Skip to content
  • Prenumerera på Inköpsrådets nyhetsbrev
Inköpsrådet
  • Nyheter
    • Arbetsmarknad
      • Karriär
      • Lön
    • Bransch
      • IT
      • Livsmedel
      • Samhällsbyggnad
      • Transport
      • Utbildning
      • Vård & omsorg
      • Övriga tjänster
    • Hållbarhet
      • Miljökrav
      • Sociala krav
    • Innovation
    • Juridik
      • Avtal
      • Korruption
      • Lagstiftning
      • Upphandlingsavgift
      • Överprövning
    • Praktiskt
      • Metod
      • Upphandlingsstöd
      • Utvärderingsmodell
    • Samhälle
      • EU
      • Insyn
      • Konkurrens
      • Politik
    • Upphandling
      • Dialog
      • Direktupphandling
      • Förfrågningsunderlag
      • Ramavtal
      • Uppföljning
      • Anbud
  • Domstolskoll
  • Karriär
    • Lediga jobb
    • Lönestatistik
    • Rekrytera smart med Inköpsrådet
  • Utbildning
  • Konferenser
    • Nya upphandlingslagar • 8 februari 2022
  • Annonsera
    • Annonsera
    • Platsannonsera
  • Om oss
    • Vi som jobbar här
    • Integritetsspolicy

Förhastat beslut utesluta leverantörer

ExpertkommentarNyligen publicerade Esam en rapport som innehåller en utvärdering av olika lösningar för digitala samarbetsplattformar för den offentliga sektorn. Peter Nordbeck är kritisk till att Esam i rapporten exkluderar vissa leverantörer från utvärderingen.

| 2021-12-13
Peter Nordbeck, advokat, Advokatfirman Delphi.

I denna expertkommentar tänker jag beröra Esams beslut att exkludera vissa leverantörer från utvärderingen med fokus på två rättsliga frågeställningar som gäller utkontraktering av it-tjänster från offentlig sektor. Frågorna gäller sekretess enligt OSL och överföring av personuppgifter till ett land utanför EU/EES. Nyheter inom dessa områden har behandlats i några av mina tidigare expertkommentarer.

Jag är kritisk till att Esam har exkluderat vissa leverantörer från utvärderingen. Anledningen är de grunder som Esam har byggt sitt ställningstagande på, i ljuset av den senaste rättsutvecklingen på området.

Exkludering av vissa leverantörer
Mot bakgrund av rättsliga överväganden kring sekretess vid utkontraktering och överföring av personuppgifter till land utanför EU/EES har vissa leverantörer exkluderats från Esams utvärdering av lösningar för digitala samarbetsplattformar för den offentliga sektorn. Så här skriver Esam:

”Vi har därför uteslutit lösningar som direkt eller indirekt, exempelvis genom infrastruktur, står under kontroll av ett utländskt bolag där det kan finnas risker för att sekretessbelagda uppgifter kan komma att röjas, eller risk för direkt eller indirekt överföring av personuppgifter till tredjeland utan laglig grund enligt EU:s dataskyddsförordning.”

Esams motivering för att utesluta leverantörerna är kort. I stället hänvisar Esam i huvudsak till de rättsliga bedömningar som Skatteverket och Kronofogdemyndigheten tidigare har gjort vid granskningen av Microsofts applikation Teams. Det är därför av betydelse att närmare se på vilka ställningstaganden som dessa myndigheter har gjort.  

Skatteverkets och Kronofogdens beslut om Microsoft Teams
Skatteverket och Kronofogdemyndigheten beslutade den 3 maj 2021 att inte ersätta applikationen Skype med molntjänsten Teams för videokommunikation och samarbete.

Frågan om sekretess enligt OSL
Skatteverket och Kronofogden konstaterar att det är vanligt att de tecknar en sekretessförbindelse med en tjänsteleverantör. De påpekar att det sedan 2020 gäller lag om tystnadsplikt vid utkontraktering av teknisk bearbetning eller lagring av uppgifter och att denna lag innebär ett utökat skydd för uppgifter genom att straffansvar medföljer för den som på grund av anställning med mera hos tjänsteleverantören obehörigen röjer sekretesskyddade uppgifter för utomstående.

Sammantaget konstaterar de att det rent generellt finns möjligheter att skydda sekretesskyddade uppgifter när en extern it-leverantör anlitas.

