Konstitutionsutskottets betänkande

2022/23:KU35

 

Sekretessgenombrott vid utlämnande för teknisk bearbetning eller teknisk lagring av uppgifter

Sammanfattning

Utskottet ställer sig bakom regeringens förslag till ändringar i offentlighets- och sekretesslagen.

Regeringen föreslår en ny sekretessbrytande bestämmelse som möjliggör för myndigheter att lämna uppgifter som omfattas av sekretess till en enskild eller till en annan myndighet som har i uppdrag att tekniskt bearbeta eller tekniskt lagra uppgifterna för den uppgiftslämnande myndighetens räkning. En uppgift får dock inte lämnas om det med hänsyn till omständigheterna är olämpligt. Vidare föreslås en inskränkning av meddelar­friheten för den som omfattas av tystnadsplikt enligt lagen om tystnadsplikt vid utkontraktering av teknisk bearbetning eller lagring av uppgifter.

Förslagen syftar till att skapa bättre förutsättningar för myndigheter att utkontraktera eller samordna sin it-drift samt att stärka skyddet för de uppgifter som lämnas till en enskild vid utkontraktering av it-drift.

Lagändringarna föreslås träda i kraft den 1 juli 2023.

Utskottet anser att riksdagen bör avslå motionsyrkandet.

I betänkandet finns en reservation (V).

Behandlade förslag

Proposition 2022/23:97 Sekretessgenombrott vid utlämnande för teknisk bearbetning eller teknisk lagring av uppgifter.

Ett yrkande i en följdmotion.

Innehållsförteckning

Utskottets förslag till riksdagsbeslut

Redogörelse för ärendet

Ärendet och dess beredning

Propositionens huvudsakliga innehåll

Utskottets överväganden

Sekretessgenombrott vid utlämnande för teknisk bearbetning eller teknisk lagring av uppgifter

Reservation

Sekretessgenombrott vid utlämnande för teknisk bearbetning eller teknisk lagring av uppgifter (V)

Bilaga 1
Förteckning över behandlade förslag

Propositionen

Följdmotionen

Bilaga 2
Regeringens lagförslag

 

Utskottets förslag till riksdagsbeslut

 

 

Sekretessgenombrott vid utlämnande för teknisk bearbetning eller teknisk lagring av uppgifter

Riksdagen antar regeringens förslag till lag om ändring i offentlighets- och sekretesslagen (2009:400).

Därmed bifaller riksdagen proposition 2022/23:97 och avslår motion

2022/23:2376 av Jessica Wetterling m.fl. (V).

 

Reservation (V)

Stockholm den 23 maj 2023

På konstitutionsutskottets vägnar

Ida Karkiainen

Följande ledamöter har deltagit i beslutet: Ida Karkiainen (S), Erik Ottoson (M), Matheus Enholm (SD), Hans Ekström (S), Fredrik Lindahl (SD), Ulrik Nilsson (M), Per-Arne Håkansson (S), Amalia Rud Pedersen (S), Susanne Nordström (M), Jessica Wetterling (V), Gudrun Brunegård (KD), Lars Engsund (M), Jan Riise (MP), Lars Johnsson (M), Peter Hedberg (S), Catarina Deremar (C) och Lina Nordquist (L).

 

 

 

 

Redogörelse för ärendet

Ärendet och dess beredning

I betänkandet behandlar utskottet proposition 2022/23:97 Sekretess­genombrott vid utlämnande för teknisk bearbetning eller teknisk lagring av uppgifter. I propositionen föreslår regeringen ändringar i offentlighets- och sekretesslagen (2009:400), förkortad OSL. Ärendets beredning fram till dess att regeringen beslutade om propositionen framgår av propositionens avsnitt Ärendet och dess beredning.

I betänkandet behandlas även en följdmotion som väckts med anledning av propositionen.

En förteckning över de behandlade förslagen finns i bilaga 1. Regeringens lagförslag finns i bilaga 2.

Propositionens huvudsakliga innehåll

I propositionen föreslås en ny sekretessbrytande bestämmelse som möjliggör för myndigheter att lämna uppgifter som omfattas av sekretess till en enskild eller till en annan myndighet som har i uppdrag att tekniskt bearbeta eller tekniskt lagra uppgifterna för den uppgiftslämnande myndighetens räkning. En uppgift får dock inte lämnas om det med hänsyn till omständigheterna är olämpligt. Vidare föreslås en inskränkning av meddelarfriheten för den som omfattas av tystnadsplikt enligt lagen (2020:914) om tystnadsplikt vid utkontraktering av teknisk bearbetning eller lagring av uppgifter.

