ebook img

Molntjänster i staten : en ny generation av outsourcing. Bilaga 1 : Juridisk analys PDF

62 Pages·2016·0.724 MB·Swedish
by  coll.
Save to my drive
Quick download
Download
Most books are stored in the elastic cloud where traffic is expensive. For this reason, we have a limit on daily download.

Preview Molntjänster i staten : en ny generation av outsourcing. Bilaga 1 : Juridisk analys

Juridisk analys 1 Innehåll Bilaga 1 Juridisk analys av myndigheters informationshantering i molnet .............................................................................................................. 5 1.1 Offentlighets- och sekretesslagstiftningen ....................................... 5 1.1.1 Offentlighets- och sekretesslagen .................................................. 5 1.1.2 Allmänt om offentlighets- och sekretesslagen och molntjänster ......... 6 1.1.3 Skaderekvisit och skadeprövning ................................................... 6 1.1.3.1 Rakt skaderekvisit ....................................................................... 6 1.1.3.2 Omvänt skaderekvisit................................................................... 7 1.1.3.3 Schabloniserad skadeprövning vid massutlämnande ........................ 7 1.1.3.4 Röjandebegreppet ....................................................................... 7 1.1.3.5 Straffsanktionerad och avtalsreglerad tystnadsplikt ......................... 8 1.1.4 E-delegationens förstudie Sekretess vid outsourcing ........................ 9 1.1.4.1 Prövning av skaderekvisit och röjandebegreppet ............................. 9 1.1.4.2 Kan E-delegationens tolkningar tillämpas av en myndighet som avser att anlita en molntjänstleverantör? .................................................... 10 1.1.5 Sekretessbrytande bestämmelser ................................................. 11 1.1.5.1 Nödvändigt utlämnande, 10 kap. 2 § OSL ...................................... 11 1.1.6 Teknisk bearbetning och lagring ................................................... 13 1.1.7 Sammanfattning offentlighets- och sekretesslagstiftningen .............. 14 1.1.7.1 Sekretessregleringen .................................................................. 14 1.1.7.2 Vilka förutsättningar ger offentlighets- och sekretesslagen att anlita en molntjänstleverantör? ................................................................. 15 1.1.7.3 Allmänna handlingar – teknisk bearbetning och lagring ................... 15 1.2 Säkerhetsskyddslagstiftningen ..................................................... 16 1.2.1 Informationssäkerhet .................................................................. 16 1.2.2 Säkerhetsprövning ...................................................................... 16 1.2.3 Säkerhetsskyddad upphandling .................................................... 17 1.2.4 Sammanfattning säkerhetsskyddslagstiftningen.............................. 17 1.3 Integritetsskyddslagstiftningen ..................................................... 18 1.3.1 Personuppgiftslagen .................................................................... 18 1.3.2 Personuppgifter .......................................................................... 19 1.3.3 Personuppgiftsansvarig och personuppgiftsbiträde .......................... 20 1.3.4 Personuppgiftsbiträdesavtal ......................................................... 21 1.3.4.1 Underleverantörer som personuppgiftsbiträden .............................. 22 1.3.5 Säkerheten för personuppgifter .................................................... 23 2 1.3.5.1 Underleverantörer ...................................................................... 25 1.3.5.2 Kontroll genom tredjepartsrevision ............................................... 25 1.3.6 Tillåten behandling ..................................................................... 25 1.3.6.1 Ändamålen med behandling av personuppgifter och finalitetsprincipen25 1.3.6.2 Laglig behandling ....................................................................... 