Skip to content
  • Prenumerera på Inköpsrådets nyhetsbrev
Inköpsrådet
  • Ämnen
    • EU-domstolen
    • Hyresundantaget
    • Kvalificering
    • Likabehandlingsprincipen
    • Processregler
    • Ramavtal
    • Sekretess
    • Upphandlingsskadeavgift
  • Karriär
    • Lediga jobb
    • Lönestatistik
    • Rekrytera smart med Inköpsrådet
  • Utbildning
  • Konferenser
  • Annonsera
    • Annonsera
    • Platsannonsera
  • Om oss
    • Kontakta oss
    • Integritetsspolicy

Dataskydd och upphandlade avtal

JuridikDEL 4. Skyddet för personlig information och den personliga integriteten är en aspekt av informationssäkerhet vid upphandlade avtal. I den fjärde delen i serien om upphandling och informationssäkerhet går Martin Brinnen och Magnus Ehn, Advokatfirman Kahn Pedersen, igenom hur myndigheter, utifrån GDPR, bör arbeta med personuppgifter.

| 2021-03-25
Martin Brinnen och Magnus Ehn, Advokatfirman Kahn Pedersen.

Dataskyddsförordningen, GDPR, gäller för behandling av personuppgifter, det vill säga all information som innebär att en fysisk person direkt eller indirekt kan identifieras eller blir identifierbar, exempelvis med hjälp av annan information.

Det är ett mycket omfattande begrepp som medför att så gott som alla upphandlade myndigheter i större eller mindre utsträckning behandlar personuppgifter och därför måste ta hänsyn till bestämmelserna i dataskyddsförordningen vid upphandlingar.

Det gäller både under upphandlingsförfarandet, som behandlades i den tredje delen i  artikelserien, och under leverantörens fullgörande av avtalet.

Bedöm riskerna
Vad indikerar integritetsrisker? De integritetsrisker som dataskyddsförordningen är avsedd att skydda enskilda från varierar mycket mellan olika typer av avtal. Förordningen bygger därför på en riskbaserad metod.

Det innebär att ansvaret för den som behandlar personuppgifter (den personuppgiftsansvarige) utgår från riskerna med den aktuella personuppgiftsbehandlingen. Den ansvarige måste alltid bedöma riskerna med sin behandling av personuppgifter.

En riskbedömning utgår från bland annat vilka personuppgifter som behandlas, antalet personuppgifter, antalet personer som berörs (de registrerade) och vilka som får tillgång till uppgifter.

För att kunna göra en riskbedömning krävs därför att den upphandlande myndigheten har kontroll på om och i så fall hur personuppgifter kommer att behandlas i ett upphandlat uppdrag. En kartläggning är därför första steget i en riskbedömning.

Glöm inte dataskyddsombudet och konsekvensbedömningar
Den upphandlande myndighetens dataskyddsombud ska vara delaktigt i riskbedömningarna. Det gäller i synnerhet om upphandlingen innefattar mer integritetskänslig behandling av personuppgifter.

I sådana situationer är myndigheten också skyldig att genomföra en formell konsekvensbedömning. Integritetsskyddsmyndigheten (tidigare Datainspektionen) har tagit fram en lista med behandlingar som anses vara särskilt integritetskänsliga och som kräver en konsekvensbedömning.

Några praktiska exempel
1 – Upphandling av kontorsmateriel
Ingen behandling av personuppgifter sker vid användning av kontorsmaterielen. Det vill säga, ingen automatiserad behandling med hjälp av datorer förekommer. Däremot är det ofta nödvändigt att hantera kontaktuppgifter till anställda vid myndigheten och leverantören. Det kan vara namn, tjänstemejl, adresser och liknande. Det är relativt harmlösa uppgifter.

2 – Upphandling av program
För att kunna göra en riskbedömning är det nödvändigt att ta reda på hur programmet ska användas. Vilka uppgifter ska hanteras och vilka kommer att få tillgång till uppgifterna? Utmaningen är att det kan vara svårt att svara på frågorna, eftersom programmen ska användas av många användare och inom olika delar av myndigheten för odefinierade ändamål. Men det krävs ändå att en kartläggning görs.

Ju mer integritetskänslig behandling av personuppgifter som kan bli aktuell, desto mer noggrann måste kartläggningen vara. Om programmet ska tillhandahållas i form av molntjänster krävs det även en bedömning av molntjänstleverantörens hantering av personuppgifterna, inklusive eventuell överföring till så kallade tredjeländer (utanför EU/EES).

