Utredningens uppdrag och arbete |
SOU 2021:1 |
Figur 2.1 Kammarkollegiets modell för
Källa: Statens inköpscentral, Vägledning för avrop från IT Drift.
I betänkandet har vi valt att beskriva
40
Säker och kostnadseffektiv
– rättsliga förutsättningar för utkontraktering
Delbetänkande av
Stockholm 2021
SOU 2021:1
SOU och Ds finns på regeringen.se under Rättsliga dokument.
Svara på remiss – hur och varför
Statsrådsberedningen, SB PM 2003:2 (reviderad
Information för dem som ska svara på remiss finns tillgänglig på regeringen.se/remisser.
Layout: Kommittéservice, Regeringskansliet
Omslag: Elanders Sverige AB
Tryck och remisshantering: Elanders Sverige AB, Stockholm 2021
ISBN
ISSN
Till statsrådet Anders Ygeman
Regeringen beslutade vid regeringssammanträde den 26 september 2019 att uppdra åt en särskild utredare att kartlägga och analysera statliga myndigheters behov av säker och kostnadseffektiv
Som särskild utredare förordnades den 20 november 2019 general- direktören Annelie Roswall Ljunggren.
Som huvudsekreterare anställdes den 17 februari 2020 enhets- chefen Tina J Nilsson. Som utredningssekreterare anställdes den 3 februari 2020 departementssekreteraren Alexander Wall, den 1 april 2020 rådmannen Nils Sjöblom och den 10 augusti 2020 verksjuristen Eva Maria Broberg Lennartsson. Som utredningssekreterare anställdes under perioden den 2 december 2019 till den 30 april 2020 verksam- hetsutvecklaren Sofia Allansson. Som utredningssekreterare anställdes under perioden den 3 februari 2020 till den 31 mars 2020 departe- mentssekreteraren Ingela Alverfors.
Som experter att biträda utredningen förordnades den 3 februari 2020 kanslirådet Maria Fahlén, kanslirådet Nils Fjelkegård, ämnesrådet Sara Jendi Linder, departementssekreteraren Emelie Juter, departementssekre- teraren Helen Kasström, rättssakkunnige Linnea Munkhammar, kansli- rådet Fredrik Sandberg och departementssekreteraren Daniel Zerea. Den 1 april 2020 förordnades departementssekreteraren Ingela Alverfors som expert i utredningen. Emelie Juter entledigades från sitt upp-
drag den 14 april 2020 och samma dag förordnades departements- sekreteraren Charlotte Koutras som expert i utredningen. Sara Jendi Linder entledigades från sitt uppdrag den 9 juni 2020 och samma dag förordnades kanslirådet Karina Aldén som expert i utredningen.
Den 13 mars 2020 fastställdes att följande personer skulle ingå i den referensgrupp som Infrastrukturdepartementet bjudit in till att biträda utredningen: Magnus Bergström, Datainspektionen; Anders Parmér, Fortifikationsverket; Maria Danielsson, Försäkringskassan; Anna Granström, Lantmäteriet; Nichlas Blomqvist, Länsstyrelsen Västra Götaland; Jan Zetterdahl, Myndigheten för digital förvalt- ning; Jonas Paulson, Myndigheten för samhällsskydd och beredskap; Peder Sjölander, Skatteverket; Marie Holmberg, Statens service- center; Victoria Ekstedt, Säkerhetspolisen; Monica Svingen, Trafik- verket;
Utredningen redogör för uppdraget i
Utredningen, som har antagit namnet
Stockholm i december 2020
Annelie Roswall Ljunggren
/Tina J Nilsson
Eva Maria Broberg Lennartsson
Nils Sjöblom
Alexander Wall
Innehåll
1.1Förslag till lag om ändring i offentlighets-
5
Innehåll |
SOU 2021:1 |
Tidigare kartläggningar och utredningar........................ |
3.1Kartläggningar av
4.4.1Ungefär två tredjedelar av myndigheterna
har eget datacenter .................................................. |
4.4.2Användningen av molntjänster från privata tjänsteleverantörer är utbredd
i statsförvaltningen.................................................. |
4.4.3Nästan var fjärde myndighet får någon form av
myndighet................................................................ |
4.4.4Nästan en tredjedel av myndigheterna
använder samlokalisering ........................................ |
4.4.5Vanligare med
6
SOU 2021:1Innehåll
5.1.2
7
Innehåll |
SOU 2021:1 |
5.7.2Europeiska molntjänstfederationen
|
vid utkontraktering ............................................... |
|
Säkerhetsprövning................................................. |
6.2.8Tystnadsplikt och sekretessbrytande
6.2.12Särskilt om aggregerad och ackumulerad
information............................................................ |
6.2.13Utkontraktering av säkerhetskänslig
8
SOU 2021:1 |
|
Innehåll |
6.3.3
7.2.2Europeiska unionens stadga
7.3Det organisatoriska och avtalsmässiga förhållandet
mellan den ansvarige och ett biträde.................................... |
||
|
||
|
||
7.3.4Personuppgiftsbehandling för den ansvariges
räkning.................................................................... |
7.3.5Personuppgiftsbiträdesavtalets form
och innehåll ............................................................ |
7.3.6Personuppgiftsbiträdets skyldigheter
|
och ansvar............................................................... |
|
