Tech Blog

Ny vägledning om outsourcing från eSam – SKR väljer att inte stå bakom

eSam är ett program för samverkan mellan myndigheter och Sveriges kommuner och regioner, SKR (tidigare Sveriges kommuner och landsting, SKL). Syftet med programmet är att ta tillvara digitaliseringens möjligheter inom det offentliga. I fredags, den 13 december 2019, publicerade eSam en vägledning om sekretess och dataskydd i samband med outsourcing av funktioner som annars skulle skötas i det offentligas egen regi (”Vägledningen”). Vägledningen är en reviderad version av den vägledning på motsvarande tema som publicerades 2016 och innehåller även avsnitt som följer upp det rättsliga uttalande om röjande av sekretessreglerade uppgifter och molntjänster som eSam publicerade den 12 november 2018 (”Uttalandet”).

En av de allra knivigaste frågorna som behandlas i Vägledningen är hur man som som myndighet (eller företag som ägs alternativt kontrolleras av kommun/landsting) ska se på risken för och undvika att uppgifter som omfattas av sekretess enligt offentlighets- och sekretesslagen (”OSL”) ska anses röjda genom att de görs tillgängliga för en extern tjänsteleverantör – t.ex. en molntjänstleverantör.

OSL och röjande-begreppet i samband med outsourcing av IT-funktioner är en omdebatterad fråga och en fråga som gavs ytterligare en dimension i samband med att den amerikanska CLOUD Act-lagstiftningen trädde ikraft 2018 (läs vårt tidigare blogginlägg om CLOUD Act och GDPR här) och eSam valde att publicera Uttalandet som bl.a. innehåller följande citat:

Om sekretessreglerade uppgifter görs tekniskt tillgängliga för en tjänsteleverantör som till följd av ägarförhållanden eller annars är bunden av regler i ett annat land, enligt vilka tjänsteleverantören kan bli skyldig att överlämna information utan att internationell rättshjälp anlitats eller annan laglig grund föreligger enligt svensk rätt, får uppgifterna anses vara röjda. Anledningen är att det inte längre är osannolikt att uppgifterna kan komma att lämnas till utomstående.” (vår understrykning).

Uttalandet har sedan tidigare fått viss kritik bl.a. för att vara alltför kategoriskt och för att inte vila på tillräcklig kunskap om hur CLOUD Act och amerikansk lagstiftning i allmänhet fungerar. På detta tema noterar vi att eSam i den nya Vägledningen visserligen har utvecklat sin motivering något jämfört med Uttalandet men att den grundläggande slutsatsen kvarstår.

SKR som är en tung aktör i sammanhanget valde att inte ställa sig bakom Vägledningen. SKR har publicerat ett eget ställningstagande om molntjänster som går att läsa här och i ett pressmeddelande som offentliggjordes bara någon dag efter att den nya Vägledningen publicerats understryker SKR sin uppfattning att det måste finnas utrymme för kommuner och regioner att göra en självständig bedömning av risker när molntjänster hos ”globala leverantörer” används. Ytterligare en tung aktör som gett sig in i debatten är Försäkringskassan som har tagit fram en egen vitbok kallad ”Molntjänster i samhällsbärande verksamhet – risker, lämplighet och vägen framåt”, daterad 18 november 2019.

Det är mycket som händer på detta område just nu. Parallellt med den offentliga debatten om hur man ska se på röjande-begreppet och outsourcing pågår en av regeringen tillsatt utredning som förhoppningsvis på sikt ska ge klarhet i frågan. Läs gärna mer om utredningen i vårt blogginlägg här.