Skip to content
  • Prenumerera på Inköpsrådets nyhetsbrev
Inköpsrådet
  • Nyheter
    • Arbetsmarknad
      • Karriär
      • Lön
    • Bransch
      • IT
      • Livsmedel
      • Samhällsbyggnad
      • Transport
      • Utbildning
      • Vård & omsorg
      • Övriga tjänster
    • Hållbarhet
      • Miljökrav
      • Sociala krav
    • Innovation
    • Juridik
      • Avtal
      • Korruption
      • Lagstiftning
      • Upphandlingsavgift
      • Överprövning
    • Praktiskt
      • Metod
      • Upphandlingsstöd
      • Utvärderingsmodell
    • Samhälle
      • EU
      • Insyn
      • Konkurrens
      • Politik
    • Upphandling
      • Dialog
      • Direktupphandling
      • Förfrågningsunderlag
      • Ramavtal
      • Uppföljning
      • Anbud
  • Domstolskoll
  • Karriär
    • Lediga jobb
    • Lönestatistik
    • Rekrytera smart med Inköpsrådet
  • Utbildning
  • Konferenser
    • Nya upphandlingslagar • 8 februari 2022
    • Praxisdagen • 7 november • Stockholm
    • Praxisdagen • 21 november • Göteborg
  • Annonsera
    • Annonsera
    • Platsannonsera
  • Om oss
    • Vi som jobbar här
    • Integritetsspolicy

Förhastat beslut utesluta leverantörer

ExpertkommentarNyligen publicerade Esam en rapport som innehåller en utvärdering av olika lösningar för digitala samarbetsplattformar för den offentliga sektorn. Peter Nordbeck är kritisk till att Esam i rapporten exkluderar vissa leverantörer från utvärderingen.

| 2021-12-13
Peter Nordbeck, advokat, Advokatfirman Delphi.

I denna expertkommentar tänker jag beröra Esams beslut att exkludera vissa leverantörer från utvärderingen med fokus på två rättsliga frågeställningar som gäller utkontraktering av it-tjänster från offentlig sektor. Frågorna gäller sekretess enligt OSL och överföring av personuppgifter till ett land utanför EU/EES. Nyheter inom dessa områden har behandlats i några av mina tidigare expertkommentarer.

Jag är kritisk till att Esam har exkluderat vissa leverantörer från utvärderingen. Anledningen är de grunder som Esam har byggt sitt ställningstagande på, i ljuset av den senaste rättsutvecklingen på området.

Exkludering av vissa leverantörer
Mot bakgrund av rättsliga överväganden kring sekretess vid utkontraktering och överföring av personuppgifter till land utanför EU/EES har vissa leverantörer exkluderats från Esams utvärdering av lösningar för digitala samarbetsplattformar för den offentliga sektorn. Så här skriver Esam:

”Vi har därför uteslutit lösningar som direkt eller indirekt, exempelvis genom infrastruktur, står under kontroll av ett utländskt bolag där det kan finnas risker för att sekretessbelagda uppgifter kan komma att röjas, eller risk för direkt eller indirekt överföring av personuppgifter till tredjeland utan laglig grund enligt EU:s dataskyddsförordning.”

Esams motivering för att utesluta leverantörerna är kort. I stället hänvisar Esam i huvudsak till de rättsliga bedömningar som Skatteverket och Kronofogdemyndigheten tidigare har gjort vid granskningen av Microsofts applikation Teams. Det är därför av betydelse att närmare se på vilka ställningstaganden som dessa myndigheter har gjort.  

Skatteverkets och Kronofogdens beslut om Microsoft Teams
Skatteverket och Kronofogdemyndigheten beslutade den 3 maj 2021 att inte ersätta applikationen Skype med molntjänsten Teams för videokommunikation och samarbete.

Frågan om sekretess enligt OSL
Skatteverket och Kronofogden konstaterar att det är vanligt att de tecknar en sekretessförbindelse med en tjänsteleverantör. De påpekar att det sedan 2020 gäller lag om tystnadsplikt vid utkontraktering av teknisk bearbetning eller lagring av uppgifter och att denna lag innebär ett utökat skydd för uppgifter genom att straffansvar medföljer för den som på grund av anställning med mera hos tjänsteleverantören obehörigen röjer sekretesskyddade uppgifter för utomstående.

Sammantaget konstaterar de att det rent generellt finns möjligheter att skydda sekretesskyddade uppgifter när en extern it-leverantör anlitas.

