Översikt


Hittar du inte vad du letar efter? Klicka här för att söka.
Annons
Annons

”IT-driftsutredningens analys av röjandebegreppet är felaktigt”

Debatt
Publicerad: 2021-03-01 12:46

DEBATT – av David Frydlinger, advokat och delägare Cirio Advokatbyrå.

Det är positivt att den så kallade IT-driftsutredningen föreslår en så kallad sekretessbrytande bestämmelse vid utkontraktering av IT-drift. Tillsammans med den bestämmelse om tystnadsplikt för leverantörer som nu har börjat gälla kommer tydligare spelregler att skapas vid utkontraktering.

Genom att tolka lagen så att en utkontraktering av IT alltid skulle innebära ett röjande i offentlighets- och sekretesslagens mening riskerar utredningen dock att samtidigt ha skapat en minst lika stor rättslig förvirring som eSam gjorde genom sina analyser av samma begrepp. Om man drar konsekvenserna av utredningens resonemang verkar nämligen en stor mängd utkontrakteringar av IT som har ägt rum och som kommer att äga rum tills den föreslagna sekretessbrytande bestämmelsen införs, innebära att beslutsfattare på myndigheter har gjort och kommer att göra sig skyldiga till brott mot tystnadsplikt, vårdslöshet med hemlig uppgift m.m. Vilket då inte bara handlar om utkontraktering till utländska utan också till svenska leverantörer. Det är därför angeläget att marknaden förstår att IT-driftsutredningens tolkning av röjandebegreppet i väsentliga delar är felaktig.

Utöver att det i sig är positivt att en sekretessbrytande bestämmelse föreslås är det förstås bra att utredningen helt korrekt visar att eSams tolkningar av röjandebegreppet, inte minst kopplat till t.ex. CLOUD Act, helt enkelt var felaktiga. Tyvärr tar utredningen dock ett steg längre och påstår som sagt att utkontraktering av IT alltid, under alla omständigheter, ska anses innebära att uppgifter ’röjs’ för leverantören. Det är denna felaktiga analys som får väldigt långtgående konsekvenser.

Eftersom många har den så kallade. Transportstyrelseskandalen i någorlunda färskt minne är det värt att som utgångspunkt ta Arbetsdomstolens dom rörande tillåtligheten i avskedandet av Transportstyrelens förra generaldirektör med anledning dennes kontroversiella beslut vid just utkontraktering av IT. Som bekant fann domstolen att hennes avskedande var felaktigt. En viktig anledning till detta var för att domstolen fann att sekretessbelagda uppgifter faktiskt inte hade röjts i offentlighets- och sekretesslagens mening. Hon hade därför inte gjort sig skyldig till vårdslöshet med hemlig uppgift, vilket hade påståtts.

Om, som IT-driftsutredningen påstår, utkontraktering av IT-drift alltid innebär ett röjande så hade generaldirektörens uppsägning dock sannolikt befunnits giltig eftersom hon då hade gjort sig skyldig till vårdslöshet med hemlig uppgift.

Varför?

För att i någon mån förklara juridiken, självklart på ett lite förenklat sätt: för att bli dömd för vårdslöshet med hemlig uppgift krävs att vissa typer av hemliga uppgifter har röjts genom grov oaktsamhet. Oaktsamhetsbrott innebär att gärningsmannen måste ha framkallat en risk för att något ska inträffa (t.ex. att någon obehörig tar del av sekretessbelagda uppgifter) och dessutom haft skuld till detta i form av en skälig anledning att tro att handlandet skulle leda till det som inträffat. Om rekvisitet är grov oaktsamhet måste den framkallade risken för den negativa följden vara mycket hög och skälen för att tro att handlandet skulle leda till följden vara mycket starka.

Om en utkontraktering av IT, i enlighet med vad utredningen nu påstår, alltid skulle innebära ett röjande så talar vi inte längre om att en beslutande befattningshavare har ’framkallat en risk’ med viss grad av sannolikhet. Beslutet innebär istället att risken förverkligas per automatik och att det negativa – röjandet – sker. Befattningsinnehavaren har då vidare inte bara mycket ’starka skäl att tro’ att ett röjande ska ske. Det är tvärtom helt säkert; det blir snarare en fråga om uppsåt. Genom konstaterandet att ett röjande föreligger genom beslutet att utkontraktera så avgörs alltså dessutom skuldfrågan. Avskedandet av Transportstyrelsens generaldirektör var sannolikt då korrekt, för hon gjorde sig då skyldig till vårdslöshet med hemlig uppgift.