3 – Upphandling av journalsystem till hälso- och sjukvården
I detta fall är det lättare att förutse vilka personuppgifter som kommer att behandlas och att de behandlade uppgifterna är av mycket känslig art. De handlar om patientuppgifter som – utöver dataskyddsförordningen – omfattas av patientdatalagen. Det ställer krav på särskilda skyddsåtgärder. Men för riskbedömningen är det viktigt att ta reda på hur patientuppgifterna ska behandlas, vilka som behöver tillgång till dem och så vidare.

Lämpliga skyddsåtgärder vid upphandling
Många former av hot. Utifrån riskbedömningen måste den upphandlande myndigheten noga överväga vad som krävs för att skydda personuppgifterna som ska behandlas när leverantören utför det upphandlade uppdraget.

Det handlar inte enbart om att skydda uppgifter mot externa hot, exempelvis ransomwareattacker (där en angripare använder skadlig programvara som krypterar filer eller hela hårddiskar och sedan kräver en lösensumma från offret för att låsa upp de krypterade filerna).

Dataskyddsförordningen kräver även skydd av personuppgifter så att de inte förstörs eller ändras eller på något annat sätt blir otillgängliga för myndigheten. Skyddsåtgärder kan även krävas mot interna hot. Exempelvis kan det behövas åtgärder för att förhindra att någon inom myndigheten kommer åt personuppgifter som den inte ska ha åtkomst till i sin tjänst.

Skydda uppgifterna
Skyddsåtgärderna kan vara tekniska, organisatoriska eller avtalsmässiga. Många gånger krävs en kombination för att uppnå en, i förhållande till riskerna, lämplig säkerhetsnivå. Kryptering är en vanlig teknisk skyddsåtgärd som förutsätter exempelvis, för att vara effektiv, att hela kedjan från avsändare till mottagare är skyddad.

Även andra åtgärder som åtkomstkontroll och loggning kan förutsätta andra åtgärder än att bara införa en teknisk lösning i systemet.

Bygg in skydd i systemet – privacy by design
I samband med bedömningen av skyddsåtgärder bör myndigheten överväga åtgärder för att bygga in integritetsskyddet i upphandlade system (så kallad privacy by design).

Enkelt uttryckt handlar det om att bygga in de grundläggande principerna för personuppgiftsbehandling i systemen. Det gäller exempelvis principerna om uppgiftsminimering och lagringsminimering. Det kan ske genom att skapa begränsningar i systemet, så att inte fler uppgifter än vad som är nödvändigt kan registreras av användarna eller genom att använda fasta val i stället för fritextfält för att se till att endast de relevanta uppgifterna registreras.

Tänk på de registrerades rättigheter
En viktig del av dataskyddsregleringen är att de registrerade har rättigheter som de kan kräva av den personuppgiftsansvarige. Det handlar bland annat om rätten till information, inklusive registerutdrag och rätten att kräva rättelse eller radering.

Den personuppgiftsansvarige har en skyldighet att underlätta för de registrerade att utöva sina rättigheter. Det är därför nödvändigt att myndigheten redan i kravställningen i upphandlingen fastställer vad som krävs av ett upphandlat system för att myndigheten exempelvis ska kunna ta reda på var, och vilka, personuppgifter om en viss person som behandlas i myndighetens system, samt hur en förteckning ska kunna lämnas ut till den som begär det. Processen får inte ta för lång tid.

Observera också att detta kan kräva mer omfattande åtgärder än vid en begäran om utlämnande av allmänna handlingar.

Var särskilt försiktig med överföring av personuppgifter till länder utanför EU/EES
EU har genom dataskyddsförordningen skapat ett starkt skydd för personuppgifter inom EU/EES, bland för att uppgifterna utan risk ska kunna flöda fritt inom unionen.

När personuppgifter förs utanför EU/EES uppstår därför risken för att skyddet undergrävs. Därför finns särskilda regler för sådana överföringar.

EU-domstolen har i flera avgöranden, senast i Schrems II, slagit ned på överföring av personuppgifter till USA. Domstolen har konstaterat att USA inte har ett tillräckligt skydd för personuppgifter och att särskilda skyddsåtgärder därför måste vidtas när personuppgifter överförs dit från EU/EES.

