I ett betänkande från 2021 lämnades förslag på en ny sekretessbrytande bestämmelse som skulle gälla vid utkontraktering av myndigheters IT-drift, SOU 2021:1.
Nu har lagstiftningsprocessen kommit ett steg längre. Den 26 januari i år lämnade regeringen en lagrådsremiss som föreslår enklare regler för användning av molntjänster och andra it-driftstjänster i offentlig sektor.
Utkontraktering – eller outsourcing – av it-drift innebär att en verksamhet anlitar en extern tjänsteleverantör för att tillhandahålla olika it-driftstjänster, till exempel datalagring eller applikationsdrift. Fenomenet är numera mycket vanligt förekommande, både i privat och offentlig sektor. Bland myndigheter förekommer också så kallad samordnad it-drift, vilket innebär att en myndighet uppdrar åt en annan myndighet att tillhandahålla grundläggande it-driftstjänster. Behovet av utkontrakterad eller samordnad it-drift förklaras i många fall av att enskilda myndigheter saknar tillräcklig kompetens eller kapacitet för att utföra tjänsterna på ett effektivt och säkert sätt i egen regi.
Ur ett rättsligt perspektiv har det funnits ett stort antal utmaningar med utkontraktering av it-drift inom offentlig sektor – inte minst eftersom uppdraget kan innebära att myndigheten behöver lämna ut uppgifter som omfattas av sekretess enligt offentlighets- och sekretesslagen (2009:400) (OSL) till tjänsteleverantören.
Problemet har varit väl känt under en längre tid. Under hösten 2019 tillsattes en utredning för att kartlägga och analysera hur myndigheters behov av säker och kostnadseffektiv it-drift skulle tillgodoses. Utredningen konstaterade att det finns ”begränsade rättsliga förutsättningar för en myndighet […] att utkontraktera sin it-drift i mer varaktiga former”, och att det därför fanns behov av en ny sekretessbrytande bestämmelse i OSL för att möjliggöra för många myndigheter att driva sin verksamhet på ett effektivt och ändamålsenligt sätt. Initialt var tanken att utredningens förslag skulle gå vidare till proposition under förvåren 2022. Tidplanen kom dock att ändras.
Nu har utredningsförslaget nått ett steg längre. Den 26 januari i år lade regeringen fram lagrådsremissen ”Sekretessgenombrott vid teknisk bearbetning eller lagring av uppgifter”.
Röja uppgifter till tjänsteleverantör ska vara godtagbart – om det inte är ”olämpligt”
I lagrådsremissen konstateras att sekretessbelagda uppgifter som lämnas ut av en myndighet till en tjänsteleverantör ska betraktas som röjda i OSL:s mening, om inte uppgifterna är robust krypterade hos tjänsteleverantören. Det innebär i praktiken att myndigheter i många fall är förhindrade att utkontraktera sin IT-drift till externa tjänsteleverantörer. Mot den bakgrunden finns, enligt lagrådsremissen, behov av att införa en ny sekretessbrytande bestämmelse i OSL för att möjliggöra utkontraktering av myndigheternas IT-drift.
Den nya bestämmelsen föreslås innebära att sekretess inte ska hindra att uppgifter får lämnas ut till en enskild – eller annan myndighet – när mottagaren har i uppdrag att för myndighetens räkning endast tekniskt bearbeta eller tekniskt lagra uppgifterna, samt att det med hänsyn till omständigheterna inte är olämpligt att uppgifter lämnas ut.
I lagrådsremissen framhålls att eventuella utkontrakteringar, med utlämnanden av sekretessbelagda uppgifter, behöver föregås av en övergripande analys hos den utlämnande myndigheten för att bedöma om ett utlämnande skulle vara olämpligt. Avsikten är inte att analysen behöver ta sikte på varje enskild uppgift som kan komma att utlämnas till leverantören. I stället ska lämplighetsbedömningen beakta samtliga omständigheter som är relevanta i den specifika utkontrakteringen.
De omständigheter som ska övervägas anknyter till den myndighet som avser lämna ut uppgifterna, leverantören/uppgiftsmottagaren samt karaktären av de uppgifter som avses lämnas ut. Dessutom kan hänsyn behöva tas till vilka slags IT-driftstjänster som är aktuella, avtalsförhållandet, leverantörens bundenhet till lagstadgad tystnadsplikt och det allmänna säkerhetsläget. Enligt lagrådsremissen är det den berörda myndigheten som har bäst förutsättningar att bedöma om det olämpligt eller inte att lämna ut uppgifter till en leverantör vid utkontraktering.
I fråga om uppgifter som redan genom sin karaktär anses olämpliga att utlämna till en leverantör, anges endast sådana som är av synnerlig betydelse för rikets säkerhet med avseende på totalförsvaret.
Frågetecken kvarstår – tystnadsplikt och tredjelandsöverföringar fortsatt öppna frågor
I lagrådsremissen föreslås att tystnadsplikten, enligt lagen om tystnadsplikt vid utkontraktering av teknisk bearbetning eller lagring av uppgifter (2020:914), fortsättningsvis ska ha ställning som en så kallad kvalificerad tystnadsplikt. Det betyder att tystnadsplikten för enskilda medarbetare hos berörda tjänsteleverantörer ska ha företräde framför meddelarfriheten – det vill säga rätten att meddela uppgifter för offentliggörande i grundlagsskyddade medier.
Remissen lämnar däremot ingen vägledning i frågan om vilken betydelse det ska ha, vid tillämpningen av den nya sekretessbrytande bestämmelsen i OSL, att en viss tjänsteleverantör inte lyder under 2020 års lag om tystnadsplikt. Det gäller i princip för varje tjänsteleverantör som bedriver sin verksamhet i utlandet – och således i praktiken för merparten av de stora tjänsteleverantörerna på området.
I lagrådsremissen påminns också om att en myndighet behöver ta hänsyn även till andra regelverk än OSL inför en eventuell utkontraktering – inte minst EU:s dataskyddsförordning. Myndigheternas data och handlingar innefattar regelmässigt personuppgifter i dataskyddsförordningens mening. Många tjänsteleverantörer på området har dessutom nära anknytningar till USA – som för tillfället inte omfattas av något giltigt så kallat adekvansbeslut från EU-kommissionen.
En ny sekretessbrytande bestämmelse i OSL skulle därmed bli ett steg på vägen mot att förenkla utkontraktering av it-drift inom offentlig sektor – men inte hela svaret.
Lagändringarna föreslås träda i kraft den 1 juli i år. Lagrådsremissen Sekretessgenombrott vid teknisk bearbetning eller lagring av uppgifter finns tillgänglig här.
Om du har frågor om lagförslaget eller vill veta mer om lagstiftningen kring outsourcing och användning av molntjänster är du välkommen att kontakta advokaterna Fredrik Ståhl och Esa Kymäläinen eller biträdande jurist Hedda Åkerman på TIME DANOWSKY Advokatbyrå.
