Myndigheternas utkontraktering av sin informationshantering – nya lagstiftningsinitiativ för att informationen ska kunna tillgängliggöras för leverantörerna utan att det strider mot sekretessbestämmelserna I OSL

Den 1 januari 2021 trädde den nya lagen (2020:914) om tystnadsplikt för leverantörer vid utkontraktering av teknisk bearbetning eller lagring av uppgifter i kraft.  Det föreligger även ett förslag till ny sekretessbrytande grund i offentlighets- och sekretesslagen (2009:400) (OSL) som ska gälla vid det allmännas utkontraktering av sin informationshantering. Både den nya lagen och förslaget motsvarar delar i det förslag Digitaliseringsrättsutredningen i mars 2018 lämnade i sitt betänkande (SOU 2018:25 – Juridik som stöd för förvaltningens digitalisering). Därefter lämnades i december 2020 ett delbetänkande av IT-driftsutredningen, SOU 2021:1 – Säker och kostnadseffektiv IT-drift, rättsliga förutsättningar för utkontraktering, där motsvarande sekretessbrytande grund ingår. Lagen och den nya sekretessbrytande grunden ska bidra till att myndigheterna ska kunna utkontraktera informationshantering utan att detta onödigtvis ska hindras av sekretess som gäller för sådana uppgifter som därigenom blir tillgängliga för de leverantörer som anlitas.

Att myndigheter och andra offentliga organisationer anlitar utomstående leverantörer för att sköta informationshanteringen är mycket vanligt. Eftersom leverantörerna är specialister på informationshantering och informationssäkerhet kan utkontrakteringen innebära att hanteringen sker på ett bättre, effektivare och säkrare sätt samtidigt som myndigheterna slipper att själva svara för den tekniska infrastrukturen, vidareutveckling av programvara eller framtagande av teknik för informationshanteringen. Detta gagnar även medborgarna i deras kontakter med samhället. Därtill är det viktigt att även våra myndigheter kan utnyttja fördelarna med utvecklingen på IT-området och tekniska lösningar som tas fram utan att detta ska behöva strida mot olika regelverk.

Den nya lagen om tystnadsplikt

Den nya lagen om tystnadsplikt för leverantörer vid det allmännas utkontraktering av teknisk bearbetning eller lagring av uppgifter (2020:914) gäller endast myndigheters eller därmed jämförliga aktörers utkontraktering av teknisk bearbetning eller lagring av information. De jämförliga aktörerna utgörs av sådana organisationer där det allmänna har ett bestämmande inflytande och vissa organisationer som räknas upp i en bilaga till OSL. Dit hör även olika privata aktörer inom skolväsendet, hälso- och sjukvården eller viss vård inom socialtjänsten där verksamheten till viss del finansieras genom det allmänna. Lagen gäller endast när det är privata leverantörer anlitas och även hos dennes underleverantör eller underleverantörer som underleverantörerna anlitar. Lagen är alltså inte tillämplig vid utkontraktering till andra myndigheter eller jämförliga aktörer och inte heller när privata aktörer utkontrakterar sin informationshantering. Information som dessa får tillgång till genom utkontrakteringen får inte obehörigen röjas. När den anlitade leverantören i sin tur anlitar en underleverantör innebär det att även denne kan få tillgång till informationen. Huruvida detta utgör ett behörigt röjande framgår dock inte (se t.ex. prop. 2019/20:201, sid. 25). Det betyder att personal hos var och en av dessa kan bli straffrättsligt ansvariga vid åsidosättanden av tystnadsplikten enligt lagen.

Tystnadsplikten enligt den nya lagen får bl.a. betydelse genom att den kan påverka utgången av den sekretessprövning och menbedömning som ska göras innan informationen görs tillgänglig för leverantörerna, så att utkontrakteringen kan ske utan att hindras av någon sekretess enligt OSL. Det finns dock en risk för att den nya lagen kan bli mer eller mindre verkningslös, eftersom de större leverantörerna ofta är amerikanska. Dessa leverantörer omfattas av amerikansk lagstiftning och den nya tillika svenska lagen gäller inte i USA. Tystnadsplikten kommer då inte att kunna åberopas eller läggas till grund för någon verkställighet utomlands.

