Tech Blog

Replik på eSams uttalanden om ”röjande-begreppet” enligt OSL

eSam är ett program för samverkan mellan myndigheter och Sveriges kommuner och regioner, SKR (tidigare Sveriges kommuner och landsting, SKL). eSam har sedan tidigare publicerat vägledande uttalanden och rekommendationer avseende bl.a. myndigheters användning av molntjänster och risken för att sekretesskyddade uppgifter då ska röjas i strid med offentlighets- och sekretesslagen (OSL).

eSam har i princip sagt att det inte är rättsligt möjligt att använda sig av molntjänster om sekretessreglerade uppgifter görs tekniskt tillgängliga för en tjänsteleverantör som till följd av ägarförhållanden eller annars är bunden av regler i ett annat land, enligt vilka leverantören kan bli skyldig att överlämna information utan att internationell rättshjälp anlitats eller annan laglig grund föreligger enligt svensk rätt. De sekretessreglerade uppgifterna ska nämligen i så fall anses röjda. Det har inte framgått uttryckligen men det är utan tvekan så att man i första hand har haft den amerikanska CLOUD Act-lagstiftningen i åtanke. I denna text hänvisar vi därför fortsättningsvis till CLOUD Act för enkelhets skull.

CLOUD Act innebär i korthet att brottsbekämpande myndigheter i USA har rätt att kräva tillgång till data som vissa leverantörer av bl.a. molntjänster har tillgång till, oavsett vem som ”äger” datan och utan geografiska begränsningar.

Sedan eSam publicerade ovan nämnda uttalanden och rekommendationer har det framförts viss kritik mot denna kategoriska inställning. Delphis Adam Odmark har bl.a. i en artikel som ursprungligen publicerades i Dagens juridik uttryckt sin personliga uppfattning i frågan och då ansett att den har svagt stöd i de rättskällor som finns att tillgå. Nyligen har även Cirio Advokatbyrå i en mer omfattande rapport kritiserat eSams inställning utifrån liknande grunder.

eSam har hittills inte svarat på frågor kring de uttalanden och rekommendationer som lämnats till myndigheter i frågan. Nu har dock Katrin Westling Palm, ordförande i eSam och Generaldirektör på Skatteverket och Nils Öberg, Generaldirektör på Försäkringskassan kommenterat Cirios rapport.

I kommentaren skriver Skatteverket och Försäkringskassan att de delar Cirios uppfattning i själva rättsfrågan – att det är oförenligt med svensk rätt att lämna ut uppgifter till en extern leverantör, om det inte är osannolikt att leverantören tar del av uppgifterna eller lämnar ut dem till någon annan. De drar dock motsatt slutsats i förhållande till Cirio vad gäller risken för att uppgifterna skulle lämnas ut om de görs tekniskt tillgängliga för en tjänsteleverantör som är bunden av CLOUD Act.

Skatteverket och Försäkringskassan skriver vidare att:

”Det är också viktigt att komma ihåg att en svensk myndighet inte får avstå skyldigheten att själv pröva varje utlämnandefråga. Att avstå en sådan prövning är oförenligt med svensk rätt [fotnot: Att en sekretessprövning av det här slaget inte kan göras på förhand, följer redan av ordalydelsen i 8 kap. 3 § OSL]. Detta gäller även när molntjänstleverantören får en begäran från en myndighet i annat land.

Vår bedömning är alltså att det strider mot lag att teckna ett outsourcingkontrakt där denna regel inte kan upprätthållas och att därefter lämna ut uppgifter till tjänsteleverantören. Uppgifterna måste anses vara röjda redan genom att ha lämnats till tjänsteleverantören eftersom denna juridiska brist kring utlämnandeprövningen föreligger. Tecknar en myndighet ändå kontrakt med en aktör som omfattas av en skyldighet att lämna ut uppgifter till myndighet i tredjeland, kringgås det skydd som offentlighets- och sekretesslagen ska ge”.

Vår kommentar och uppfattning

Rättsläget kring ”röjande-begreppet” är osäkert i och med att det inte finns någon modern rättspraxis i frågan. Den huvudsakliga rättspraxis som finns (NJA 1991 s. 103) ger dock distinkt uttryck för att sekretessreglerade uppgifter ska anses röjda först om de bedöms ha gjorts tillgängliga för någon och det inte är osannolikt att denna någon de facto kommer att utnyttja tillgängligheten. Att gå längre än så menar vi vore att tänja på den semantiska innebörden av att ”röja en uppgift”. Vi menar därför att detta får betraktas som gällande rätt i frågan om hur röjande-begreppet ska tolkas. Så som vi uppfattar Skatteverket och Försäkringskassan delar de (och eSam) denna uppfattning av läget i själva rättsfrågan.