Förslagen syftar till att skapa bättre förutsättningar för myndigheter att utkontraktera eller samordna sin it-drift samt att stärka skyddet för de uppgifter som lämnas till en enskild vid utkontraktering av it-drift. Bestämmelserna föreslås införas i offentlighets- och sekretesslagen.

Lagändringarna föreslås träda i kraft den 1 juli 2023.

 

Utskottets överväganden

Sekretessgenombrott vid utlämnande för teknisk bearbetning eller teknisk lagring av uppgifter

Utskottets förslag i korthet

Riksdagen antar regeringens förslag till ändringar i offentlighets- och sekretesslagen. En ny sekretessbrytande bestämmelse möjliggör för myndigheter att lämna uppgifter som omfattas av sekretess till en enskild eller till en annan myndighet som har i uppdrag att tekniskt bearbeta eller tekniskt lagra uppgifterna för den uppgiftslämnande myndighetens räkning. En uppgift får dock inte lämnas om det med hänsyn till omständig­heterna är olämpligt. Vidare innebär förslaget att meddelarfriheten inskränks för den som omfattas av tystnadsplikt enligt lagen om tystnadsplikt vid utkontraktering av teknisk bearbetning eller lagring av uppgifter.

Jämför reservationen (V).

Bakgrund

Uppgiftsutlämnande vid utkontraktering eller samordning av it-drift

En myndighet som saknar förutsättningar för it-drift i egen regi kan tillgodose sitt behov av säker och effektiv it-drift genom att utkontraktera denna till en privat tjänsteleverantör eller genom att ansluta sig till en samordnad it-driftslösning. Med samordnad it-drift avses här att en myndighet ger i uppdrag åt en annan myndighet att tillhandahålla grundläggande it-driftstjänster åt den uppdragsgivande myndigheten. Med utkontraktering av it-drift avses att en myndighet ger motsvarande uppdrag åt en privat tjänste­leverantör.

En myndighet är dock förhindrad att lämna ut uppgifter inom ramen för utkontraktering eller samordning av it-drift om det innebär ett otillåtet röjande enligt offentlighets- och sekretesslagen (2009:400), förkortad OSL. En uppgift som omfattas av sekretess och som görs tillgänglig för en tjänsteleverantör eller en samordnande myndighet betraktas som utlämnad eller röjd i denna lags mening. Ett sådant röjande är bara tillåtet om sekretess inte hindrar att uppgiften lämnas ut eller om uppgiften är krypterad på ett sådant sätt att mottagaren saknar teknisk kapacitet att forcera krypteringen.

En större uppgiftsmängd innehåller ofta uppgifter som omfattas av olika sekretessbestämmelser. En myndighet som utkontrakterar eller samordnar sin it-drift kan av naturliga skäl inte granska varje sekretessreglerad uppgift som kan bli föremål för utlämnande. Myndigheten får i stället göra en övergripande analys av vilka uppgifter eller kategorier av uppgifter som kommer eller kan komma att lämnas ut. Med utgångspunkt i den analysen får myndigheten pröva om sekretess utgör ett hinder för utlämnande. Prövningen kan innehålla påtagliga osäkerhetsmoment i de fall utkontrakteringen eller samordningen innebär konstanta uppgiftsflöden. Prövningen kan också resultera i att enstaka uppgifter bedöms omfattas av sekretess och därför inte kan lämnas ut. En myndighet kan alltså vara förhindrad att utkontraktera eller samordna sin it-drift på grund av att enstaka sekretessbelagda uppgifter inte kan avskiljas från en större uppgiftsmängd eller för att uppgiftsflödet i den aktuella tjänsten inte går att förutse.