Därefter övergår myndigheterna till att resonera kring Microsoft som leverantör. Microsoft är ett amerikanskt företag som enligt amerikansk lag kan vara skyldig att bereda myndigheterna i hemlandet tillgång till uppgifter för att tillgodose underrättelseverksamhetens behov var än företaget har sin verksamhet.

Skatteverket och Kronofogden hänvisar till att Esams juridiska expertgrupp den 23 oktober 2018 konstaterade att om uppgifter görs tekniskt tillgängliga för en it-leverantör som till följd av ägarförhållanden är bunden av regler i ett annat land, enligt vilken tjänsteleverantören kan bli skyldig att överlämna information, får uppgifterna anses vara obehörigen röjda.

Det anges att Esam anser att detsamma får anses gälla om redan ägarförhållande eller geografisk placering av leverantörens infrastruktur ger anledning att befara att skyddet för privatliv eller det allmännas intressen inte säkerställs.

Frågan om överföring av personuppgifter till land utanför EU/EES
Skatteverket och Kronofogden skriver bland annat:

”Med anledning av vad som har framkommit om de amerikanska övervakningsprogrammen i bl.a. EU-domstolens avgörande Schrems II (C-311/18) finns det en reell risk för att uppgifterna som amerikanska bolag får tillgång till kan komma att lämnas vidare till det egna landets myndigheter. /…/”

””Av särskilt intresse är risken för ett olovligt röjande genom att uppgifterna överförs av Microsoft till amerikanska myndigheter. Detta kan komma att ske genom amerikanska extraterritoriell övervakningslagstiftning, framförallt FISA 702, och medför, om en amerikansk begäran efterföljs, ett olovligt röjande och tredjelandsöverföringar i strid med dataskyddsförordningen. /…/”

Kommentar
De bedömningar som Esam har gjort i den rättsliga delen förtjänar att kommenteras på några punkter.

Sekretess enligt OSL
Skatteverket och Kronofogden, vars bedömningar Esam grundar sina slutsatser på, hänvisar till ställningstagandet från Esams juridiska expertgrupp den 23 oktober 2018. Som framgår av redogörelsen ovan, menade expertgruppen  – något förenklat –  att ett utlämnande till en tjänsteleverantör som omfattas av Cloud Act innebär att uppgifterna får anses vara röjda.  

Som jag pekat på i en tidigare expertkommentar har denna uppfattning kritiserats som alltför kategorisk.

Uppfattningen delas inte heller av It-driftsutredningen som publicerade sitt delbetänkande ”Säker och kostnadseffektiv it-drift – rättsliga förutsättningar för utkontraktering”, SOU 2021:1, tidigare i år.

Utredningen skriver så här om utkontraktering och Cloud Act:

”Det förhållandet att det finns en risk för att en privat tjänsteleverantör i enlighet med den lagstiftning som denne är bunden av (t.ex. US CLOUD Act eller någon liknande reglering) kan bli tvungen att lämna ut uppgifter till en utländsk myndighet innebär inte att den svenska myndigheten handlar i strid med 8 kap. 3 § offentlighets- och sekretesslagen (2009:400) när den lämnar ut uppgifterna till tjänsteleverantören. Inte heller kan det bli fråga om ett otillåtet röjande enligt 8 kap. 3 § offentlighets- och sekretesslagen om tjänsteleverantören i ett senare skede lämnar ut uppgifterna till en utländsk myndighet.”

Anledningen till att det enligt utredningens bedömning inte kan bli fråga om ett otillåtet röjande enligt 8 kap. 3 § OSL om tjänsteleverantören lämnar ut uppgifterna till en utländsk myndighet i ett senare skede är att det endast är en sådan aktör som är bunden av OSL som kan vidta en åtgärd som leder till att uppgifter röjs.

Om It-driftsutredningens synsätt tillämpas kan alltså inte leverantörer diskrimineras för att de ingår i en koncern som har ett amerikanskt moderbolag. Tvärtom bör utgångspunkten vara att dessa leverantörer ska behandlas på samma sätt som svenska leverantörer.

Det finns således olika uppfattningar i frågan om röjande och Cloud Act och det händer mycket på området just nu – något som jag har belyst i tidigare expertkommentarer. Mot denna bakgrund anser jag att Esams slutsats att exkludera vissa leverantörer – ”huvudsakligen amerikanska” – från utvärderingen av olika lösningar för digitala samarbetsplattformar för den offentliga sektorn är förhastad.