Därefter övergår myndigheterna till att resonera kring Microsoft som leverantör. Microsoft är ett amerikanskt företag som enligt amerikansk lag kan vara skyldig att bereda myndigheterna i hemlandet tillgång till uppgifter för att tillgodose underrättelseverksamhetens behov var än företaget har sin verksamhet.

Skatteverket och Kronofogden hänvisar till att Esams juridiska expertgrupp den 23 oktober 2018 konstaterade att om uppgifter görs tekniskt tillgängliga för en it-leverantör som till följd av ägarförhållanden är bunden av regler i ett annat land, enligt vilken tjänsteleverantören kan bli skyldig att överlämna information, får uppgifterna anses vara obehörigen röjda.

Det anges att Esam anser att detsamma får anses gälla om redan ägarförhållande eller geografisk placering av leverantörens infrastruktur ger anledning att befara att skyddet för privatliv eller det allmännas intressen inte säkerställs.

Frågan om överföring av personuppgifter till land utanför EU/EES
Skatteverket och Kronofogden skriver bland annat:

”Med anledning av vad som har framkommit om de amerikanska övervakningsprogrammen i bl.a. EU-domstolens avgörande Schrems II (C-311/18) finns det en reell risk för att uppgifterna som amerikanska bolag får tillgång till kan komma att lämnas vidare till det egna landets myndigheter. /…/”

””Av särskilt intresse är risken för ett olovligt röjande genom att uppgifterna överförs av Microsoft till amerikanska myndigheter. Detta kan komma att ske genom amerikanska extraterritoriell övervakningslagstiftning, framförallt FISA 702, och medför, om en amerikansk begäran efterföljs, ett olovligt röjande och tredjelandsöverföringar i strid med dataskyddsförordningen. /…/”

Kommentar
De bedömningar som Esam har gjort i den rättsliga delen förtjänar att kommenteras på några punkter.

Sekretess enligt OSL
Skatteverket och Kronofogden, vars bedömningar Esam grundar sina slutsatser på, hänvisar till ställningstagandet från Esams juridiska expertgrupp den 23 oktober 2018. Som framgår av redogörelsen ovan, menade expertgruppen  – något förenklat –  att ett utlämnande till en tjänsteleverantör som omfattas av Cloud Act innebär att uppgifterna får anses vara röjda.  

Som jag pekat på i en tidigare expertkommentar har denna uppfattning kritiserats som alltför kategorisk.

Uppfattningen delas inte heller av It-driftsutredningen som publicerade sitt delbetänkande ”Säker och kostnadseffektiv it-drift – rättsliga förutsättningar för utkontraktering”, SOU 2021:1, tidigare i år.

Utredningen skriver så här om utkontraktering och Cloud Act:

”Det förhållandet att det finns en risk för att en privat tjänsteleverantör i enlighet med den lagstiftning som denne är bunden av (t.ex. US CLOUD Act eller någon liknande reglering) kan bli tvungen att lämna ut uppgifter till en utländsk myndighet innebär inte att den svenska myndigheten handlar i strid med 8 kap. 3 § offentlighets- och sekretesslagen (2009:400) när den lämnar ut uppgifterna till tjänsteleverantören. Inte heller kan det bli fråga om ett otillåtet röjande enligt 8 kap. 3 § offentlighets- och sekretesslagen om tjänsteleverantören i ett senare skede lämnar ut uppgifterna till en utländsk myndighet.”

Anledningen till att det enligt utredningens bedömning inte kan bli fråga om ett otillåtet röjande enligt 8 kap. 3 § OSL om tjänsteleverantören lämnar ut uppgifterna till en utländsk myndighet i ett senare skede är att det endast är en sådan aktör som är bunden av OSL som kan vidta en åtgärd som leder till att uppgifter röjs.

Om It-driftsutredningens synsätt tillämpas kan alltså inte leverantörer diskrimineras för att de ingår i en koncern som har ett amerikanskt moderbolag. Tvärtom bör utgångspunkten vara att dessa leverantörer ska behandlas på samma sätt som svenska leverantörer.

Det finns således olika uppfattningar i frågan om röjande och Cloud Act och det händer mycket på området just nu – något som jag har belyst i tidigare expertkommentarer. Mot denna bakgrund anser jag att Esams slutsats att exkludera vissa leverantörer – ”huvudsakligen amerikanska” – från utvärderingen av olika lösningar för digitala samarbetsplattformar för den offentliga sektorn är förhastad.

