”Transportstyrelsens IT-skandal kan vara toppen på ett isberg – detta gäller juridiskt för outsourcing”

ANALYS/DEBATT – av advokaten Conny Larsson, specialiserad på bl. a. IT-rätt och säkerhetsjuridik, Advokatfirman Gärde & Partners

Är IT-skandalen hos Transportstyrelsen bara toppen på ett isberg – hur hanterar övriga myndigheter reglerna om sekretess och tystnadsplikt när det blir fråga om outsourcing?

1. Bakgrund

Transportstyrelsens beslut under 2015 att genom outsourcing låta en extern leverantör sköta driften av fordons- och körkortsregistret utan att säkerställa att detta kunnat ske i enlighet med tillämpliga regler har fått en sådan dimension att det till och med kan föranleda en regeringskris.

Jag har i tidigare artiklar i Dagens Juridik uppmärksammat frågan om hur molntjänster och annan outsourcing kan användas utan att reglerna om sekretess eller annan tystnadsplikt åsidosätts. Frågan har dock inte hittills väckt något större intresse i den allmänna debatten och våra myndigheter, företag eller andra organisationer förefaller använda molntjänster eller på annat sätt outsourca sin informationshantering ungefär som vanligt.

Den aktuella IT-skandalen hos Transportstyrelsen är nu ett konkret exempel på den problematik som kan uppstå till följd av det juridiskt problematiska förhållandet mellan intresset av en effektiv informationshantering och reglerna om personuppgiftsbehandling, sekretess och säkerhet.

2. Sekretessfrågan

Transportstyrelsens outsourcing innebär att all information i registren, personuppgifter och uppgifter som omfattas av sekretess eller som särskilt behöver skyddas, har gjorts tillgänglig i de servrar, datahallar och datorer som leverantörerna disponerar. Dessutom är informationen tillgänglig i olika länder.

I och för sig saknas en uttrycklig legaldefinition av vad som ska anses utgöra ett ”utlämnande”, men eftersom leverantörerna och deras personal genom outsourcingen har eller kan få tillgång till själva informationen blir det mycket svårt att hävda att informationen inte har utlämnats.[1]  Därmed har Transportstyrelsen valt en lösning som kan anses innebära ett utlämnande av uppgifterna i registren till de anlitade leverantörerna.

Innan uppgifter får lämnas ut ska myndigheten göra en sekretessprövning och en menbedömning.[2] De olika sekretessformerna, sekretess med rakt skaderekvisit, sekretess med omvänt skaderekvisit och absolut sekretess, innebär olika förutsättningar för ett utlämnande. Hindret är starkare ju starkare skydd sekretessen utgör, så att det ställs högre krav på menbedömningen innan utlämnande får ske av uppgifter som skyddas av ett omvänt skaderekvisit än när det är fråga om ett rakt.[3]

På detta sätt utgör bestämmelserna om sekretess eller tystnadsplikt ett generellt hinder mot användandet av molntjänster eller annan outsourcing. Att det sedan genom olika åtgärder kan åstadkommas att ett utlämnande blir tillåtet eller behörigt är en annan sak, som innebär att hindret har undanröjts i det aktuella fallet.

För uppgifter som omfattas av absolut sekretess är skyddet ännu starkare och där ges inget utrymme för utlämnande efter en menbedömning.[4]

För uppgifter hos Transportstyrelsen gäller generellt sekretess med ett rakt skaderekvisit, vilket betyder att möjligheterna att lämna ut uppgifterna är större.[5] Dock måste en menprövning göras innan uppgifterna får utlämnas, vilket Transportstyrelsen förefaller ha underlåtit i det aktuella fallet. Det torde därtill finnas särskild anledning att ställa krav på Transportstyrelsens menbedömning när det som här varit fråga om ett generellt utlämnande av alla i registren ingående uppgifter och inte enbart ett utlämnande av vissa uppgifter i ett konkret fall.

Det måste vara nära nog omöjligt att kunna göra en generell menbedömning med en så omfattande mängd uppgifter som finns i registren och där det knappast går att ha en uppfattning om vad ett utlämnande eller röjande skulle kunna leda till för var och en av de personer eller andra subjekt som skyddas av sekretessen. Till detta kommer att Transportstyrelsen inte har en aning om vilka som kommer att kunna få tillgång till uppgifterna när registren förs i andra länder. Uppgifterna kan ju komma att utlämnas till myndigheter eller annan i enlighet med dessa länders nationella lagar.

Transportstyrelsen kan inte ha varit omedvetet om detta. När outsourcingen ändå genomförs kan det anses som att uppgifterna har gjorts tillgängliga och utlämnats till andra länders myndigheter, vilket omfattas av särskilda krav för att vara tillåtet.[6]

Således blir det svårt att uppfatta saken på annat sätt än att Transportstyrelsen har åsidosatt sin skyldighet att göra en ordentlig menprövning och att uppgifterna i registren har utlämnats i strid med sekretesslagstiftningen. Agerandet har ansetts utgöra ett straffbart brott mot tystnadsplikt[7] och föranledde att Transportstyrelsens generaldirektör fick och godkände ett strafföreläggande.