Det finns inte rättsligt stöd för att exkludera vissa leverantörer på den av Esam tillämpade grunden. Rapporten med utvärdering av olika leverantörers lösningar framstår därför som ofullständig och riskerar att bli missvisande. 

Frågan om överföring av personuppgifter till land utanför EU/EES
Sedan Skatteverkets och Kronofogdens beslut angående Teams, har den Europeiska Dataskyddsstyrelsen (EDPB) kommit med en slutlig version av sina rekommendationer om överföring av personuppgifter till länder utanför EU/EES.

Av den slutliga versionen framgår tydligt att det som ska bedömas är hur lagstiftningen och praxis i mottagarlandet påverkar den aktuella överföringen av personuppgifter i praktiken. Som jag tidigare skrivit om, anser jag att det har skett en ”uppmjukning” i EDPBs synsätt jämfört med hur resonemangen gick i den första versionen av rekommendationerna.

Under alla förhållanden innebär EDPBs rekommendationer att en prövning av om en överföring kan ske ska göras av varje aktuell överföring med beaktande av de omständigheter som är för handen i det specifika fallet. Exempelvis anger EDPB att en överföring av personuppgifter till USA kan vara tillåten om Section 702 i den amerikanska lagstiftningen FISA inte är tillämplig i praktiken på den aktuella överföringen och därför inte inskränker överföringsmekanismens (till exempel standardavtalsklausulernas) effektivitet.

Vad får detta för betydelse för Esams beslut att utesluta vissa leverantörer från utvärderingen av lösningar för digitala samarbetsplattformar?

Jag menar att med det synsätt som EDPB tillämpar i sina rekommendationer om överföring av personuppgifter till länder utanför EU/EES bör varje leverantör och tjänst bedömas för sig utifrån omständigheterna i det specifika fallet. Det är inte förenligt med EDPBs rekommendationer att, som Esam gjort i sin rapport, ”klumpa ihop” leverantörer och tjänster med allmänna motiveringar.

Mot denna bakgrund anser jag att det även i denna del saknas rättsligt stöd för att exkludera vissa leverantörer från utvärderingen av lösningar för digitala samarbetsplattformar för den offentliga sektorn. Esams rapport framstår därför även på denna grund som ofullständig. 

Peter Nordbeck
Advokat, Advokatfirman Delphi  

 

Fotnot: Esam är ett medlemsdrivet program för samverkan mellan 35 myndigheter och SKR.

 

Få din fråga om upphandling besvarad
Skickar

Läs mer: Expertkommentar

Kommentatorerna ansvarar för sina egna kommentarer

En kommentar på “Förhastat beslut utesluta leverantörer”

  1. Eva skriver:
    2021-12-14 kl. 09:14

    Men de har väl inte uteslutit _leverantörer_ utan leverantörernas tjänster?
    De är ju rätt tydliga med att idag använder man Skype on prem, som bedöms vara ok ur ett GDPR-perspektiv, men att Teams går inte att få som on-prem lösning, varför Teams döms ut.

    Var står det att de dömer ut leverantörer? Leverantörer som de dessutom försökt diskutera frågan med för att hitta en lösning men som inte velat lyssna?

    Svara

Lämna ett svar Avbryt svar

Din e-postadress kommer inte publiceras. Obligatoriska fält är märkta *

Fler artiklar

Peter Nordbeck

Peter Nordbeck har över tjugo års erfarenhet av att arbeta med it-rättsliga frågor. Han fokuserar på outsourcing, molntjänstavtal och dataskydd och biträder klienter både inom privat och offentlig sektor. Vanliga ärenden är upprättande av avtal vid upphandlingar och risk- och sårbarhetsanalyser när myndigheter och andra enheter inom offentlig sektor tänker anlita molntjänstleverantörer. Han föreläser regelbundet om it-avtal, molntjänster och dataskydd.

Lediga jobb

ANNONS FRÅN AFF

Tydliga och trygga avtal med Aff

Till skillnad från många andra branschers standardavtal är Aff utarbetat i samarbete mellan beställare och leverantörer. Båda parter är med och utformar regelverken och mallarna så att den blir partsneutral.

Håll dig informerad

Prenumerera på Inköpsrådets kostnadsfria nyhetsbrev.