26 1.3.7 Överföring av personuppgifter till tredje land ................................. 27 1.3.7.1 EU-kommissionens beslut om adekvat skyddsnivå .......................... 29 1.3.7.2 Safe Harbor-principerna .............................................................. 29 1.3.7.3 EU-kommissionens standardavtalsklausuler ................................... 31 1.3.7.4 Datainspektionens beslut i enskilda fall ......................................... 34 1.3.7.5 Binding Corporate Rules – Företagsinterna regler ........................... 35 1.3.8 Förhållandet mellan tryckfrihetsförordningen, offentlighets- och sekretesslagen och personuppgiftslagen ........................................ 35 1.3.9 Sammanfattning integritetsskyddslagstiftningen ............................. 36 1.4 Arkivlagstiftningen ...................................................................... 37 1.4.1 God offentlighetsstruktur ............................................................. 37 1.4.2 Arkivlagen ................................................................................. 38 1.4.3 Särskilt om elektroniska handlingar .............................................. 39 1.4.4 Sammanfattning arkivlagstiftningen .............................................. 39 1.5 Upphandlingslagstiftningen .......................................................... 40 1.5.1 Val av upphandlingsförfarande ..................................................... 40 1.5.2 Kravställning .............................................................................. 42 1.5.3 Ändringar i tilldelade kontrakt ...................................................... 43 1.5.4 Sammanfattning upphandlingslagstiftningen .................................. 44 1.6 Soft Law – instrument för självreglering ........................................ 44 1.7 Förslag och utredningar som kan påverka myndigheters användning av molntjänster .............................................................................. 46 1.7.1 EU:s dataskyddsreform ............................................................... 46 1.7.2 Myndighetsdatalag (SOU 2015:39) ............................................... 46 1.7.2.1 Säkerhet vid behandlingen........................................................... 47 1.7.2.2 Personuppgiftsbiträde ................................................................. 47 1.7.2.3 Korrigering av felaktiga personuppgifter eller annars otillåten behandling ................................................................................................ 48 1.7.3 En ny säkerhetsskyddslag (SOU 2015:25) ..................................... 48 1.7.4 Informations- och cybersäkerhet i Sverige (SOU 2015:23) .............. 49 1.7.5 En ny upphandlingslagstiftning ..................................................... 50 1.8 Att teckna avtal med en molntjänstleverantör ................................ 51 3 1.8.1 Avtal ......................................................................................... 51 1.8.1.1 Avtalsparter ............................................................................... 52 1.8.1.2 Vad kan ingå i ett avtalspaket?..................................................... 53 1.8.1.3 Avtalsvillkor som bör uppmärksammas särskilt............................... 53 1.8.2 Sammanfattning avtal ................................................................. 56 1.9 Risker med att hantera myndighetsinformation i andra länder .......... 57 1.10 Avslutande sammanfattning ......................................................... 58 Källförteckning .................................................................................... 60 Lag, förordning, direktiv mm samt kommentarer till lag................................ 60 Mål och Beslut ......................................................................................... 60 Propositioner ........................................................................................... 