”Sekretess utgör därmed ett generellt hinder för myndigheter att använda ’molntjänster’ inom IT”

ANALYS/KRÖNIKA – av advokat Conny Larsson, advokatfirman Gärde & Partners

Justitieombudsmannen (JO) har nyligen beslutat i ett ärende mot vissa vårdgivare inom landstinget, som anlitat ett externt företag för hantering av uppgifter i journalföring. Ärendet tillkom efter en anmälan från en privatperson, där det bland annat gjorts gällande att vårdgivarnas förfarande strider mot sekretessbestämmelserna.[1]

I korthet går hanteringen ut på att hos företaget anställda läkarsekreterare på distans lyssnar på inlästa diktat och skriver in talad information i patientjournaler. Detta sker elektroniskt och informationen lagras inte utanför vårdgivarnas IT-system. Såväl företaget som de anställda har genom avtal åtagit sig en tystnadsplikt avseende informationen.

Enligt JO ska även sådant utlämnande av uppgifter som sker till ett personuppgiftsbiträde eller dess personal sekretessprövas enligt offentlighets- och sekretesslagen (2009:400) (OSL). JO finner vidare att företaget inte kan anses ingå i landstingens verksamhet och att företaget eller dess personal därmed inte omfattas av sekretessen i OSL. Det blir enligt JO fråga om ett utlämnande av de sekretesskyddade uppgifterna genom att de blir tillgängliga för företaget och läkarsekreterarna, varför det måste bedömas om utlämnandet kan ske utan men (skada) för den som skyddas av sekretessen.

Att det föreligger en avtalad tystnadsplikt eller en tystnadsplikt enligt andra regler för den som tar emot uppgifterna kan ha betydelse för menprövningen, men är enligt JO i sig inte tillräckligt för att ett utlämnande ska kunna ske utan men. JO finner dessutom att någon sekretessbrytande bestämmelse vare sig i OSL eller i annan lag dit OSL hänvisar inte är tillämplig.

JO:s slutsats blir att det saknats rättsligt stöd för att lämna ut de sekretessbelagda uppgifterna till företaget och att det är anmärkningsvärt att sekretessfrågan inte ägnats större uppmärksamhet, samt riktar allvarlig kritik mot vårdgivarna för att de åsidosatt sekretessreglerna.

När det gäller så kallade molntjänster har diskussionerna hittills mest kommit att handla om förhållandet till personuppgiftslagen (1998:204) – PuL. Här har Datainspektionen haft några tillsynsärenden där bedömningen sker utifrån PuL och inte OSL. Datainspektionen har dock uttalat att det även kan behöva bedömas om molntjänster kan anses förenliga med sekretesslagstiftningen, utan att närmare gå in på dessa frågor.[2]

Det kan därför inte göras gällande att Datainspektionen lämnat något generellt klartecken för molntjänster. Tvärtom har Datainspektionen tydligt uttalat att frågan kräver ytterligare analys än endast med utgångspunkt i PuL, bland annat även utifrån ett sekretessperspektiv.

JO-beslutet är därför av särskilt intresse, eftersom det även kan ge vägledning avseende hur OSL kan påverka myndigheternas användande av molntjänster.

Om det är fråga om en molntjänst är det på samma sätt som i JO-ärendet fråga om att någon annan – en extern molntjänstleverantör – ska sköta informationshanteringen åt myndigheten. Även i en sådan situation görs uppgifterna tillgängliga för leverantören. Uppgifterna blir även tillgängliga för de underleverantörer som denne anlitar och kan rentav finnas i olika länder. [3]

När myndigheten väljer att använda molntjänster är det ett medvetet val att använda en lösning som innebär att uppgifterna kommer att bli tillgängliga för andra, till och med utomlands om avtalet inte inskränker leverantörens rätt att anlita underleverantörerna.

Om myndigheterna anlitar externa uppdragstagare kan dessa vara knutna till verksamheten på ett sådant sätt att de anses ingå i denna och de omfattas därmed av OSL. Då kan uppdragstagarna få del av information utan att den anses utlämnad.[4]

JO fann att det anlitade företaget inte kunde anses ingå i myndighetens egen verksamhet. Att en molntjänstleverantör skulle kunna anses ingå i myndighetens egen verksamhet är än mindre troligt. Myndigheterna kommer således att anses ha lämnat ut uppgifterna till molntjänstleverantörerna.