Underbiträden ....................................................... |
7.3.8Behandlingar som går utöver den ansvariges
9
Innehåll |
SOU 2021:1 |
7.4.2Överföring av personuppgifter till tredjeland
är bara tillåten i vissa fall ....................................... |
7.4.3Vad avses med en tredjelandsöverföring
av personuppgifter?............................................... |
7.4.4Överföring på grundval av ett beslut
om adekvat skyddsnivå ......................................... |
7.4.5Överföring som omfattas av lämpliga
skyddsåtgärder....................................................... |
7.4.6Överföringar och utlämnanden
|
||
7.4.8Rättsläget avseende överföringar
10
SOU 2021:1Innehåll
9.5.1Rättsliga uttalanden och vägledningar
under åren |
9.5.2Rättsliga uttalanden, vägledningar
9.8.3US CLOUD Act och liknande regleringar
och 8 kap. 3 § OSL................................................. |
9.9När är en uppgift röjd i den mening som avses i
|
||
enligt NJA 1991 s. 103? ........................................................ |
||
Inledning ................................................................ |
||
9.9.2Rättsfallet handlar om det objektiva rekvisitet
11
Innehåll |
SOU 2021:1 |
10.1.3En utkontraktering innebär att uppgifterna
lämnas ut och därmed röjs.................................... |
10.1.4Avtalsreglerad tystnadsplikt, kryptering
och pseudonymisering .......................................... |
10.1.5US CLOUD Act och liknande regleringar
10.3.2Bestämmelsen bör även ta sikte på utkontraktering myndigheter emellan och
12
12.7Särskilda hänsyn avseende tidpunkten för ikraftträdande och om behov av speciella
informationsinsatser ............................................................. |
|
12.8 Övriga konsekvenser av förslaget ........................................ |
12.8.1Konsekvenser för den kommunala
självstyrelsen .......................................................... |
|
|
12.8.3Konsekvenser för sysselsättning och offentlig
service i olika delar av landet................................. |
|
|
|
|
|
|
|
företag .................................................................... |
13
Innehåll |
SOU 2021:1 |
12.8.6Möjligheterna att nå de integrationspolitiska
14
15
Vissa förkortningar
|
|
|
dataskyddsdirektivet |
Europaparlamentets och rådets |
|
|
direktiv (EU) 2016/680 av den |
|
|
27 april |
2016 om skydd för |
|
fysiska personer med avseende |
|
|
på behöriga myndigheters be- |
|
|
handling av personuppgifter för |
|
|
att förebygga, förhindra, utreda, |
|
|
avslöja eller lagföra brott eller |
|
|
verkställa |
straffrättsliga påfölj- |
|
der, och det fria flödet av sådana |
|
|
uppgifter och om upphävande av |
|
|
rådets rambeslut 2008/977/RIF |
|
dataskyddsförordningen |
Europaparlamentets och rådets |
|
|
förordning (EU) 2016/679 av |
|
|
den 27 april 2016 om skydd för |
|
|
fysiska personer med avseende |
|
|
på behandling av personupp- |
|
|
gifter och om det fria flödet av |
|
|
sådana uppgifter och om upp- |
|
|
hävande av direktiv 95/46/EG |
|
Europaparlamentets och rådets |
||
|
direktiv (EU) 2016/1148 av den |
|
6 juli 2016 om åtgärder för en hög gemensam nivå på säkerhet i nätverks- och informations- system i hela unionen
17
Vissa förkortningar |
SOU 2021:1 |
Övriga förkortningar |
|
AD |
Arbetsdomstolen |
US CLOUD Act |
Clarifying Lawful Overseas |
|
Use of Data Act |
dir. |
direktiv |
Digg |
Myndigheten för digital |
|
förvaltning |
Ds |
Departementsserien |
EDPB |
Europeiska |
|
dataskyddsstyrelsen |
eSamverkansprogrammet |
eSam |
ESV |
Ekonomistyrningsverket |
EU |
Europeiska unionen |
Europadomstolen |
Europeiska domstolen för |
|
de mänskliga rättigheterna |
Europakonventionen |
Europeiska konventionen |
|
den 4 november 1950 angående |
|
skydd för de mänskliga rättig- |
|
heterna och de grundläggande |
|
friheterna |
FFS |
Försvarsmaktens föreskrifter |
FL |
förvaltningslagen (2017:900) |
HFD |
Högsta förvaltningsdomstolen |
HD |
Högsta domstolen |
IaaS |
Infrastructure as a Service |
JO |
Riksdagens ombudsmän |
LOU |
lagen (2016:1145) om offentlig |
|
upphandling |
MSB |
Myndigheten för samhälls- |
|
skydd och beredskap |
MSBFS |
Myndigheten för samhällsskydd |
|
och beredskaps föreskrifter |
NJA |
Nytt Juridiskt Arkiv |
OECD |
Organisationen för ekonomiskt |
|
samarbete och utveckling |
OSL |
offentlighets- och sekretesslagen |
|
(2009:400) |
PaaS |
Platform as a Service |
18
SOU 2021:1 |
Vissa förkortningar |
PMFS |
Säkerhetspolisens föreskrifter |
Prop. |
regeringens proposition |
RÅ |
Regeringsrättens årsbok |
SaaS |
Software as a Service |
SCB |
Statistiska centralbyrån |
SOU |
Statens offentliga utredningar |
SSC |
Statens servicecenter |
SvKFS |
Affärsverket svenska kraftnäts |
|
föreskrifter |
TF |
tryckfrihetsförordningen |
TFS |
Transportstyrelsens |
|
föreskrifter |
