Skip to content
  • Prenumerera på Inköpsrådets nyhetsbrev
Inköpsrådet
  • Ämnen
    • EU-domstolen
    • Hyresundantaget
    • Kvalificering
    • Likabehandlingsprincipen
    • Processregler
    • Ramavtal
    • Sekretess
    • Upphandlingsskadeavgift
  • Karriär
    • Lediga jobb
    • Lönestatistik
    • Rekrytera smart med Inköpsrådet
  • Utbildning
  • Konferenser
  • Annonsera
    • Annonsera
    • Platsannonsera
  • Om oss
    • Kontakta oss
    • Integritetsspolicy

Dataskydd och upphandlade avtal

JuridikDEL 4. Skyddet för personlig information och den personliga integriteten är en aspekt av informationssäkerhet vid upphandlade avtal. I den fjärde delen i serien om upphandling och informationssäkerhet går Martin Brinnen och Magnus Ehn, Advokatfirman Kahn Pedersen, igenom hur myndigheter, utifrån GDPR, bör arbeta med personuppgifter.

| 2021-03-25
Martin Brinnen och Magnus Ehn, Advokatfirman Kahn Pedersen.

Dataskyddsförordningen, GDPR, gäller för behandling av personuppgifter, det vill säga all information som innebär att en fysisk person direkt eller indirekt kan identifieras eller blir identifierbar, exempelvis med hjälp av annan information.

Det är ett mycket omfattande begrepp som medför att så gott som alla upphandlade myndigheter i större eller mindre utsträckning behandlar personuppgifter och därför måste ta hänsyn till bestämmelserna i dataskyddsförordningen vid upphandlingar.

Det gäller både under upphandlingsförfarandet, som behandlades i den tredje delen i  artikelserien, och under leverantörens fullgörande av avtalet.

Bedöm riskerna
Vad indikerar integritetsrisker? De integritetsrisker som dataskyddsförordningen är avsedd att skydda enskilda från varierar mycket mellan olika typer av avtal. Förordningen bygger därför på en riskbaserad metod.

Det innebär att ansvaret för den som behandlar personuppgifter (den personuppgiftsansvarige) utgår från riskerna med den aktuella personuppgiftsbehandlingen. Den ansvarige måste alltid bedöma riskerna med sin behandling av personuppgifter.

En riskbedömning utgår från bland annat vilka personuppgifter som behandlas, antalet personuppgifter, antalet personer som berörs (de registrerade) och vilka som får tillgång till uppgifter.

För att kunna göra en riskbedömning krävs därför att den upphandlande myndigheten har kontroll på om och i så fall hur personuppgifter kommer att behandlas i ett upphandlat uppdrag. En kartläggning är därför första steget i en riskbedömning.

Glöm inte dataskyddsombudet och konsekvensbedömningar
Den upphandlande myndighetens dataskyddsombud ska vara delaktigt i riskbedömningarna. Det gäller i synnerhet om upphandlingen innefattar mer integritetskänslig behandling av personuppgifter.

I sådana situationer är myndigheten också skyldig att genomföra en formell konsekvensbedömning. Integritetsskyddsmyndigheten (tidigare Datainspektionen) har tagit fram en lista med behandlingar som anses vara särskilt integritetskänsliga och som kräver en konsekvensbedömning.

Några praktiska exempel
1 – Upphandling av kontorsmateriel
Ingen behandling av personuppgifter sker vid användning av kontorsmaterielen. Det vill säga, ingen automatiserad behandling med hjälp av datorer förekommer. Däremot är det ofta nödvändigt att hantera kontaktuppgifter till anställda vid myndigheten och leverantören. Det kan vara namn, tjänstemejl, adresser och liknande. Det är relativt harmlösa uppgifter.

2 – Upphandling av program
För att kunna göra en riskbedömning är det nödvändigt att ta reda på hur programmet ska användas. Vilka uppgifter ska hanteras och vilka kommer att få tillgång till uppgifterna? Utmaningen är att det kan vara svårt att svara på frågorna, eftersom programmen ska användas av många användare och inom olika delar av myndigheten för odefinierade ändamål. Men det krävs ändå att en kartläggning görs.

