Ny lag om tystnadsplikt vid IT-outsourcing

Digitalisering av offentlig sektor kan innebära att information betraktas som röjd i lagens mening.

Vid digitalisering av offentlig sektor finns det en gordisk knut; när en uppgift som skyddas av sekretess enligt offentlighets- och sekretesslagen ska betraktas som röjd i lagens mening. När information ska betraktas som röjd är nämligen allt annat än klart. För att sammanfatta en mångårig och snårig juridisk diskussion: det är sannolikt inte nödvändigt att en utomstående faktiskt tagit del av en sekretesskyddad uppgift för att den ska anses röjd. Viss risk för att någon har tagit del av information är sannolikt tillräckligt. [1]

Det finns i grund och botten två lösningar på detta problem: (1) klargöra (genom lag eller domstolspraxis) hur ett röjande av information sker eller, (2) skapa en möjlighet för myndigheter att under vissa förutsättningar få röja information till tjänsteleverantörer. Skapas en sådan regel är det ju nämligen ointressant att reda ut gråzonen för röjandet. Genom den nya lagen om tystnadsplikt för tjänsteleverantörer vid IT-outsourcing [2] som trädde i kraft den 1 januari 2021 tar riksdagen sikte på att skapa en möjlighet att röja information för tjänsteleverantörer. Frågan är dock om den nya lagen innebär ett elegant alexanderhugg eller blott ett magert stick.

När gäller den nya lagen?

Lagen gäller när en myndighet (samt vissa privata aktörer som erhåller offentlig finansiering) uppdrar åt en tjänsteleverantör att tekniskt bearbeta eller lagra information. Med andra ord omfattas inte all outsourcing utan endast outsourcing som består i att tekniskt bearbeta eller lagra information.

Begreppen teknisk lagring och teknisk bearbetning är hämtade från den svenska grundlagen tryckfrihetsförordningen. Trotts detta är innebörden allt annat än glasklart. Enligt regeringens proposition behöver begreppen tolkas i förhållande till dagens digitala informationshantering och den fortgående tekniska utvecklingen. En tjänsteleverantör kan exempelvis ha fått i uppdrag att införa, förvalta, utveckla och så småningom avveckla en tjänst åt en myndighet.

Några exempel på vad som kan utgöra teknisk lagring och teknisk bearbetning är:

Åtgärder som vidtas för att upprätthålla den tillgänglighet, funktionalitet och prestanda i den avtalade tjänsten.
Förändring och tillägg i en befintlig tjänsts funktionalitet, etablering av en tilläggstjänst, integration mot andra tjänster, konfiguration, test och utveckling samt tillhandahållande av supporttjänster.
Säkerhetshöjande åtgärder som uppgradering, uppdatering, säkerhetskopiering, kryptering, anonymisering, pseudonymisering och incidenthantering.
Migrering av information vid avveckling av tjänst.

Enligt propositionen ska en upphandlande myndighet informera anlitade tjänsteleverantörer om vilka tjänster som omfattas av tystnadsplikt. Någon sådan förpliktelse ges dock inte genom lagen. En tjänsteleverantör bör därför alltid göra en egen juridisk bedömning för att utreda vilka tjänster som omfattas av den nya lagen och förankra detta med berörda kunder, om nödvändigt genom avtal för att undvika olyckliga missförstånd mellan parterna.

Vad innebär en straffsanktionerad tystnadsplikt?

En straffsanktionerad tystnadsplikt innebär att det innebär ett brott att bryta mot tystnadsplikten och avslöja en uppgift som är hemlig, d.v.s. information som tjänsteleverantören hanterar åt en myndighet. Därmed kan en person dömas av en domstol för brottet brott mot tystnadsplikt med en straffskala på böter eller fängelse i max ett år. Det krävs inte att gärningen begås uppsåtligen utan brottet kan även begås av oaktsamhet (d.v.s. vårdslöshet eller slarv).

En straffsanktionerad tystnadsplikt kan jämföras med tystnadsplikt enligt avtal. Tystnadsplikt enligt avtal är mycket vanlig (t.ex. i ett anställningsförhållande) men det innebär inte något brottsligt att bryta mot tystnadsplikt enligt avtal. Däremot kan skadestånd, vite, eller att avtalet avslutas i förtid vara avtalsrättsliga sanktioner som kan följa om en part bryter om avtalet. En sekretessförbindelse med en anställd gäller dessutom endast i förhållande mot arbetsgivaren (tjänsteleverantören) och inte i förhållande till myndigheten.