3. Något om säkerhetsskyddslagen (1996:627)

Förutom sekretessprövningen och menbedömningen enligt offentlighets- och sekretesslagen skulle även en bedömning ha gjorts om registren kan innehålla uppgifter som har betydelse för rikets säkerhet. Enligt vad som framkommit innehåller registren till vissa delar sådana uppgifter om olika slags fordon och personal som kan angå rikets säkerhet, vilket innebär att även säkerhetsskyddslagen (1996:627) är tillämplig på outsourcingen med krav på olika åtgärder. Transportstyrelsen skulle bland annat ha ingått ett särskilt säkerhetsskyddsavtal med de olika leverantörerna[8], särskilt ha bedömt och vidtagit åtgärder för informationssäkerheten[9] och säkerhetsprövat den personal som ska ha tillgång till registren.[10]

Enligt vad som framkommit har Transportstyrelsen inte gjort någon sådan bedömning eller vidtagit några sådana åtgärder. Om registren innehåller information som rör rikets säkerhet torde det vara mycket olämpligt att låta sådana uppgifter behandlas utomlands, eller rentav även hos någon utomstående aktör inom Sverige. Transportstyrelsen borde därför ha sållat ut sådana uppgifter och övervägt att fortsätta behandla dem hos myndigheten.

Således torde Transportstyrelsen även ha åsidosatt säkerhetsskyddslagen (1996:627) i samband med outsourcingen.

4. Personuppgiftslagen (1998:204)

När det gäller personuppgifter i registren kan det även strida mot personuppgiftslagen (1998:204) att låta dem behandlas utomlands eller av utomstående leverantörer. Eftersom registren kan innehålla uppgifter som utgör känsliga personuppgifter som exempelvis avslöjar de registrerades hälsoförhållanden[11], men även uppgifter som kan användas för att identifiera och spåra personer som omfattas av vittnesskydd och har hemlig adress.

Dessa aspekter är viktiga inte bara vid menprövningen enligt offentlighets- och sekretesslagen, utan får betydelse även för frågan om vilka säkerhetsåtgärder som krävs.[12] Därtill kommer att viss personal hos olika myndigheter som exempelvis bedriver underrättelseverksamhet kan ha kvalificerad skyddsidentitet och där skadan kan bli särskilt stor om uppgifterna sprids.[13]

Således torde Transportstyrelsen även ha åsidosatt de säkerhetskrav som enligt personuppgiftslagen (1998:204) gäller för behandling av personuppgifter genom att generellt lämna ut alla i registren ingående uppgifter till de olika leverantörerna i samband med outsourcingen.

5. Slutsatser

Att anlita externa aktörer för informationshanteringen är i många fall ett frestande alternativ. De externa leverantörerna har nämligen i de flesta fall en specialkompetens som gör att de sannolikt är mycket bättre än myndigheterna själva på att hantera informationen på ett kompetent, effektivt, billigt eller säkert sätt.

På detta sätt kan myndigheterna inte bara hålla nere sina kostnader för informationshanteringen (de slipper ha en egen infrastruktur, servrar, programvara m.m. och behöver inte heller ha någon IT-personal för ändamålet). De kan härigenom även få tillgång till en informationshantering som är både bättre och säkrare än vad myndigheten själv kan åstadkomma.

Att så är fallet gör dock inte att outsourcingen automatiskt blir laglig eller lämplig. Med andra ord helgar ändamålen inte alltid medlen, vilket tycks ha varit anledningen för Transportstyrelsen att besluta om undantag från reglerna i den aktuella upphandlingen.

Fallet med Transportstyrelsens outsourcing av fordons- och körkortsregistret är under alla förhållanden en viktig väckarklocka som indikerar att vi inte ska lita på att myndigheterna hanterar uppgifterna på ett lagligt och säkert sätt.

Det finns ingen anledning att tro att Transportstyrelsen är unik i sammanhanget. Det kan antas att många fler myndigheter, inte bara statliga utan även kommunala, i sin iver att få till en effektiv och kostnadsbesparande informationshantering väljer att genom molntjänster eller annan outsourcing anlita utomstående leverantörer. Då kan det även antas att myndigheterna i denna iver glömmer bort eller medvetet bortser ifrån sina skyldigheter enligt lag vad gäller sekretess, säkerhet och skydd för personuppgifter.

Risken är uppenbar att myndigheterna prioriterar effektivitets- och kostnadshänsyn och att de har outsourcat sin informationshantering i en utsträckning som är mycket tveksam ur ett laglighets-, säkerhets- och lämplighetsperspektiv. Ju känsligare uppgifterna är, desto starkare är skälen för att inte outsourca informationshanteringen.

Om uppgifterna samtidigt omfattas av sekretess enligt lag torde detta innebära ett förbud mot att låta någon utomstående sköta informationshanteringen, särskilt när det är fråga om uppgifter som omfattas av absolut sekretess eller omvänt skaderekvisit. Regler om personuppgifter, sekretess och säkerhet gäller naturligtvis inte bara när makthavarna tycker det är lämpligt.

Ett naturligt nästa steg är därför att göra en genomgripande undersökning av hur andra myndigheter skött sig. Det finns all anledning för oss att känna verklig oro för hur myndigheterna egentligen hanterar våra uppgifter och resultatet av en sådan undersökning kommer nog inte att lugna oss – snarare tvärtom.

Därför kan Transportstyrelsens IT-skandal skrämmande nog rentav vara toppen på ett stort isberg.