”Jodå, doktoranden – sekretess utgör visst ett generellt hinder för molntjänster hos myndigheter”

DEBATT/REPLIK – av Conny Larsson, advokatfirman Gärde & Partners

Daniel Westman har nyligen[1] (Dagens Juridik 2014-11-12) bemött min analys[2] (Dagens Juridik 2014-10-02) av hur molntjänster förhåller sig till offentlighets- och sekretesslagen (OSL).

Vi är tydligen överens om att intresset för personuppgiftslagen (PuL) har gjort att sekretessfrågan hamnat i skymundan när det gäller molntjänsterna. Detta bör betyda att vi båda anser det viktigt att sekretessfrågorna ges ett större utrymme innan myndigheterna (och även andra aktörer som omfattas av tystnadsplikt) bestämmer sig för att anlita externa företag – till exempel molntjänster – för sin informationshantering.

Som jag uppfattar Daniel är det huvudsakligen i två avseenden han invänder mot mina slutsatser. Han ifrågasätter min slutsats att Offentlighets- och sekretesslagen (OSL) utgör ett ”generellt” hinder mot molntjänsterna och han anser att det efter en menprövning mycket väl kan vara möjligt att använda sådana tjänster.

Innan jag bemöter Daniel är det lämpligt att först titta på de delar av frågeställningen där vi uppenbarligen är överens.

Daniel och jag (och även JO) verkar vara överens om att det är fråga om ett ”utlämnande” av uppgifterna när en molntjänstleverantör (eller annan extern leverantör) anlitas. Detta gäller även om det finns instruktioner och tekniska åtgärder som begränsar leverantörens anställdas åtkomst till uppgifterna.

Vi är nog också överens om att utlämnandet inte blir ”behörigt” eftersom leverantören inte kan sägas ingå eller vara knuten till myndigheten på sätt som OSL anger. Det vill säga vi kan inte anse det vara ”behörigt” i sig att lämna ut sekretessbelagd information till olika slags leverantörer som anlitas för uppgiftshanteringen.

Jag antar dessutom att Daniel delar min uppfattning att ett utlämnande med sekretessförbehåll eller en avtalad sekretess inte räcker för att göra leverantören behörig.

Därmed torde diskussionen kunna begränsas till:

1. om OSL verkligen är ett ”generellt” hinder för molntjänsterna och
2. om det efter en menprövning skulle kunna gå att anlita leverantörerna och lämna ut uppgifterna för behandling hos denne, till exempel genom molntjänster.

1. ”Generellt” hinder

 När Daniel ifrågasätter min slutsats att OSL utgör ett ”generellt hinder” mot molntjänster leder han in diskussionen på semantikens område, det vill säga vad det innebär att något utgör ett ”generellt” hinder.

Jag åsyftar härmed inte att OSL medför att det alltid är uteslutet att använda molntjänster, eftersom hindret mot molntjänsterna i så fall skulle vara ”absolut”. Däremot innehåller OSL sådana bestämmelser som medför att det endast undantagsvis blir möjligt att lämna ut uppgifter till molntjänstleverantörerna. Till exempel skulle det kunna vara möjligt att lämna ut uppgifterna om myndigheten först inhämtar samtycke från den som sekretessen skyddar.[3]

Om myndigheten vidtar åtgärder som innebär att leverantören inte kommer att få tillgång till själva uppgifterna, till exempel genom kryptering, torde det inte ens vara fråga om ett utlämnande (detta förutsätter givetvis att leverantören inte även får tillgång till nycklar så att uppgifterna kan dekrypteras). I så fall är det fråga om en tjänst där leverantören enbart förvarar uppgifterna och inte utför någon ytterligare behandling.