Förslaget om ny sekretessbrytande grund

När det gäller förslaget till ny sekretessbrytande grund i en ny 10:2 a OSL har detta sin grund i att informationen kan omfattas av sekretess enligt olika bestämmelser i OSL. Innan utkontrakteringen kan ske behöver bl.a. två viktiga frågor uppmärksammas. Dels huruvida det blir ett röjande när informationen blir tillgänglig för leverantörerna, dels om röjandet kan anses tillåtet enligt sekretessbestämmelserna i OSL. När informationen blir tillgänglig för leverantören kan den även anses vara utlämnad eller röjd till denne. Det spelar därvid ingen roll om någon ur leverantörens personal faktisk har del av innehållet, eller om tillgången endast är teknisk, t.ex. via någon programvara hos leverantören (se t.ex. 22 kap. 2 § tryckfrihetsförordningen (1949:105), TF). Själva tanken bakom att göra en utkontraktering är ju att leverantören ska hantera informationen och då kan detta inte genomföras utan att denne får tillgång till denna. En utkontraktering kommer därför att i de allra flesta fall betyda att informationen blir utlämnad eller röjd.  Även ett sådant utlämnande eller röjande måste vara förenligt med sekretessreglerna i OSL. Frågor om när uppgifter kan anses utlämnade eller röjda har diskuterats i olika sammanhang inom juridiken. I vissa sammanhang har det anförts att ett utlämnande eller röjande inte skulle behöva anses föreligga om leverantören kan anses pålitlig ur sekretess- och säkerhetssynpunkt (t.ex. eSams rättsliga uttalanden om röjande och molntjänster, 2018-10-23, dnr/ref VER 2018:57 och om röjandebegreppet enligt offentlighets- och sekretesslagen, 2015-12-17, dnr/ref VER 2015:190). Detta betraktelsesätt verkar dock numera vara mer eller mindre överspelat i ljuset av de ställningstaganden som finns i de båda betänkandena, SOU 2018:25 och 2021:1, men även enligt förarbetena till den nya lagen om tystnadsplikt (prop. 2019/20:201). Där uppfattas tillgängliggörandet som ett utlämnande eller röjande och tolkningen är därmed inte lika flexibel eller extensiv.

OSL innehåller olika slags sekretessbestämmelser. Utgångspunkten är att allmänna handlingar omfattas av offentlighetsprincipen och ska lämnas ut (se TF 2:1). Undantag från offentlighetsprincipen gäller för uppgifter som omfattas av sekretess enligt lag. Om en uppgift omfattas av sekretess är det vanligtvis fråga om ett rakt skaderekvisit. Detta innebär att uppgifterna ska lämnas ut, om det inte finns skäl för att uppgiften ska hållas hemlig. För vissa särskilt känsliga uppgifter är det tvärtom, där ett omvänt skaderekvisit gäller. Sådana uppgifter får inte lämnas ut om det inte står klart att detta kan ske utan risk för någon skada. Det betyder att sekretess är utgångspunkten och uppgifterna endast får lämnas ut i undantagsfall. Några enstaka slags uppgifter omfattas av absolut sekretess där uppgifterna inte får lämnas ut oavsett om detta kan ske helt riskfritt. och då spelar det ingen roll att någon skada inte kan uppkomma, de får ändå inte lämnas ut. Inför en utkontraktering av informationshanteringen måste därför myndigheten först göra en sekretessprövning och menbedömning innan informationen kan göras tillgänglig för leverantörerna och det kan bli fråga om ett tillåtet utlämnande eller röjande.

Enligt nuvarande bestämmelser i OSL måste således först göras en sekretessprövning och menbedömning innan hanteringen kan utkontrakteras. Möjligheten att komma fram till att detta kan ske är betydligt större när det är fråga om sekretess med ett rakt skaderekvisit än när ett omvänt skaderekvisit eller absolut sekretess gäller. Om en ny sekretessbrytande grund införs i enlighet med vad som föreslås skulle någon sådan sekretessprövning eller menbedömning inte längre behövas inför utkontrakteringen. Därmed skulle utkontrakteringen i fortsättningen kunna ske i enlighet med den sekretessbrytande grunden utan att hindras av någon sekretess enligt övriga bestämmelser i OSL.

Avslutningsvis

Den nya lagen om tystnadsplikt för de privata leverantörerna och förslaget om ny sekretessbrytande grund i OSL är två åtgärder som behövs för att åstadkomma att myndigheter och liknande offentliga aktörer kan utkontraktera sin informationshantering utan att detta behöver innebära att sekretessbestämmelserna åsidosätts. Emellertid betyder inte detta att det blir fritt fram att tillgängliggöra informationen för de anlitade leverantörerna. Även fortsättningsvis kommer en bedömning av risker och tänkbara skadeverkningar att krävas innan utkontrakteringen kan ske. Bedömningen kommer dock att underlättas med de nya lagstiftningsåtgärderna på plats. Samtidigt måste myndigheterna även fortsättningsvis vara uppmärksamma på att tekniska lösningar inte automatiskt blir lagliga bara för att de råkar vara bra. Därtill måste bedömas om en utkontraktering av den aktuella informationshanteringen är säker och i övrigt lämplig, utöver om lösningen råkar vara både bra och laglig.

Det återstår därmed att se om de nya lagstiftningsåtgärderna kommer på plats i någorlunda närtid och huruvida detta kommer att innebära att myndigheter eller andra jämförbara aktörer kommer att kunna utnyttja teknikens olika fördelar utan att riskera att hamna i konflikt med regelverken.