Nytt förslag om tystnadsplikt vid köp av IT-tjänster – mycket återstår fortfarande att göra
Som vi tidigare skrivit om på bloggen finns det rättsliga problem vad gäller hanteringen av sekretess enligt offentlighets- och sekretesslagen (OSL) vid upphandling av IT-tjänster inom offentlig sektor. Problemen tar främst sikte på under vilka omständigheter sekretesskyddade uppgifter ska anses ”röjda” till leverantören och om det i så fall är fråga om ett otillåtet röjande.
Trots att de rättsliga problemen har haft en hämmande effekt på digitaliseringen inom offentlig sektor under en längre tid (i strid med såväl nationella som EU-gemensamma målsättningar) har lite gjorts för att lösa dem. På senare tid har dock regeringen tillsatt två parallella utredningar för att se över behovet av lagändringar. Den ena utredningen skulle delvis ha presenterats den 31 augusti i år men har beviljats förlängd tid till den 31 januari 2021. Nu har dock den andra utredningen lett fram till ett konkret lagförslag som har skickats på lagrådsremiss och det är vad detta blogginlägg handlar om.
Om förslaget om tystnadsplikt för personal hos tjänsteleverantörer och dess underleverantörer
Lagförslagets nyckelparagraf lyder:
”Den som på grund av anställning eller på något annat sätt deltar i eller har deltagit i en tjänsteleverantörs verksamhet att på uppdrag av en myndighet endast tekniskt bearbeta eller tekniskt lagra uppgifter får inte obehörigen röja eller utnyttja dessa uppgifter. I det allmännas verksamhet tillämpas offentlighets- och sekretesslagen (2009:400).”
Den som bryter mot denna bestämmelse skulle riskera att göra sig skyldig till brott mot tystnadsplikt enligt 20 kap. 3 § brottsbalken. Tystnadsplikten föreslås även omfatta personal hos tjänsteleverantörers underleverantörer. Bakgrunden till förslaget är att regeringen vill göra det möjligt för offentlig sektor att röja sekretesskyddade uppgifter till tjänsteleverantörer i situationer då det idag inte är tillåtet.
För att personalen ska omfattas av tystnadsplikten krävs att tjänsteleverantören anlitas för ”teknisk bearbetning eller teknisk lagring” av de sekretesskyddade uppgifterna. Begreppen teknisk bearbetning och teknisk lagring är hämtade från tryckfrihetsförordningen. Dess exakta innebörd är inte direkt glasklart men viss vägledning kan hämtas från följande uttalande i lagrådsremissen:
”Vilka slag av åtgärder som kan omfattas av teknisk bearbetning eller teknisk lagring behöver tolkas i förhållande till dagens digitala informationshantering och den fortgående tekniska utvecklingen. En tjänsteleverantör kan exempelvis ha i uppdrag att införa, förvalta, utveckla och så småningom avveckla en tjänst åt en myndighet. Tjänsteleverantören kan under dessa olika faser behöva vidta en mängd olika åtgärder som innefattar teknisk bearbetning eller teknisk lagring av uppgifter för att upprätthålla den tillgänglighet, funktionalitet och prestanda i tjänsten som har avtalats mellan parterna. Sådana åtgärder kan röra sig om förändring och tillägg i en befintlig tjänsts funktionalitet, etablering av en tilläggstjänst, integration mot andra tjänster, konfiguration, test och utveckling samt tillhandahållande av supporttjänster. Det kan också röra sig om säkerhetshöjande åtgärder som uppgradering, uppdatering, säkerhetskopiering, kryptering, anonymisering, pseudonymisering och incidenthantering. Vid avveckling av en tjänst kan myndighetens information behöva migreras eller exporteras tillbaka till myndigheten eller till en annan tjänsteleverantör.”
Mot denna bakgrund är vår bedömning att begreppen omfattar många olika typer av IT-tjänster – inte minst molnbaserade sådana. En bedömning måste dock göras i det enskilda fallet.
Varför behövs lagstiftningen och löser den problemen?
För att kunna bedriva sin verksamhet är offentlig sektor, precis som det privata näringslivet, i princip beroende av att kunna använda sig av privata företags IT-tjänster. I vissa fall finns det i praktiken till och med bara en eller en handfull globala IT-jättars tjänster att välja mellan.
Vid användning av IT-tjänster görs ofta av nödvändighet oförutsägbara mängder och typer av uppgifter som omfattas av sekretess enligt OSL tekniskt tillgängliga för leverantören. Detta gäller t.ex. vid användning av molnbaserade kontorsstödstjänster för dokumenthantering och e-post. I dagsläget är det något osäkert om ”tekniskt tillgängliga för” är synonymt med att röja de sekretessreglerade uppgifterna till leverantören. Det är dock klart så att vissa typer av sekretessreglerade uppgifter inte får röjas till externa tjänsteleverantörer.
Följaktligen finns det ett behov av att lagstiftningsvis antingen klargöra att något röjande (under vissa omständigheter) inte ska anses ske eller introducera en laglig möjlighet att faktiskt röja uppgifter till tjänsteleverantörer. Det senare är syftet med det nya lagförslaget och det är därför vid första anblick ett efterlängtat sådant. Tyvärr kommer dock tystnadsplikten bara omfatta vissa tjänsteleverantörers personal och det är endast dessa leverantörer som det kan bli tillåtet att röja sekretesskyddade uppgifter till. Här är förklaringen:
Om brott mot tystnadsplikt begås utanför Sveriges gränser har svensk domstol endast domsrätt om: 1) den som begått brottet är svensk medborgare eller en utlänning med hemvist i Sverige; och 2) gärningen är straffbar även på gärningsorten. Tystnadsplikten kan därmed endast åberopas som grund för att röja sekretesskyddade uppgifter till tjänsteleverantörer som kan garantera att den egna (och ev. underleverantörers) personalstyrka är bosatt i Sverige.
Att dessa förutsättningar ska vara uppfyllda för att svensk domsrätt över brott mot tystnadsplikt ska föreligga är i och för sig varken någon nyhet eller särskilt udda ur ett internationellt perspektiv. Svensk offentlig sektor kan dock rimligen inte begränsa sig till att välja mellan leverantörer som uppfyller dessa kriterier. Bland annat skulle det kunna hämma digitaliseringstakten inom svensk offentlig sektor. Det framstår även som en form av diskriminering av andra EU-länders leverantörer.
Vi hoppas därför på ytterligare åtgärder för att förenkla upphandlingen av IT-tjänster inom offentlig sektor i den utredning som ska presenteras för regeringen senast den 31 januari 2021.
Relaterat innehåll