Tystnadsplikt och meddelarfrihet vid teknisk bearbetning eller teknisk lagring av uppgifter

Vid samordnad it-drift gäller tystnadsplikt för offentliga funktionärer för uppgifter som tekniskt bearbetas eller tekniskt lagras hos en samordnande myndighet (11 kap. 4 a § och 40 kap. 5 § OSL). Den tystnadsplikt för uppgift om enskilds personliga eller ekonomiska förhållanden som följer av 40 kap. 5 § OSL inskränker också meddelarfriheten (40 kap. 8 § OSL). Meddelar­friheten är även inskränkt för en uppgift som omfattas av sekretess av hänsyn till ett allmänt intresse enligt en bestämmelse som har företräde framför meddelar­friheten och som hanteras i verksamhet för endast teknisk bearbetning eller teknisk lagring för en annan myndighets räkning. Det gäller dock inte om en annan primär sekretessbestämmelse till skydd för samma intresse, som inte har företräde framför meddelarfriheten, är tillämplig hos den uppgiftsmottagande myndigheten (11 kap. 4 a och 8 §§ OSL).

För en privat tjänsteleverantör som har i uppdrag att tekniskt bearbeta eller tekniskt lagra uppgifter åt en myndighet kan tystnadsplikt gälla enligt 4 § lagen (2020:914) om tystnadsplikt vid utkontraktering av teknisk bearbetning eller lagring av uppgifter, nedan kallad tystnadspliktslagen. Någon motsvarande inskränkning av meddelarfriheten likt den som gäller för offentliga funktionärer finns emellertid inte. Det innebär att rätten att meddela och offentliggöra uppgifter har företräde framför den tystnadsplikt som gäller för uppgifter som hanteras av en privat tjänste­leverantör, till skillnad mot vad som gäller när motsvarande hantering sker inom ramen för en myndighets­gemensam samordnad it-drift.

Propositionen

En ny sekretessbrytande bestämmelse

Regeringen föreslår att sekretess inte ska hindra att en uppgift lämnas till en enskild eller till en annan myndighet som för den utlämnande myndighetens räkning har i uppdrag att endast tekniskt bearbeta eller tekniskt lagra uppgiften. En uppgift ska dock inte få lämnas ut om det är olämpligt med hänsyn till omständigheterna.

Som skäl för förslaget anför regeringen att utkontraktering eller samordning av it-drift kan bidra till att en myndighet uppnår ett säkrare och mer robust uppgiftsskydd och en mer kostnadseffektiv verksamhet. En förutsättning för att kunna ge i uppdrag åt en privat tjänsteleverantör eller en annan myndighet att tillhandahålla en it-driftstjänst är emellertid att det finns rättsligt stöd för den uppdragsgivande myndigheten att lämna ut de uppgifter som kommer att hanteras i tjänsten.

Enligt regeringen bör den sekretessbrytande bestämmelsen vara av generell karaktär och placeras i 10 kap. OSL. Att bestämmelsen placeras i offentlighets- och sekretesslagen innebär att den endast kan tillämpas av de myndigheter och med myndigheter jämställda organ som omfattas av den lagens tillämpningsområde (se 2 kap. OSL). En privat tjänsteleverantör, som inte omfattas av offentlighets- och sekretesslagen, kan därmed inte tillämpa bestämmelsen när leverantören avser att exempelvis överföra uppgifter till en underleverantör.

För att den sekretessbrytande bestämmelsen ska få ett tydligt och förutsägbart tillämpningsområde anser regeringen att den bör förses med vissa avgränsningar som klargör under vilka omständigheter den ska vara tillämplig. Bestämmelsens syfte är att utvidga en myndighets möjlighet att lämna ut uppgifter som omfattas av sekretess endast vid utkontraktering eller sam­ordning av it-drift. Den syftar alltså inte till att möjliggöra andra former av utkontraktering eller samordning av tjänster med digitala inslag som en myndighet kan ha behov av. Regeringen föreslår därför att bestämmelsen ska vara tillämplig när uppgiftsmottagarens uppdrag består i att utföra endast teknisk bearbetning eller teknisk lagring av uppgifter för den uppdragsgivande myndighetens räkning.

För att förhindra att uppgifter av särskilt känslig karaktär utsätts för onödiga risker föreslår regeringen att en uppgift ska få lämnas ut bara om det med hänsyn till omständigheterna inte är olämpligt. En sådan bedömning ska beakta alla omständigheter som är relevanta i en specifik utkontrakterings- eller samordningssituation. Det kan vara omständigheter kopplade till den uppgiftslämnande myndigheten, till uppgiftsmottagaren eller till de uppgifter som lämnas ut. Omständigheterna kan också avse den aktuella it-driftstjänsten, avtalsförhållandet mellan den uppdragsgivande myndigheten och uppgifts­mottagaren eller det allmänna säkerhetsläget, nationellt eller internationellt. Inom ramen för en sådan bedömning finns det utrymme att ta hänsyn till att det inom vissa områden, exempelvis försvarsområdet, förekommer uppgifter vars röjande kan få mycket allvarliga och långtgående konsekvenser och för vilka det kan finnas särskilda bestämmelser som gör ett utlämnande olämpligt.

