Dataskyddsförordningen, GDPR, gäller för behandling av personuppgifter, det vill säga all information som innebär att en fysisk person direkt eller indirekt kan identifieras eller blir identifierbar, exempelvis med hjälp av annan information.
Det är ett mycket omfattande begrepp som medför att så gott som alla upphandlade myndigheter i större eller mindre utsträckning behandlar personuppgifter och därför måste ta hänsyn till bestämmelserna i dataskyddsförordningen vid upphandlingar.
Det gäller både under upphandlingsförfarandet, som behandlades i den tredje delen i artikelserien, och under leverantörens fullgörande av avtalet.
Bedöm riskerna
Vad indikerar integritetsrisker? De integritetsrisker som dataskyddsförordningen är avsedd att skydda enskilda från varierar mycket mellan olika typer av avtal. Förordningen bygger därför på en riskbaserad metod.
Det innebär att ansvaret för den som behandlar personuppgifter (den personuppgiftsansvarige) utgår från riskerna med den aktuella personuppgiftsbehandlingen. Den ansvarige måste alltid bedöma riskerna med sin behandling av personuppgifter.
En riskbedömning utgår från bland annat vilka personuppgifter som behandlas, antalet personuppgifter, antalet personer som berörs (de registrerade) och vilka som får tillgång till uppgifter.
För att kunna göra en riskbedömning krävs därför att den upphandlande myndigheten har kontroll på om och i så fall hur personuppgifter kommer att behandlas i ett upphandlat uppdrag. En kartläggning är därför första steget i en riskbedömning.
Glöm inte dataskyddsombudet och konsekvensbedömningar
Den upphandlande myndighetens dataskyddsombud ska vara delaktigt i riskbedömningarna. Det gäller i synnerhet om upphandlingen innefattar mer integritetskänslig behandling av personuppgifter.
I sådana situationer är myndigheten också skyldig att genomföra en formell konsekvensbedömning. Integritetsskyddsmyndigheten (tidigare Datainspektionen) har tagit fram en lista med behandlingar som anses vara särskilt integritetskänsliga och som kräver en konsekvensbedömning.
Några praktiska exempel
1 – Upphandling av kontorsmateriel
Ingen behandling av personuppgifter sker vid användning av kontorsmaterielen. Det vill säga, ingen automatiserad behandling med hjälp av datorer förekommer. Däremot är det ofta nödvändigt att hantera kontaktuppgifter till anställda vid myndigheten och leverantören. Det kan vara namn, tjänstemejl, adresser och liknande. Det är relativt harmlösa uppgifter.
2 – Upphandling av program
För att kunna göra en riskbedömning är det nödvändigt att ta reda på hur programmet ska användas. Vilka uppgifter ska hanteras och vilka kommer att få tillgång till uppgifterna? Utmaningen är att det kan vara svårt att svara på frågorna, eftersom programmen ska användas av många användare och inom olika delar av myndigheten för odefinierade ändamål. Men det krävs ändå att en kartläggning görs.
Ju mer integritetskänslig behandling av personuppgifter som kan bli aktuell, desto mer noggrann måste kartläggningen vara. Om programmet ska tillhandahållas i form av molntjänster krävs det även en bedömning av molntjänstleverantörens hantering av personuppgifterna, inklusive eventuell överföring till så kallade tredjeländer (utanför EU/EES).
3 – Upphandling av journalsystem till hälso- och sjukvården
I detta fall är det lättare att förutse vilka personuppgifter som kommer att behandlas och att de behandlade uppgifterna är av mycket känslig art. De handlar om patientuppgifter som – utöver dataskyddsförordningen – omfattas av patientdatalagen. Det ställer krav på särskilda skyddsåtgärder. Men för riskbedömningen är det viktigt att ta reda på hur patientuppgifterna ska behandlas, vilka som behöver tillgång till dem och så vidare.
Lämpliga skyddsåtgärder vid upphandling
Många former av hot. Utifrån riskbedömningen måste den upphandlande myndigheten noga överväga vad som krävs för att skydda personuppgifterna som ska behandlas när leverantören utför det upphandlade uppdraget.
Det handlar inte enbart om att skydda uppgifter mot externa hot, exempelvis ransomwareattacker (där en angripare använder skadlig programvara som krypterar filer eller hela hårddiskar och sedan kräver en lösensumma från offret för att låsa upp de krypterade filerna).
Dataskyddsförordningen kräver även skydd av personuppgifter så att de inte förstörs eller ändras eller på något annat sätt blir otillgängliga för myndigheten. Skyddsåtgärder kan även krävas mot interna hot. Exempelvis kan det behövas åtgärder för att förhindra att någon inom myndigheten kommer åt personuppgifter som den inte ska ha åtkomst till i sin tjänst.
Skydda uppgifterna
Skyddsåtgärderna kan vara tekniska, organisatoriska eller avtalsmässiga. Många gånger krävs en kombination för att uppnå en, i förhållande till riskerna, lämplig säkerhetsnivå. Kryptering är en vanlig teknisk skyddsåtgärd som förutsätter exempelvis, för att vara effektiv, att hela kedjan från avsändare till mottagare är skyddad.