Men när myndigheterna anlitar externa företag för sin informationshantering är det oftast fråga om att leverantörerna ska göra mycket mer än att bara förvara uppgifter åt myndigheten, vilket förutsätter att de även får tillgång till uppgifterna och att de därmed lämnas ut. Min bedömning är därtill att de begränsningar som följer av OSL är av sådant slag att det inte är möjligt att göra ett generellt utlämnande av uppgifterna till en leverantör (med ”generellt” utlämnande menar jag här att myndigheten lämnar ut alla berörda uppgifter för behandling hos leverantören).

Det är därför jag anser sekretessbestämmelserna utgöra ett ”generellt” hinder, det vill säga att hindret är allmängiltigt.[4] Daniel anför ju själv i sin artikel ett antal olika åtgärder som kan vidtas för att det efter en menprövning ska vara möjligt att använda molntjänsterna. Därmed torde Daniel själv anse att molntjänsterna endast undantagsvis kan användas och jag får därför lite svårt att förstå hans invändning mot att jag kallar OSL ett ”generellt” hinder.

2. Generellt utlämnande efter menprövning

 När Daniel gör gällande att molntjänstleverantören skulle kunna anlitas efter en menprövning måste detta betyda att han avser en generell menprövning beträffande de uppgifter som ska överföras till leverantören. Samtidigt måste beaktas att OSL (eller andra bestämmelser om tystnadsplikt) finns för att skydda särskilda intressen.[5] Detta intresse måste rimligtvis väga tungt i jämförelse med myndighetens intresse i att kunna sköta sin informationshantering genom anlitande av externa leverantörer, till exempel molntjänster.

Eftersom menprövningen ska utgå ifrån den person eller det intresse som sekretessen ska skydda, får jag ifrågasätta om det över huvud taget är möjligt att göra ett generellt utlämnande. Då sker ju ingen prövning utifrån det specifika skyddsintresset. Därför anser jag att Daniel förbigår att utgångspunkten ska vara det subjekt eller det intresse som ligger till grund för sekretessen när han gör en generell menprövning.

Eftersom det handlar om att låta någon annan sköta myndighetens informationshantering blir det ju fråga om ett generellt utlämnande av samtliga berörda uppgifter och inte ett utlämnande i ett enskilt fall. Då kommer ju inte menprövningen att utgå ifrån den som uppgiften angår och hur ett utlämnande kan tänkas påverka denne. Det måste vara en utmaning att med någon säkerhet göra en sådan generell menprövning.

I vart fall torde det endast i få undantagsfall kunna anses vara möjligt att denna kan göras med resultat att uppgifterna allmänt och i en klump kan lämnas ut till leverantörerna. Daniel hänvisar ju rentav själv i sin artikel till JO:s uppfattning att en menprövning inte kan göras på ett schablonartat sätt, utan måste utgå från omständigheterna i det enskilda fallet. Härigenom blir hans resonemang motsägelsefullt.

Ibland är sekretessintresset så starkt att en absolut sekretess gäller (till exempel under en pågående upphandling), där uppgiften överhuvudtaget inte får lämnas ut. I sådana fall torde det vara helt uteslutet att anlita någon annan för uppgiftshanteringen under upphandlingen, det vill säga här är inte hindret bara ”generellt” utan ”absolut” i den meningen att det inte alls är möjligt att låta någon utomstående hantera uppgifter i anbud eller andra handlingar innan upphandlingen avslutats.[6] Jag tror att Daniel och jag är överens om detta.

I ett antal andra situationer gäller ett så kallat omvänt skaderekvisit, där uppgiften endast får lämnas ut om det står klart att utlämnandet kan ske utan men. I dessa fall är utgångspunkten att uppgiften inte får lämnas ut, vilket rimligtvis gäller även när mottagaren är en molntjänstleverantör eller annan som ska sköta uppgiftshanteringen åt myndigheten.