Inskränkt meddelarfrihet vid teknisk bearbetning eller teknisk lagring av uppgifter

Regeringen föreslår att tystnadsplikten enligt lagen om tystnadsplikt vid utkontraktering av teknisk bearbetning eller lagring av uppgifter ska ha företräde framför rätten att meddela och offentliggöra uppgifter.

Den sekretessbrytande bestämmelse som föreslås i propositionen förväntas öka myndigheternas möjlighet att lämna ut sekretessreglerade uppgifter till privata tjänsteleverantörer. En tjänsteleverantör kan alltså på uppdrag av en eller flera myndigheter komma att hantera stora informationsmängder som innehåller skyddsvärda uppgifter. Ett sådant uppdrag kan närmast anses vara av förtroendekaraktär, där den utlämnande myndigheten fortlöpande är beroende av den tjänst som leverantören tillhandahåller för att bedriva sin verksamhet. När det gäller intresset av meddelarfrihet i fråga om de uppgifter som lämnas ut till en privat tjänsteleverantör bör det anses tillgodosett genom den eventuella rätt att meddela och offentliggöra uppgifterna som gäller hos den myndighet som har utkontrakterat it-driften. Därtill ska läggas att meddelarfriheten i motsvarande situationer är inskränkt för offentliga funktionärer i verksamhet för enbart teknisk bearbetning eller teknisk lagring.

Av dessa skäl anser regeringen att det är motiverat att inskränka rätten att meddela och offentliggöra uppgifter även för den som har tystnadsplikt enligt tystnadspliktslagen. Förslaget innebär att skyddet för de uppgifter som utkontrakteras stärks. Inskränkningen är inte mer ingående än den som gäller för offentliga funktionärer i verksamhet för enbart teknisk bearbetning eller teknisk lagring.

Ikraftträdande

Regeringen föreslår att lagändringarna ska träda i kraft den 1 juli 2023.

Motionen

I kommittémotion 2022/23:2376 av Jessica Wetterling m.fl. (V) yrkas avslag på propositionen.

Motionärerna anför att läckor och hackerattacker har kunnat ske genom att myndigheter utlokaliserat lagringen av data till servrar hos privata företag i andra länder. Sannolikt har även myndigheternas brister i dataskydd och informationssäkerhet bidragit till problemen. Enligt motionärerna är det ett riskmoment att utkontraktera uppgifter som innebär hantering av säkerhets­känslig information, särskilt till privata tjänste­leverantörer utomlands. Utkontraktering av skyddsvärda uppgifter bör därför endast ske i undantags­fall. Motionärerna menar att myndigheternas arbete med informationssäkerhet och säkerhetsskydd måste bli bättre innan en sekretess­brytande regel och en inskränkning i meddelarfriheten av det slag som föreslås i propositionen eventuellt genomförs.

Utskottets ställningstagande

Utskottet vill inledningsvis framhålla vikten av att den information som hanteras av myndigheter har ett ändamålsenligt skydd. Brister i hanteringen av skyddsvärda uppgifter kan få mycket allvarliga konsekvenser. Som regeringen framhåller kan utkontraktering eller samordning av it-drift vara förenad med särskilda risker. Samtidigt kan sådan utkontraktering eller samordning bidra till att en myndighet uppnår ett säkrare och mer robust uppgiftsskydd än vad som är möjligt med it-drift i egen regi.

Utskottet delar regeringens bedömning att det bör införas en sekretess­brytande bestämmelse som skapar bättre förutsättningar för myndigheter att utkontraktera eller samordna sin it-drift i de fall det är lämpligt. Utskottet konstaterar att den föreslagna sekretessbrytande bestämmelsen innebär att den myndighet som ansvarar för utlämnande av en uppgift ska göra en lämplighetsbedömning som avser samtliga omständigheter som är relevanta i en specifik utkontrakterings- eller samordningssituation. En uppgift ska få lämnas ut bara om det med hänsyn till omständigheterna inte är olämpligt. Den föreslagna inskränkningen av meddelarfriheten för den som omfattas av tystnadsplikt enligt lagen om tystnadsplikt vid utkontraktering av teknisk bearbetning eller lagring av uppgifter innebär vidare att skyddet för de uppgifter som utkontrakteras stärks.