För närvarande är det inte helt klart vad som gäller och svenska myndigheter bör därför iaktta en försiktighetsprincip och minimera överföringar till länder utanför EU/EES.

Skyddsåtgärder måste specificeras på förhand
Bedömningen av risker och skyddsåtgärder måste göras tidigt i upphandlingsprocessen. Kraven på skyddsåtgärder måste läggas till övriga krav i kravspecifikationen i upphandlingsdokumenten. Det kan många gånger också vara aktuellt att kräva att anbudsgivarna bevisar sin förmåga att vidta lämpliga skyddsåtgärder.

Glöm inte personuppgiftsbiträdesavtalet
Om upphandlingen innebär att leverantören kommer att behandla personuppgifter för den upphandlande myndighetens räkning blir leverantören myndighetens personuppgiftsbiträde. Som personuppgiftsbiträde får leverantören endast behandla personuppgifterna i enlighet med instruktioner från den personuppgiftsansvarige, alltså myndigheten. Behandlingen inklusive instruktionerna måste då fastställas i ett personuppgiftsbiträdesavtal.

Som personuppgiftsbiträde har leverantören även ett eget ansvar för att personuppgifterna hanteras säkert och korrekt enligt dataskyddsförordningen. För att kunna göra en korrekt bedömning av risker och behovet av skyddsåtgärder är det därför viktigt att leverantören får tillräckligt med information om personuppgiftsbehandlingen från myndigheten.

Om det upphandlade uppdraget innebär att leverantören får en mer självständig roll när det gäller beslut om, och hur, personuppgifter ska behandlas under uppdraget, kan leverantören själv bära ett personuppgiftsansvar för denna behandling. Det kan därför vara nödvändigt att göra en bedömning av fördelningen av personuppgiftsansvaret innan upphandlingen genomförs.

Efter genomförd upphandling
Efter upphandlingen är det också viktigt att den upphandlande myndigheten säkerställer att de avtalade skyddsåtgärderna har genomförts på ett korrekt sätt och att instruktioner om personuppgiftsbehandlingen efterlevs. Det gäller i synnerhet när det handlar om mer integritetskänslig behandling av personuppgifter.

Uppföljningsarbetet bör därefter integreras i myndighetens löpande dataskyddsarbete och kontrolleras av dataskyddsombudet.

Martin Brinnen
Senior Specialist
Magnus Ehn
Senior Specialist

Advokatfirman Kahn Pedersen

Detta är del 4 i serien om informationssäkerhet som omfattar fem delar:
1. Hot och risker inför en upphandling
2. Säkerhetsskyddad upphandling
3. Dataskydd i upphandlingsförfarandet

Läs mer: Juridik

Kommentatorerna ansvarar för sina egna kommentarer

Lämna ett svar Avbryt svar

Din e-postadress kommer inte publiceras. Obligatoriska fält är märkta *

Fler artiklar

Lediga jobb

Upphandlingsjurister till Statens inköpscentral på Kammarkollegiet

Svenska Bostäder söker entreprenadupphandlare

Avtalscontroller inom välfärdsbrottslighet till Sollentuna kommun

  • Rekrytera rätt kompetens med Inköpsrådet
ANNONS FRÅN UPPHANDLING24

Pernilla Norman

Kursen gör SUA begripligt

Anna David, upphandlare vid Jönköping Energi, rekommenderar alla som upphandlar något skyddsvärt att gå utbildningen Säkerhetsskyddad upphandling:
– Kursen är jättebra, pedagogisk, lätt att förstå och följa, säger Anna David.

Förslag 2: Gör teckal-undantaget mer lättlästFörslag 2: Gör teckal-undantaget mer lättläst
Hur allvarligt fel krävs för uteslutning?Hur allvarligt fel krävs för uteslutning?
Så ändras överprövnings- och skadeståndsreglernaSå ändras överprövnings- och skadeståndsreglerna
Avsteg från centralt villkor medförde upphandlingsskadeavgiftAvsteg från centralt villkor medförde upphandlingsskadeavgift
Ny vägledning för att hantera leverantörer utanför EUNy vägledning för att hantera leverantörer utanför EU
Misstanke om jäv räcker inte för att avbrytaMisstanke om jäv räcker inte för att avbryta
Förslag 1: Förhandlat förfarande bör tillåtas utan angivna skälFörslag 1: Förhandlat förfarande bör tillåtas utan angivna skäl
Krävs mer än spekulationer för utredningsansvarKrävs mer än spekulationer för utredningsansvar

