Skip to content

"Nej, advokaten - sekretess utgör inget generellt hinder för molntjänster hos myndigheter"

KRÖNIKA/ANALYS - av Daniel Westman, doktorand i rättsinformatik, kursföreståndare i IT-rätt, Stockholms universitet

 

För en tid sedan skrev advokaten Conny Larsson en analys av hur offentlighets- och sekretesslagens regler påverkar myndigheters möjligheter att använda så kallade molntjänster för lagring och behandling av information på en extern leverantörs datorutrustning (Dagens Juridik 2014-10-02).

Analysen tog sin utgångspunkt i ett beslut av Justitieombudsmannen (JO), i vilket JO allvarligt kritiserade vårdgivare som ingått avtal med ett företag om journalföring (dnr. 3032-2011).

Larson drar slutsatsen att offentlighets- och sekretesslagen ”för närvarande generellt sett utgör ett hinder för myndigheterna att använda molntjänster för sin informationshantering där uppgifterna utlämnas till leverantörerna.”

Jag delar Larsson uppfattning att sekretessfrågan på ett olyckligt sätt har hamnat i skuggan av frågan om personuppgiftslagens tillämpning på användningen av molntjänster. Jag menar dock att han drar för långtgående slutsatser av det aktuella beslutet.

Naturligtvis är det av största vikt att en myndighet genomför en noggrann sekretessprövning innan den använder sig av externa tjänsteleverantörer, men något ”generellt hinder” mot användning av molntjänster innebär offentlighets- och sekretesslagen knappast. I vart fall kan det aktuella JO-beslutet inte tas till intäkt för en sådan tolkning.

JO:s bedömning utgår från omständigheterna i det aktuella ärendet. JO konstaterar att de uppgifter som berörs är av ”mycket integritetskänsligt slag” och framhåller uttryckligen att detta påverkar den menbedömning som ska göras när uppgifterna lämnas ut till de externa läkarsekreterarna. JO fäster därför stor vikt vid att sekreterarna, till skillnad från anställda hos vårdgivarna, saknar en straffsanktionerad tystnadsplikt.

Samtidigt framhåller JO att även andra former av tystnadsplikter kan beaktas vid menbedömningen, men att de tystnadsplikter som i det aktuella fallet följde av avtal och av personuppgiftslagens bestämmelser inte kunde anses tillräckliga.

Det bör noteras att den externa hanteringen av sekretessbelagda uppgifter som var föremål för prövning i JO-ärendet påtagligt skiljer sig från den hantering som traditionellt sett sker i molntjänster. I JO-ärendet tog läkarsekreterarna del av alla de känsliga uppgifterna när de lyssnade på diktaten. Molntjänster bygger typiskt sett inte på att anställda hos molntjänstleverantören tar del av kundernas uppgifter på detta sätt.

Även om det finns anställda hos leverantören som rent tekniskt kan komma åt uppgifterna finns det ofta instruktioner och tekniska åtgärder som begränsar denna åtkomst. Skillnaderna i detta hänseende kan påverka menbedömningen, t.ex. vilka krav på tystnadsplikt för anställda hos leverantören som uppställs för att en myndighet ska kunna använda den aktuella tjänsten. Här kan det till exempel noteras att en anställd hos en leverantör som obehörigt skaffar sig tillgång till lagrade uppgifter kan dömas för dataintrång.

Myndigheters användande av molntjänster kan å andra sidan vara förknippat med komplikationer och risker som inte blev föremål JO:s prövning i det aktuella ärendet. Larsson nämner till exempel det förhållandet att uppgifterna kan komma att lagras utomlands och att en molntjänstleverantör kan ha rätt att fritt anlita underleverantörer som rent tekniskt också kan få åtkomst till de lagrade uppgifterna.

Här är det viktigt att notera att lösningar av dessa slag visserligen förekommer hos flera tjänster som finns på marknaden idag, men sådana lösningar ingår på inget sätt i definitionen av vad som utgör en molntjänst. Det finns alltså molntjänster som inte bygger på dessa lösningar. Samtidigt kan behandling utomlands eller hos underleverantörer förekomma även i mer traditionella drifttjänster som myndigheter redan idag använder i stor omfattning. En rättslig bedömning måste sålunda baseras på en viss tjänsts konkreta utformning, inte dess beteckning som molntjänst.

JO:s beslut kan, som sagt, inte tas till intäkt för att det föreligger ett generellt hinder mot att myndigheter använder externa tjänster för lagring och bearbetning av information. En myndighet som överväger användning av en sådan tjänst måste emellertid göra en noggrann analys av om ett utlämnande till tjänsteleverantören kan ske enligt relevanta sekretessbestämmelser. Eftersom det normalt saknas tillämpliga undantagsbestämmelser blir den centrala rättsliga frågan – precis som i JO-ärendet – om skada eller men uppstår vid användningen av tjänsten. En sådan bedömning kan inte göras på ett schablonartat sätt, utan måste utgå från omständigheterna i det enskilda fallet.

För det första är det relevant vilken typ av sekretessbelagda uppgifter som kommer att omfattas av utlämnandet. Möjligheterna att lämna ut uppgifter som omfattas av en sekretessbestämmelse som har s.k. rakt skaderekvisit är till exempel större än uppgifter som omfattas av ett så kallat omvänt skaderekvisit. I det aktuella JO-ärendet handlade det som sagt om mycket känsliga personuppgifter, som bara får lämnas ut om det ”står klart” att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider men.