Utskottet anser sammantaget att riksdagen bör anta regeringens lagförslag och avslå motionsyrkandet.

 

Reservation

 

 

Sekretessgenombrott vid utlämnande för teknisk bearbetning eller teknisk lagring av uppgifter (V)

av Jessica Wetterling (V).

Förslag till riksdagsbeslut

Jag anser att förslaget till riksdagsbeslut borde ha följande lydelse:

Riksdagen avslår regeringens förslag.

Därmed bifaller riksdagen motion

2022/23:2376 av Jessica Wetterling m.fl. (V) och

avslår proposition 2022/23:97.

 

 

Ställningstagande

Att lagra data digitalt över internet via ett s.k. moln tillämpas i stor utsträckning i offentlig sektor. Men det finns stora säkerhetsutmaningar med detta. Sommaren 2017 avslöjades skandalen kring Transportstyrelsen där icke säkerhetsklassade personer utomlands har fått tillgång till skyddade person­uppgifter. I februari 2019 uppdagades att 2,7 miljoner samtal som hade ringts in till 1177 Vårdguiden låg tillgängliga för alla på en server. Då handlade det om att ett flertal regioner hade upphandlat tjänster från privata företag. Sedan dess har ett stort antal läckor och hackerattacker drabbat både offentliga och privata system. Dessa har kunnat ske genom att myndigheter utlokaliserat lagringen av data till servrar hos privata företag i andra länder. Sannolikt har även myndigheternas brister i dataskydd och informations­säkerhet bidragit till problemen.

Riksrevisionen har återkommande granskat myndigheternas informations­säkerhetsarbete och rapporterat om brister. Bland annat har myndigheternas förutsättningar för ett effektivt informationssäkerhetsarbete liksom uppföljningsarbetet varit alltför dåligt. Jag anser att det är ett riskmoment i sig att utkontraktera uppgifter som innebär hantering av säkerhetskänslig information. Utkontraktering av skyddsvärda uppgifter bör därför endast ske i undantagsfall. Jag ifrågasätter i synnerhet att känsliga uppgifter utkontrakteras till privata tjänsteleverantörer utomlands.

Utredningen SOU 2021:1 har lämnat förslag om en ny sekretessbrytande bestämmelse när uppgifter lämnas till en myndighet eller privat tjänste­leverantör som har i uppdrag att tekniskt bearbeta eller tekniskt lagra uppgifterna för den uppgiftslämnande myndighetens räkning. Enligt utredningens förslag ska ett utlämnande inte ske om det intresse som sekretessen ska skydda har företräde framför intresset av utkontraktering. Flera remissinstanser har dock kommit med invändningen att intresse­avvägningen skulle riskera att leda till en godtycklig tillämpning och bristande rättssäkerhet. Det är därför positivt att regeringen har hörsammat kritiken och nu i stället lägger fram ett förslag som innebär att en uppgift inte ska få lämnas ut om det är olämpligt med hänsyn till omständigheterna. Dessvärre kvarstår det grundläggande problemet med bristande informations­säkerhet hos myndigheterna.

Jag anser att det är ett minimikrav att de tidigare identifierade bristerna i myndigheternas arbete med säkerhetsskydd och informationssäkerhet är åtgärdade för att en sekretessbrytande regel för utkontraktering av it-drift ska kunna accepteras. Riksdagen bör därför avslå propositionen.

 

Bilaga 1

Förteckning över behandlade förslag

Propositionen

Proposition 2022/23:97 Sekretessgenombrott vid utlämnande för teknisk bearbetning eller teknisk lagring av uppgifter:

Riksdagen antar regeringens förslag till lag om ändring i offentlighets- och sekretesslagen (2009:400).

Följdmotionen

2022/23:2376 av Jessica Wetterling m.fl. (V):

Riksdagen avslår proposition 2022/23:97.

 

 

 

Bilaga 2

Regeringens lagförslag