61 4 Bilaga 1 Juridisk analys av myndigheters informations- hantering i molnet Syftet med att placera den juridiska analysen i en bilaga är att på ett mer utförligt sätt kunna redogöra för vilka juridiska förutsättningar som måste vara uppfyllda för att en myndighet ska kunna hantera sin information i en molntjänst. Genomgången av relevanta författningar har emellertid inga ambitioner att vara uttömmande eftersom varje myndighet alltid, utifrån omständigheterna i det specifika fallet, måste utreda vilka lagar och regler som är tillämpliga vid myndighetens hantering av sin informa- tion. Urvalet av de lagar som analyseras här har gjorts mot bakgrund av att de i princip alltid aktualiseras när en myndighet avser att hantera sin information i en molntjänst. Trots bilagans omfattande sidantal innehåller redogörelsen i stort sett bara de bestäm- melser i respektive lag som är särskilt relevanta i förhållande till molntjänster. Framställningen följer i stora drag den legala prövning en myndighet behöver göra vid en bedömning av om det är lagligt och lämpligt att behandla en viss typ av informa- tion i en molntjänst. 1.1 Offentlighets- och sekretesslagstiftningen En myndighet som anlitar en utomstående aktör, t.ex. en molntjänstleverantör, för att bearbeta, lagra eller på annat sätt hantera myndighetens information måste pröva om det är tillåtet att lämna ut informationen till leverantören i fråga och vilka eventuella konsekvenser ett utlämnande kan få. Utlämnandet måste vara förenligt med gällande sekretesslagstiftning för att vara lagligt. Vidare måste myndigheten ta ställning till om handlingarnas status kan komma att förändras i och med att de lämnas ut till en utomstående part. 1.1.1 Offentlighets- och sekretesslagen Offentlighets- och sekretesslagen (2009:400, OSL) avser att ge en gemensam reglering av handlingssekretess och tystnadsplikt i den offentliga verksamheten. Sekretess innebär inte bara begränsningar av rätten att ta del av allmänna handlingar utan även ett förbud att röja en uppgift, oavsett om det görs muntligen, genom utlämnande av allmän handling eller på något annat sätt. Sekretessbestämmelserna i offentlighets- och sekretesslagen gäller således inte bara för uppgifter i allmänna handlingar, utan även för uppgifter som finns hos en myndighet i sådana handlingar som ännu inte har blivit allmänna. Röjandeförbudet aktualiseras därmed även för sekretessbelagda uppgifter i exempelvis arbetsmaterial, utkast och andra dokument som varken har expedierats eller på annat sätt kommit att bli upprättade i tryckfrihets- förordningens mening. För uppgifter som finns i handlingar som inte är allmänna är handlingssekretessen och tystnadsplikten dessutom inte tidsbegränsad. Sekretess gäller som huvudregel inte bara i förhållande till enskilda utan också mellan myndigheter samt inom en myndighet, om där finns olika verksamhetsgrenar som är att betrakta som självständiga i förhållande till varandra, 8 kap. 1 och 2 §§ OSL. Sekretess gäller även i förhållande till utländska myndigheter och mellanfolkliga organisationer, 8 kap. 3 § OSL. Sekretessbelagda uppgifter får inte röjas för utomstående, om inte annat anges i offentlighets- och sekretesslagen eller i lag eller förordning som offentlighets- och sekretesslagen hänvisar till. Detta gäller oavsett syftet bakom utlämnandet och oavsett om utlämnandet ska ske till en enskild person, ett företag eller en myndighet. Det 5 saknar betydelse om utlämnandet görs till en extern aktör som inte behöver ta del av innehållet i den information som görs tillgänglig, men det är oundvikligt att detta ändå kan komma att ske. 1.1.2 Allmänt om offentlighets- och sekretesslagen och molntjänster En myndighet som har för avsikt att hantera sin information i en molntjänst måste göra vissa särskilda avvägningar. Vid en sekretessprövning är det t.ex. inte tillräckligt att myndigheten enbart prövar om sekretess gäller gentemot molntjänstleverantören. Myndigheten måste också ta ställning till om sekretess gäller gentemot eventuella underleverantörer