Det finns inte rättsligt stöd för att exkludera vissa leverantörer på den av Esam tillämpade grunden. Rapporten med utvärdering av olika leverantörers lösningar framstår därför som ofullständig och riskerar att bli missvisande. 

Frågan om överföring av personuppgifter till land utanför EU/EES
Sedan Skatteverkets och Kronofogdens beslut angående Teams, har den Europeiska Dataskyddsstyrelsen (EDPB) kommit med en slutlig version av sina rekommendationer om överföring av personuppgifter till länder utanför EU/EES.

Av den slutliga versionen framgår tydligt att det som ska bedömas är hur lagstiftningen och praxis i mottagarlandet påverkar den aktuella överföringen av personuppgifter i praktiken. Som jag tidigare skrivit om, anser jag att det har skett en ”uppmjukning” i EDPBs synsätt jämfört med hur resonemangen gick i den första versionen av rekommendationerna.

Under alla förhållanden innebär EDPBs rekommendationer att en prövning av om en överföring kan ske ska göras av varje aktuell överföring med beaktande av de omständigheter som är för handen i det specifika fallet. Exempelvis anger EDPB att en överföring av personuppgifter till USA kan vara tillåten om Section 702 i den amerikanska lagstiftningen FISA inte är tillämplig i praktiken på den aktuella överföringen och därför inte inskränker överföringsmekanismens (till exempel standardavtalsklausulernas) effektivitet.

Vad får detta för betydelse för Esams beslut att utesluta vissa leverantörer från utvärderingen av lösningar för digitala samarbetsplattformar?

Jag menar att med det synsätt som EDPB tillämpar i sina rekommendationer om överföring av personuppgifter till länder utanför EU/EES bör varje leverantör och tjänst bedömas för sig utifrån omständigheterna i det specifika fallet. Det är inte förenligt med EDPBs rekommendationer att, som Esam gjort i sin rapport, ”klumpa ihop” leverantörer och tjänster med allmänna motiveringar.

Mot denna bakgrund anser jag att det även i denna del saknas rättsligt stöd för att exkludera vissa leverantörer från utvärderingen av lösningar för digitala samarbetsplattformar för den offentliga sektorn. Esams rapport framstår därför även på denna grund som ofullständig. 

Peter Nordbeck
Advokat, Advokatfirman Delphi  

 

Fotnot: Esam är ett medlemsdrivet program för samverkan mellan 35 myndigheter och SKR.

 

Få din fråga om upphandling besvarad
Skickar

Läs mer: Expertkommentar

Kommentatorerna ansvarar för sina egna kommentarer

En kommentar på “Förhastat beslut utesluta leverantörer”

  1. Eva skriver:
    2021-12-14 kl. 09:14

    Men de har väl inte uteslutit _leverantörer_ utan leverantörernas tjänster?
    De är ju rätt tydliga med att idag använder man Skype on prem, som bedöms vara ok ur ett GDPR-perspektiv, men att Teams går inte att få som on-prem lösning, varför Teams döms ut.

    Var står det att de dömer ut leverantörer? Leverantörer som de dessutom försökt diskutera frågan med för att hitta en lösning men som inte velat lyssna?

    Svara

Lämna ett svar till Eva Avbryt svar

Din e-postadress kommer inte publiceras. Obligatoriska fält är märkta *

Fler artiklar

Peter Nordbeck

Peter Nordbeck har över tjugo års erfarenhet av att arbeta med it-rättsliga frågor. Han fokuserar på outsourcing, molntjänstavtal och dataskydd och biträder klienter både inom privat och offentlig sektor. Vanliga ärenden är upprättande av avtal vid upphandlingar och risk- och sårbarhetsanalyser när myndigheter och andra enheter inom offentlig sektor tänker anlita molntjänstleverantörer. Han föreläser regelbundet om it-avtal, molntjänster och dataskydd.

Lediga jobb

Skellefteå kommun

Inköpschef, Skellefteå kommun

ANNONS FRÅN AFF

Undvik missförstånd, konflikter och juridiska tvister

Aff behövs för att alla ska hitta ett gemensamt språk, för att minska risken för tvister och för att öka kvaliteten, säger Philip Österlund, vd på Aff

Håll dig informerad

Prenumerera på Inköpsrådets kostnadsfria nyhetsbrev.