Ju mer integritetskänslig behandling av personuppgifter som kan bli aktuell, desto mer noggrann måste kartläggningen vara. Om programmet ska tillhandahållas i form av molntjänster krävs det även en bedömning av molntjänstleverantörens hantering av personuppgifterna, inklusive eventuell överföring till så kallade tredjeländer (utanför EU/EES).

3 – Upphandling av journalsystem till hälso- och sjukvården
I detta fall är det lättare att förutse vilka personuppgifter som kommer att behandlas och att de behandlade uppgifterna är av mycket känslig art. De handlar om patientuppgifter som – utöver dataskyddsförordningen – omfattas av patientdatalagen. Det ställer krav på särskilda skyddsåtgärder. Men för riskbedömningen är det viktigt att ta reda på hur patientuppgifterna ska behandlas, vilka som behöver tillgång till dem och så vidare.

Lämpliga skyddsåtgärder vid upphandling
Många former av hot. Utifrån riskbedömningen måste den upphandlande myndigheten noga överväga vad som krävs för att skydda personuppgifterna som ska behandlas när leverantören utför det upphandlade uppdraget.

Det handlar inte enbart om att skydda uppgifter mot externa hot, exempelvis ransomwareattacker (där en angripare använder skadlig programvara som krypterar filer eller hela hårddiskar och sedan kräver en lösensumma från offret för att låsa upp de krypterade filerna).

Dataskyddsförordningen kräver även skydd av personuppgifter så att de inte förstörs eller ändras eller på något annat sätt blir otillgängliga för myndigheten. Skyddsåtgärder kan även krävas mot interna hot. Exempelvis kan det behövas åtgärder för att förhindra att någon inom myndigheten kommer åt personuppgifter som den inte ska ha åtkomst till i sin tjänst.

Skydda uppgifterna
Skyddsåtgärderna kan vara tekniska, organisatoriska eller avtalsmässiga. Många gånger krävs en kombination för att uppnå en, i förhållande till riskerna, lämplig säkerhetsnivå. Kryptering är en vanlig teknisk skyddsåtgärd som förutsätter exempelvis, för att vara effektiv, att hela kedjan från avsändare till mottagare är skyddad.

Även andra åtgärder som åtkomstkontroll och loggning kan förutsätta andra åtgärder än att bara införa en teknisk lösning i systemet.

Bygg in skydd i systemet – privacy by design
I samband med bedömningen av skyddsåtgärder bör myndigheten överväga åtgärder för att bygga in integritetsskyddet i upphandlade system (så kallad privacy by design).

Enkelt uttryckt handlar det om att bygga in de grundläggande principerna för personuppgiftsbehandling i systemen. Det gäller exempelvis principerna om uppgiftsminimering och lagringsminimering. Det kan ske genom att skapa begränsningar i systemet, så att inte fler uppgifter än vad som är nödvändigt kan registreras av användarna eller genom att använda fasta val i stället för fritextfält för att se till att endast de relevanta uppgifterna registreras.

Tänk på de registrerades rättigheter
En viktig del av dataskyddsregleringen är att de registrerade har rättigheter som de kan kräva av den personuppgiftsansvarige. Det handlar bland annat om rätten till information, inklusive registerutdrag och rätten att kräva rättelse eller radering.

Den personuppgiftsansvarige har en skyldighet att underlätta för de registrerade att utöva sina rättigheter. Det är därför nödvändigt att myndigheten redan i kravställningen i upphandlingen fastställer vad som krävs av ett upphandlat system för att myndigheten exempelvis ska kunna ta reda på var, och vilka, personuppgifter om en viss person som behandlas i myndighetens system, samt hur en förteckning ska kunna lämnas ut till den som begär det. Processen får inte ta för lång tid.

Observera också att detta kan kräva mer omfattande åtgärder än vid en begäran om utlämnande av allmänna handlingar.

Var särskilt försiktig med överföring av personuppgifter till länder utanför EU/EES
EU har genom dataskyddsförordningen skapat ett starkt skydd för personuppgifter inom EU/EES, bland för att uppgifterna utan risk ska kunna flöda fritt inom unionen.

När personuppgifter förs utanför EU/EES uppstår därför risken för att skyddet undergrävs. Därför finns särskilda regler för sådana överföringar.

