För några veckor sedan kom det av många efterlängtade delbetänkandet ”Säker och kostnadseffektiv it-drift – rättsliga förutsättningar för utkontraktering”, SOU 2021:1.
I delbetänkandet går utredningen igenom förutsättningarna för statliga myndigheter, kommuner och regioner att utkontraktera it-drift. I sitt slutbetänkande som ska redovisas senast den 15 oktober 2021 kommer man att fokusera på samordnad statlig it-drift.
Utredningen är välskriven och innehåller, förutom en genomgång av rättsläget och en sammanfattning av de slutsatser som dragits av tidigare utredningar, ett förslag till sekretessbrytande bestämmelse i OSL, offentlighets- och sekretesslagen, om utkontraktering av it-drift och ett förslag om inskränkt meddelarfrihet i vissa fall.
Dessutom gör man flera intressanta ställningstaganden. Av stort intresse är utredningens uppfattning i den omdebatterade frågan om uppgifter som omfattas av sekretess enligt OSL kan göras tillgängliga för en it-leverantör som i sin tur omfattas av den amerikanska Cloud Act-lagstiftningen, utan att uppgifterna ska anses röjda till utländsk myndighet i strid med OSL.
Förslag till sekretessbrytande bestämmelse i OSL
Jag börjar med att kort redogöra för förslaget till sekretessbrytande bestämmelse i OSL.
Utredningen anser att det är klarlagt att myndigheterna har behov av att utkontraktera it-drift som omfattar sekretessreglerade uppgifter och föreslår att en ny bestämmelse införs i 10 kap OSL med följande rubrik och lydelse:
Utkontraktering av teknisk bearbetning eller lagring av uppgifter
2 a§
Sekretess hindrar inte att en uppgift lämnas ut till ett företag eller en annan enskild eller till en annan myndighet som har i uppdrag att utföra endast teknisk bearbetning eller teknisk lagring av de uppgifter som lämnas ut för den utlämnande myndighetens räkning.
En uppgift ska inte lämnas ut om det intresse som sekretessen ska skydda har företräde framför intresset av att uppgiften lämnas ut.
En anledning till att en sekretessbrytande bestämmelse behövs är enligt utredningen att förenkla den skadeprövning som myndigheten ska göra innan ett utlämnande. Dessutom bedömer man att ett utlämnande mot sekretessförbehåll kan ske endast i undantagsfall vid utkontraktering.
Ytterligare en anledning är enligt utredningen att det finns begränsade möjligheter för myndigheterna att utkontraktera it-drift om utkontrakteringen omfattar uppgifter som träffas av absolut sekretess.
Som framgår av förslaget är dock den sekretessbrytande bestämmelsen inte villkorslös. Vid en samlad bedömning anser utredningen att övervägande skäl talar för att den sekretessbrytande bestämmelsen bör förses med det villkoret att den myndighet som avser att utkontraktera it-drift ska göra en avvägning mellan intresset av utkontraktering och det intresse som sekretessen avser att skydda innan ett beslut fattas.
Den intresseavvägning som myndigheten enligt utredningen ska göra enligt den föreslagna bestämmelsen uppvisar stora likheter med en skadeprövning som ska föregå en utlämning. Det blir intressant att se om denna del av förslaget kommer att stå sig i den fortsatta beredningen av lagförslaget.
Utredningen föreslår att ändringarna i OSL ska träda i kraft den 1 januari 2022.
Utkontraktering och Cloud Act
Jag har i en tidigare expertkommentar berört några olika uppfattningar som förekommit i frågan om hur den amerikanska lagstiftningen Cloud Act påverkar möjligheterna för myndigheter att utkontraktera. Bland annat har Esams ståndpunkt – lite förenklat – varit att ett utlämnande till en tjänsteleverantör som omfattas av Cloud Act innebär att uppgifterna får anses vara röjda till utländsk myndighet.
