Skip to content
  • Prenumerera på Inköpsrådets nyhetsbrev
Inköpsrådet
  • Nyheter
    • Arbetsmarknad
      • Karriär
      • Lön
    • Bransch
      • IT
      • Livsmedel
      • Samhällsbyggnad
      • Transport
      • Utbildning
      • Vård & omsorg
      • Övriga tjänster
    • Hållbarhet
      • Miljökrav
      • Sociala krav
    • Innovation
    • Juridik
      • Avtal
      • Korruption
      • Lagstiftning
      • Upphandlingsavgift
      • Överprövning
    • Praktiskt
      • Metod
      • Upphandlingsstöd
      • Utvärderingsmodell
    • Samhälle
      • EU
      • Insyn
      • Konkurrens
      • Politik
    • Upphandling
      • Dialog
      • Direktupphandling
      • Förfrågningsunderlag
      • Ramavtal
      • Uppföljning
      • Anbud
  • Domstolskoll
  • Karriär
    • Lediga jobb
    • Lönestatistik
    • Rekrytera smart med Inköpsrådet
  • Utbildning
  • Konferenser
    • Praxisdagen 5 nov Stockholm
    • Praxisdagen 26 nov Göteborg
  • Annonsera
    • Annonsera
    • Platsannonsera
  • Om oss
    • Kontakta oss
    • Integritetsspolicy

Hemligheter, molntjänst och Cloud Act

Hur kan uppgifter som omfattas av sekretess göras tillgängliga för en it-leverantör, som i sin tur omfattas av den amerikanska Cloud Act, utan att uppgifterna ska anses vara avslöjade? Den frågan diskuterar Peter Nordbeck, advokat och expert på it-avtal.

| 2020-03-23

En högaktuell fråga av stor betydelse för upphandlande enheter är om och hur uppgifter som omfattas av sekretess enligt offentlighets- och sekretesslagen, OSL, kan göras tillgängliga för en it-leverantör som i sin tur omfattas av den amerikanska Cloud Act-lagstiftningen, utan att uppgifterna ska anses röjda i strid med OSL.

Cloud Act innebär mycket förenklat att amerikanska myndigheter, under vissa omständigheter, kan kräva att få se en molntjänstleverantörs kunders data om leverantören omfattas av amerikansk jurisdiktion. Ett exempel på bolag som omfattas av amerikansk jurisdiktion är sådana som ingår i en koncern med verksamhet i USA.

I anslutning till att Cloud Act trädde i kraft publicerade Esam, ett program för samverkan i digitaliseringsfrågor mellan myndigheter och Sveriges Kommuner och Regioner, SKR, ett rättsligt utlåtande.

Det tar sikte på anlitande av molntjänstleverantörer som enligt ett annat lands lagstiftning kan tvingas överlämna sekretesskyddade uppgifter i strid med OSL. Den mest omdiskuterade delen av utlåtandet lyder:

”Om sekretessreglerade uppgifter görs tekniskt tillgängliga för en tjänsteleverantör som till följd av ägarförhållanden eller annars är bunden av regler i ett annat land, enligt vilka tjänsteleverantören kan bli skyldig att överlämna information utan att internationell rättshjälp anlitats eller annan laglig grund föreligger enligt svensk rätt, får uppgifterna anses vara röjda. Anledningen är att det inte längre är osannolikt att uppgifterna kan komma att lämnas till utomstående.” (min understrykning)

I avsaknad av modern lagstiftning och rättspraxis om hur begreppet ”röjande” ska tolkas i en modern it-kontext har uttalandet, trots att det är icke-bindande, i praktiken fått stor betydelse.

Det har rent av fått aktörer inom det offentliga att avvakta med viktiga investeringar av rädsla för att sekretesskyddade uppgifter med automatik skulle anses röjda till amerikanska myndigheter, vilket skulle vara förbjudet enligt OSL.

Samtidigt har uttalandet mötts av viss kritik för att vara alltför kategoriskt och för att det inte skulle vila på tillräcklig kunskap om hur Cloud Act och amerikansk processuell lagstiftning fungerar. Kritikerna har bland annat ifrågasatt om lagstiftning likt Cloud Act verkligen innebär att ”det inte längre är osannolikt att uppgifterna kan komma att lämnas till utomstående”.

2019 publicerade Esam en ny vägledning om sekretess och dataskydd i samband med outsourcing av funktioner som annars skulle skötas i det offentligas egen regi. Vägledningen innehåller bland annat avsnitt som bemöter kritiken kring sannolikhetsbedömningen.

I 2019 års vägledning skriver Esam att en sannolikhetsbedömning enligt 2018 års uttalande aldrig blir aktuell om det framgår av den svenska myndighetens bedömning att ”tjänsteleverantören på grund av regler i en främmande rättsordning [kan] bli tvungen att lämna ut uppgifter”. Motiveringen är kraftigt nedkortat i denna text men sammanfattningsvis menar Esam att uppgifterna under sådana omständigheter ska anses röjda.

Esams uttalanden måste värderas i ljuset av de skarpa rättskällor som finns. Rättskällor som tydligast behandlar tolkningen av begreppet ”röjande” enligt OSL är ett rättsfall från Högsta domstolen (NJA 1991 s. 103) och ett från Arbetsdomstolen (AD 2019 nr 15).

Enligt dessa domar krävs inte att någon de facto tagit del av en uppgift för att den ska anses röjd. Det avgörande är om uppgiften har blivit tillgänglig för någon obehörig under sådana omständigheter att man måste räkna med att den obehörige kommer att ta del av uppgiften.

Detta ger visst fog för 2018 års uttalande, i vilket Esam talar om en sannolikhetsbedömning. Det rimliga utfallet av en sådan sannolikhetsbedömning kan däremot diskuteras och det finns i vart fall vissa omständigheter som kan användas till stöd för kritikernas argumentationslinje.

