Lov&Data

1/2023: IT-kontrakter
28/03/2023

Sekretessgenombrott vid teknisk bearbetning och lagring

Av Christina Wikström, advokat och partner, Anton Karlsson, biträdande jurist, verksamma vid Wikström & Partners Advokatbyrå i Stockholm och specialiserade på IT, IP och dataskydd.

Regeringen överlämnade den 26 januari 2023 remiss Sekretessgenombrott vid teknisk bearbetning eller lagring av uppgifter till Lagrådet, avseende förslag till en ny sekretessbrytande bestämmelse i offentlighets- och sekretesslagen (2009:400) (OSL), som möjliggör för myndigheter att lämna uppgifter som omfattas av sekretess till en enskild eller till en annan myndighet som har i uppdrag att tekniskt bearbeta eller tekniskt lagra uppgifterna för den uppgiftslämnande myndighetens räkning. Förslaget till en ny sekretessbrytande bestämmelse bygger på resultatet av betänkandet Säker och kostnadseffektivt it-drift – rättsliga förutsättningar för utkontraktering (1)SOU 2021:1., även kallad it-driftsutredningen, som tillsattes för att kartlägga och analysera statliga myndigheters rättsliga förutsättningar för utkontraktering av it-drift till privata tjänsteleverantörer och samordnad it-drift mellan myndigheter.

It-driftsutredningen utmynnade bland annat i ett förslag om att införa en sekretessbrytande bestämmelse med sikte på utkontraktering av it-drift, och det är en reviderad version av detta förslag som är föremål för den remiss som regeringen överlämnat till Lagrådet. Det råder en viss osäkerhet avseende de rättsliga förutsättningarna för statliga myndigheter att utkontraktera it-drift, och då särskilt med hänsyn till när en uppgift som omfattas av utkontraktering ska anses röjd enligt OSL.(2)Dir. 2019:64, Säker och kostnadseffektiv it-drift för den offentliga förvaltningen, s. 5. För att en utkontraktering, genom vilka uppgifter vanligen utlämnas, ska vara förenlig med OSL föreslås därför att en sekretessbrytande bestämmelse införs i OSL.

Förslaget i lagrådsremissen innebär att sekretess inte hindrar att en uppgift lämnas till en enskild eller till en annan myndighet som för den utlämnande myndighetens räkning har i uppdrag att endast tekniskt bearbeta eller tekniskt lagra(3)En analys av advokat Christina Wikström, Wikström och Partners Advokatbyrå, av begreppet ”teknisk bearbetning eller teknisk lagring” publicerades i Lov&Data 2021 nr. 4 s. 4–8. uppgiften, om det med hänsyn till omständigheterna inte är olämpligt att uppgiften lämnas ut. I motiven till förslaget förtydligöras att en privat tjänsteleverantör som inte omfattas av offentlighets- och sekretesslagen, inte kan tillämpa den sekretessbrytande bestämmelsen när denne avser att exempelvis överföra uppgifter till en underleverantör.

Lagrådet lämnade den 14 februari 2023 yttrande avseende förslaget, genom vilket följande modifierade formulering föreslås:

”Sekretess hindrar inte att en myndighet lämnar en uppgift till en enskild eller till en annan myndighet om det sker med anledning av uppdrag att för myndighetens räkning tekniskt bearbeta eller tekniskt lagra uppgiften. En uppgift får dock lämnas endast om det inte är olämpligt.”

Förslaget väntas leda till en minskad osäkerhet för myndigheter i samband med utkontraktering eller samordning av it-drift. Regeringen föreslår också att tystnadsplikten enligt lagen (2020:914) om tystnadsplikt vid utkontraktering av teknisk bearbetning eller lagring av uppgifter ska ha företräde framför rätten att meddela och offentliggöra uppgifter (meddelarfriheten)(4)Meddelarfriheten följer av 1 kap. 1 § andra stycket och 7 § första stycket tryckfrihetsförordningen (1949:105) samt 1 kap. 1 § första stycket och 10 § första stycket yttrandefrihetsgrundlagen (1991:1469).. En proposition är avsedd att avlämnas till riksdagen för slutbehandling den 11 april 2023 med ett planerat ikraftträdande den 1 juli 2023.(5)Statsrådsberedningens propositionsförteckning våren 2023, https://www.regeringen.se/48eeec/contentassets/0e418b396c044cf39acb6daae9f33f10/propositionsforteckning-varen-2023.pdf.

Tolkning av it-avtal omfattande licens och utveckling

Hovrätten för Västra Sverige lämnade den 20 januari 2023 dom i mål T 6331–21, avseende tolkning av it-avtal omfattande licens och utveckling. Genom ett licensavtal åtog sig MYBW Office Management AB (Office Management) att till Art Clinic AB (Art Clinic) tillhandahålla ett journalsystem. Journalsystemet kom även att kundanpassas genom ett utvecklingsarbete. Sedan Art Clinic hävt avtalet med hänvisning till att journalsystemet var i dröjsmål och behäftat med fel, uppkom tvist om vilken leverans avtalet omfattade och när leverans skulle ske. Art Clinic menade att avtalet omfattade utveckling enligt viss kravspecifikation till viss leveransdag, medan Office Management menade att avtalet omfattade licens med grundkonfiguration, och att utvecklingsarbete enligt viss kravspecifikation och viss tidplan föll utanför avtalet.