Även andra åtgärder som åtkomstkontroll och loggning kan förutsätta andra åtgärder än att bara införa en teknisk lösning i systemet.
Bygg in skydd i systemet – privacy by design
I samband med bedömningen av skyddsåtgärder bör myndigheten överväga åtgärder för att bygga in integritetsskyddet i upphandlade system (så kallad privacy by design).
Enkelt uttryckt handlar det om att bygga in de grundläggande principerna för personuppgiftsbehandling i systemen. Det gäller exempelvis principerna om uppgiftsminimering och lagringsminimering. Det kan ske genom att skapa begränsningar i systemet, så att inte fler uppgifter än vad som är nödvändigt kan registreras av användarna eller genom att använda fasta val i stället för fritextfält för att se till att endast de relevanta uppgifterna registreras.
Tänk på de registrerades rättigheter
En viktig del av dataskyddsregleringen är att de registrerade har rättigheter som de kan kräva av den personuppgiftsansvarige. Det handlar bland annat om rätten till information, inklusive registerutdrag och rätten att kräva rättelse eller radering.
Den personuppgiftsansvarige har en skyldighet att underlätta för de registrerade att utöva sina rättigheter. Det är därför nödvändigt att myndigheten redan i kravställningen i upphandlingen fastställer vad som krävs av ett upphandlat system för att myndigheten exempelvis ska kunna ta reda på var, och vilka, personuppgifter om en viss person som behandlas i myndighetens system, samt hur en förteckning ska kunna lämnas ut till den som begär det. Processen får inte ta för lång tid.
Observera också att detta kan kräva mer omfattande åtgärder än vid en begäran om utlämnande av allmänna handlingar.
Var särskilt försiktig med överföring av personuppgifter till länder utanför EU/EES
EU har genom dataskyddsförordningen skapat ett starkt skydd för personuppgifter inom EU/EES, bland för att uppgifterna utan risk ska kunna flöda fritt inom unionen.
När personuppgifter förs utanför EU/EES uppstår därför risken för att skyddet undergrävs. Därför finns särskilda regler för sådana överföringar.
EU-domstolen har i flera avgöranden, senast i Schrems II, slagit ned på överföring av personuppgifter till USA. Domstolen har konstaterat att USA inte har ett tillräckligt skydd för personuppgifter och att särskilda skyddsåtgärder därför måste vidtas när personuppgifter överförs dit från EU/EES.
För närvarande är det inte helt klart vad som gäller och svenska myndigheter bör därför iaktta en försiktighetsprincip och minimera överföringar till länder utanför EU/EES.
Skyddsåtgärder måste specificeras på förhand
Bedömningen av risker och skyddsåtgärder måste göras tidigt i upphandlingsprocessen. Kraven på skyddsåtgärder måste läggas till övriga krav i kravspecifikationen i upphandlingsdokumenten. Det kan många gånger också vara aktuellt att kräva att anbudsgivarna bevisar sin förmåga att vidta lämpliga skyddsåtgärder.
Glöm inte personuppgiftsbiträdesavtalet
Om upphandlingen innebär att leverantören kommer att behandla personuppgifter för den upphandlande myndighetens räkning blir leverantören myndighetens personuppgiftsbiträde. Som personuppgiftsbiträde får leverantören endast behandla personuppgifterna i enlighet med instruktioner från den personuppgiftsansvarige, alltså myndigheten. Behandlingen inklusive instruktionerna måste då fastställas i ett personuppgiftsbiträdesavtal.
Som personuppgiftsbiträde har leverantören även ett eget ansvar för att personuppgifterna hanteras säkert och korrekt enligt dataskyddsförordningen. För att kunna göra en korrekt bedömning av risker och behovet av skyddsåtgärder är det därför viktigt att leverantören får tillräckligt med information om personuppgiftsbehandlingen från myndigheten.
Om det upphandlade uppdraget innebär att leverantören får en mer självständig roll när det gäller beslut om, och hur, personuppgifter ska behandlas under uppdraget, kan leverantören själv bära ett personuppgiftsansvar för denna behandling. Det kan därför vara nödvändigt att göra en bedömning av fördelningen av personuppgiftsansvaret innan upphandlingen genomförs.
Efter genomförd upphandling
Efter upphandlingen är det också viktigt att den upphandlande myndigheten säkerställer att de avtalade skyddsåtgärderna har genomförts på ett korrekt sätt och att instruktioner om personuppgiftsbehandlingen efterlevs. Det gäller i synnerhet när det handlar om mer integritetskänslig behandling av personuppgifter.
Uppföljningsarbetet bör därefter integreras i myndighetens löpande dataskyddsarbete och kontrolleras av dataskyddsombudet.
Martin Brinnen
Senior Specialist
Magnus Ehn
Senior Specialist
Advokatfirman Kahn Pedersen
Kommentatorerna ansvarar för sina egna kommentarer