”Förhastade och felaktiga slutsatser om it-driftsutredningens förslag”
REPLIK – av Christina Wikström, advokat Wikström & Partner
Frydlinger drar i sitt debattinlägg den förhastade och felaktiga slutsatsen att myndigheter idag genom utkontraktering av it, gör sig skyldig till brott mot tystnadsplikt och vårdslöshet med hemlig uppgift, om it-driftutredningens syn på röjandebegreppet skulle tillämpas. Frydlinger bortser i sitt inlägg helt från de grundläggande regler om sekretessbedömning (med skadeprövning), som sedan årtionden tillämpats inom offentlig förvaltning.
Utkontraktering som omfattar myndighets sekretessreglerade uppgifter till en it-leverantör kan tillåtas om, 1) it-tjänsten är utformad och reglerad så att sekretessreglerade uppgifterna inte röjs för leverantören eller, 2) myndigheten efter en övergripande sekretessprövning kommit fram till att sekretessreglerade uppgifter kan röjas eftersom säkerhetsåtgärder (rättsliga, tekniska och organisatoriska) har vidtagits så skaderekvisitet inte uppfylls eller, 3) en sekretessbrytande regel föreligger som kan tillämpas på den aktuella situationen.
Vid en sekretessbedömning inför en utkontraktering, där det är tänkt att uppgifterna röjs för leverantören, är bedömningen beroende av vilken typ av sekretess som gäller för de sekretessreglerade uppgifterna (stark, svag, absolut).
Jag delar Frydlingers uppfattning att det är positivt att it-driftutredningen föreslår en sekretessbrytande regel och jag är också tveksam till utredningens tolkning av röjandebegreppet. Men ett röjande kan vara både tillåtet och otillåtet vilket Frydlinger helt bortser från och därför hamnar helt fel i sin analys.
Röjandebegreppet i OSL bör ges samma principiella innebörd oavsett om utkontrakteringen omfattar digital eller analog miljö. Som HD konstaterar i NJA 1991 s. 103 ”kan inte varje möjlighet att ta del av en uppgift” medföra att uppgiften ska anses röjd. Denna ordning bör gälla även i den digitala miljön och överensstämmer väl med reglerna i TF. Som utredningen konstaterar blir utlämnande av handling aktuellt vid utkontraktering av it-drift. Hänvisningen i 1 kap. 1 § OSL till 2 kap TF innebär att det är TF:s upptagningsbegrepp som styr vad som utgör en handling och därmed hur begreppet uppgift ska tolkas i it-miljö. Enligt TF 2 kap 3 § avses med ”handling” i it-miljö en ”upptagning” som kan läsas, avlyssnas eller på annat sätt uppfattas endast med tekniskt hjälpmedel. I lagmotiven tydliggörs att det är uppgifterna i betydelsen ”informationsinnehållet” som utgör upptagningen. Om en utkontraktering avser en lagringstjänst där uppgifterna krypteras och där myndigheten innehar krypteringsnyckel kan uppgifterna därför i normalfallet rimligen inte anses som röjda.
För att främja digitaliseringen och utkontraktering inom offentlig förvaltning måste den sekretessbrytande regeln utformas med stora krav på tydlighet. Den kompletterande regleringen om intresseavvägning föreslås möjligen med ett vällovligt syfte, men regleringen kommer att vara mycket svår att tillämpa i praktiken vilket innebär en uppenbar risk att tillämpningen kommer variera stort. Inte heller avgränsningen till enbart ”teknisk bearbetning och lagring” har den tydlighet som man skulle önska. Formuleringen borde kunna klargöras på hög nivå utan att teknikneutralitet går förlorad, på sätt som formulerats i förarbeten till tystnadspliktslagen och som utredningen vagt hänvisar till. Hänvisningen torde innebära att inte enbart traditionella infrastrukturtjänster som it-drift och lagring omfattas av begreppet ”teknisk bearbetning och lagring” utan också applikationsrelaterade tjänster såsom systemleveransåtaganden, applikationsdrift och likande managerade it-tjänster, något utredningen med fördel tydligt borde uttrycka.
Avgränsningen blir avgörande eftersom myndigheters utkontraktering av it-tjänster bortom ”teknisk bearbetning och lagring” många gånger behöver grunda sig på den av Frydlinger bortglömda sekretessbedömningen.
