Förra veckan överlämnade IT-driftsutredningen delbetänkandet ”Säker och kostnadseffektiv it-drift – rättsliga förutsättningar för utkontraktering” (SOU 2021:1) till regeringen. I delbetänkandet presenterades bl.a. förslag till en ny sekretessbrytande bestämmelse i Offentlighets- och sekretesslagen (2009:400) (”OSL”).
”Utkontraktering av IT-drift” (Eng. outsourcing) innebär att myndigheten anlitar en extern tjänsteleverantör för tillhandahållande av IT-driftstjänster. Utredningen konstaterar att IT-drift är ett flexibelt begrepp som förändras över tid, men att det bör anses omfatta underhåll och hantering av hårdvara och/eller programvara (såsom exempelvis outsourcing av serverdrift, programvarusupport, hantering av IT-arbetsplatser, men även exempelvis tillhandahållande av programvara, plattform eller infrastruktur som molntjänst). Enligt utredningen saknar myndigheterna vanligtvis tillräcklig kompetens och kapacitet för att utföra tjänsterna själva, och en utkontraktering av IT-driften anses därför möjliggöra för myndigheter att fortsätta bedriva en säker, ändamålsenlig och kostnadseffektiv verksamhet.
Utkontrakteringen innefattar ofta lagring och annan behandling av data. Utredningen anser härvid att om en myndighet lämnar ut data till en tjänsteleverantör, så är de också ”röjda” enligt OSL, vilket således kan utgöra ett otillåtet röjande om sekretess råder för uppgifterna. Detta gäller enligt utredningen oavsett om uppgifterna är krypterade, eller det finns andra tekniska säkerhetsåtgärder som gör att tjänsteleverantören inte kan ta del av uppgifterna.
För att sekretessbelagda uppgifter ska kunna lämnas ut, krävs därför enligt utredningen att det finns tillämpliga regler som bryter sekretessen avseende de aktuella uppgifterna. Utredningen konstaterar att det finns ett behov av en reglering som i större utsträckning än den nuvarande, ger stöd för myndigheter att lämna ut uppgifter inom ramen för en utkontraktering av IT-drift, och föreslår därför att en ny sekretessbrytande bestämmelse ska införas i OSL.
Den nya sekretessbrytande bestämmelsen ska ta sikte på fall då uppgifter lämnas ut till privata tjänsteleverantörer eller andra myndigheter som har i uppdrag att utföra teknisk bearbetning eller teknisk lagring för den utlämnande myndighetens räkning. Bestämmelsen ska således inte omfatta IT-drift i allmänhet utan avgränsas till uppdrag som enbart innefattar ”teknisk bearbetning och teknisk lagring”, ett snävare begrepp som även används i annan lagstiftning såsom tystnadspliktslagen (lagen (2020:914) om tystnadsplikt vid utkontraktering av teknisk bearbetning eller lagring av uppgifter). Av utredningen framgår att anledningen till denna avgränsning är att innebörden av begreppet IT-drift är otydlig. Ett tydliggörande anses därför, enligt IT-driftsutredningen, nödvändigt för att förhindra att tillämpningen av bestämmelsen i framtiden leder till oförutsägbara resultat. I regeringens proposition (2019/20:201) ges exempel på uppdrag som innefattar såväl teknisk lagring som teknisk bearbetning. Det anförs att det kan röra sig om åtgärder i samband med införande, förvaltning, utveckling och avveckling av en IT-tjänst. Mer specifikt kan detta innebära förändringar av funktionen för en IT-tjänst och införande av tilläggstjänster och supporttjänster.
I utredningen anges även att den sekretessbrytande bestämmelsen ska förses med ett krav på genomförande av en intresseavvägning. Myndigheten ska således, innan ett beslut om utkontraktering av IT-drift fattas, göra en avvägning mellan intresset av utkontrakteringen och det intresse som sekretessen syftar till att skydda. Vid intresseavvägningen kan ett flertal faktorer tas i beaktande. Som exempel kan nämnas vilka intressen som föranlett sekretessen, med vilken styrka sekretessen är reglerad, liksom uppgifternas art och omfattning. Det kan också vara av betydelse vilken sekretess eller tystnadsplikt som gäller hos mottagaren av uppgifterna, och vilken styrka den sekretessen eller tystnadsplikten har.
Utredningen föreslår även att meddelarfriheten inskränks för de personer som omfattas av den nya tystnadspliktslagen, dvs. att dessa personer inte har rätt att avslöja uppgifterna med stöd av meddelarfriheten enligt tryckfrihetsförordningen och yttrandefrihetsgrundlagen.
Den slutliga utredningen förväntas vara färdigställd i oktober 2021. De föreslagna lagändringarna i detta delbetänkande föreslås dock träda i kraft den 1 januari 2022.
Delbetänkandet Säker och kostnadseffektiv it-drift – rättsliga förutsättningar för utkontraktering, SOU 2021:1, hittar du här.
Om du har frågor om det nya lagförslaget eller vill veta mer om regler för outsourcing och användning av molntjänster är du välkommen att kontakta advokaterna Fredrik Ståhl och Esa Kymäläinen på TIME DANOWSKY Advokatbyrå.