För det andra är tjänstens faktiska och rättsliga utformning relevant. Om uppgifterna skyddas väl hos leverantören är risken för skada och men inte större är hos myndigheten själv. En central fråga är i detta sammanhang hur obehörig åtkomst till uppgifterna motverkas. En annan fråga är hur spridning och annan obehörig användning av uppgifter som någon, till exempel en anställd hos leverantören, lagligen fått tillgång till motverkas.

I detta sammanhang är inte bara IT-säkerhetssystemens utformning relevanta, utan även instruktioner till och avtal med personal, liksom förekomsten av anknytande straffrättsligt skydd, till exempel i form av regler om dataintrång eller straff för otillåten behandling av känsliga personuppgifter enligt personuppgiftslagstiftningen.

I det aktuella JO-ärendet – där uppgifterna som var mycket känsliga direkt exponerades mot läkarsekreterarna, vilka saknade straffsanktionerad tystnadsplikt – stod det enligt JO inte klart att uppgifterna kunde lämnas ut utan att den enskilde eller någon närstående skulle lida men. Men handlar det t.ex. om mindre känsliga uppgifter som ska lagras i en extern tjänst med hög säkerhet mot interna och externa angrepp kan sekretessprövningen mycket väl leda till att ett utlämnande kan ske. Kan myndigheten använda sig av krypteringslösningar som den själv kontrollerar kan säkerheten många gånger anses vara väl så god som vid lagring på egen utrustning.

Även om JO helt korrekt framhåller att en myndighet vid utlämnande av uppgifter till en extern tjänst inte kan nöja sig med en prövning enligt personuppgiftslagstiftningen, utan även måste tillämpa offentlighets- och sekretesslagen (i enlighet med relevanta förarbetsuttalanden och prejudikat), kan det konstateras att det underliggande skyddsintresset för de båda regleringarna i princip helt sammanfaller när det handlar personuppgifter som också omfattas av sekretess.

På ett mer principiellt plan bör därför synen på vad som utgör godtagbara säkerhetsarrangemang inom personuppgiftslagstiftningen kunna få genomslag även vid tillämpningen av sekretessbestämmelser och vice versa. Anses exempelvis vissa rutiner för att skydda så kallade känsliga personuppgifter enligt personuppgiftslagen erbjuda ett tillfredställande skydd bör det kunna beaktas vid menbedömningen enligt offentlighets- och sekretesslagen. I detta sammanhang är det dock viktigt att notera att det även inom personuppgiftslagstiftningen pågår en rättsutveckling och att rättsläget på vissa punkter fortfarande är osäkert.

Vissa molntjänster bygger som nämnts på att leverantören får anlita underleverantörer för vissa arbetsuppgifter. Som Larsson påpekar kan det knappast anses godtagbart att en leverantör ges full frihet i detta hänseende. Å andra sidan torde vissa former av reglerad och begränsad användning av underleverantörer för vissa uppgifter kunna godtas efter en helhetsbedömning i det enskilda fallet. När det handlar om särskilt integritetskänsliga personuppgifter torde emellertid såväl personuppgiftslagen som offentlighets- och sekretesslagen ställa höga krav på restriktivitet i detta hänseende.

Användningen av vissa molntjänster innebär som nämnts att de utlämnade uppgifterna lagras i andra länder eller åtminstone blir tekniskt är åtkomliga för ett företag som lyder under ett annat lands lag. Sådana molntjänster innebär som Larsson påpekar speciella typer av risker. Hur man ska värdera dessa risker är inte helt enkelt att svara på. För närvarande pågår till exempel en diskussion på EU-nivå om de garantier för överföring till ett så kallat tredje land till exempel USA, som i dag finns i det så kallade dataskyddsdirektivet, ska anses vara tillräckliga.

För att möta den tveksamhet som många potentiella molntjänstkunder – både i den privata och i den offentliga sektorn – känner i detta hänseende har flera av de stora amerikanska molntjänstföretagen börjat erbjuda lösningar där lagringen och åtkomsten till uppgifterna begränsas till vissa stater. När det gäller sekretess till skydd för rikets säkerhet och liknande måste naturligtvis under alla förhållanden speciella överväganden göras.

Mitt syfte med detta inlägg är inte att trivialisera sekretessproblematiken i samband med användningen av molntjänster, utan att peka på att det måste göras en noggrann analys i det enskilda fallet, som bl.a. beaktar uppgifternas art och tjänstens utformning. Lika lite som Datainspektion kan ge grönt eller rött ljus enligt personuppgiftslagen för all användning av molntjänster, eller ens för användningen av en viss molntjänst, kan JO göra något liknande när det gäller offentlighets- och sekretesslagen.

Kravet på bedömningar i det enskilda fallet utesluter givetvis inte att det finns behov av vägledande praxis kring hur vissa typer av risker med molntjänster ska värderas. Det gäller till exempel frågan om exponering mot andra länders rättsordningar. Det pågår också en utveckling av själva molntjänsterna och de villkor som styr dem som avser att göra dem mer attraktiva för att hantera även känsliga personuppgifter, till exempel möjliggör vissa molntjänster, som Larsson nämner, användning av krypteringslösningar som inte kontrolleras av molntjänstleverantören.

Även en ny straffsanktionerad tystnadsplikt för anställda i privata företag som hanterar sekretessbelagda uppgifter kan i enlighet med de av JO påpekade bristerna vara värt att överväga. Men eftersom frågan om tystnadsplikt för anställda hos en molntjänstleverantör bara är en av flera frågor som aktualiseras vid användning av molntjänster innebär detta knappast någon patentlösning, som skulle innebära att myndigheter fritt kunde använda sig av molntjänster.

Tipsa via e-post

Ange flera adresser på olika rader eller separera dem med kommatecken.

Vill du verkligen anmäla denna kommentar som olämplig?

Anmäl Avbryt