EU-domstolen har i flera avgöranden, senast i Schrems II, slagit ned på överföring av personuppgifter till USA. Domstolen har konstaterat att USA inte har ett tillräckligt skydd för personuppgifter och att särskilda skyddsåtgärder därför måste vidtas när personuppgifter överförs dit från EU/EES.

För närvarande är det inte helt klart vad som gäller och svenska myndigheter bör därför iaktta en försiktighetsprincip och minimera överföringar till länder utanför EU/EES.

Skyddsåtgärder måste specificeras på förhand
Bedömningen av risker och skyddsåtgärder måste göras tidigt i upphandlingsprocessen. Kraven på skyddsåtgärder måste läggas till övriga krav i kravspecifikationen i upphandlingsdokumenten. Det kan många gånger också vara aktuellt att kräva att anbudsgivarna bevisar sin förmåga att vidta lämpliga skyddsåtgärder.

Glöm inte personuppgiftsbiträdesavtalet
Om upphandlingen innebär att leverantören kommer att behandla personuppgifter för den upphandlande myndighetens räkning blir leverantören myndighetens personuppgiftsbiträde. Som personuppgiftsbiträde får leverantören endast behandla personuppgifterna i enlighet med instruktioner från den personuppgiftsansvarige, alltså myndigheten. Behandlingen inklusive instruktionerna måste då fastställas i ett personuppgiftsbiträdesavtal.

Som personuppgiftsbiträde har leverantören även ett eget ansvar för att personuppgifterna hanteras säkert och korrekt enligt dataskyddsförordningen. För att kunna göra en korrekt bedömning av risker och behovet av skyddsåtgärder är det därför viktigt att leverantören får tillräckligt med information om personuppgiftsbehandlingen från myndigheten.

Om det upphandlade uppdraget innebär att leverantören får en mer självständig roll när det gäller beslut om, och hur, personuppgifter ska behandlas under uppdraget, kan leverantören själv bära ett personuppgiftsansvar för denna behandling. Det kan därför vara nödvändigt att göra en bedömning av fördelningen av personuppgiftsansvaret innan upphandlingen genomförs.

Efter genomförd upphandling
Efter upphandlingen är det också viktigt att den upphandlande myndigheten säkerställer att de avtalade skyddsåtgärderna har genomförts på ett korrekt sätt och att instruktioner om personuppgiftsbehandlingen efterlevs. Det gäller i synnerhet när det handlar om mer integritetskänslig behandling av personuppgifter.

Uppföljningsarbetet bör därefter integreras i myndighetens löpande dataskyddsarbete och kontrolleras av dataskyddsombudet.

Martin Brinnen
Senior Specialist
Magnus Ehn
Senior Specialist

Advokatfirman Kahn Pedersen

Detta är del 4 i serien om informationssäkerhet som omfattar fem delar:
1. Hot och risker inför en upphandling
2. Säkerhetsskyddad upphandling
3. Dataskydd i upphandlingsförfarandet

Läs mer: Juridik

Kommentatorerna ansvarar för sina egna kommentarer

Lämna ett svar Avbryt svar

Din e-postadress kommer inte publiceras. Obligatoriska fält är märkta *

Fler artiklar

Lediga jobb

Strategisk Entreprenad­upphandlare/­kategori­ledare till Stockholm Vatten och Avfall

  • Avtalscontroller till Sektionen för inköp och upphandling
  • Rekrytera rätt kompetens med Inköpsrådet
ANNONS FRÅN UPPHANDLING24

Pernilla Norman

Kursen gör SUA begripligt

Anna David, upphandlare vid Jönköping Energi, rekommenderar alla som upphandlar något skyddsvärt att gå utbildningen Säkerhetsskyddad upphandling:
– Kursen är jättebra, pedagogisk, lätt att förstå och följa, säger Anna David.