Anledningen är att det inte längre är osannolikt att uppgifterna kan komma att lämnas till utomstående. Som jag också redogjort för, har denna uppfattning fått kritik från många håll och jag delar inte heller Esams uppfattning om gällande rätt.
Utredningen säger så här om utkontraktering och Cloud Act:
Det förhållandet att det finns en risk för att en privat tjänsteleverantör i enlighet med den lagstiftning som denne är bunden av (t.ex. US Cloud Act eller någon liknande reglering) kan bli tvungen att lämna ut uppgifter till en utländsk myndighet innebär inte att den svenska myndigheten handlar i strid med 8 kap. 3 § offentlighets- och sekretesslagen (2009:400) när den lämnar ut uppgifterna till tjänsteleverantören. Inte heller kan det bli fråga om ett otillåtet röjande enligt 8 kap. 3 § offentlighets- och sekretesslagen om tjänsteleverantören i ett senare skede lämnar ut uppgifterna till en utländsk myndighet.
Uttalandet är principiellt intressant och är logiskt. Anledningen till att det enligt utredningens bedömning inte kan bli fråga om ett otillåtet röjande enligt 8 kap. 3 § OSL om tjänsteleverantören lämnar ut uppgifterna till en utländsk myndighet i ett senare skede är att det endast är en sådan aktör som är bunden av OSL som kan vidta en åtgärd som leder till att uppgifter röjs.
Från ett praktiskt perspektiv innebär vidare uttalandet att utkontraktering till t.ex. leverantörer som ingår i en amerikansk koncern likställs med en utkontraktering som görs till en svensk leverantör i det hänseende som här är aktuellt.
Utkontraktering och röjande
Hur begreppet ”röjande” i OSL:s mening ska tolkas i en modern it-kontext har varit föremål för en livlig diskussion, inte minst i samband med frågan om hur utkontraktering förhåller sig till Cloud Act och andra liknande lagstiftningar.
Utredningen gör en noggrann analys av röjandebegreppet, tidigare utredningar, rättspraxis m.m. och kommer fram till slutsatsen att en myndighet som utkontrakterar it-drift har lämnat ut de uppgifter som omfattas av utkontrakteringen till tjänsteleverantören. Detta gäller oavsett om omständigheterna när uppgifterna tillgängliggjordes tjänsteleverantören var sådana att man – t.ex. pga. kryptering eller annan teknisk säkerhetsåtgärd – inte måste ha räknat med att tjänsteleverantören eller någon annan utomstående skulle komma att ta del av uppgifterna. Uppgifterna är, enligt utredningen, röjda enligt OSL eftersom ett utlämnande är en form av röjande.
Enligt rättspraxis på området, i huvudsak ett mål från Högsta domstolen (NJA 1991 s. 103) och ett från Arbetsdomstolen (AD 2019 nr 15), ska det avgörande vara om uppgiften har blivit tillgänglig för någon obehörig under sådana omständigheter att man måste räkna med att den obehörige kommer att ta del av uppgiften. Utredningens uppfattning skiljer sig således från den princip som kommit till uttryck i rättsfallen och sista ordet är förmodligen inte sagt i frågan.
Avslutningsvis använde Computer Sweden rubriken ”Utredningen landar i ett nja till molntjänster i offentlig sektor – Ygeman: ”snårigt”” när man beskrev utredningens slutsatser. Visst får man hålla med om att regleringen är komplex. Men att det som utredningen kommer fram till kan sammanfattas med ett ”nja till molntjänster i offentlig sektor” håller jag inte med om. Snarare får det ses som ett ytterligare viktigt steg på vägen för att underlätta myndigheters möjligheter att utkontraktera.
Jag följer självklart nästa steg i lagstiftningsärendet och återkommer med flera analyser i frågan längre fram.
Peter Nordbeck
Advokat, Advokatfirman Delphi
Kommentatorerna ansvarar för sina egna kommentarer