Däremot saknar 2019 års uttalande, om att en sannolikhetsbedömning aldrig blir aktuell om tjänsteleverantören på grund av regler i en främmande rättsordning kan bli tvungen att lämna ut uppgifter, tydligt stöd i de rättskällor som finns i dag.

Samtidigt kan det inte uteslutas att en domstol vid prövning av frågan skulle komma fram till en liknande slutsats som Esam.

Avslutningsvis förtjänar att påpekas att det är mycket fokus på Cloud Act, men att det mycket väl kan finnas lagstiftning i flera länder som ger myndigheterna i de länderna rätt att kräva tillgång till uppgifter som en svensk myndighet har gett en molntjänstleverantör tillgång till.

Det behöver inte nödvändigtvis vara fråga om lagstiftning med extraterritoriell räckvidd (likt Cloud Act) men icke desto mindre lagstiftning som kan användas för att få åtkomst till uppgifter som omfattas av sekretess enligt OSL.

Hur ska man till exempel se på lagstiftning som kan tvinga en molntjänstleverantör att lämna över en svensk myndighets sekretessreglerade uppgifter inom ramen för en husrannsakan?

Peter Nordbeck
Advokat, Advokatfirman Delphi

Vill du ställa frågor till Peter Nordbeck? Mejla info@inkopsradet.se

 

Läs mer: ExpertkommentarIt

Peter Nordbeck

Kommentatorerna ansvarar för sina egna kommentarer

Lämna ett svar Avbryt svar

Din e-postadress kommer inte publiceras. Obligatoriska fält är märkta *

Fler artiklar

Lediga jobb

Helsingborgs stad söker två upphandlare

Upphandlare till Tullverket

Avtalscontroller till Strålsäkerhetsmyndigheten

Svenska kraftnät söker verksjurist inom upphandling

  • Rekrytera rätt kompetens med Inköpsrådet

Peter Nordbeck

Peter Nordbeck har över tjugo års erfarenhet av att arbeta med it-rättsliga frågor. Han fokuserar på outsourcing, molntjänstavtal och dataskydd och biträder klienter både inom privat och offentlig sektor. Vanliga ärenden är upprättande av avtal vid upphandlingar och risk- och sårbarhetsanalyser när myndigheter och andra enheter inom offentlig sektor tänker anlita molntjänstleverantörer. Han föreläser regelbundet om it-avtal, molntjänster och dataskydd.
ANNONS FRÅN UPPHANDLING24

Så formulerar du avtalet rätt

– Kursen i avtalsrätt var ett superbra tillfälle att få ställa frågor och få feedback. Jag tycker att det är många frågor kring avtal som befinner sig i gråzonen med hur man ska tänka och tolka saker. Jag uppskattade att det var informativt men också öppet för dialog, säger Rita Riadh Issa, upphandlare på Linköpings kommun. 

Håll dig informerad

Prenumerera på Inköpsrådets kostnadsfria nyhetsbrev.

Prenumerera, v2
Specialområde *
Sending

Risk för skada rimligt skäl för sekretessRisk för skada rimligt skäl för sekretess
Planera för effektivt hållbarhetsarbetePlanera för effektivt hållbarhetsarbete
Kreditbetyg — en ständig frågaKreditbetyg — en ständig fråga
Tveksamt om EU-dom ger klarhetTveksamt om EU-dom ger klarhet
En dag med många nya insikterEn dag med många nya insikter
Regler om onormalt låga anbud upprörRegler om onormalt låga anbud upprör
Diskussionen fortsätter efter ny domDiskussionen fortsätter efter ny dom
Ny lag relevant för offentlig sektorNy lag relevant för offentlig sektor

Nytt från Upphandling24

  • Bort med ”onödiga lagkrav”
  • Nya besked om bygghärvan
  • Snöbollen från Svalöv
  • EU stöttar materielköp
  • Vill att kungen upphandlar
  • Tävling pressar Paradisets nota
  • Köper inte Ystads förklaring

Senaste inläggen

  • Risk för skada rimligt skäl för sekretess
  • Planera för effektivt hållbarhetsarbete
  • Kreditbetyg — en ständig fråga
  • Tveksamt om EU-dom ger klarhet
  • En dag med många nya insikter
  • Regler om onormalt låga anbud upprör
  • Diskussionen fortsätter efter ny dom
  • Ny lag relevant för offentlig sektor
  • Inte fel direktupphandla från eget bolag
  • Avvikelser – då gäller det hålla rätt kurs
  • Datum på domen räknas inte alltid
  • Jaga skurkar OCH effektiva miljökrav
  • Ofta svårt tillämpa sanktioner
  • Upphandlingsmyndigheten kritiseras
  • Krav på finansiell ställning kan leda fel

Aktuella utbildningar

Delta på distans eller på plats i Stockholm. Valet är ditt.

  • Leda upphandlingar effektivt | 21 november
  • Praktisk avtalsrätt inom LOU och LUF | 28 november
  • LOU på två dagar | 4-5 december
  • Hållbar upphandling | 11 december
  • Kvalificerad entreprenad­upphandlare | 11-12 mars 2025
  • Anbudsutvärdering | 18 mars 2025
  • Få fart på er avtals­förvaltning | 19 mars 2025
  • Ramavtal – fördjupningskurs | 1 april 2025
  • Entreprenadupphandling och AMA AF | 8 maj
  • Agil upphandling | Våren 2025
  • Kvalificerad IT-upphandlare – Steg 2 praktisk tillämpning | Våren 2025
  • Säkerhetsskyddad upphandling | Våren 2025
  • Kvalificerad IT-upphandlare | Våren 2025