Den så kallade IT-driftsutredningen presenterade den 15 januari sitt delbetänkande ”Säker och kostnadseffektiv it-drift – rättsliga förutsättningar för utkontraktering (SOU 2021:1)”. Utredningen behandlar den rådande osäkerhet för om och hur offentlig sektor kan upphandla IT-tjänster hos privata leverantörer med utgångspunkt i offentlighet- och sekretesslagstiftningen och föreslår bland annat en ny sekretessbrytande grund.
Att den offentliga sektorn följer med i den moderna och tekniska utvecklingen är givetvis önskvärt. Likväl utifrån ett säkerhets- och kostnadsperspektiv såsom effektivitet. IT-leverantörer som tillhandahåller smarta, säkra och kostnadseffektiva lösningar för IT-drift är emellertid idag nästan uteslutande privata bolag. Detta medför ett problem för den offentliga sektorn vid köp av IT-drift. Nyttjandet av en utomstående IT-leverantör kommer nämligen allt som oftast innebära att sekretessbelagda uppgifter görs tillgängliga för IT-leverantören.
Hur ett sådant tillgängliggörande ska bedömas är en fråga som IT-driftsutredningen särskilt tittat närmare på. Utredningen konstaterar först och främst att tillgängliggörande av sekretessbelagda uppgifter till en IT-leverantör är att ses som ett s.k. röjande enligt offentlighet- och sekretesslagen (OSL). Att exempelvis binda IT-leverantören till sekretess genom avtal innebär inte att uppgifterna är skyddade på så vis att röjandet kan anses vara tillåtet. Det är endast om det föreligger en lagstadgad sekretessbrytande grund som uppgifterna får röjas. Avtal utgör idag inte en sådan grund i OSL.
Det är också mot bakgrund av detta som IT-driftsutredningen föreslår att i OSL införa en ny sekretessbrytande grund för de fall när uppgifter röjs för; ” …ett företag eller en annan enskild eller till en annan myndighet som har i uppdrag att utföra endast teknisk bearbetning eller teknisk lagring av de uppgifter som lämnas ut för den utlämnande myndighetens räkning /../”. Bestämmelsen ska således inte omfatta IT-drift i allmänhet utan avgränsas till uppdrag som enbart innefattar ”teknisk bearbetning och teknisk lagring”. Vad det utifrån dagens teknologi faktiskt omfattar är dock oklart. IT-driftsutredningen framhåller att det i lagförslaget ska tolkas i en modern kontext och lämnar även flertalet exempel på IT-drift. Det faller dock på myndigheterna att i slutändan utreda om just deras it-driftstjänst faller in under begreppet. Därtill har myndigheten också att väga behovet av it-driftstjänsten mot intresset av sekretessen. Ett utlämnande ska, enligt den föreslagna bestämmelsen, ”… inte ske om övervägande skäl talar för att det intresse som sekretessen ska skydda har företräde framför intresset av utkontraktering”. En uppgift nog så svår eftersom myndigheten i de flesta fall behöver göra en övergripande bedömning, då det inte på förhand går att veta vilka uppgifter som IT-leverantören kommer att få tillgång till.
För de tjänster som ryms inom teknisk bearbetning och lagring kommer det dock, om lagförslaget går igenom, att finnas ett gott skydd för de uppgifter som röjs. I kombination med den nya lagen (2020:914) om tystnadsplikt vid utkontraktering av teknisk bearbetning eller lagring av uppgifter (tystnadspliktslagen), vilken trädde i kraft vid årsskiftet, föreslår IT-rättsutredningen en inskränkning av meddelarfriheten för de personer som omfattas av tystnadspliktslagen. Detta innebär i korthet att anställda på privata företag och dess underleverantörer omfattas av en lagstiftad tystnadsplikt.
Värt att också nämna är att IT-driftsutredningen bedömer att risken för att ett annat lands lag skulle påtvinga ett utlämnande av sekretessbelagda uppgifter till en utländsk myndighet, inte är att ses som ett röjande till den myndigheten. Detta innebär således att den amerikanska lagen Cloud Act vilken möjliggör för amerikanska myndigheter att begära ut data från amerikanska leverantörer, även om lagringen sker utomlands, inte utgör ett hinder för att använda sig av en amerikansk IT-leverantör. Annan lagstiftning såsom GDPR måste givetvis fortfarande beaktas vid överföring av personuppgifter. IT-driftsutredningen konstaterar exempelvis att personuppgifter som behandlas genom användning av utrustning som finns i ett tredje land ska anses ha överförts till det landet.
Vad som också skulle kunna innebära ett hinder är räckvidden av den lagstadgade tystnadsplikten. En förutsättning för tillämpning av den sekretessbrytande grunden är nämligen att IT-leverantörens och/eller underleverantörers personal också kan dömas för brott mot tystnadsplikten. För brott som begås utanför Sverige har svensk domstol endast domsrätt för fall där den som begått brottet är svensk medborgare eller ha s.k. hemvist i Sverige. Detta skulle innebära att en myndighet, vid de avvägningar som krävs för utkontraktering av IT-drift, också ska bedöma om kriterierna för svensk domsrätt är uppfylld. Något som i sin tur skulle kunna innebära att myndigheten inte kan nyttja exempelvis en amerikansk leverantör vars personal inte är hemmahörande i Sverige.
Vad IT-rättsutredningen slutligen landar i får vi dock se framöver då slutbetänkandet först ska redovisas den 15 oktober 2021. Lagen förväntas sedan träda i kraft januari 2022.
Vill du redan nu veta mer om IT-driftsutredningens lagförslag, vänligen kontakta en IT-advokat.
______________________
