Sekretessgenombrott vid utkontraktering II

Av Gustaf Johnssén, senior specialist med inriktning mot IT-rätt, dataskydd, outsourcing och annan samverkan mellan organisationer, Wikström & Partners advokatbyrå.

I förra utgåvan av Lov & Data redogjordes för en lagrådsremiss med förslag till en sekretessbrytande bestämmelse, avsedd att underlätta myndigheters utkontraktering (outsourcing) av IT-tjänster.^{(1)Se Lov&Data nr 153 1/2023, Sekretessgenombrott vid teknisk bearbetning och lagring.} Regeringen har den 23 mars 2023 lämnat en proposition till riksdagen med förslag till lagstiftning.^{(2)Prop. 2022/23:97 Sekretessgenombrott vid utlämnande för teknisk bearbetning eller teknisk lagring av uppgifter.} Förslaget till sekretessbrytande bestämmelse har utformats enligt Lagrådets förslag och lyder:

Frågan är nu vad denna nya bestämmelse konkret innebär för myndigheter som anlitar eller avser att anlita en extern leverantör för att behandla uppgifter.

För att förstå den föreslagna lagändringens praktiska betydelse för myndigheter och leverantörer är det klargörande att känna till den bredare bakgrunden. Förslaget utgör ett steg i en utveckling av de rättsliga förutsättningarna för myndigheters outsourcing som pågått i vart fall sedan 2014. JO granskade då några landstings utkontraktering av tjänster som avsåg bearbetning av patientuppgifter.^{(3)Beslut 2014-09-09, dnr. 3032-2011, Allvarlig kritik mot vissa vårdgivare inom dels Västra Götalandsregionen, dels Stockholms läns landsting för att man har ingått avtal om journalföring med ett företag trots att detta inte varit förenligt med regelverket om sekretess inom hälso- och sjukvården.} Förutsättningarna i det beslutet var på flera punkter speciella, men JO uttalade sig också generellt om de rättsliga förutsättningarna för under vilka omständigheter en myndighet kan överlåta behandling av sekretessreglerade uppgifter till en privat tjänsteleverantör. Enligt JO finns det två fall:

Oftast räcker det enligt JO med att man i avtal har ställt krav på tystnadsplikt för att det ska vara tillåtet att låta en extern leverantör behandla sekretessreglerade uppgifter. Detta är alltså enligt JO huvudfallet. Även om det inte berörs närmare får man anta att detta förutsätter att avtalet även ställer krav på relevanta säkerhetsåtgärder för att skydda uppgifterna.

När särskilt känsliga uppgifter hanteras, som i det aktuella fallet, är en avtalad tystnadsplikt inte tillräcklig. Det är då enligt JO inte tillåtet att överlåta behandlingen av uppgifterna till en extern leverantör med mindre än att leverantörens anställda omfattas av en lagstadgad och straffsanktionerad tystnadsplikt. Eftersom detta normalt inte är fallet, blir konsekvensen att det i praktiken är olagligt att utkontraktera behandlingen av sådana uppgifter.

I det första fallet behöver myndigheten göra en sekretessprövning innan uppgifterna lämnas ut. Om utfallet av sekretessprövningen blir att uppgifterna har ett sådant skydd hos leverantören att skaderekvisiten inte är uppfyllda, så är det tillåtet att lämna ut uppgifterna för behandling hos leverantören. Sakomständigheter att beakta i en sådan sekretessprövning är t.ex. vilka säkerhetsåtgärder som vidtas, om personalen har skrivit under sekretessförbindelser, under vilka omständigheter personalen har tillgång till uppgifterna som behandlas och flera andra omständigheter. När uppgifterna skyddas av sekretess utan skaderekvisit, s.k. absolut sekretess, är det alltså inte möjligt att outsourca behandlingen.

För att möjliggöra utkontraktering även i de fall då uppgifterna är särskilt känsliga infördes år 2020, genom lag (2020:914) om tystnadsplikt vid utkontraktering av teknisk bearbetning eller lagring av uppgifter, en ny tystnadsplikt för privata tjänsteleverantörer.^{(4)Prop. 2019/20:201, Tystnadsplikt vid utkontraktering av teknisk bearbetning eller lagring av uppgifter.} Lagen gäller vid teknisk bearbetning eller teknisk lagring av uppgifter som för en myndighets räkning utförs av en privat tjänsteleverantör. Därigenom skapades alltså den straffsanktionerade tystnadsplikt som tidigare saknats. Tystnadsplikten gäller för anställda och uppdragstagare som deltar i tjänsteleverantörens verksamhet. Myndigheten måste dock fortfarande göra en sekretessprövning innan behandlingen outsourcas. Den lagstadgade tystnadsplikten blev då en omständighet att beakta vid sekretessprövningen, tillsammans med övriga ovan nämnda omständigheter.

