Nytt lagförslag om när myndigheter får outsourca informationshantering

Vet vi äntligen vad som är ett röjande?

Som vi tidigare diskuterat här på Cyberbloggen är rättsläget oklart om under vilka förutsättningar information ska bedömas vara röjd inom ramen för offentlighets- och sekretesslagen vid outsourcing. Det finns i grunden två lösningar på detta problem: (1) Klargöra (genom lag eller domstolspraxis) under vilka förutsättningar ett röjande av information sker eller, (2) skapa en möjlighet för myndigheter att under vissa förutsättningar tillåtas röja information till tjänsteleverantörer. Skapas en sådan regel är det sedan ointressant att reda ut gråzonen för röjandet.

Genom den nya lagen om tystnadsplikt vid IT-outsourcing som trädde i kraft den 1 januari 2021 tog lagstiftaren ett första steg i riktningen mot att skapa en möjlighet för myndigheter att under vissa legala ramar få röja information till tjänsteleverantörer. Delbetänkandet bygger vidare på denna inriktning. [2] Vi får en diger analys av vad som utgör ett röjande. Men framför allt får vi ett skarpt lagförslag om när information får röjas vid outsourcing av informationshantering.

Vet vi äntligen vad som är ett röjande?

Det korta svaret är att vi fortfarande inte vet med säkerhet vad som är ett röjande. Det som delbetänkandet presenterar är en analys (med andra ord en tolkning) av offentlighets- och sekretesslagen; inte en legaldefinition. Utredningsgruppen har inte haft i uppdrag att föreslå ändringar till lagens begreppsapparat. Därmed har en definition av ”röjande” inte funnits på dagordningen. Med det sagt presenteras en tolkning som sannolikt kommer ha stor påverkan på myndigheters tolkning av röjande-begreppet. Därför finns det ett behov av närmare redogöra för tolkningen.

Inledningsvis är det viktigt att poängtera att delbetänkandets tolkning uteslutande tar sikte på kontexten en myndighets IT-outsourcing till en tjänsteleverantör och dennes eventuella underleverantörer. Denna tolkning är med andra ord inte avsedd att tillämpas i andra sammanhang.

Det finns två former av röjande: tillåtet röjande och otillåtet röjande. Ett tillåtet röjande sker när information röjs och det finns en sekretessbrytande bestämmelse som tillåter röjandet (t.ex. efter en skadeprövning). Motsatsvis sker ett otillåtet röjande när det inte finns en sekretessbrytande bestämmelse som möjliggör att informationen röjs och det ändå sker ett röjande. Röjande i sig är med andra ord ett neutralt begrepp i den bemärkelsen att ett röjande inte per definition är något förbjudet.

Delbetänkandet tar avstamp i legaldefinitionen av sekretess: [3]

 [Sekretess är] ett förbud att röja en uppgift, vare sig det sker muntligen, genom utlämnande av en allmän handling eller på något annat sätt.

Definitionen redovisar två exempel på hur ett röjande kan ske; d.v.s. genom utlämnande av en handling eller muntligt röjande. Definitionen är inte uttömmande eftersom formuleringen ”eller på något annat sätt” preciserar att röjande kan ske på andra sätt.

Delbetänkandet tolkar sekretessdefinitionen som att information som utlämnats (utanför myndighetens gränser) alltid är röjd. Den svenska grundlagen tryckfrihetsförordningen medför nämligen att det är nödvändigt att upprätthålla en tydlig myndighetsgräns mellan myndigheter samt i förhållande till exempelvis en tjänsteleverantör som agerar på uppdrag av en myndighet.

Delbetänkandet kommer därför, något förenklat, mot den bakgrunden till slutsatsen att all outsourcing per definition innebär ett röjande eftersom information behandlas och lagras utanför myndigheten. Det leder till konsekvensen att det inte finns något krav på att en person faktiskt tagit del av informationen för att den ska betraktas som röjd i lagens mening.