Tystnadspliktslagen |
lagen (2020:914) om tystnads- |
|
plikt vid utkontraktering av tek- |
|
nisk bearbetning eller lagring av |
|
uppgifter |
19
Sammanfattning
Inledning
En säker och kostnadseffektiv
Utkontraktering av
Vårt uppdrag och innehållet i delbetänkandet
Syftet med utredningen är enligt våra direktiv att ”skapa bättre förut- sättningar för den offentliga förvaltningen att få tillgång till säker och kostnadseffektiv
21
Sammanfattning |
SOU 2021:1 |
I detta delbetänkande fokuserar vi på förutsättningarna för stat- liga myndigheter, kommuner och regioner att utkontraktera
I vårt slutbetänkande som ska redovisas senast den 15 oktober 2021 kommer vi att fokusera på samordnad statlig
Vår kartläggning av statliga myndigheters
Vår kartläggning bygger på en enkät till 200 statliga myndigheter, fallstudier av fem myndigheter och en workshop med företrädare för 16 myndigheter. Vi har analyserat myndigheternas informations- hantering och säkerhet, hur deras
Både små och stora myndigheter bedriver samhällsviktig verksam- het och hanterar uppgifter som ställer höga krav på säkra
De största hindren för säker
22
SOU 2021:1 |
Sammanfattning |
hindren för kostnadseffektiv
Vår enkät visar att myndigheternas
När det gäller framtida behov ser många myndigheter att de fort- satt har behov av att kunna utkontraktera
Erfarenheter från andra länder
I Danmark, Finland och Nederländerna har inriktningen för den digitala förvaltningen inneburit att
23
Sammanfattning |
SOU 2021:1 |
samtliga länders strategier har dock varit effektivisering och kost- nadsbesparingar. I Storbritannien anfördes även möjligheten att främja brittiska små- och medelstora
Samtliga länder i omvärldsanalysen lyfter en liknande problematik med osäkerhet avseende de rättsliga förutsättningarna för utkontrak- tering av
Överföring av personuppgifter till tredjeland enligt dataskyddsförordningen
Det är bara tillåtet att överföra personuppgifter till en mottagare i ett land utanför EU eller EES om det kan ske på någon av de grunder som anges i kapitel V i dataskyddsförordningen. Vi bedömer att det utgör en överföring av personuppgifter till tredjeland när en person- uppgiftsansvarig eller ett personuppgiftsbiträde behandlar person- uppgifter genom användning av utrustning som finns i tredjeland. Det saknar betydelse hur lång eller kort tid som utrustningen an- vänds, och om uppgifterna är krypterade eller pseudonymiserade – det är ändå fråga om personuppgifter och en överföring av sådana uppgifter.
Standardavtalsklausuler är en lämplig skyddsåtgärd som kan läggas till grund för överföring av personuppgifter till tredjeland om det i mottagarens land finns ett grundläggande rättighetsskydd och en möjlighet att göra detta skydd gällande inför domstol eller annan oberoende instans.
24
SOU 2021:1 |
Sammanfattning |
förordningen. Vår bedömning är att domstolens konstateranden av- seende rättsläget i USA vad gäller inskränkningar av grundläggande rättigheter och tillgången till rättsmedel och oberoende prövning äger giltighet även i förhållande till övriga grunder för överföring av personuppgifter till USA enligt dataskyddsförordningen, eftersom kravet på skyddsnivå är densamma oavsett vilken grund som tillämpas.
Utkontraktering och röjande
Vi bedömer att en myndighet som utkontrakterar
Förslag till en sekretessbrytande bestämmelse
Vi föreslår att det i 10 kap. 2 a § OSL införs en sekretessbrytande bestämmelse som tar sikte på fall då uppgifter lämnas ut till företag eller en annan enskild (tjänsteleverantör) eller till en annan myndig- het som har i uppdrag att utföra endast teknisk bearbetning eller teknisk lagring av de uppgifter som lämnas ut för den utlämnande myndighetens räkning.
Ett utlämnande ska – enligt den föreslagna bestämmelsen – inte ske om övervägande skäl talar för att det intresse som sekretessen ska skydda har företräde framför intresset av utkontraktering.
En inskränkt meddelarfrihet
Vi föreslår att meddelarfriheten enligt tryckfrihetsförordningen och yttrandefrihetsgrundlagen ska inskränkas för den krets av personer som träffas av tystnadspliktslagen.
25
Summary
Introduction
Secure and
The outsourcing of IT operations and the use of cloud services is a common way for government agencies, municipalities and regions to handle their IT operations. However, there is some uncertainty among public actors regarding the legal conditions for outsourcing IT operations to service suppliers. This uncertainty mainly concerns the interpretation of when information is considered to have been disclosed under secrecy legislation and whether it is appropriate, from a security perspective, to outsource IT operations. As a result, some public actors are waiting to make decisions about IT operations, and this may have negative consequences for the development, security and cost of their activities.
