Riksdagen avslår proposition 2022/23:97.
Det offentliga hanterar dagligen mängder av information. Mycket av det som skapas och lagras är både viktigt och känsligt. Vissa uppgifter klassas som skyddsvärda, och en del rör även rikets säkerhet. Om informationen går förlorad, stjäls, manipuleras eller sprids till obehöriga kan det få allvarliga följder. Både individer och samhällsstrukturen kräver stora mängder av information för att vardagen ska fungera. Dagens informationshantering sker i hög utsträckning med hjälp av olika it-system. En hög it-användning leder ofta till effektivisering och mer välfungerande tjänster och verksamheter men innebär även digitala säkerhetsrisker. Det har också skett en tydlig ökning av incidenter relaterade till internet, såsom dataintrång, bedrägerier och spridning av skadlig kod. Ett bristande säkerhetsskydd och bristfällig informationssäkerhet riskerar att få förödande konsekvenser. Incidenter eller störningar som angriper den digitala infrastrukturen kan leda till omfattande problem för t.ex. de finansiella systemen, hälso- och sjukvården, livsmedelsförsörjningen eller den nationella säkerheten. När hanteringen av viktig information brister riskerar detta också att leda till ett försämrat förtroende för etablerade samhällsstrukturer.
I propositionen föreslår regeringen en ny sekretessbrytande bestämmelse som möjliggör för myndigheter att lämna uppgifter som omfattas av sekretess till en enskild eller till en annan myndighet som har i uppdrag att tekniskt bearbeta eller tekniskt lagra uppgifterna för den uppgiftslämnande myndighetens räkning. En uppgift får dock inte lämnas om det med hänsyn till omständigheterna är olämpligt. Vidare föreslås en inskränkning av meddelarfriheten för den som omfattas av tystnadsplikt enligt lagen (2020:914) om tystnadsplikt vid utkontraktering av teknisk bearbetning eller lagring av uppgifter.
Förslagen syftar till att skapa bättre förutsättningar för myndigheter att utkontraktera eller samordna sin it-drift samt att stärka skyddet för de uppgifter som lämnas till en enskild vid utkontraktering av it-drift. Bestämmelserna föreslås införas i offentlighets- och sekretesslagen (2009:400). I propositionen behandlas förslag som lämnas i it-utredningens delbetänkande Säker och kostnadseffektiv it-drift (SOU 2021:1). Lagändringarna föreslås träda i kraft den 1 juli 2023.
Att lagra data digitalt över internet via ett s.k. moln tillämpas i stor utsträckning i offentlig sektor. Men det finns stora säkerhetsutmaningar med detta. Sommaren 2017 avslöjades skandalen kring Transportstyrelsen där icke säkerhetsklassade personer utomlands har fått tillgång till skyddade personuppgifter. I februari 2019 uppdagades att 2,7 miljoner samtal som hade ringts in till 1177 Vårdguiden låg tillgängliga för alla på en server. Då handlade det om att ett flertal regioner hade upphandlat tjänster från privata företag. Sedan dess har ett stort antal läckor och hackerattacker drabbat både offentliga och privata system. Läckor och attacker har kunnat ske genom att myndigheter utlokaliserat lagringen av data till servrar hos privata företag i andra länder. Sannolikt har även myndigheternas brister när det gäller dataskydd och informationssäkerhet bidragit till problemen.
Riksrevisionen har återkommande granskat myndigheternas informationssäkerhetsarbete. Tidigare rapporter har visat på ett flertal brister; bl.a. har myndigheternas förutsättningar för ett effektivt informationssäkerhetsarbete liksom uppföljningsarbetet varit alltför dåliga (se t.ex. RiR 2016:8). Vänsterpartiet har bl.a. av denna anledning tidigare föreslagit att regeringen skulle ta initiativ till en eller flera statliga molntjänster där data och program ska kunna lagras på ett säkert sätt (mot. 2021/22:446). Ett ytterligare argument för statliga molntjänster är att myndigheterna är olika stora och därför har väldigt olika förutsättningar för att upprätthålla en god informationssäkerhet. Vänsterpartiet anser att det är ett riskmoment i sig att utkontraktera uppgifter som innebär hantering av säkerhetskänslig information. Utkontraktering av skyddsvärda uppgifter bör därför endast ske i undantagsfall (mot. 2017/18:3980). Vi ifrågasätter i synnerhet att känsliga uppgifter utkontrakteras till privata tjänsteleverantörer utomlands.