Det medför att information är röjd även om tjänsteleverantören omfattas av en tystnadsplikt enligt avtal eller lag. Det medför också att information som är krypterad eller pseudonymiserad ska betraktas som röjd när den behandlas av en tjänsteleverantör. I sammanhanget är det viktigt att särskilja frågan om information är röjd eller inte från frågan om vilka skyddsåtgärder som myndigheten är förpliktigad att säkerställa för informationsmängden. Det finns, trots en sekretessbrytande bestämmelse som medför att informationen får röjas, krav på vilken nivå av informationssäkerhet som myndigheten ska implementera. Det är alltså inte ointressant att kryptera information oavsett om det inte har betydelse för röjandefrågan.

Debatten om röjande har historiskt, förenklat, tagit sikte på ett sannolikhetsresonemang där sannolikheten att informationen blir tillgänglig varit avgörande. Detta resonemang härrör från ett av Högsta domstolens prejudikat. [4] Delbetänkandet kommer till slutsatsen att detta prejudikats räckvidd inte omfattar outsourcing. Anledningen är att prejudikatet tog sikte på otillåtet röjande när inbrottstjuvar berett sig tillgång till ett nyckelskåp som innehöll nycklar till ett säkerhetsskåp där sekretesskyddade handlingar förvarade. Högsta domstolen kom till slutsatsen att informationen i handlingarna endast skulle anses röjd om omständigheterna var sådana att man måste ha räknat med att obehöriga fått åtkomst till informationen. Delbetänkandet anser i sin tolkning att Högsta domstolens resonemang tar sikte på en viss situation och att denna situation inte bör tillämpas på myndigheters IT-outsourcing.

När får röjande ske?

Delbetänkandet föreslår en ny sekretessbrytande bestämmelse i offentlighets- och sekretesslagen; d.v.s. en bestämmelse om hur och till vem viss information får röjas. Genom förslaget till en ny sekretessbrytande bestämmelse skapas en möjlighet för myndigheter att under vissa förutsättningar få röja information till tjänsteleverantörer.

Denna sekretessbrytande bestämmelse tar (precis som lagen om tystnadsplikt vid IT-outsourcing) inte sikte på all form av outsourcing. Endast outsourcing i form av teknisk bearbetning eller teknisk lagring omfattas. Några exempel på vad som kan utgöra teknisk lagring och teknisk bearbetning är:

• åtgärder som vidtas för att upprätthålla den tillgänglighet, funktionalitet och prestanda i den avtalade tjänsten.

• förändring och tillägg i en befintlig tjänsts funktionalitet, etablering av en tilläggstjänst, integration mot andra tjänster, konfiguration, test och utveckling samt tillhandahållande av supporttjänster.

• säkerhetshöjande åtgärder som uppgradering, uppdatering, säkerhetskopiering, kryptering, anonymisering, pseudonymisering och incidenthantering.

• Migrering av information vid avveckling av tjänst.

Det är därför nödvändigt för den outsourcande myndigheten att göra en noggrann analys av om projektets olika delar omfattas. Det krävs även att informationshanteringen sker för myndighetens räkning. I den mån som tjänsteleverantören behandlar informationen för egna ändamål blir med andra ord den sekretessbrytande bestämmelsen inte tillämplig.

Därefter ska den outsourcande myndigheten göra en intresseavvägning. En intresseavvägning är, som begreppet antyder, en avvägning mellan två eller flera intressen. I den första vågskålen ska myndigheten placera det intresse eller de intressen som ska skyddas av sekretessen. T.ex. är intressena för sekretess inom hälso- och sjukvården den enskildes hälsotillstånd samt personliga förhållanden (familjeförhållanden, ekonomiska ställning, arbetsförmåga m.m.).

I den andra vågskålen ska de myndighetsaktuella skälen för outsourcing placeras.

Det medför ett krav på myndigheten att göra en noggrann utredning och därefter preciserar de aktuella intressena som föreligger. För att genomföra en korrekt intresseavvägning bör myndigheten genomföra en informationsklassning. En del av komplexiteten med outsourcing ligger som bekant i att oförutsägbara mängder och typer av information kan göras tekniskt tillgängliga för tjänsteleverantören. Det ställer långtgående krav på informationsklassningen. En detalj i sammanhanget är att delbetänkandet konstaterar att många myndigheter brister i informationsklassning.