Ogiltigt, oacceptabelt, olämpligt – en orimlig (o)ordning?Ogiltigt, oacceptabelt, olämpligt – en orimlig (o)ordning?
Advokatbyråns 15 förbättringsförslagAdvokatbyråns 15 förbättringsförslag
Oklara omständigheter för preklusionsreglerOklara omständigheter för preklusionsregler
Upphandlingsrättsliga föreningen firade 15 årUpphandlingsrättsliga föreningen firade 15 år
Annika är upphandlingsjuristen som inte ville bli juristAnnika är upphandlingsjuristen som inte ville bli jurist
Allvarligt fel när vd begått brottAllvarligt fel när vd begått brott
Fel att förkasta anbud som onormalt lågtFel att förkasta anbud som onormalt lågt
Subjektiv objektivitetSubjektiv objektivitet

Nytt från Upphandling24

  • Uppsala får rätt mot ”fyra stora”
  • Slottner: Ökad konkurrens och minskat krångel
  • Malin efter Olof
  • Kontrolltjänst med förhinder
  • Riksdagsenighet om IPI
  • Utlovar enklare annonsering
  • Nya perspektiv från syd

Kommentarer från läsarna

Björn : Oklara omständigheter för preklusionsregler
Jag saknar grundläggande information i fallet. Det verkar uppenbart att domstolen inte iaktog kontexten så jag anser är av avgörande…
Björn : Fel att förkasta anbud som onormalt lågt
Den som följer diskussioner om onormalt låga priser måste slås av myndigheternas och rättsväsendets total oförmåga att tackla relativt enkla…
Frans : Oklara omständigheter för preklusionsregler
Intressant! "Skäl till varför en omständighet ska få åberopas utgör knappast i sig en omständighet till stöd för en talan…
Eva : Subjektiv objektivitet
Förbittrad som leverantör blir man, när det hänvisas till ospecifiecad "kvalitet" Hur skall man som leverantör veta vad som kan…
Nils Larsson : Subjektiv objektivitet
Jag håller med, det är inte bra när utvärderingar ser godtyckliga ut, oavsett om de är det eller inte. Bortsett…
Johan : Ok med förhandlat oannonserat förfarande
Lagstiftaren har gjort det väldigt krångligt för alla inblandade genom att skilja på anbud som är: 1. ogiltiga 2. olämpliga…
En annan Björn : Fel datum – skäl för ingripande och rättelse
"Oaktat detta anser vi att den här typen av domar är betydelsefulla för övergripande diskussioner och debatt." Jag håller med!…
Håkan : Fel datum – skäl för ingripande och rättelse
2010? Skulle kunna tolkas som år 2010? Lite äldre än 3 år då..
David Sundgren : Fel datum – skäl för ingripande och rättelse
Jag anser nog att "datum" betyder att en viss dag ska kunna identifieras. "Oktober 2020" är således inget datum. Det…
Björn : Fel datum – skäl för ingripande och rättelse
Är det någon annan som undrar vem som bestämde att ett datum betyder "YYYYMMDD"? Jag anser att exempelvis "17 februari"…

Senaste inläggen

  • Ogiltigt, oacceptabelt, olämpligt – en orimlig (o)ordning?
  • Advokatbyråns 15 förbättringsförslag
  • Oklara omständigheter för preklusionsregler
  • Upphandlingsrättsliga föreningen firade 15 år
  • Annika är upphandlingsjuristen som inte ville bli jurist
  • Allvarligt fel när vd begått brott
  • Fel att förkasta anbud som onormalt lågt
  • Subjektiv objektivitet
  • Ok med förhandlat oannonserat förfarande
  • Leverantörer från tredjeland kan uteslutas
  • Hur bevisas yrkesmässig kapacitet?
  • Inte ok med koncernbolag i samma upphandling
  • Fel datum – skäl för ingripande och rättelse
  • Tilldelningsbeslut = slutbehandlat ärende
  • Tydligare gränser för hyresundantaget

Aktuella utbildningar

Delta på distans eller på plats i Stockholm. Valet är ditt.

  • Robusta IT-avtal | 28 april
  • Hållbar upphandling | 29 april
  • LOU på två dagar | 6-7 maj
  • Entreprenadupphandling och AMA AF | 8 maj
  • Säkerhetsskyddad upphandling | 14 maj
  • Kvalificerad IT-upphandlare – Steg 2 praktisk tillämpning | Hösten 2025
  • Praktisk avtalsrätt inom LOU och LUF | Hösten 2025
  • Anbudsutvärdering | Hösten 2025
  • Kvalificerad entreprenad­upphandlare | Hösten 2025
  • Leda upphandlingar effektivt | Hösten 2025
  • Få fart på er avtals­förvaltning | Hösten 2025
  • Kvalificerad IT-upphandlare | Hösten 2025
  • Ramavtal – fördjupningskurs | Hösten 2025