Det nu aktuella lagförslaget syftar till att ytterligare tydliggöra förutsättningarna för outsourcing av behandling av sekretessreglerade uppgifter. Innebörden av den nya bestämmelsen är att sekretess inte råder mellan en myndighet och en leverantör när behandlingen avser teknisk bearbetning eller teknisk lagring av uppgifter. I sådana fall får uppgifterna lämnas till leverantören utan föregående sekretessprövning. Detta gäller även när uppgifterna är särskilt känsliga eller omfattas av absolut sekretess. Det innebär dock inte att det alltid är fritt fram att lägga ut behandling av uppgifter på externa leverantörer. Enligt den föreslagna bestämmelsen får nämligen uppgifter bara lämnas ut om det inte är olämpligt. Regeringen ger ett antal exempel på omständigheter som kan vägas in i olämplighetsbedömningen, bl.a. uppgifternas art och vilka säkerhetsåtgärder som vidtas.

Den föreslagna bestämmelsen gäller, liksom tystnadsplikten, vid teknisk bearbetning och teknisk lagring. När det gäller området utanför teknisk bearbetning och teknisk lagring behöver myndigheten, på samma sätt som tidigare, göra en sekretessprövning för att avgöra om uppgifterna kan lämnas ut till leverantören.

Vad innebär då den föreslagna bestämmelsen för myndigheter som outsourcar eller avser outsourca behandling av sekretessreglerade uppgifter? Den nya bestämmelsen tydliggör ytterligare förutsättningarna för outsourcing av behandling av sekretessreglerade uppgifter. Det förändrade rättsläget kräver dock att myndigheterna gör bedömningar utifrån den nya lagstiftningen. Detta gäller både när nya avtal upphandlas, och för befintliga avtal och tjänster. För att kunna bedöma hur avtalskrav ska utformas behöver myndigheten veta exakt vilka regler som gäller. Liksom tidigare är grunden att myndigheten har en god kontroll på vilka uppgifter som hanteras och vilket skydd dessa behöver. Myndigheten behöver också analysera de tjänster man avser upphandla. Redan tidigare var det nödvändigt att analysera vilka säkerhetsåtgärder som vidtas och hur tjänsterna produceras. Enligt de nya bestämmelserna måste myndigheten också noga analysera i vilka delar tjänsten utgör teknisk bearbetning eller teknisk lagring, och i vilka delar tjänsten avser annan behandling. Detta är nödvändigt för att avgöra vilka bestämmelser som gäller, vilket i sin tur behöver vara tydligt för att kunna ställa ändamålsenliga avtalskrav och utforma avtal i övrigt. Regeringen anger ett antal exempel på behandlingar som man menar utgör teknisk bearbetning och teknisk lagring. Ytterst går dock bedömningen tillbaka på den reglering som finns i 2 kap. 13 § tryckfrihetsförordningen. De motiv som ligger till grund för den bestämmelsen har sitt ursprung i 1970-talet och det är inte självklart hur de ska tillämpas på samtida IT-tjänster.

Myndigheten behöver också göra en bedömning av om det är olämpligt att outsourca behandlingen. Det finns inga särskilda dokumentationskrav i lagtexten, men regeringen förordar i propositionen att de bedömningar som myndigheten gör dokumenteras. Denna bedömning kommer i praktiken förmodligen att i många delar likna den sekretessprövning som myndigheten tidigare har behövt göra. Även om regeringen ger en viss ledning genom att peka på omständigheter att beakta, är det långt ifrån tydligt hur bedömningen är tänkt att gå till i praktiken. Bedömningen förutsätter också, liksom bedömningen av vad som är teknisk bearbetning och teknisk lagring, en ingående förståelse för hur tjänsterna produceras hos leverantören. En kunskap som inte alltid finns i myndigheterna.

Dessa olika bedömningar, och dokumentationen av dem, behöver göras både när en ny tjänst ska upphandlas och för befintliga avtal. De senare kan behöva förändras eller kompletteras i ljuset av den nya bestämmelsen, t.ex. när det gäller gränsdragningen mellan teknisk bearbetning och teknisk lagring och andra behandlingar. Det är alltså ett digert arbete som ligger framför myndigheterna.

Även om naturligtvis varje myndighet ansvarar för att göra de bedömningar som behövs för att säkerställa att en utkontraktering är rättsenlig och säker. Men även leverantörer har all anledning att sätta sig in i de nya reglerna och analysera vilka konsekvenser de har. Exempelvis kan en leverantör förväntas ha en klar uppfattning om hur de egna tjänsterna ska bedömas när det gäller om de utgör teknisk bearbetning eller teknisk lagring, eller någon annan typ av behandling.

Sammantaget innebär den föreslagna bestämmelsen att ytterligare en sten läggs till det rättsliga systembygge som ska skydda känsliga uppgifter. Ändringen bidrar utan tvivel till att underlätta outsourcing. Men den innebär också att myndigheterna behöver göra ett arbete som inte är obetydligt för att säkerställa att lagens alla krav är uppfylla och att den utkontraktering man gör är fullt ut rättsenlig.