Our remit and the content of this interim report
According to our terms of reference, the purpose of this inquiry is to “create better conditions for access by public administration to secure and
27
Summary |
SOU 2021:1 |
central government IT operations or through clearer legal condi- tions for being able to engage private suppliers of IT operations”.
In this interim report we focus on the conditions for the out- sourcing of IT operations by government agencies, municipalities and regions. We present a legal analysis of the conditions for the outsourcing of IT operations to service providers and present pro- posals for two legislative amendments: a proposal for a secrecy- override provision in the Public Access to Information and Secrecy Act on the outsourcing of IT operations and a proposal for restricted freedom to communicate. In this interim report we also present a survey of the IT operations of government agencies and a compara- tive analysis of experience from other countries.
In our final report, to be presented by 15 October 2021, we will focus on coordinated central government IT operations. We will ana- lyse the Swedish experience of coordinated central government IT operations and the security and legal conditions for coordinated IT operations. We will also present our proposals regarding coordi- nated, secure and
Our survey of government agencies' IT operations
Our survey is based on a questionnaire to 200 government agencies, case studies of five agencies and a workshop attended by represen- tatives of 16 agencies. We have analysed the agencies’ information management and security; what their IT operations and costs for IT operations are like today; their future needs of IT operations; and what potential obstacles may be to secure and
Both small and large agencies conduct critical activities and manage tasks that require a high standard of IT operations. Our survey shows that almost 90 percent of the 158 agencies that replied to the questionnaire handle some form of information worthy of pro- tection in their activities. The most common situation is the handling of various types of information subject to secrecy and sensitive per- sonal data. Half of the agencies are working systematically on in- formation security in all or parts of their activities, while half have only started or are going to start their information security work.
28
SOU 2021:1 |
Summary |
The greatest obstacles to secure IT operations are deficient informa- tion classification and a lack of expertise in IT and security, as well as of procurement expertise. Lack of expertise is seen as a risk factor for secure IT operations among both small and large agencies. The greatest obstacles to
Our survey shows that agencies’ IT operations both differ yet have great similarities. Many agencies have outsourced IT operations in some way, e.g. by using cloud service providers. Among the agencies, 33, 32 and 95 percent respectively say that they use some form of Infrastructure as a Service (IaaS), Platform as a Service (PaaS) and Software as a Service (SaaS). Our survey also shows that agencies need
When it comes to future needs, many agencies see that they have a continued need to be able to outsource IT operations and use cloud services as well as to conduct some
29
Summary |
SOU 2021:1 |
Experience from other countries
In Denmark, Finland and the Netherlands the focus of digital manage- ment has meant that resources and processes related to IT operations have been concentrated and consolidated in a few organisations and service centres. This approach differs to some extent from the situa- tion in the UK, and subsequently in Norway, where market places for cloud services have been established to make it easier for public actors to procure IT services. However, the motive underlying the strategies of all these countries has been greater effectiveness and cost savings. In the UK the possibility of promoting national small and
All the countries in the analysis highlight similar problems with a perceived uncertainty regarding the legal conditions for outsourcing IT operations. A greater focus on information and cyber security has led to the countries setting up national cyber security agencies and centres of expertise. It is possible that service centre approaches and approaches using market places for cloud services have both led to a concentration of expertise in areas including IT security and that pro- curement has made it possible to specify requirements that have con- tributed to better information security.
Transfer of personal data to third countries under the Data Protection Regulation
The transfer of personal data to a recipient in a country outside the EU and EEA is only permitted if it can take place on one of the grounds specified in Chapter V of the Data Protection Regulation. We make the assessment that there is a transfer of personal data to a third country when a controller or processor processes personal data by using equipment located in a third country. How long or short a period of time the equipment is used for is of no importance, nor is whether the data is encrypted or pseudonymised – it still involves personal data and a transfer of such data.
30
SOU 2021:1 |
Summary |
Standard contractual clauses are a suitable safeguard that can form the basis for the transfer of personal data to a third country if the country of the recipient has a level of protection of fundamental rights essentially equivalent to that guaranteed in the EU legal order and a possibility of asserting this protection before a court of another independent body.
The Court of Justice of the European Union has declared a decision made by the Commission that there is an adequate level of pro- tection for personal data in the US invalid in the light of the fact that the protection of fundamental rights in the US does not provide the level of protection that is required under the Data Protection Regu- lation. Our assessment is that the Court’s observations regarding the legal situation in the US concerning restrictions of fundamental rights and access to legal remedies is also valid in relation to the other grounds for transfer of personal data to the US under the Data Pro- tection Regulation, since the same level of protection is required irrespective which ground is applied.
Outsourcing and disclosure
It is our assessment that when an agency outsource IT operations it implies that the information subject to secrecy that is subject to the outsourcing is disclosed in the meaning of the Public Access to Information and Secrecy Act to the service provider, irrespective of whether the information is encrypted or subject to other technical measures.
Proposal of a
We propose adding a
31
Summary |
SOU 2021:1 |
Under the proposed provision, the information shall not be released if overriding reasons indicate that the interest to be protected by the secrecy takes precedence over the interest of outsourcing.