som anlitas av molntjänstleverantören. Det kan antas vara förenat med stora svårigheter, om ens möjligt, för en utlämnande myndighet att göra en sådan bedömning i flera led. Generellt sett har en myndighet små möjligheter till insyn och kontroll av en molntjänstleverantörs hantering av myndighetens information. Detta gäller i synnerhet när informationen hanteras av globala molntjänstleverantörer. Om molntjänstleverantören dessutom använder sig av underleverantörer blir myndighetens möjlighet till insyn och kontroll i det närmaste obefintlig. Om molntjänstleverantören kommer att lagra informationen utanför Sveriges gränser måste myndigheten också beakta att andra länders myndigheter, med stöd i sin egen nationella rättsordning, kan få åtkomst till informationen som lagras i det aktuella landet. Myndigheten måste därför ta ställning till om ett sådant potentiellt tillgänglig- görande är förenligt med gällande sekretessbestämmelser. Beroende på vilket uppdrag en molntjänstleverantör har för hanteringen av myndig- hetens information behöver myndigheten också ta ställning till om överföringen av uppgifter till leverantören innebär att handlingarna kommer att anses som expedierade och därmed upprättade, allmänna handlingar i tryckfrihetsförordningens (TF) mening. Om molntjänstleverantören utför annan behandling än enbart teknisk lagring eller bearbetning kan överföringen av information medföra att handlingar som tidigare inte varit allmänna hos myndigheten ändrar status. I det följande redogörs för de allmänna och särskilda avvägningar i förhållande till sekretess m.m. som en myndighet måste göra vid användningen av molntjänster. 1.1.3 Skaderekvisit och skadeprövning Vid sekretessreglernas utformning har man strävat efter att inte ge sekretessen större omfattning än nödvändigt. Sekretessen är till för att skydda vissa intressen och den bör gälla endast i den mån offentlighet skulle äventyra dessa intressen. Sekretessens styrka bestäms i regel med hjälp av ett s.k. skaderekvisit. Man skiljer i detta sammanhang mellan raka och omvända skaderekvisit. Vid rakt skaderekvisit är utgångspunkten att uppgiften är offentlig och att sekretess gäller bara om det kan antas att en viss skada uppstår om uppgiften lämnas ut. Vid omvänt skaderekvisit är utgångspunkten den motsatta, dvs. att uppgiften är sekretessbelagd. Uppgiften får då lämnas ut endast om det står klart att uppgiften kan röjas utan att viss skada uppstår. Sekretessen kan även vara absolut, vilket innebär att de uppgifter som omfattas av bestämmelsen ska hemlighållas utan någon skadeprövning, om uppgifterna begärs ut. 1.1.3.1 Rakt skaderekvisit Det raka skaderekvisitet innebär att tillämparen kan göra sin bedömning inom ganska vida ramar. Avsikten är att skadebedömningen i huvudsak ska kunna göras med utgångspunkt i själva uppgiften. Det innebär att frågan huruvida sekretess gäller eller inte i första hand inte behöver knytas till en skadebedömning i det enskilda fallet. 6 Avgörande bör istället vara om uppgiften som sådan är av den arten att ett utlämnande typiskt sett kan vara ägnat att medföra skada för det intresse som ska skyddas genom bestämmelsen. Om uppgiften är sådan att den genomsnittligt sett måste betraktas som harmlös, ska den alltså normalt anses falla utanför sekretessen. Avgörande betydelse bör som regel tillmätas arten av den uppgift som efterfrågas. Konstruktionen med skaderekvisit innebär emellertid att även vem som begär en uppgift eller ändamålet med begäran kan få betydelse när sekretessfrågan prövas.1 1.1.3.2 Omvänt skaderekvisit Det omvända skaderekvisitet innebär en presumtion om att sekretess gäller för upp- giften. Att sekretess gäller, om det inte står klart att uppgiften kan röjas utan skada, betyder att tillämparen har ett ganska begränsat utrymme för sin bedömning. I praktiken innebär detta att tillämparen många gånger inte kan lämna ut en uppgift som omfattas av en sådan sekretessregel utan att ha kännedom om mottagarens identitet och dennes avsikter med uppgifterna.2 