Hovrätten konstaterade inledningsvis att någon gemensam partsavsikt med avtalet inte gick att fastställa, varför en samlad helhetsbedömning med hänsyn till samtliga omständigheter, däribland avtalets ordalydelse, i stället skulle bli avgörande. Även om det i licensavtalet saknades föreskrifter om att journalsystemet skulle utvecklas enligt viss kravspecifikation, ansåg hovrätten att flertalet omständigheter talade för att parternas avtal omfattade utveckling av journalsystemet, bland annat avtalets ändamål och att Office Management inte krävt betalt efter att grundkonfigurationen levererats. Utredningen visade däremot att Art Clinic tillhandahållit flertalet kravspecifikationer, som också löpande utvecklats. Med utgångspunkt från detta drog hovrätten slutsatsen att avtalet innehöll att journalsystemet skulle utvecklas, men däremot inte att så skulle ske i enlighet med en bestämd kravspecifikation. Av licensavtalet framgick vidare att leveranstiden är enligt överenskommelse. På samma sätt som gäller kravspecifikationen följer av utredningen att denna har förändrats över tid, varför hovrätten även i denna del drog slutsatsen att avtalet inte heller kunde anses innehålla att journalsystemet skulle vara levererat vid tidpunkt som Art Clinic angivit som leveransdag.

Rättsfallet åskådliggör den komplexitet som omgärdar systemleveransavtal omfattande grundlicens, konfiguration och kundunik utveckling, särskilt när kraven löpande fastställs i ett agilt utvecklingsprojekt. För att kunden under sådana omständigheter ska kunna göra sin rätt till resultat, enligt överenskommen kravspecifikation på avtalad leveransdag, gällande, krävs ett tydligt avtal där leverantörens åtagande framgår av det ursprungliga avtalet eller av löpande tillägg till avtalet.

En svensk statlig e-legitimation

Myndigheten för digital förvaltning (Digg) slutredovisade den 30 januari 2023 uppdraget(6)Regeringsbeslut I2022/01335, Uppdrag att föreslå hur en statlig e-legitimation kan utformas. att föreslå hur en statlig e-legitimation kan utformas. I slutrapporten, En säker och tillgänglig statlig e-legitimation, understryker Digg att Sverige behöver en statlig e-legitimation. Sverige är idag ett av ett fåtal länder i EU där det allmänna fortfarande inte råder över den samhällskritiska infrastruktur som e-legitimation utgör. Vidare är användningen av e-legitimationen i Sverige bred, och det särskilt genom e-legitimationen BankID. Avbrott och störningar i BankID kan få stora negativa konsekvenser för flera delar av det svenska samhället, vilket talar för att Sverige behöver en statlig e-legitimation.

Att staten ska utfärda en e-legitimation föreslogs redan 2019 av 2017 års ID-kortsutredning(7)SOU 2019:14, Ett säkert statligt ID-kort – med en e-legitimation.. Utredningen konstaterade dock att det inte var möjligt för utredningen att uppskatta kostnaderna för bland annat utveckling och förvaltning av e-legitimationen. Vidare har det visat sig tidskrävande att ta fram ett kombinerat id-kort och e-legitimation, i enlighet med utredningens förslag. Under 2021 föreslog EU-kommissionen en revidering av eIDAS-förordningen, vilket bland annat skulle innebära ett krav på att Sverige inrättar en statlig e-legitimation inom viss tid.(8)COM(2021) 281, Förslag till Europaparlamentets och rådets förordning om ändring av förordning (EU) nr 90/2014 vad gäller inrättandet av en ram för europeisk digital identitet. I kombination med ett förändrat säkerhetsläge har behov av viss skyndsamhet med framtagandet av en statlig e-legitimation ansetts föreligga. Regeringen tillsatte av denna anledning den 22 december 2022, vid sidan av Diggs uppdrag, en särskild utredare(9)Dir. 2022:142, Säker och tillgänglig digital identitet. med uppgift att bland annat lämna förslag på hur en statlig e-legitimation kan utformas och tillhandahållas. Diggs slutrapport kommer att utgöra ett beredningsunderlag till utredningen, och kompletterar de analyser som tidigare gjorts genom exempelvis ID-kortsutredningen.

Digg föreslår att den statliga e-legitimationen ska ges ut i formen av ett kontaktlöst aktivt kort, som ska användas tillsammans med en personlig kod och en klientapplikation, exempelvis en mobilapplikation. E-legitimationen är avsedd att utgöra ett komplement till befintliga lösningar på marknaden. Utvecklingstiden, från det att nödvändiga beslut fattats av regering och riksdag, bedömer Digg vara 24 månader. Nästa steg i utvecklingen av en svensk statlig e-legitimation är att regeringsuppdraget delredovisas den 16 oktober 2023.

Christina Wikström
Anton Karlsson