Restriction of the freedom to communicate
We propose that the freedom to communicate under the Freedom of the Press Act and the Fundamental Law on Freedom of Expression be restricted for the group of persons covered by the Act on the obligation to observe secrecy in the outsourcing of technical pro- cessing or storage of data (2020:914).
32
1 Författningsförslag
1.1Förslag till lag om ändring i offentlighets- och sekretesslagen (2009:400)
Härigenom föreskrivs i fråga om offentlighets- och sekretesslagen (2009:400)
dels att det ska införas en ny paragraf, 10 kap. 2 a §, och en ny rubrik före 10 kap. 2 a § av följande lydelse
dels att 44 kap. 5 § ska ha följande lydelse.
Nuvarande lydelse |
Föreslagen lydelse |
10 kap.
Utkontraktering av teknisk bearbetning eller lagring av uppgifter
2 a §
Sekretess hindrar inte att en uppgift lämnas ut till ett företag eller en annan enskild eller till en annan myndighet som har i upp- drag att utföra endast teknisk be- arbetning eller teknisk lagring av de uppgifter som lämnas ut för den utlämnande myndighetens räkning.
En uppgift ska inte lämnas ut om det intresse som sekretessen ska skydda har företräde framför in- tresset av att uppgiften lämnas ut.
33
Författningsförslag |
SOU 2021:1 |
44 kap.
5 §
Rätten enligt 1 kap. 1 och 7 §§ tryckfrihetsförordningen och 1 kap. 1 och 10 §§ yttrandefrihetsgrundlagen att meddela och offentliggöra uppgifter inskränks av den tystnadsplikt som följer
1.av beslut som har meddelats med stöd av 7 § lagen (1999:988) om förhör m.m. hos kommissionen för granskning av de svenska säkerhetstjänsternas författningsskyddande verksamhet,
2.av 7 kap. 1 § 1 lagen (2006:544) om kommuners och regioners åtgärder inför och vid extraordinära händelser i fredstid och höjd beredskap,
3.av 4 kap. 16 § försäkringsrörelselagen (2010:2043),
4. av |
5 kap. |
15 § |
lagen |
4. av 5 kap. |
15 § lagen |
(1998:293) om utländska försäk- |
(1998:293) om utländska försäk- |
||||
ringsgivares och tjänstepensions- |
ringsgivares och tjänstepensions- |
||||
instituts verksamhet i Sverige, och |
instituts verksamhet i Sverige, |
||||
5. av 32 § lagen (2020:62) om |
5. av 32 § lagen (2020:62) om |
||||
hemlig dataavläsning. |
|
hemlig dataavläsning, och |
|||
|
|
|
|
6. av 4 § lagen (2020:914) om |
|
|
|
|
|
tystnadsplikt vid |
utkontraktering |
|
|
|
|
av teknisk bearbetning eller lagring |
|
|
|
|
|
av uppgifter. |
|
Denna lag träder i kraft den 1 januari 2022.
34
2Utredningens uppdrag och arbete
2.1Utredningens uppdrag
Regeringen beslutade den 26 september 2019 att ge en särskild ut- redare i uppdrag att kartlägga och analysera statliga myndigheters behov av säker och kostnadseffektiv
Syftet med utredningen är att skapa bättre förutsättningar för den offentliga förvaltningen att få tillgång till säker och kostnadseffektiv
Enligt direktiven ingår följande delar i uppdraget:
–Kartläggning och analys av statliga myndigheters behov av
–Omvärldsanalys för att kartlägga och analysera relevanta modeller för myndigheters
–Analys av de rättsliga förutsättningarna för utkontraktering av it- drift till privata leverantörer
–Utvärdering av Försäkringskassans regeringsuppdrag om samord- nad och säker statlig
35
Utredningens uppdrag och arbete |
SOU 2021:1 |
–Analys av säkerhetsmässiga och rättsliga förutsättningar för sam- ordnad statlig
–Förslag på varaktiga former för samordnad statlig
–Konsekvensanalys.
Genom tilläggsdirektiv den 2 juli 2020 (bilaga 2) förlängdes utred- ningstiden. Uppdragen att kartlägga och analysera statliga myndig- heters
15januari 2021. Uppdraget att föreslå mer varaktiga former för sam- ordnad statlig
2.2Centrala begrepp
I detta betänkande förekommer ett antal begrepp som är centrala i utredningen. Det handlar om begreppen säker, kostnadseffektiv, it- drift och utkontraktering. Begreppen har inga generellt fastlagda defini- tioner utan de beskrivs vanligen utifrån det sammanhang de används i. Vi har därför behövt definiera hur begreppen ska användas i upp- draget. Begreppen säker och kostnadseffektiv
2.2.1Säker
I utredningsdirektiven relateras begreppet säker till de krav som ställs för säkerhetsskydd, informationssäkerhet samt sekretess och skydd för den personliga integriteten.
Begreppet säkerhet avser i säkerhetsskyddslagen (2018:585) verk- samheter och hantering av uppgifter som rör Sveriges säkerhet. I lagen specificeras vilka verksamheter som omfattas av lagen och vad som avses med begreppet säkerhetsskydd och säkerhetsskyddsklassificerade uppgifter. Både offentliga och privata aktörer ska utifrån säkerhets- skyddslagen bedöma om de bedriver verksamhet som är av betydelse för Sveriges säkerhet och om de hanterar säkerhetsskyddsklassi- ficerade uppgifter samt vidta åtgärder med anledning av detta.