1.1.3.3 Schabloniserad skadeprövning vid massutlämnande När det gäller utlämnande av en stor mängd uppgifter till en molntjänstleverantör är det av naturliga skäl inte möjligt för en tjänsteman att bilda sig en uppfattning om den särskilda skaderisk som kan vara förbunden med en enskild uppgift. Vid ett sådant massutlämnande torde myndigheten å andra sidan ha kännedom om mottagaren av uppgifterna. Den utlämnande myndigheten kan vid skadeprövningen därför väga in vilket sekretesskydd uppgifterna ifråga kommer att åtnjuta hos mottagaren. Dessa kunskaper i förening med en bedömning av den skaderisk som typiskt sett är förbun- den med de aktuella uppgifterna bör i många fall ge fullt tillräckligt underlag för bedömningen av om sekretessregleringen ska anses hindra ett utlämnande eller inte.3 En myndighets möjlighet till schabloniserad skadeprövning i förhållande till moln- tjänstleverantörer försvåras avsevärt när leverantören anlitar egna underleverantörer. Myndighetens prövning måste i dessa fall omfatta samtliga aktörer som kommer att ta del av uppgifterna. 1.1.3.4 Röjandebegreppet Av 2 kap. 1 § OSL följer att det är förbjudet för myndigheter och för vissa uppräknade personer, som har tystnadsplikt, att röja eller utnyttja uppgifter som är sekretess- belagda enligt offentlighets- och sekretesslagen. Innebörden av att röja en uppgift kan kopplas till definitionen av begreppet sekretess i 3 kap. 1 § OSL, vilka sekretessen gäller mot enligt 8 kap. 1 § OSL och rekvisiten i 20 kap. 3 § brottsbalken (BrB) om brott mot tystnadsplikten. Förbudet att röja en uppgift gäller oavsett om uppgiften i fråga förekommer i en allmän handling eller inte. Högsta domstolen har i ett rättsfall gått närmare in på vad som krävs för att en uppgift ska anses vara röjd.4 HD uttalade att uttrycket ”röjer uppgift” enligt vanligt språkbruk innebär att en uppgift avslöjas eller uppenbaras. Detta förutsätter att det finns någon 1 Prop. 1979/80:2 Del A s. 80-81. 2 Prop. 1979/80:2 Del A s. 82. 3 Prop. 1979/80:2 Del A s. 81. 4 NJA 1991 s. 103. 7 person, för vilken uppgiften görs tillgänglig. Det torde dock inte alltid kunna krävas att denne faktiskt har fått kännedom om uppgiften. Det bör sålunda som regel vara tillräckligt att en handling med hemliga uppgifter har kommit i någon obehörigs besittning. Även vissa andra närliggande situationer bör omfattas. Däremot kan inte varje möjlighet att ta del av en uppgift, som har beretts någon obehörig, medföra att uppgiften ska anses ha röjts. Avgörande för straffansvar bör främst vara om uppgiften har blivit tillgänglig för någon under sådana omständigheter, att man måste räkna med att den obehörige kommer att ta del av uppgiften. 1.1.3.5 Straffsanktionerad och avtalsreglerad tystnadsplikt Den som omfattas av tystnadsplikt som har författningsstöd, t.ex. enligt offentlighets- och sekretesslagen, och som felaktigt röjer en uppgift kan i vissa fall dömas för brott mot tystnadsplikten. Straffbestämmelsen finns i 20 kap. 3 § BrB. När uppgifter lämnas ut till en privaträttslig aktör, t.ex. en molntjänstleverantör, torde det vara sällsynt att personalen omfattas av en straffsanktionerad tystnadsplikt. Här får myndigheten i stället förlita sig på en avtalsreglerad tystnadsplikt. I förarbetena till den tidigare gällande sekretesslagen (1980:100) anfördes bl.a. följande angående avtalsreglerad tystnadsplikt för en mottagare som t.ex. behandlar uppgifter för en myndighets räkning. Mot bakgrund av det anförda kan konstateras att t.ex. personal från en kontorist- förening eller ett bevakningsföretag som regel inte torde vara bundna av sekretess- lagen. Jag vill emellertid erinra om att det oftast är möjligt att undvika olägenheter som kan uppkomma till följd härav antingen genom att det enskilda företaget sluter avtal med sina anställda om tystnadsplikt eller genom att en myndighet ställer upp förbehåll om att uppgifter som arbetstagare som inte är offentliga funktionärer får kännedom om i sin verksamhet inte får röjas för utomstående (jfr 14 kap. 9 § SekL).5 Detta förfarande kan tillämpas t.ex. när en myndighet anlitar en skrivbyrå för utskrift av handlingar som innehåller sekretessbelagda uppgifter.6 JO har i ett beslut från 2014 tagit ställning till frågan om en avtalsreglerad tystnadsplikt var tillräcklig för att ett landsting skulle kunna lämna ut enskildas patientuppgifter till en privaträttslig aktör. JO uttalade följande i sin bedömning. Jag bedömer att risken för att patientuppgifter – som ofta är av mycket integritets- känsligt slag – felaktigt lämnas ut är större när den personal som behandlar uppgifterna inte arbetar under en straffsanktionerad tystnadsplikt. Det är därmed enligt min mening tydligt att journalföring enligt avtalen innebär att patientuppgifter har ett svagare skydd än om personal som har tystnadsplikt enligt OSL utför journal- föringen. Mot bakgrund av det nu anförda anser jag att varken den avtalsreglerade tystnads- plikten som gäller för biträdets personal eller den form av tystnadsplikt som följer av regleringen i PuL medför att det kan anses stå klart att patientuppgifter kan lämnas ut 5 Motsvaras i OSL av 10 kap. 14 §, utlämnande med förbehåll. 6 Prop. 1981/82:186 s. 41-42. 8 till företagets personal för journalföring utan att den enskilde eller någon närstående lider men.7 Av det ovan anförda kan man dra slutsatsen att uppgifter som är av mycket integritets- känsligt slag är sekretessbelagda i förhållande till en molntjänstleverantör, vars personal enbart omfattas av en avtalsreglerad tystnadsplikt. När en avtalsreglerad tystnadsplikt kan antas vara tillräcklig i övrigt torde få avgöras med beaktande av omständigheterna i varje enskilt fall. En försvårande omständighet vid utlämnande av uppgifter till en molntjänstleverantör är givetvis om leverantören anlitar egna under- leverantörer för hanteringen av uppgifterna. I sådana fall måste avtal om krav på tystnadsplikt för personalen slutas med samtliga aktörer som kan komma att hantera uppgifterna i fråga, vilket sannolikt är mycket svårt att genomföra i praktiken, i synnerhet om informationen hanteras utanför Sveriges gränser. Myndigheten har dessutom ytterst små möjligheter att kontrollera att avtalsvillkoren faktiskt efterlevs. 1.1.4 E-delegationens förstudie Sekretess vid outsourcing E-delegationen har i en förstudie8 utrett i vilken mån sekretesslagstiftningen begränsar myndigheters möjligheter att göra sekretessreglerade uppgifter tillgängliga för en tjänsteleverantör i samband med outsourcing. I förstudien framhåller E-delegationen att offentlighets- och sekretesslagen kan tolkas på ett sätt som ger ett relativt och normalt sett tillräckligt stort utrymme för att utlämnanden till tjänsteleverantörer ska kunna ske, under förutsättning att tjänsteavtalet tydligt anger leverantörens befogen- heter och skyldigheter i fråga om tystnadsplikt, behandling av personuppgifter, rätten att ta del av information och egenkontroll av överträdelser. E-delegationen poängterar att det inte finns några prejudicerande rättsfall eller vägledande förarbetsuttalanden som tydliggör exakt i vilka avseenden eller under vilka omständigheter som gällande rätt hindrar ett utlämnande av sekretessreglerade uppgifter till en tjänsteleverantör i samband med outsourcing. Rättsläget måste därför i någon mån, i vissa avseenden, bedömas som osäkert.9 I det följande redogörs för hur E-delegationen har tolkat sekretesslagstiftningens begränsningar och möjligheter vid utlämnande av sekretessreglerade uppgifter till en tjänsteleverantör. Det är dock viktigt att framhålla att E-delegationens tolkningar enbart avser utlämnande av uppgifter till en tjänsteleverantör som är etablerad i Sverige och som hanterar informationen inom landets gränser. E-delegationen har inte heller tagit ställning till hur en sekretessbedömning påverkas av det förhållandet att en tjänsteleverantör använder sig av underleverantörer för hanteringen av myndighetens information. 