Utrymmet för när behandlingen av sådana uppgifter kan läggas ut på en extern leverantör måste därmed bli utomordentligt begränsat och när det är fråga om en molntjänst torde en sådan lösning i princip vara utesluten. Därför kan även dessa slags sekretessregler sägas utgöra generella hinder mot molntjänsterna.[7]

I det aktuella JO-ärendet[8] gällde det företrädesvis uppgifter som omfattas av sekretess med ett så kallat omvänt skaderekvisit och som Daniel anger fann JO att det inte stått klart att uppgifterna kunde utlämnas utan men. Jag tror därför att vi i stort sett även är överens om att behandlingen av sådana slags uppgifter knappast alls kan överlåtas till externa företag.

3. Menprövning vid rakt skaderekvisit

 Möjligheten att efter en menprövning anlita externa leverantörer, till exempel molntjänster, torde dock vara större när det är fråga om sådana uppgifter som omfattas av ett rakt skaderekvisit. Det verkar också vara huvudsakligen här som våra uppfattningar skiljer sig åt.

Daniel nämner i sin artikel ett antal olika faktorer som kan påverka menprövningen. Han påpekar att JO anfört att tystnadsplikt enligt andra regler, särskilt om de är straffsanktionerade, kan påverka menprövningen.

Han hänvisar även till att leverantören kan vidta olika åtgärder till skydd för uppgifterna bland annat genom tjänsternas faktiska och rättsliga utformning. Dessutom nämner han att det kan finnas instruktioner och tekniska åtgärder som begränsar den faktiska åtkomsten till uppgifterna och att anställda som åsidosätter dessa kan dömas till exempel för dataintrång.

Jag delar Daniels uppfattning att menprövningen kan påverkas av sådana faktorer han nämner, men enbart det faktum att leverantören själv omfattas av tystnadsplikt, har givit sin personal vissa instruktioner eller vidtagit vissa tekniska säkerhetsåtgärder kan inte i sig anses generellt tillräckligt för att undanröja sekretessen. Hänsyn måste även tas till hur uppgifterna kan komma att behandlas när de finns tillgängliga hos leverantören, till exempel till vilka uppgifterna kan komma att utlämnas vidare.

Daniel hänvisar även till att leverantören kan vidta olika åtgärder till skydd för uppgifterna bland annat genom tjänsternas faktiska och rättsliga utformning. Han gör därvid gällande att risken för skada och men inte skulle vara större än hos myndigheten själv. Här delar jag inte hans uppfattning.

Oberoende av hur väl uppgifterna skyddas hos leverantören och vilka faktiska eller rättsliga åtgärder denne vidtagit, kommer uppgifterna att hamna utanför myndighetens kontroll när denna överlämnar uppgifterna. Det torde stå helt klart att myndighetens möjligheter att faktiskt övervaka och kontrollera hanteringen minskas om denna sker hos en extern leverantör, särskilt om denne är en molntjänstleverantör.

Till detta kommer att leverantörerna enligt vad jag återkommer till nedan kan vara skyldiga enligt lag att lämna ut uppgifterna och mot detta hjälper inga sådana åtgärder som Daniel nämner. Detta medför enligt min mening att risken för skada eller men typiskt sett blir högre när myndigheten avhänder sig kontrollen över uppgifterna.

Även andra omständigheter måste vägas in såsom i vilken utsträckning leverantören kan vara skyldig enligt lag att lämna ut uppgifterna, särskilt när leverantören omfattas av regler i ett annat land. Reglerna i OSL om sekretess som gäller hos myndigheten och de regler om tystnadsplikt som eventuellt gäller hos leverantören har sällan samma innebörd. Därtill kan leverantören ha en skyldighet att lämna ut uppgifterna enligt andra bestämmelser som myndigheten inte skulle ha haft enligt OSL. Detta kan innebära att leverantörens tystnadsplikt undanröjs i situationer där uppgiften inte hade fått lämnats ut om uppgifterna varit kvar hos myndigheten. Skyddet för uppgifterna blir i så fall sämre än om myndigheten själv sköter hanteringen.