Om man applicerar detta rättsläge på ett scenario då sekretessreglerade uppgifter görs tekniskt tillgängliga för en tjänsteleverantör som omfattas av CLOUD Act menar vi att uppgifterna inte med automatik kan anses röjda till amerikanska myndigheter. Nedan redogör vi sammanfattningsvis för varför vi når denna slutsats.

CLOUD Act och amerikansk processuell lagstiftning uppställer strikta kriterier för när och hur brottsbekämpande myndigheter kan kräva tillgång till uppgifter från en tjänsteleverantör och det sker då enligt ett domstolsförfarande där tjänsteleverantören har möjlighet att framföra invändningar.

För det första menar vi att det är långsökt att tala om att myndigheterna i USA har ”tillgång till” de sekretessreglerade uppgifterna när de måste kräva tillgång till dem genom ett domstolsförfarande i ett land som får betraktas som en rättsstat utifrån strikta kriterier.

För det andra menar vi att det framstår som osannolikt att myndigheterna i USA faktiskt skulle begära ut den svenska myndighetens sekretessreglerade uppgifter enligt ett sådant förfarande (även om det givetvis kan variera beroende på vad det är fråga om för myndighet och uppgifter). Amerikanska justitiedepartementet har dessutom som policy att uppgifter ska begäras direkt från den som ”äger” dem och inte från molntjänstleverantörer såvida det inte skulle vara till skada för utredningen.

För det tredje ska de amerikanska myndigheterna nå framgång med sin begäran i domstolen. Tjänsteleverantören har möjlighet att invända mot begäran i domstol vilket stora företag som t.ex. AWS och Microsoft ofta gör.

Fler skäl till varför vår sannolikhetsbedömning faller ut som den gör går att ta del av i Adam Odmarks artikel.

Sammantaget menar vi alltså dels att amerikanska myndigheter inte kan anses ha ”tillgång till” de sekretessreglerade uppgifterna redan när de görs tekniskt tillgängliga för en CLOUD Act-leverantör, dels att det är osannolikt att de (framgångsrikt) kommer att utnyttja den möjlighet att få tillgång till informationen de teoretisk kan ha under lagstiftningen. Då det således är osannolikt att någon de facto kommer att utnyttja tillgängligheten anser vi att det inte kan vara fråga om ett röjande.

Så här långt är vi alltså oeniga med eSam, Försäkringskassan och Skatteverket. Däremot delar vi uppfattningen att det är problematiskt för en myndighet att avhända sig kontrollen över om sekretesskyddade uppgifter ska lämnas ut eller inte (oavsett hur osannolikt det är att något utlämnande kommer ske utan medgivande från myndigheten). Detta är något som behöver bedömas i den risk- och sårbarhetsanalys som ska göras inför utkontraktering till molntjänster. Man kan i synnerhet fråga sig om det är lämpligt för vissa typer av särskilt känsliga uppgifter. Det är dock inte detsamma som att uppgifterna anses röjda, vilket tycks vara eSam, Försäkringskassan och Skatteverkets inställning. Gällande rätt ger inte stöd för den slutsatsen.

För att föra diskussionen än längre, skulle vi även vilja testa eSams hållning på ett alternativt scenario. Låt säga att sekretesskyddade uppgifter har gjorts tekniskt tillgängliga för en leverantör i valfritt land vars lagstiftning ger möjlighet för myndigheter där att genomföra husransakningar eller motsvarande bevissäkringsåtgärder på servrar inom det landets territorium. Betänk vidare att en tillämpning av CLOUD Act innebär att en form av digital husransakning genomförs.

Har de sekretesskyddade uppgifterna i ett sådant fiktivt scenario röjts till myndigheterna i det landet oavsett hur osannolikt det än är att det kommer inträffa en husrannsakan som dessutom leder till utlämnande eller beslag av den svenska myndighetens sekretesskyddade uppgifter? Det vore i så fall ett otillåtet röjande enligt 8 kap. 3 § OSL och svenska myndigheter skulle därmed inte få lagra uppgifter ens i något av våra grannländer.

Avslutningsvis vill vi poängtera att vi har förståelse för Försäkringskassans och Skatteverkets hållning. Det är en sak att som utomstående ge utryck för sin uppfattning och en annan att vara den som bär det yttersta ansvaret för att göra den här typen av bedömning. Framförallt är det extremt olyckligt att rättsläget är så pass osäkert att en sådan diskussion över huvud taget kan existera. Den har nu i flera år tillåtits ligga som en våt filt över myndigheters digitaliseringsarbete. Vi hoppas därför att den av regeringen tillsatta utredningen ”Säker och kostnadseffektiv it-drift för den offentliga förvaltningen” vid deadline den 31 augusti i år kommer att föreslå ändringar i OSL som undanröjer frågan och främjar digitalisering.

Karin Westling Palm och Nils Öbergs kommentar till Cirios rapport går att läsa i sin helhet här.