1.1.4.1 Prövning av skaderekvisit och röjandebegreppet Inför ett utlämnande av sekretessreglerade uppgifter måste myndigheten pröva om sekretessen gäller gentemot mottagaren, dvs. den aktuella leverantören. Om sekre- tessen är reglerad utan skaderekvisit gäller s.k. absolut sekretess, vilket innebär att uppgifterna kan röjas endast med stöd av en sekretessbrytande bestämmelse. Om den aktuella sekretessbestämmelsen däremot är försedd med skaderekvisit ska myndig- 7 JO:s beslut den 9 september 2014, dnr 3032-2011. 8 Sekretess vid outsourcing – en förstudie, Fi 2009:01/2015/4, 2015-03-19. 9 A.a. s. 8-9. 9 heten göra en sekretessprövning, dels utifrån den skaderisk som typiskt sett är för- bunden med uppgifter av det slag som avses, dels med beaktande av de kunskaper som myndigheten har om mottagaren, dvs. hur denne kommer att hantera uppgifterna och vilken spridningsrisk som finns. En aspekt som enligt JO är särskilt viktig att beakta vid denna sekretessprövning är huruvida leverantören omfattas av en tystnadsplikt som är straffsanktionerad.10 När det gäller sådana sekretessreglerade uppgifter om enskilda som inte kan anses vara av särskilt integritetskänsligt slag anser E-delegationen att utgångspunkten vid sekretessprövningen bör vara att en avtalsreglerad tystnadsplikt räcker för att man ska kunna konstatera att skaderekvisitet inte är uppfyllt och att sekretess därmed inte gäller gentemot tjänsteleverantören. På motsvarande sätt bör en avtalsreglerad tystnadsplikt i normalfallet ge ett tillräckligt skydd för sådana uppgifter som sekretess- reglerats till skydd för allmänna eller kommersiella intressen, med undantag för vissa uppgifter som har ett särskilt uttalat skyddsbehov med hänsyn till Sveriges inter- nationella relationer eller rikets säkerhet.11 För den sistnämnda typen av särskilt känsliga uppgifter, liksom för vissa särskilt skyddsvärda uppgifter om enskildas personliga förhållanden, kan det däremot antas att sekretess skulle anses gälla gentemot en tjänsteleverantör, om utförarens personal varken omfattas av en straffsanktionerad tystnadsplikt eller av någon motsvarande straffsanktionerad befogenhetsinskränkning.12 Om det kan konstateras att en planerad outsourcing kräver ett tillgängliggörande av uppgifter för vilka sekretess gäller även gentemot tjänsteleverantören, måste myndig- heten ta ställning till om uppgifterna kommer att göras tillgängliga på ett sådant sätt att uppgifterna kan anses vara ”röjda” i offentlighets- och sekretesslagens mening. Enligt E-delegationens uppfattning bör det i vart fall inte betraktas som ett röjande i offentlighets- och sekretesslagens mening om en hemlig uppgift har gjorts tillgänglig för en utomstående på ett sådant sätt att det förefaller osannolikt att mottagaren faktiskt tar del av uppgifterna. Vid outsourcing av exempelvis it-drift skulle en sådan situation kunna föreligga om tjänsteavtalet har försetts med ett tydligt förbud för leverantören och dennes personal att ta del av den information som hanteras i systemen, krav på kontrollmekanismer och kännbara civilrättsliga sanktioner vid överträdelser.13 1.1.4.2 Kan E-delegationens tolkningar tillämpas av en myndighet som avser att anlita en molntjänstleverantör? Det är inte möjligt att på ett enhetligt sätt beskriva molntjänstleverantörer. En moln- tjänstleverantör kan vara en nationell aktör, utan underleverantörer, med ett fåtal anställda och där all hantering av informationen sker inom Sveriges gränser. En molntjänstleverantör kan också vara en global aktör, med datacenter utspridda över 10 A.a. s. 4, (E-delegationen förespråkar att även andra straffrättsliga bestämmelser ska kunna beaktas vid bedömningen av om uppgifter kan anses åtnjuta ett tillförlitligt skydd hos en privaträttslig mottagare. De exempel som ges torde dock inte vara aktuella vid utlämnande av uppgifter till molntjänstleverantörer varför de har utelämnats här). 11 A.a. s. 5. 12 A.a. s. 5-6. 13 A.a. s. 6-7. 10

See more

The list of books you might like

Most books are stored in the elastic cloud where traffic is expensive. For this reason, we have a limit on daily download.