Nytt från Upphandling24

  • UKÄ tvingas böta 90 000
  • Tveksamt asfaltsköp på Åland
  • Kvinnor dominerar växande kår
  • Falkenberg rekryterar dubbelt
  • Mot nollutsläpp med nya grepp
  • Livsmedelsupphandlare med många järn i elden
  • Pionjär inom cirkulära förkläden

Kommentarer från läsarna

Andreas : Hur allvarligt fel krävs för uteslutning?
Någon som har målnummer på kammarrättspraxis angående de fakultativa grunderna och att man kan välja tillämpning där? Hade missat det.
Upphandlare : Hur allvarligt fel krävs för uteslutning?
En fråga till författarna med anledning av analysens första stycke. Skulle det alltså vara ok att UM behåller valfriheten att…
Mikael Johansson : Förslag 1: Förhandlat förfarande bör tillåtas utan angivna skäl
Tack för att du lyfter detta. Det borde rimligtvis bli större möjligheter att använda det alla fall. Jobbade med LUF…
Anna : Förslag 1: Förhandlat förfarande bör tillåtas utan angivna skäl
Jag är helt med på Davids linje att genomföra förhandlat förfarande i ett steg. Jag har även kombinerat konkurrenspräglad dialog…
David Sundgren : Förslag 1: Förhandlat förfarande bör tillåtas utan angivna skäl
Håller helt med! Jag har genomfört förhandlade förfaranden i ett steg och så länge ingen lider skada ser jag inget…
David Sundgren : Förslag 1: Förhandlat förfarande bör tillåtas utan angivna skäl
Ja, men vad är det som hindrar att anbuden justeras efter ett anbudsmöte i ett öppet förfarande om inga obligatoriska…
Kristian Pedersen : Förslag 1: Förhandlat förfarande bör tillåtas utan angivna skäl
Precis! Kostnader, såsom transaktionskostnader, måste som du är inne på alltid vägas mot nyttan. Min uppfattning är dock att det…
Kristian Pedersen : Förslag 1: Förhandlat förfarande bör tillåtas utan angivna skäl
Intressanta reflektioner. Jag har dock lite svårt att se att risken för oproportionerligt ökad favorisering och korruption skulle vara större…
Undrande upphandlare : Förslag 1: Förhandlat förfarande bör tillåtas utan angivna skäl
Jag har personligen alltid under alla år jag har jobbat med detta (ca 20) undrat över varför ett förhandlat förfarande…
Kristian Pedersen : Förslag 1: Förhandlat förfarande bör tillåtas utan angivna skäl
Det stämmer att anbudspresentationer och andra typer av möten kan genomföras även i exempelvis öppna förfaranden, men några förhandlingar får…

Senaste inläggen

  • Förslag 2: Gör teckal-undantaget mer lättläst
  • Hur allvarligt fel krävs för uteslutning?
  • Så ändras överprövnings- och skadeståndsreglerna
  • Avsteg från centralt villkor medförde upphandlingsskadeavgift
  • Ny vägledning för att hantera leverantörer utanför EU
  • Misstanke om jäv räcker inte för att avbryta
  • Förslag 1: Förhandlat förfarande bör tillåtas utan angivna skäl
  • Krävs mer än spekulationer för utredningsansvar
  • Ogiltigt, oacceptabelt, olämpligt – en orimlig (o)ordning?
  • Advokatbyråns 15 förbättringsförslag
  • Oklara omständigheter för preklusionsregler
  • Upphandlingsrättsliga föreningen firade 15 år
  • Annika är upphandlingsjuristen som inte ville bli jurist
  • Allvarligt fel när vd begått brott
  • Fel att förkasta anbud som onormalt lågt

Aktuella utbildningar

Delta på distans eller på plats i Stockholm. Valet är ditt.

  • Säkerhetsskyddad upphandling | 14 maj
  • Kvalificerad entreprenad­upphandlare | 22-23 oktober
  • Ramavtal – fördjupningskurs | 6 november
  • Kvalificerad IT-upphandlare | 12-13 november
  • Leda upphandlingar effektivt | 20 november
  • Entreprenadupphandling och AMA AF | 25 november
  • LOU på två dagar | 2-3 december
  • Kvalificerad IT-upphandlare – Steg 2 praktisk tillämpning | Hösten 2025
  • Få fart på er avtals­förvaltning | Hösten 2025