36
SOU 2021:1 |
Utredningens uppdrag och arbete |
Informationssäkerhet innebär att information, oavsett vilken den är, får det skydd som behövs avseende konfidentialitet, riktighet och tillgänglighet. Det gäller såväl hos enskilda som hos organisationer, både i näringslivet och i offentlig verksamhet. Informationssäkerhet omfattar därför hela samhället. Ett systematiskt och riskbaserat informationssäkerhetsarbete syftar till att skapa förutsättningar för att över tid upprätthålla informationssäkerhet som svarar mot identi- fierade behov. Reglering som ställer krav på organisationer att bedriva ett systematiskt och riskbaserat arbete finns främst i förordning (2015:1052) om krisberedskap och bevakningsansvariga myndigheters åtgärder vid höjd beredskap samt lagen (2018:1174) om informa- tionssäkerhet för samhällsviktiga och digitala tjänster.
Dataskydd är ett begrepp som används för att ange skyddet för den personliga integriteten i de regelverk som ska tillämpas vid be- handling av personuppgifter. Med säker avses här att aktörer som behandlar personuppgifter måste säkerställa en lämplig nivå av infor- mationssäkerhet vid behandlingen. Dataskyddsregelverket är dock inte begränsat till ett krav på säkerhet, utan behandlingen av person- uppgifter måste ske i enlighet med dataskyddsregelverket i sin helhet.
Begreppet säker i relation till
Med säker på aktörsnivå avses att en offentlig aktörs
37
Utredningens uppdrag och arbete |
SOU 2021:1 |
informationsklass eller tillgänglighet i normalläget utan även vid sam- hällskriser eller höjd beredskap.
Med säker på samhällsnivå avses att
2.2.2Kostnadseffektiv
Enligt budgetlagen (2011:203) ska hög effektivitet eftersträvas i statens verksamhet och god hushållning iakttas. Av myndighets- förordningen (2007:515) framgår att myndigheter ska hushålla väl med statens medel. Kommuner och regioner ska enligt kommunal- lagen (2017:725) ha en god ekonomisk hushållning i sin verksamhet.
Kostnadseffektivitet avser förhållandet mellan de resurser som används och hur väl ett mål eller förväntat resultat uppnås. Offent- liga aktörer ska inte använda mer resurser än vad som är nödvändigt för att uppnå de krav som ställs på verksamheten.
När det gäller
38
SOU 2021:1 |
Utredningens uppdrag och arbete |
barhet) och avtalsrelaterade frågor. Leverantörsberoenden och andra inlåsningseffekter kan påverka kostnadseffektiviteten negativt. Lång- siktiga avtal med en leverantör som har stora kunskaper om verk- samheten kan å andra sidan vara en kostnadseffektiv lösning.
Utifrån utredningens uppdrag om säker och kostnadseffektiv it- drift måste kostnadseffektivitet också ställas i relation till säkerhet. Behovet av säkerhet varierar mellan aktörer, verksamheter, inom verksamheter och beroende på vilka uppgifter som hanteras. Varje aktör måste utifrån de krav som ställs på verksamheten göra en riskanalys och utifrån den avgöra vilken säkerhet som krävs och hitta kostnadseffektiva lösningar för
Åandra sidan kan en för låg säkerhet, utöver rent säkerhetsmässiga konsekvenser, ge ökade kostnader i form av minskat förtroende för verksamheten och de tjänster som erbjuds.
För att hitta rätt balans mellan säkerhet och kostnad kan begreppet ändamålsenlig användas. En ändamålsenlig lösning för
Precis som med begreppet säker bör kostnadseffektivitet analy- seras både på aktörsnivå och på samhällsnivå. En
2.2.3
[…]både ’traditionell’ serverdrift som produceras av leverantören (eller hos underleverantör) och tredjepartstjänster (t.ex. molntjänster) som produceras av tredjepartsleverantör; exempelvis avseende applikationer, datorkapacitet, klienthanteringstjänster, datalagring och säkerhetskopiering.
39
Utredningens uppdrag och arbete |
SOU 2021:1 |
Figur 2.1 Kammarkollegiets modell för
Källa: Statens inköpscentral, Vägledning för avrop från IT Drift.
I betänkandet har vi valt att beskriva
40
SOU 2021:1 |
Utredningens uppdrag och arbete |
Figur 2.2
Källa: Egen illustration.
I Kammarkollegiets definition av
Utöver
41
Utredningens uppdrag och arbete |
SOU 2021:1 |
En annan närliggande tjänst är samlokalisering av servrar och annan
2.2.4Molntjänster
är en tjänst som möjliggör tillgång till en skalbar och elastisk pool av delbara dataresurser.
Skalbar avser här dataresurser som leverantören av molntjänster fördelar på ett flexibelt sätt, oberoende av resursernas geografiska läge, för att hantera fluktuationer i efterfrågan. En elastisk pool av dataresurser används vidare för att beskriva dataresurser som avsätts och utnyttjas beroende på efterfrågan för att tillgängliga resurser snabbt ska kunna utökas och minskas i takt med arbetsbördan.