Prenumerera, v2
Specialområde
Sending

Senaste inläggen

Tillsynsreform får ris och rosTillsynsreform får ris och ros
Avfall är material på fel ställeAvfall är material på fel ställe
Har koll på IOPHar koll på IOP
Samarbete – kan det vara så svårt?Samarbete – kan det vara så svårt?
Möjligt fullgöra avtal före laga kraftMöjligt fullgöra avtal före laga kraft
Så fick Växjö Dis i hamnSå fick Växjö Dis i hamn
Samarbetspartner som referensSamarbetspartner som referens
600 bolag har växt till över 1700600 bolag har växt till över 1700
ANNONS FRÅN UPPHANDLING24

Lär dig skriva bättre avtal

Avtalet är kärnan i affären och avtalsrätten i sig regleras inte i LOU. Därför är det viktigt att du som upphandlare sätter dig in i hur du formulerar korrekta avtal och vad du bör tänka på för att säkerställa en bra affär.

Nytt från Upphandling24

  • Avfall är material på fel ställe
  • Har koll på IOP
  • Samarbete – kan det vara så svårt?
  • Möjligt fullgöra avtal före laga kraft
  • Så fick Växjö Dis i hamn

Åsikter på sajten

  • Samarbetspartner som referensDet är - igen - märkligt att två rättsinstanser med god juridisk kompetens kommer till olika slutsatser. Är juridiken ett...
  • Vallentuna hade rätt att förkastaRättens bedömningar för onormalt låga priser blir alltid en rysare och det är FRs fullständiga misslyckande. De har utvecklat sin...
  • Först att avropa återbruk av möblerKul att läsa. Har själv varit upphandlingsrådgivare/upphandlare på 80- och 90-talet. Då var det ett jättekul jobb.
  • Så fick Växjö Dis i hamnIntressant upplägg! Ska bli kul att följa utfallet!
  • Dags fokusera mer på innehåll–och i tidEn stor besvikelse i de nya bestämmelserna om överprövning är att det uteslutande handla om hur processen i domstol ska...
  • Dags fokusera mer på innehåll–och i tidPåtalandeskyldighet är i grunden en felaktig idé. Den omkullkastar en vanlig ordning i ett öppet förfarande. Jag skulle påstå att...
  • Uteslutning–förtroende inte längre alltTack för din kommentar, Mia Förhandsavgörande du hänvisar till handlar om ett uteslutningsärende med hänvisning till konkurrensbegränsande samarbete. EU-domstolen anger...
  • Uteslutning–förtroende inte längre alltHej, Tack för bra artikel. Jag undrar hur de nya bestämmelserna om tidsfrister förhåller sig till beslutet från EU-domstolen i...
  • Viktigt att leverantören är frågvisIntressant "I brist på uttalande från HFD är det tyvärr min rekommendation att alla leverantörer måste lyfta fram alla otydligheter"...
  • Tolkning av ramavtalKontraktshandlingar och tolkningsordningar Ramavtalet består av följande handlingar: 1) Skriftliga tillägg till eller justeringar av Ramavtalet eller dess bilagor 2)...

Senaste inläggen

  • Tillsynsreform får ris och ros
  • Avfall är material på fel ställe
  • Har koll på IOP
  • Samarbete – kan det vara så svårt?
  • Möjligt fullgöra avtal före laga kraft
  • Så fick Växjö Dis i hamn
  • Samarbetspartner som referens
  • 600 bolag har växt till över 1700
  • Transparent utvärderingsmodell viktigt
  • Dags fokusera mer på innehåll–och i tid
  • Vallentuna hade rätt att förkasta
  • Fel kräva att en leverantör gör mest
  • Fann lösningar för bättre kontroll
  • Uteslutning–förtroende inte längre allt
  • Först att avropa återbruk av möbler

Aktuella utbildningar

Delta på distans eller på plats i Stockholm. Valet är ditt.

  • Anbudsutvärdering | 13 okt
  • Säkerhetsskyddad upphandling | 18 oktober
  • Kvalificerad entreprenad­upphandlare | 19-20 okt
  • Agil upphandling | 9 nov
  • Hantera överprövningar | 10 november
  • Få fart på er avtals­förvaltning | 15 nov
  • Förhandling som redskap inom offentlig upphandling | 16 nov
  • Praktisk avtalsrätt inom LOU och LUF | 17 nov
  • Kvalificerad IT-upphandlare | 23-24 nov
  • LOU på två dagar | 28-29 nov
  • Leda upphandlingar effektivt | 6 december