Avslutande reflektioner

Innebär nu det här att problemen är över? Vi har en tolkning i delbetänkandet och vi har ett lagförslag till en sekretessbrytande bestämmelse. Situationen är dock inte riktigt så enkel.

För det första tar det i regel, under de bästa förutsättningarna, år för ett lagförslag att bli lag. Det är med andra ord inte realistiskt att vi får någon sekretessbrytande bestämmelse i offentlighets- och sekretesslagen under 2021. Om vi utgår från att tolkningen av ”röjande” som delbetänkandet presenterar är korrekt leder det till slutsatsen att det sannolikt sker en hel del outsourcing från myndighetshåll som medför ett röjande i strid med offentlighets- och sekretesslagen. Fram till dess att den föreslagna sekretessbrytande bestämmelsen träder i kraft finns det begränsat utrymme att genomföra många av dessa outsourcingprojekt. Det öppnar upp ett personligt straffansvar för brott mot tystnadsplikt [5] för beslutsfattarna i den mån de fattar, eller har fattat, beslut om otillåtet röjande. En fysisk person som otillåtet röjer information – antingen uppsåtligen eller av oaktsamhet (vårdslöshet eller slarv) – har med andra ord ett personligt straffansvar. Att delbetänkandet på detta sätt öppnar för personligt straffansvar gör att rättsläget för beslutsfattarna blir mer komplext än någonsin.

För det andra har den rättsliga debatten (som många gånger varit minst sagt polemisk) varit i full gång sedan 2014. Många aktörer har investerat både prestige och trovärdighet i denna debatt. Delbetänkandet besvarar inte alla frågor och tolkningarna och är långt ifrån fria från invändningar. För att presentera några kortfattade exempel:

Myndigheters arbetsmaterial (som inte är allmän handling) outsourcas till en tjänsteleverantör och röjs därmed enligt delbetänkandets tolkning. Information som utlämnas (expedieras) utanför myndigheten blir enligt tryckfrihetsförordningen allmän handling. Medför det därmed att arbetsmaterialet genom utlämnande ska bli allmän handling? Det leder i sin tur till den potentiella konsekvensen att information som inte är allmän handling blir allmän handling genom själva outsourcingen.

Delbetänkandet kommer till slutsatsen att Högsta domstolens prejudikat [6] inte bör tillämpas på outsourcing. Är det verkligen fallet? Det går att argumentera för att poängen med Högsta domstolens sannolikhetsresonemang var precis den att inte varje utlämnande kategoriskt ska medföra ett röjande. Högsta domstolen nämner detta explicit i sin dom, mot bakgrund av den riskexponering för straffansvar det skulle öppna upp för. Det är inget som delbetänkandet berör.

Det går även att ifrågasätta delbetänkandets tolkning av legaldefinitionen av sekretess. [7] Delbetänkandet redogör i princip endast för en tolkning; att varje utlämnande medför ett röjande. Det finns dock flera andra tolkningsalternativ hur denna definition ska läsas. Läsaren får därigenom ingen presentation av olika tolkningsalternativ och deras respektive styrkor och svagheter.

Det finns därför gott om juridiskt utrymme till att debattera tolkningarna och lagförslaget. Inte minst finns det många aktörer som har ett stort intresse i en sådan fortsatt debatt. Detta delbetänkande utgör därför på inget sätt slutpunkten.

Referenser

[1] SOU 2021:1 Säker och kostnadseffektiv it-drift – rättsliga förutsättningar för utkontraktering.

[2] Läs gärna vår tidigare artikel om lagen här på cyberbloggen: Cyberbloggen: https://www.securestatecyber.com/se/cyberbloggen/ny-lag-om-tystnadsplikt-vid-it-outsourcing

[3] 3 kap. 1 § offentlighets- och sekretesslagen (2009:400).

[4] NJA 1991 s. 103.

[5] 20 kap. 3 § brottsbalken.

[6] NJA 1991 s. 103.

[7] 3 kap. 1 § offentlighets- och sekretesslagen.