Swedish Standards Institute (SIS) har antagit en svensk standard (ISO/IEC 17788:2014, IDT) som fastslår att en molnbaserad dator- tjänst är ett
koncept som möjliggör nätverksåtkomst till en skalbar och elastisk pool av delade fysiska eller virtuella resurser som via självbetjäning levereras och administreras på begäran.
Det amerikanska standardiseringsorganet National Institute for Stan- dards and Technology (NIST) publicerade redan 2011 en definition (SP
model for enabling ubiquitous, convenient,
42
SOU 2021:1 |
Utredningens uppdrag och arbete |
servers, storage, applications and services) that can be rapidly provisioned and released with minimal management effort or service provider inter- action.
I NIST:s definition beskrivs datormoln ha fem egenskaper, nämligen att
–en användare genom självservice bestämma kapacitet utifrån be- hov utan att involvera en mänsklig operatör,
–tillgång till datormolnet sker via nätverk och genom standard- enheter såsom datorer, mobiltelefoner och surfplattor,
–användaren delar datormolnets resurser med andra användare,
–de resurser och den kapacitet som användaren har tillgång till kan skalas upp och ned elastiskt, och
–resursutnyttjande kan mätas (bl.a. för att avgöra hur kunder ska debiteras om datormolnet tillhandahålls som tjänst).
Definitionen innehåller även följande tre leveransmodeller (även kallade molntjänstkategorier i delbetänkandet).
–Software as a Service (SaaS), som ger användaren möjlighet att an- vända de applikationer som finns i datormolnet. Applikationerna är tillgängliga genom olika klienter, antingen tunna klienter såsom webbläsare eller programgränssnitt. Användaren hanterar och kontrollerar inte underliggande molninfrastruktur inklusive nät- verk, servrar, operativsystem, lagring eller applikationsmiljö med undantag för applikationens användarinställningar.
–Platform as a Service (PaaS), som ger användaren möjlighet att implementera applikationer denne själv utvecklat eller anskaffat som kräver stöd från programmeringsspråk, bibliotek, tjänster eller verktyg som tillhandahålls genom datormolnet. Användaren hanterar eller kontrollerar inte underliggande molninfrastruktur inklusive nätverk, servrar, operativsystem, lagring, men har kon- troll över implementerade applikationer och möjligen konfigura- tionen av deras miljö.
–Infrastructure as a Service (IaaS), som ger användaren tillgång till beräkningskapacitet, lagring, nätverk och andra fundamentala datorresurser med vilka användaren kan implementera och exe-
43
Utredningens uppdrag och arbete |
SOU 2021:1 |
kvera godtycklig mjukvara, vilket inkluderar operativsystem och applikationer. Användaren hanterar eller kontrollerar inte under- liggande molninfrastruktur men har kontroll över operativsystem, lagring, implementerade applikationer och möjligen begränsad kon- troll över vissa nätverkskomponenter.
Exempel på populära SaaS, PaaS och IaaS är Gmail, Google App Engine respektive Amazon EC2.
NIST etablerar i sin definition fyra leveransmodeller som beskri- ver förhållandet mellan användaren, andra användare (vanligen be- nämnda som kunder för kommersiella molntjänster) och tillhanda- hållaren av datormolnet (leverantören).
–Privat moln, där tillgång till datormolnets resurser är begränsat till en organisation. Datormolnet kan dock ägas, administreras av en extern leverantör. Det kan rent fysiskt vara placerat i orga- nisationens lokaler eller externt.
–Partnermoln, där tillgång till datormolnets resurser är begränsat till specifika organisationer och användare. Datormolnet kan ägas och administreras av någon eller flera av dessa organisationer eller en extern part. Det kan rent fysiskt vara placerat i organisationens lokaler eller externt.
–Publikt moln, där datormolnet är generellt tillgängligt för allmän- heten, t.ex. för betalande kunder. Datormolnet kan t.ex. ägas och administreras av ett företag, ett lärosäte, en myndighet eller sam- ägas på något sätt. Det är rent fysiskt placerat hos den organi- sation som tillhandahåller det.
–Hybridmoln, där datormolnet är sammanvävt av infrastruktur från andra leveransmodeller såsom privat, partner eller publikt moln.
2.2.5Utkontraktering
Begreppet utkontraktering har ingen legaldefinition. I utrednings- direktiven anges att ”[m]ed utkontraktering av
44
SOU 2021:1 |
Utredningens uppdrag och arbete |
egna verksamheten på entreprenad. Närmare bestämt handlar det om att en tjänst, process eller verksamhet som annars skulle ha utförts av den statliga myndigheten, kommunen eller regionen själv läggs ut på en privat tjänsteleverantör.
