Översikt


Hittar du inte vad du letar efter? Klicka här för att söka.
Annons
Annons

”Oklara uppfattningar om lagstiftning om molntjänster hindrar digitaliseringen”

Debatt
Publicerad: 2020-05-27 10:55

DEBATT – av David Frydlinger, Partner, Cirio Advokatbyrå och Caroline Olstedt Carlström, Partner, Cirio Advokatbyrå

Många myndigheter lever idag i uppfattningen att det är olagligt att använda molntjänster från privata leverantörer på grund av reglerna i offentlighets- och sekretesslagen. Denna uppfattning riskerar att sakta ner digitaliseringen i offentliga verksamheter, som därmed kan gå miste om eftersträvansvärda, och för samhället nödvändiga, effektivitets- och säkerhetsvinster. Regeringen behöver i sin tillsatta utredning klargöra vad som ska gälla, inte minst kring begreppet ”röjande” i offentlighets- och sekretesslagen.

Den digitala omställningen är viktig, för att inte säga samhällskritisk. Var det inte uppenbart tidigare har det blivit det genom Covid-19-pandemin, då möjligheterna att använda digital teknik har varit helt avgörande för många verksamheter.

Ett stort hinder för ett hållbart digitaliserat Sverige är den på många håll rådande uppfattningen att myndigheter, kommuner och regioner inte kan använda många typer av molntjänster utan att bryta mot lag – framförallt offentlighets- och sekretesslagen. Genom en molntjänst tillhandahålls som bekant mjukvara och it-infrastruktur helt eller delvis över internet. Ofta, om än inte alltid, är molntjänster det effektivaste och säkraste sättet att använda it-tjänster.

Den idag rådande uppfattningen är resultatet av en ofta mer känslomässig än saklig debatt som har pågått sedan åtminstone 2014. I hög grad är den baserad på olika uttalanden från eSamverkansprogrammet (eSam), ett organ som inte har någon vare sig lagstiftande eller lagtolkande funktion. Resultatet har blivit att många offentliga aktörer helt enkelt har avhållit sig från att använda molntjänster som de ofta hade önskat använda, vilket har försenat digitaliseringen av Sverige. Det var därför mycket välkommet att regeringen i höstas tillsatte en utredning som bl.a. har i uppdrag att se över denna fråga.

En närmare juridisk analys visar dock att möjligheterna att använda molntjänster redan idag är betydligt större än vad många verkar tro, eller vill tro. Rent juridisk handlar den mest centrala frågan om innebörden av ett specifikt begrepp, nämligen begreppet ”röjande”. Enligt offentlighets- och sekretesslagen får myndigheter inte ”röja” sekretessbelagda uppgifter, vilket förstås gör det centralt att förstå vad detta begrepp innebär.

Praxis från Högsta Domstolen slår fast att det avgörande i bedömningen om ett röjande ska anses ske är sannolikheten för att någon kommer att ta del av utlämnade uppgifter. Eftersom det ofta är osannolikt att molntjänstleverantörens personal tar del av utlämnade uppgifter borde det många gånger vara så att utlämnade uppgifter inte ska anses röjda i lagens mening, vilket i så fall kan gör det möjligt att använda tjänsten ifråga.

eSam synes ursprungligen ha delat denna uppfattning. År 2018 antog USA emellertid CLOUD Act, som ger brottsbekämpande amerikanska myndigheter rätt att under vissa förutsättningar kräva ut dokument och uppgifter från molntjänstleverantörer under amerikansk jurisdiktion – även om uppgifterna finns på servrar utanför USA. Detta fick eSam att ändra uppfattning i frågan. Framförallt genom att på ett svårbegripligt sätt uppfinna ett nytt juridiskt rekvisit för röjande, utöver sannolikhet, som inte har stöd i vare sig lagtext, förarbeten eller praxis. Det rör sig om ett krav på rättsliga förpliktelser för molntjänstleverantören att inte vidareförmedla uppgifter, t.ex. till amerikanska myndigheter. Något sådant krav finns helt enkelt inte.

Eftersom frågan om röjande rent juridiskt enbart är en sannolikhetsfråga finns det således betydligt större möjligheter för offentliga aktörer att använda molntjänster än vad många tror och vill tro, även från leverantörer som omfattas av CLOUD Act. Här bör även noteras att det i debatten också förekommande kategoriska påståendet att sådan användning i så fall ändå skulle strida mot dataskyddsförordningen är felaktigt. Dataskyddsförordningen bygger på ett riskbaserat perspektiv på basis av vilket väldigt få kategoriska bedömningar kan göras. En prövning behöver ske från fall till fall.

Trots detta välkomnar vi tydliggörande lagförslag från regeringen. Inte minst på grund av den förvirring som har uppstått. Men också för att det är viktigt att på ett tydligt sätt skapa rätt balans mellan behovet av digitalisering och andra värden, såsom integritet och bevarande av sekretess för känsligare uppgifter. Vi rekommenderar därför följande:

· Tydliggör röjandebegreppets innebörd. eSams tillägg av ett nytt rekvisit har skapat en osäkerhet som tyvärr behöver åtgärdas. Sannolikheten för att någon tar del av uppgifter verkar vara det lämpligaste verktyget i bedömningen, och inget annat.

· Anta Digitaliseringsrättsutredningens år 2018 lämnade förslag om regler om lagstadgad tystnadsplikt för leverantörer. I vissa fall kommer uppgifter att anses röjda och då är det viktigt att leverantörerna omfattas av tydliga sekretesskyldigheter.

· Tydliggör offentlighets- och sekretesslagens förhållande till CLOUD Act och motsvarande lagstiftning. Detta görs lämpligen genom just de två föreslagna åtgärderna ovan.

· Tydliggör även hur reglerna om röjande och lagstadgad tystnadsplikt ska gälla i förhållande till molntjänstleverantörernas underleverantörer, lämpligen genom att slå fast att motsvarande regler även ska gälla för dessa.

· Anta förtydligande regler avseende informationssäkerhet inom offentlig sektor. I debatten är det märkligt hur lite uppmärksamhet Riksrevisionens återkommande rapporter om bristande informationssäkerhet inom staten har fått, med i många fall allvarliga brister. Risken för externa angrepp på centrala system med bristande informationssäkerhet torde ofta vara högre än de mer diffusa risker som har varit i fokus i debatten.


Dela sidan:
Skriv ut:

Dagens Juridik
red@dagensjuridik.se