Nu gjorde inte Arbetsdomstolen samma analys av röjandebegreppet som IT-driftsutredningen har gjort. I sitt konstaterande att uppgifter inte hade röjts stödde man sig på Högsta domstolens dom i NJA 1991 s. 103, vilket innebar att Transportstyrelsens utkontraktering inte i sig utgjorde ett röjande.

I målet insåg Högsta domstolen problematiken med att inta just det synsätt som IT-driftsutredningen nu intar. Utredningen menar (vilket framgår på sid. 282) att det för röjande räcker med att leverantören får teoretisk tillgång till uppgifterna, oberoende av sannolikhet för att det faktiskt kommer att ske. Det är därför, får det förstås, som utredningen kan hävda att en utkontraktering alltid i sig innebär ett röjande.

Men om, som Högsta domstolen uttryckte det, ”varje möjlighet att ta del av en uppgift” ska anses innebära att en mycket hög risk framkallas, då kommer skuldfrågan redan att vara avgjord från början – att ge teoretisk tillgång till uppgifter kommer i princip alltid anses vara grovt oaktsamt. Även en egentligen låg objektiv risk kommer så att säga att anses innebära en hög juridisk skuld. Som Högsta domstolen uttryckte det: ”en sådan ordning skulle i realiteten innebära att det oaktsamma handlandet [d.v.s. framkallandet av risk] i sig ofta skulle medföra straffansvar [d.v.s. skuld].”

För att undvika just denna juridiskt oacceptabla följd anförde Högsta domstolen att det för röjande krävs att man måste kunna ”räkna med” att någon obehörig kommer att ta del av uppgifterna. Det krävs en förhållandevis hög grad av sannolikhet (”måste kunna räkna med”) för att ett röjande ska anses ske och för att skuld ska föreligga.

Genom att hävda att utkontraktering av IT alltid ska utgöra ett röjande har IT-driftsutredningen alltså hamnat i exakt den problematik som Högsta domstolen identifierade och undvek vid tolkningen av samma begrepp. Skuldfrågan avgörs genom konstaterandet att ett röjande föreligger. Om en beslutsfattare fattar beslut om utkontraktering av IT som innefattar sekretessbelagda uppgifter kommer denna alltid ska anses ha röjt uppgifterna. Inte bara grovt oaktsamt utan snarare uppsåtligt. Detta kan t.ex. innebära att de har gjort sig skyldiga till vårdslöshet med hemlig uppgift eller brott mot tystnadsplikt.

Detta innebär också att så länge som den nu föreslagna sekretessbrytande bestämmelsen inte införs så bör, med utredningens tolkning, många framtida beslut om utkontraktering som innefattar sekretessbelagda uppgifter leda till avsked och åtal för beslutande befattningshavare. Alla sådana utkontrakteringar, till såväl svenska som utländska aktörer, borde helt enkelt upphöra. Under förutsättning att utredningen har rätt förstås, vilket man inte har.

Här ska förstås tilläggas att den 1 januari 2021 införda bestämmelsen om tystnadsplikt för leverantörer innebär att ett röjande av uppgifter i många fler fall än tidigare inte kommer att innebära att sekretessbelagda uppgifter röjs. Men problemet kvarstår, både principiellt och praktiskt, i alla de fall som uppgifterna som röjs genom utkontrakteringen är föremål för sekretess.

Utredningen försöker visa att vare sig Högsta domstolens dom i NJA 1991 s. 103 eller Arbetsdomstolens dom ska vara prejudicerande när det gäller utkontraktering av IT. Det spelar dock ingen roll om dom är prejudicerande eller inte. Det viktiga är att utredningen genom sin analys av röjandebegreppet hamnar i exakt den problemställning och orimliga lagtolkning som Högsta domstolen identifierade och undvek, utan att verka inse konsekvenserna av det. Det går inte att tolka röjandebegreppet på ett sätt som innebär att varje form av tillgång till uppgifter automatiskt leder till straffansvar.

I vad som får uppfattas som ett försök att skapa klarhet i den förvirring som eSam skapat så har IT-driftsutredningen alltså skapat risk för ännu mer förvirring. Det är därför angeläget att förstå att IT-driftsutredningen helt enkelt har fel när man anför att en utkontraktering av IT alltid skulle innebära ett röjande.

Regeringen bör nu skyndsamt omvandla utredningens förslag till en sekretessbrytande bestämmelse till ett lagförslag och samtidigt markera att IT-driftsutredningens analys av röjandebegreppet självklart är felaktigt. Både kunderna och leverantörerna behöver tydliga spelregler.

Här finns ett webbinarium med artikelförfattaren.


Dela sidan:
Skriv ut:

Dagens Juridik
red@dagensjuridik.se