Säker och kostnadseffektiv it-drift – rättsliga förutsättningar för utkontraktering (SOU 2021:1)

Sammanfattning

• Digg tillstyrker förslagen i delbetänkandet och instämmer i huvudsak i de bedömningar som utredningen gör. Digg vill därutöver framföra följande synpunkter.
• Digg påtalar att den föreslagna sekretessbrytande bestämmelsens tillämpningsområde kan vara för snäv och att detta tillsammans med delbetänkandets tolkning av röjande inte går att utesluta att offentliga aktörers digitala utveckling kan komma att hämmas. Digg efterfrågar en mer omfattande konsekvensanalys för detta.
• Digg ifrågasätter bedömningen att krypterade uppgifter alltid ska anses som utlämnande och därmed röjda utifrån offentlighets- och sekretesslagen (OSL).
• Digg ifrågasätter om intresseavvägningen i förslaget (i det följande endast benämnd intresseavvägningen) kommer få avsedd effekt samt har uppmärksammat vissa svårigheter med att tillämpa en sådan bestämmelse.
• Digg uppmärksammar att flera avsnitt i delbetänkandet lämnar ett sådant tolkningsutrymme att möjligheterna för utkontraktering även fortsättningsvis kan bli svårbedömda. Förtydliganden kan därför behöva göras i det fortsatta lagstiftningsarbetet alternativt i utredningens slutbetänkande, i det fall bedömningarna är av betydelse för kommande ställningstaganden och/eller förslag.

Generella synpunkter

Digg är positiv till att omtvistade rättsfrågor i samband med utkontraktering blir belysta och att ändamålsenliga regelverk tas fram för att stödja den offentliga förvaltningens digitalisering. Den digitala mognaden och den rättsliga kapaciteten bland offentliga aktörer varierar. Rättsliga frågor blir mer komplexa i samband med en ökad digitalisering där utkontraktering blir allt vanligare. Det är därför viktigt att frågorna utreds och att regler ändras där det behövs. I enlighet med vad delbetänkandet beskriver har olika privata- och offentliga aktörer gjort olika tolkningar av rättsområden som får direkt inverkan på offentliga aktörers möjligheter till utkontraktering. En viktig väg framåt för en hållbar utkontraktering och digitalisering är därför att samstämmighet råder i tolkningarna inom fundamentala rättsfrågor, såsom röjande inom OSL och tredjelandsöverföringar inom dataskyddsförordningen (GDPR). Detta är också viktigt för en fortsatt digital samverkan och för utvecklingen av den förvaltningsgemensamma digitala infrastrukturen.

Digg vill, mot bakgrund av utredningens syfte, uppmärksamma att flera avsnitt i delbetänkandet lämnar ett sådant tolkningsutrymme att möjligheterna för utkontraktering även fortsatt kan bli svårbedömda. Att utfallet av olika aktörers tolkningar av delbetänkandet även fortsättningsvis kan komma att variera. Som exempel kan nämnas intresseavvägningen, vad som omfattas av begreppen teknisk lagring och bearbetning, definitionen av personuppgiftsbehandling och således tredjelandsöverföring, krypteringar och när en uppgift kan anses som röjd. Förtydliganden kan därför behöva göras i det fortsatta lagstiftningsarbetet alternativt i utredningens slutbetänkande, i det fall bedömningarna är av betydelse för kommande ställningstaganden och/eller förslag.

7.4.3 Vad avses med en tredjelandsöverföring av personuppgifter?

Digg delar delbetänkandet bedömning av begreppet tredjelandsöverföring.

Digg uppfattar att tolkningen av begreppet tredjelandsöverföring som görs i delbetänkandet har varit svår att tyda inom offentlig förvaltning. Digg tolkar delbetänkandets definition av tredjelandsöverföring, i avsnitt 7.4.3, som att så snart personuppgifter behandlas genom användning av utrustning i tredjeland, oavsett hur lång eller kort tid, anses personuppgifter överförda till tredjeland. Digg uppfattar därför att direktåtkomst i tredjeland till datahall inom EU/EES kan utgöra en personuppgiftsbehandling, även om direktåtkomsten i och för sig inte nyttjas av part i tredjeland.

8.9. Röjandebegreppet

Digg instämmer i stora delar med delbetänkandets tolkning av röjandebegreppet.

Digg påtalar att konsekvenserna av den bedömning som görs i delbetänkandet kan medföra svårigheter vid utkontraktering inom vissa områden, vilket kan hämma den digitala utvecklingen hos offentliga aktörer. Digg efterfrågar en mer omfattande konsekvensanalys för detta.

10. En sekretessbrytande bestämmelse

Digg tillstyrker förslaget i delbetänkandet om en sekretessbrytande bestämmelse.

Digg påtalar dock att den föreslagna sekretessbrytande bestämmelsens utformning kan vara för snäv och att det inte går utesluta att offentliga aktörers digitala utveckling kan komma att hämmas. Dels kan det uppfattas som oklart vad som inryms i begreppen teknisk lagring och bearbetning, dels kan utkontraktering avse mer än vad den föreslagna sekretessbrytande bestämmelsen medger.

Digg uppfattar att den föreslagna intresseavvägningen till den sekretessbrytande bestämmelsen är svår att tillämpa. Inte bara att det finns risk för tolkningsskillnader mellan offentliga aktörer, det finns också en risk för en felaktig tillämpning av intresseavvägningen. Som exempel, att en leverantör har en betydande mängd underleverantörer, utgör detta en omständighet som till följd av tystnadspliktsförbindelsens omfång och tillämpning innebär att utkontraktering är otillåten, eller är detta en omständighet som myndighetens förväntas tillmäta betydelse vid en intresseavvägning. En annan tillämpningssvårighet är om sekretessens styrka åsidosätts genom den föreslagna sekretessbrytande bestämmelsen som sådan (enligt första stycket), eller om sekretessens styrka ska tillmäta betydelse vid intresseavvägningen (i andra stycket). Om det senare är avsett, är det svårt att förutse vilket ingångsvärde sekretessens karaktär ska tillmätas inför en intresseavvägning.

Digg ifrågasätter delbetänkandets bedömning, i avsnitt 10.1.4, om att uppgifter oavsett kryptering alltid skulle betraktas som utlämnade och därmed röjda. Även om det idag inte finns krypteringsåtgärder som kan säkerställa ett absolut skydd mot röjande torde i vart fall delbetänkandet lämna utrymme för en framtida sådan teknik. Att enskilda i digitala situationer kan bereda sig åtkomst genom brottsliga gärningar borde bedömas lika som vid analoga, jfr. att stjäla någons post. Konsekvensen av att inte förhålla sig mer teknikneutralt riskerar att hämma den digitala utvecklingen, inte bara vid ren utkontraktering utan även vid digitala utlämnanden och nyttjande av on-premises-lösningar.

Detta yttrande har beslutats av generaldirektören Anna Eriksson. I den slutliga handläggningen har också leveransområdeschefen Annika Bränström, IT-chefen Tomas Stenlund och chefsjuristen Linn Kempe deltagit. Föredragande har varit juristen Johan Ström.