, varje dag.

Kontakter

Christian Boström

Christian Boström

Forskningskommunikatör +46 500 448 232

Välkommen till Högskolan i Skövde!

Vi är en högskola med en öppen och välkomnande atmosfär, förstklassiga utbildningar och internationellt konkurrenskraftig forskning. En plats där vi gör framsteg, varje dag.