Samma sak gäller dataskyddet, som inte bara lägger grunden för allt systematiskt informationssäkerhetsarbete, utan nu även fått en kompis som reglerar icke-persondata i och med Dataförordningen (”Data act”).
I pågående upphandlingar inom välfärdsteknik har vi bestämt oss för att våga ta ut svängarna – med stöd i både gällande och kommande regelverk. Vi har därför satt tänderna i en rad rättsliga aspekter som framöver kommer att vara oundvikliga för upphandlande myndigheter.
Det arbete som vi nu gör är också en direkt spegling av den riktning som pekas ut i Handslaget för välfärdsutveckling genom digitalisering. Handslaget utgör en gemensam plattform mellan kommunerna, vissa regioner och oss i SKR-koncernen, för att ta tillvara på digitaliseringens möjligheter i välfärden.
Ett viktigt verktyg i Handslaget är de så kallade kompetensgemenskaperna, där spetskompetens inom exempelvis cybersäkerhet och digitaliseringsjuridik samlas för att tillsammans ta sig an gemensamma utmaningar. Syftet är att alla kommuner – oavsett storlek eller förutsättningar – ska kunna ta del av metoder, mallar och tolkningar som annars kan vara svåra att ta fram enskilt. Undertecknad är Addas representant i de två ovannämnda kompetensgemenskaperna och har genom vår medverkan både blivit inspirerad och fått konkret stöd i att nu växla upp kravställningen.
Juridiskt stöd i nyckelområden
Som juridiskt stöd till kategorin välfärdsteknik har jag framför allt arbetat på att ta fram underlag och formuleringar för några av de mest aktuella och krävande frågorna:
- Utkontraktering och olämplighetsbedömning enligt 10 kap. 2 a § OSL. Vi gör en ny och något modig ansats genom att redan i kvalificeringsfasen genomföra en olämplighetsbedömning. Det är ett nytt arbetssätt, och jag har tagit fram en mall för hur en sådan bedömning ska kunna dokumenteras och motiveras – något som förhoppningsvis Addas arbetssättsgrupp kommer att vidareutveckla och sprida även till övriga kategorier.
- Cybersäkerhetskrav. Vi har lagt till krav som stärker det systematiska informationssäkerhetsarbetet, och nya krav med fokus på säkerhet i leverantörskedjan – precis vad som krävs enligt NIS2.
- Sanktioner och ledningsansvar. NIS2 kommer med tydligare krav på ledningens ansvar och möjligheten till sanktioner. Det måste återspeglas i avtal och underlag. Vi har därför infört regleringar som tydliggör ansvar, inklusive konsekvenser om kraven på systematisk informationssäkerhet inte uppfylls.
Klargöranden om personuppgiftsansvar och dataförordningen
En av mina hjärtefrågor, dataskyddet, har också fått ett uppsving i och med EU:s nya regelverk inom cyber och data, inte minst med fokus på ansvarsfrågorna. Det är långt ifrån alltid som det föreligger en ”PUA-PUB-relation” till följd av en upphandling, det vill säga att den upphandlande myndigheten är personuppgiftsansvarig och anlitar ett personuppgiftsbiträde genom avtalsförhållandet med leverantören. I vintras initierade jag därför en pilot i Adda, där vi redan i förstudiefasen med stöd av RFI och ett internt bedömningsunderlag reder ut och reglerar personuppgiftsansvaret. Vi kommer vid pilotens slutskede att dela med oss av metodstödet till kommuner och regioner och redan nu har vi fått hjälp av en extern referensgrupp från kompetensgemenskapen för digitaliseringsjuridik.
I de pågående välfärdsteknikupphandlingarna håller vi även på att se över ansvarsfördelningen vad gäller hantering av icke-personuppgifter enligt EU:s nya Dataförordning (Data Act), som liksom GDPR spetsats med sanktioner och administrativa avgifter. Det är lika bra att få det rätt från början och det vore fantastiskt om vi kunde avlasta kommunerna även med detta.
Vad händer nu?
I vanlig ordning kommer upphandlingsteamet att gå ut med underlagen på extern remiss och det ska bli både spännande och intressant att se hur leverantörsmarknaden reagerar på detta. Även om kraven blir hårdare så är det här ett oundvikligt steg i rätt riktning mot en mer robust offentlig upphandling – där vi inte bara följer lagen utan också vågar tolka den proaktivt, i takt med samhällsutvecklingen.
TEXT: Liv Zettergren, bolagsjurist, Adda
Vill du bli bättre på att projektleda upphandlingar?
Kommentatorerna ansvarar för sina egna kommentarer