När det gäller molntjänster eller anlitande av leverantör där uppgifterna lagras i andra länder gör Daniel det därför alltför bekvämt för sig när han nöjer sig med att påpeka svårigheterna i att värdera riskerna med en sådan hantering. I övrigt hoppar han helt enkelt över denna fråga. Leverantörerna i andra länder är skyldiga att följa det aktuella landets lagar. Mot detta hjälper vare sig OSL, sekretessförbehåll eller avtalad sekretess eller tystnadsplikt enligt andra svenska bestämmelser.

Ingen leverantör i världen kan åta sig att åsidosätta det aktuella landets tvingande lagregler. Mot detta hjälper heller inga säkerhetsåtgärder, vare sig det är fråga om leverantörens instruktioner till anställda eller tekniska åtgärder som leverantören vidtar, såsom kryptering. Leverantören kommer i sådana fall att tvingas utlämna uppgifterna, eller också kommer myndigheterna att bereda sig tillgång till uppgifterna med tvång.

Detta måste myndigheterna väga in vid sin menprövning innan de anlitar en leverantör där uppgifterna kommer att behandlas utanför Sverige.

Ett anlitande av sådana leverantörer innebär inte bara ett generellt utlämnande av uppgifterna till leverantören, utan även ett generellt utlämnande till landets myndigheter eller andra enligt det aktuella landets lagstiftning. Detta ska ses mot bakgrund av att OSL uppställer särskilda krav för utlämnande av uppgifter till utländska myndigheter, vilket torde betyda att ett generellt utlämnande av uppgifter knappast kan vara förenligt med OSL.[9]

En särskilt delikat problematik i sammanhanget är att amerikanska myndigheter anser sig oförhindrade att begära in uppgifter från amerikanska företag med tillämpning av amerikansk lag, även när dessa är verksamma i andra länder och behandlar uppgifterna där. Enligt ett utslag från en distriktsdomstol i USA har amerikanska myndigheter till och med rätt att få tillgång till uppgifter från ett annat land som ett amerikanskt företag har tillgång till.[10]

Dessutom förekommer det att berörd lagstiftning ålägger programvaruleverantörer att förse sin programvara med ”bakdörrar” för att brottsutredande myndigheter eller myndigheter som bedriver underrättelseverksamhet ska få tillgång till uppgifter. Detta betyder att vi inte ens kommer att kunna ha kontroll över hur uppgifterna lämnas vidare när ett utländskt ägt företag tillhandahåller tjänsten i Sverige via ett dotterbolag i det aktuella landet. Det är därför särskilt farligt att blunda för denna problematik.

4. Avslutande synpunkter

 Jag anser att Daniel överskattar det värde som andra bestämmelser om tystnadsplikt, instruktioner till anställda och tekniska åtgärder m.m. kan tillmätas vid menprövningen och att han underskattar de intressen som sekretessbestämmelserna är till för att skydda. Även när regler i OSL med ett rakt skaderekvisit är tillämpliga, torde det i praktiken endast i rena undantagsfall vara möjligt att göra ett generellt utlämnande av uppgifterna till leverantörerna.

Och ett generellt utlämnande innebär ju att menprövningen drar alla berörda uppgifter över en kam och att den inte sker med utgångspunkt i de sekretessintressen som ligger bakom respektive uppgift.

Till exempel tas då ingen hänsyn till om uppgifterna om en person A handlar om dennes förkylning, medan uppgifterna om en annan person B handlar om dennes HIV. I en sådan situation torde ju det men som kan uppkomma vara större för B än för A och hänsyn tas ju inte till detta om man schablonmässigt lämnar ut alla uppgifter till den externe leverantören.

För detta slags uppgifter gäller sannolikt ett omvänt skaderekvisit vilket innebär en restriktivare menprövning, men även vid ett rakt skaderekvisit måste motsvarande bedömningar göras för de olika uppgifterna för att avgöra om de kan lämnas ut till leverantören. Det blir därför svårt att se hur en generell menprövning ska kunna göras som tar hänsyn till sekretessintresset för varje uppgift och sekretessreglerna tillkom nog inte med ett sådant scenario för ögonen.