En annan viktig skillnad är att det endast är en fysisk person (d.v.s. en människa) som kan dömas för ett brott i Sverige. Med andra ord kan inte ett företag eller en juridisk person dömas för ett brott. Det är tjänsteleverantörens personal som därmed bär det straffrättsliga ansvaret för att de själva upprätthåller tystnadsplikten. Mot den bakgrunden bör en tjänsteleverantör säkerställa att berörd personal får information om att de omfattas av en straffsanktionerad tystnadsplikt.

Varför behövs en straffsanktionerad tystnadsplikt?

Varför är det då viktigt med en straffsanktionerad tystnadsplikt? För att ställa frågan på sin spets: vad uppnår en tystnadsplikt som inte ett vite eller skadestånd på miljonbelopp uppnår?

Lagen tar som bekant sikte på att möjliggöra att information kan röjas för en tjänsteleverantör samt dennes underleverantörer. För att en myndighet ska få lämna ut information till en enskild – vilket innefattar tjänsteleverantörer som utför tjänster på uppdrag av myndigheten – krävs att myndigheten först gör en skadeprövning. [3] Vid en skadeprövning bedömer myndigheten om uppgifterna kan röjas för tjänsteleverantören utan att de personer eller intressen som ska skyddas av sekretessen lider skada. Tystnadsplikt genom avtal (Non-Disclosure Agreement eller ”NDA”) ger visst skydd men bedöms inte juridiskt som ett likvärdigt skydd som en straffsanktionerad tystnadsplikt. [4]

En straffsanktionerad tystnadsplikt medför inte per automatik att all information kan röjas för en tjänsteleverantör; eller för den delen att all outsourcing kan ske. Det är inte heller lagens syfte. Det är alltid nödvändigt att bedöma om outsourcing är lämpligt samt om vald nivå av informationssäkerhet kan bibehållas eller stärkas. En del av komplexiteten med outsourcing ligger dock i att oförutsägbara mänger och typer av information kan göras tekniskt tillgängliga för tjänsteleverantören. Rättsläget är idag oklart om teknisk tillgänglighet medför ett röjande till tjänsteleverantören eller inte. Utifrån antagandet att ett tekniskt röjande sker behöver en skadeprövning göras. Eftersom en straffsanktionerad tystnadsplikt är värt mycket rent juridiskt vid en sådan bedömning ska denna lag inte underskattas. Med det sagt: grundproblemet – den gordiska knuten – att det är oklart vad ett röjande är kvarstår.

Finns det några andra problem?

Det uppenbara problemet är svensk domstols domsrätt. Annorlunda uttryckt: svensk lag gäller som utgångspunkt endast i Sverige. För att svensk lag ska vara tillämplig utanför Sverige krävs att gärningen (brott mot tystnadsplikt för den aktuella informationen) även är kriminaliserad i det andra landet. En myndighet har knappast lyxen att vid en upphandling överblicka eller välja tjänsteleverantörer som endast nyttjar personal i länder med en lagstiftning motsvarande den svenska; särskilt om en av de globala drakarna (Amazon, Google, Microsoft m.fl.) levererar hela eller delar av tjänsten.

Slutsatsen blir därför att lagen varken är ett alexanderhugg eller en halvmesyr. I den utsträckning tjänsteleverantörens personal befinner sig exklusivt i Sverige är det mer sannolikt att uppgifter får röjas för tjänsteleverantören (även om en prövning självklart ska göras i det enskilda fallet). Om tjänsteleverantören eller underleverantörers personal befinner sig utanför Sverige blir effekten betydligt mindre.

Avlutande ord om framtiden

Den 15 januari 2021 presenterades delbetänkandet Säker och effektiv IT-drift [5] som bland annat tar sikte på att undanröja osäkerheten i vad som är ett röjande. Mer om denna nya utredning samt hur förslaget samspelar med en straffsanktionerad tystnadsplikt kan du snart läsa här i Cyberbloggen där vi fortsätter att följa och analysera juridiken kring dataskydd och informationssäkerhet.