Den 1 april 2019 trädde en ny säkerhetsskyddslag i kraft. Syftet med lagen är bl.a. att förbättra skyddet av säkerhetskänslig verksamhet, t.ex. samhällsviktiga informationssystem (prop. 2017/18:89). Lagen har sedan dess kompletterats med bestämmelser som bl.a. innebär att verksamhetsutövare som avser att överlåta säkerhetskänslig verksamhet eller viss egendom ska vara skyldiga att genomföra en särskild säkerhetsskyddsbedömning och en lämplighetsprövning.
Utredningen SOU 2021:1 har lämnat förslag om en ny sekretessbrytande bestämmelse mellan myndigheter vid utkontraktering av lagring och teknisk bearbetning till annan myndighet/privat tjänsteleverantör. Enligt utredningens förslag ska ett utlämnande inte ske om det intresse som sekretessen ska skydda har företräde framför intresset av utkontraktering. Flera remissinstanser har dock invänt mot att intresseavvägningen skulle riskera att leda till en godtycklig tillämpning och bristande rättssäkerhet. Det är därför positivt att regeringen har hörsammat kritiken och nu i stället lägger fram ett förslag som innebär att en uppgift inte ska få lämnas ut om det är olämpligt med hänsyn till omständigheterna.
Dessvärre kvarstår det grundläggande problemet med bristande informationssäkerhet hos myndigheterna. Regeringen skriver i sin proposition (s. 6) att tillgång till säker och effektiv it-drift är en grundläggande förutsättning för att en statlig eller kommunal myndighet ska kunna bedriva en ändamålsenlig verksamhet. Men regeringen utvecklar inte närmare om myndigheternas it-drift är tillräckligt säker i dag eller hur den ska kunna bli det.
Åklagarmyndigheten skriver i sitt remissvar att ett genomförande av förslagen skulle innebära en stor risk för att myndigheter, kommuner och regioner skulle kunna komma att fatta beslut som strider mot EU-rätten och kraven på personuppgiftshantering och att uppgifter som är belagda med sekretess felaktigt lämnas ut. Utan att tydliga och obligatoriska säkerhetskrav etablerats och myndigheternas kunskaper om och arbete med informationsskyddsklassning getts ett större fokus skulle ett genomförande rent av innebära en risk för Sveriges digitala suveränitet. Åklagarmyndigheten anser att förslaget om en sekretessbrytande bestämmelse och en korresponderande inskränkning i meddelarfriheten för samma uppgifter skulle kunna vara lämpligt att genomföra först efter att andra nödvändiga åtgärder är vidtagna för att myndigheter och andra i offentlig sektor på ett säkert sätt ska kunna utkontraktera sin it-drift. Vänsterpartiet instämmer i att myndigheternas arbete med informationssäkerhet och säkerhetsskydd måste bli bättre innan ett dylikt förslag om sekretessbrytande regel och en inskränkning i meddelarfriheten eventuellt genomförs.
Den s.k. It-driftsutredningen presenterade sitt slutbetänkande Säker och kostnadseffektiv it-drift – förslag till varaktiga former för samordnad statlig it-drift (SOU 2021:97) i december 2021. Utredningen föreslår bl.a. en samordnad statlig it-drift. En samordnande myndighet ska vara ingången till den samordnade statliga it-driften. Myndigheten ska samordna stödet till myndigheter, sammanställa och efter samråd med leverantörsmyndigheterna besluta om ett statligt tjänsteutbud och samverka med Kammarkollegiet om ramavtal. Den samordnande myndigheten ska utveckla och förvalta gemensamma modeller, leda samverkan på förvaltningsgemensam nivå och följa upp och återrapportera den samordnade statliga it-driften till regeringen. Utredningens förslag har dock ännu inte genomförts.
Vänsterpartiet anser att det är ett minimikrav att de tidigare identifierade bristerna i myndigheternas arbete med säkerhetsskydd och informationssäkerhet är åtgärdade för att en sekretessbrytande regel för utkontrakteringar av it-drift ska kunna accepteras.
Riksdagen bör avslå proposition 2022/23:97. Detta bör riksdagen besluta.
Jessica Wetterling (V) |
Nadja Awad (V) |
Gudrun Nordborg (V) |
Frida Tånghag (V) |