Myndigheten ska göra en sekretessprövning och bedöma risken för men innan utlämnandet sker.[5] Om det inte framgår vilka som kommer att anlitas eller var dessa befinner sig kan förhållandena eller konsekvenserna inte bedömas. Då kan någon egentlig sekretessprövning eller bedömning av risken för men heller inte göras.

Enligt JO är det inte tillräckligt för att undanröja risken för men att avtal ingås om sekretess. Det är heller inte tillräckligt om leverantören omfattas av särskilda regler om tystnadsplikt, eventuellt även straffsanktionerade. Att leverantören vidtagit olika säkerhetsåtgärder har heller ingen direkt betydelse. Dessa förhållanden kan inverka på riskbedömningen men tillåter i sig inte ett generellt utlämnande. Myndigheterna kan således inte göra någon generell sekretessprövning som innebär att uppgifterna kan utlämnas till molntjänstleverantörerna utan risk för men eller skada.

Det finns vissa regler i OSL om särskilda undantag från sekretessen. Ett utlämnande skulle till exempel kunna få ske när det är nödvändigt för att myndigheten ska kunna fullgöra sin verksamhet. Som JO påpekar ska undantaget tillämpas restriktivt och rena effektivitetsskäl är inte tillräckliga.[6]

Det blir svårt att göra gällande att myndigheten inte kan hantera uppgifterna på annat sätt än genom en molntjänst, varför detta undantag inte kan åberopas generellt för att använda molntjänster. I vissa fall kan utlämnande i vissa fall även ske med sekretessförbehåll, men som JO anger är sådana slags förbehåll avsedda för enstaka utlämnanden och kan inte meddelas generellt, till exempel i avtal med leverantörerna.[7] Myndigheterna kan således inte åberopa några undantag i OSL för att få använda molntjänster.

I OSL finns även särskild reglering för sekretess i olika sammanhang som ytterligare kan begränsa möjligheterna för ett utlämnande. Detta gäller till exempel för det slags uppgifter som var aktuella i JO-ärendet och som angick enskildas hälsoförhållanden. I sådana fall kan det följa av reglerna att utlämnande endast får ske under vissa angivna förutsättningar och att detta inte möjliggör ett generellt utlämnande, till exempel till en molntjänstleverantör.

Om en molntjänstleverantör i ett annat land omfattas av uppgiftsskyldighet enligt landets lagar kan denne tvingas lämna ut myndighetens uppgifter i strid med bestämmelserna i OSL och eventuella avtalade sekretessvillkor. OSL gäller ju inte utomlands och avtal med leverantörerna kan inte undanröja andra länders lagar. Därmed kan myndigheten genom att använda en molntjänst där informationen behandlas utomlands anses ha gjort informationen generellt tillgänglig för landets myndigheter, vilket heller inte är tillåtet enligt undantagsbestämmelserna i OSL.[8]

Slutsatserna av ovanstående blir att OSL för närvarande generellt sett utgör ett hinder för myndigheterna att använda sig av molntjänster för sin informationshantering där uppgifterna utlämnas till leverantörerna. Det blir särskilt problematiskt när hanteringen sker utomlands där svensk lag inte gäller. Leverantören kan inte anses ingå i myndighetens verksamhet på så sätt att ett utlämnande inte anses föreligga. Någon generell sekretessprövning och bedömning av men eller skada till följd av ett utlämnande kan inte ske. Dessutom är ingen undantagsbestämmelse tillämplig som möjliggör ett utlämnande.

I det aktuella ärendet ansåg JO det vara allvarligt att uppgifterna utlämnades till en leverantör, trots att det var fråga om en viss leverantör och att det kan kontrolleras vilken personal hos denne som får tillgång till uppgifterna. Mot denna bakgrund torde JO kunna anse det vara ännu mer allvarligt om liknande uppgifter hanteras i molnet, där myndigheten inte har någon kontroll över vem som behandlar uppgifterna eller var behandlingen sker. Det vore därför av intresse om JO även får anledning att granska myndigheternas användande av molntjänster.

Om de används på rätt sätt och för rätt slags information är molntjänsterna en alldeles utmärkt lösning för informationshanteringen. Det återstår dock att hitta lösningar för hur molntjänster ska kunna användas utan att bestämmelserna om sekretess eller tystnadsplikt åsidosätts. Detta kan till exempel ske genom att bestämmelser införs i OSL som medger att uppgifter överförs till molntjänstleverantörerna om sekretessen kan säkerställas, eller att tekniska lösningar införs som omöjliggör för molntjänst-leverantörerna att få faktisk tillgång till de sekretessbelagda uppgifterna.