Om myndigheterna vid upphandling av molntjänster eller behandling av uppgifter av annan extern leverantör skulle uppställa krav på att anbud får lämnas endast av svenska leverantörer med verksamhet endast i Sverige, finns en uppenbar risk att detta strider mot EU-rätten och upphandlingsreglerna. En närmare analys av detta får dock ske vid annat tillfälle.

Vad gäller Daniels hänvisning till sekretess eller tystnadsplikt enligt andra regler finns oftast inte möjlighet att lämna ut uppgifter efter en menprövning i sådana regler liknande den som sker enligt OSL. Enligt dessa bestämmelser finns i stället en begränsning i att uppgifterna inte ”obehörigen” får lämnas ut. Då måste särskilt bedömas i vilka situationer ett utlämnande trots tystnadsplikten kan anses behörigt, vilket ofta begränsas till situationer där samtycke föreligger eller när uppgiften ska utlämnas enligt lag.[11]

Aktörer som omfattas av sekretess eller tystnadsplikt enligt andra regler än OSL torde ha motsvarande problematik med att anlita externa leverantörer för sin uppgiftsbehandling, till exempel genom molntjänster. Även denna frågeställning får analyseras vid annat tillfälle.

Daniels jämförelse mellan OSL och PuL är intressant ur flera aspekter. Samtidigt får vi inte glömma bort att PuL avser att skydda den personliga integriteten medan sekretessbestämmelserna i OSL även ska skydda andra intressen. Som Daniel anger ställs enligt PuL krav på vissa säkerhetsarrangemang för att molntjänsterna ska kunna uppfylla kraven i PuL.[12] För att återgå till semantiken får jag därför påstå att även PuL utgör ett ”generellt” hinder mot molntjänster, eftersom molntjänsterna endast får användas om vissa särskilda åtgärder vidtas för att uppfylla kraven på säkerhet.

Daniel är dock inne på att en lagändring borde kunna övervägas och att leverantörerna därmed skulle kunna omfattas av en straffsanktionerad tystnadsplikt för de sekretessbelagda uppgifterna. Han anser dock inte detta vara en patentlösning, vilket jag instämmer i. Till detta kommer givetvis bedömningen utifrån kraven i PuL men även själva säkerhetsfrågan, där myndigheten måste fråga sig om det kan accepteras att myndigheten avhänder sig kontrollen över uppgifterna genom att låta någon annan sköta hanteringen. Därmed kan säkerhetsfrågan i sig sägas utgöra ännu ett ”generellt” hinder mot att anlita externa företag oberoende av OSL- eller PuL-frågan.

Och bara för myndigheter redan idag i stor omfattning använder och under lång tid har använt mer traditionella drifttjänster som innebär att behandling sker utomlands eller hos underleverantörer, innebär ju inte detta att förfarandet per automatik blir lagligt. Här måste vi se upp och finner vi att reglerna inte är anpassade till verkligheten måste vi invänta nödvändiga regeländringar. Sekretessfrågorna är alltför viktiga och har fått alltför lite intresse i debatten.

Daniel framför många kloka synpunkter, men den enligt mig främsta förtjänsten i hans artikel är att han kanske tydligare än jag uppmärksammade om att frågan om att anlitandet av externa leverantörer (till exempel molntjänster) måste göras efter en menprövning.

Diskussionen är värdefull för att vi ska undvika att hoppa i galen tunna, oberoende av om jag drar för långtgående slutsatser av JO:s beslut eller om Daniel underskattar OSL.

Jag vidhåller dock min uppfattning att OSL utgör ett generellt hinder mot molntjänsterna och jag anser att Daniel tar för lättvindigt på menprövningen, särskilt när det gäller sådan behandling som sker utomlands.

Jag ser fram emot en fortsatt spännande, intressant och nödvändig diskussion i ämnet.