Prenumerera, v2
Specialområde
Sending

Senaste inläggen

Föreslår förordning för direktupphandlingarFöreslår förordning för direktupphandlingar
Effektivare tillsyn föreslåsEffektivare tillsyn föreslås
Förlegat krav om undertecknandeFörlegat krav om undertecknande
Svagt intresse oroar VinnovaSvagt intresse oroar Vinnova
Använd begrepp som inte missförståsAnvänd begrepp som inte missförstås
Göteborg samlas för mer återbrukGöteborg samlas för mer återbruk
Tolkning av ramavtalTolkning av ramavtal
Är vi redo att växla upp?Är vi redo att växla upp?
ANNONS FRÅN UPPHANDLING24

Lär dig skriva bättre avtal

Avtalet är kärnan i affären och avtalsrätten i sig regleras inte i LOU. Därför är det viktigt att du som upphandlare sätter dig in i hur du formulerar korrekta avtal och vad du bör tänka på för att säkerställa en bra affär.

Nytt från Upphandling24

  • Effektivare tillsyn föreslås
  • Förlegat krav om undertecknande
  • Svagt intresse oroar Vinnova
  • Använd begrepp som inte missförstås
  • Göteborg samlas för mer återbruk

Åsikter på sajten

  • Tolkning av ramavtalDet kan nog inte alltid tas för sant att det inte skulle vara relevant att utröna den gemensamma partsavsikten i...
  • Tolkning av ramavtalHej Alfred, Som framgår av ditt citat från HD:s avgörande i mål nr 4071-20 (NJA 2021 s 643) är det...
  • Regioner straffas för förlängt avtalVad oseriöst av domstolen att basera sannolikheten för att Svensk dos skulle vinna en korrekt genomförd upphandling på antalet leverantörer...
  • Tolkning av ramavtalNi skriver att "Hovrätten prövade först om projektet omfattats av ramavtalet. Då någon gemensam partsavsikt inte gick att utläsa fick...
  • Regioner straffas för förlängt avtaljag undrar i sitt stilla sinne vad positivt konkurrensutsättning av dosförpackade läkemedel fört med sig?
  • Utvärdera kvalitet vid avrop av konsultBra artikel, tackar för det :)
  • Enhetlig tolkning gällerMånga av dessa "smörgårdsbordsförespråkare" vill nog väcka lite uppmärksamhet och jagar gillningar och delningar på LinkedIn. Man kommer med diverse...
  • Enhetlig tolkning gällerHelt stängt är kanske inte smörgåsbordet ändå? Jag uppfattar att båda målen som du tar upp avsåg situationer där direktiven...
  • Val av utvärderingsmodell icke-fråga?Har inte använt relativa modeller i mina upphandlingar sedan denna kom: "Metoder vid utvärdering av pris och kvalitet i offentlig...
  • Enad front för mer forskningInom det identifierade forskningsområdet "Korruption och kartellbildning" finns det lågt hängande frukt som inte kräver någon forskning för att identifiera....

Senaste inläggen

  • Föreslår förordning för direktupphandlingar
  • Effektivare tillsyn föreslås
  • Förlegat krav om undertecknande
  • Svagt intresse oroar Vinnova
  • Använd begrepp som inte missförstås
  • Göteborg samlas för mer återbruk
  • Tolkning av ramavtal
  • Är vi redo att växla upp?
  • Regioner straffas för förlängt avtal
  • Förändrad omvärld kräver anpassning
  • Stort fokus på service
  • Fast timpris och referenser tillåtet
  • Att upphandla ABK-konsulter
  • ”Mediestorm kan ge ökade resurser”
  • Allt går att sälja med mördande reklam

Aktuella utbildningar

Delta på distans eller på plats i Stockholm. Valet är ditt.

  • Praktisk avtalsrätt inom LOU och LUF | 26 april
  • Få fart på er avtals­förvaltning | 4 maj
  • Förhandling som redskap inom offentlig upphandling | 5 maj
  • LOU på två dagar | 10-11 maj
  • Kvalificerad IT-upphandlare | 18-19 maj
  • Anbudsutvärdering | 13 okt
  • Kvalificerad entreprenad­upphandlare | 19-20 okt
  • Agil upphandling | 9 nov
  • Hantera överprövningar | 10 november
  • Leda upphandlingar effektivt | 6 december
  • Säkerhetsskyddad upphandling | 18 oktober