I betänkandet Kompletteringar till den nya säkerhetsskyddslagen (SOU 2018:82) beskrivs utkontraktering som när en verksamhets- utövare lägger ut drift, underhåll eller skötsel av en viss del av sin verksamhet till en utomstående leverantör. Det kan t.ex. handla om att man lägger ut underhållet av ett system eller utveckling av någon produkt på en extern leverantör. Oavsett vilken definition som an- vänds, torde det leda till i allt väsentligt samma resultat. Det centrala är att det handlar om en del av den egna verksamheten. Vidare be- skrivs att det är centralt att det handlar om någon form av tjänst eller verksamhet och inte om ett köp av varor. Det rör sig således om utkontraktering när en verksamhetsutövare lägger ut hela eller delar av sin
I vårt betänkande utgår vi från att hyra av lokaler inte är att beteckna som utkontraktering. Mot denna bakgrund betraktar vi inte hyra av ett utrymme där en verksamhetsutövare ställer sin
Nyttjande av sådana elektroniska kommunikationstjänster som regleras i lagen (2003:389) om elektronisk kommunikation innebär enligt vår definition inte heller utkontraktering, eftersom det inte är fråga om en tjänst, process eller verksamhet som annars skulle ha utförts av myndigheten själv.
2.3Vårt arbete
Vårt uppdrag är omfattande och komplext. Det ställer krav på svåra avvägningar mellan olika intressen och värden, inte minst i rela- tionen mellan säkerhet och kostnad. I omvärlden händer mycket på området som vi behövt ta ställning till och som har påverkan på vårt
45
Utredningens uppdrag och arbete |
SOU 2021:1 |
arbete. Till detta kommer de höga förväntningar från såväl offentliga och privata aktörer på vad vi ska åstadkomma, exempelvis vad gäller frågor om utkontraktering.
Öppenhet och dialog är viktiga utgångspunkter i vårt arbete. Vi har inhämtat information och haft dialog med statliga myndigheter, kommuner och regioner samt med
Nedan presenterar vi hur vi valt att redovisa de olika delarna i uppdraget samt hur vi lagt upp och genomfört vårt arbete.
2.3.1Redovisning av uppdraget
Av utredningsdirektiven framgår att uppdragen att kartlägga och analysera statliga myndigheters
Vi har utifrån detta lagt fast vilka delar som ska ingå i delbetänk- andet respektive slutbetänkandet.
Delbetänkandet
I detta delbetänkande redovisar vi kartläggningen av statliga myndig- heters
Enligt direktiven ingår att beskriva nationella exempel på sam- ordnad
46
SOU 2021:1 |
Utredningens uppdrag och arbete |
Slutbetänkande
Islutbetänkandet fokuserar vi på samordnad statlig
2.3.2Avgränsningar
Begreppet säker
Den tolkning av röjandebegreppet som vi gör i vår rättsliga analys avser endast utkontraktering av
Förbudet att röja eller utnyttja en uppgift enligt OSL gäller inte endast för myndigheter utan även för en person som fått kännedom om uppgiften genom att för det allmännas räkning delta i en myn- dighets verksamhet genom t.ex. uppdrag hos myndigheten. Vad som avses här är uppdrag som getts direkt till en fysisk person. I allmän- het bör uppdragstagaren vara så knuten till myndigheten att han eller hon kan sägas delta i myndighetens egentliga verksamhet, dvs. som regel myndighetens uppgifter enligt instruktion eller motsvarande reglering. I betänkandet behandlas inte den situationen att en myn- dighet utkontrakterar
Vi lämnar två författningsförslag i detta delbetänkande. Det ena förslaget avser införande av en sekretessbrytande bestämmelse i OSL om utkontraktering av teknisk bearbetning och teknisk lagring av uppgifter. Det andra förslaget avser en inskränkt meddelarfrihet för
47
Utredningens uppdrag och arbete |
SOU 2021:1 |
den krets av personer som träffas av lagen (2020:914) om tystnads- plikt vid utkontraktering av teknisk bearbetning eller lagring av upp- gifter (tystnadspliktslagen). För att säkerställa utkontraktering med bibehållen säkerhet bedömer vi att den sekretessbrytande bestäm- melsen med intresseavvägning bör kompletteras med central väg- ledning och stöd till statliga myndigheter, kommuner och regioner. Vi avser att återkomma med förslag om detta tillsammans med andra förslag i vårt slutbetänkande.
2.3.3Metod och arbetssätt
Här redovisar vi i korthet metoder och arbetssätt för de analyser som presenteras i delbetänkandet.
Kartläggningen av statliga myndigheters
Omvärldsanalysen har genomförts genom dokumentstudier och genom intervjuer med företrädare för myndigheter i respektive ut- valt land. Länderna har valts ut med beaktande av att de har en jäm- förbar förvaltningstradition eller en väsentligen annorlunda ansats när det gäller
I den rättsliga analysen om förutsättningar för utkontraktering av it- drift har vi använt oss av en sedvanlig juridisk metod. Det innebär att
visökt svaren på de frågor som vi ställts inför genom att analysera lagtext, lagmotiv, rättspraxis och litteratur.
48
SOU 2021:1 |
Utredningens uppdrag och arbete |
2.3.4Möten, dialoger och samverkan
Vi har haft kontakt med ett stort antal aktörer i arbetet. På grund av
Expertgruppen, där företrädare för Regeringskansliet ingår, har haft fyra möten under år 2020. Även referensgruppen, med före- trädare för elva statliga myndigheter, Sveriges kommuner och regio- ner (SKR), It- och Telekomföretagen samt Internetstiftelsen, har haft fyra möten. På mötena har sekretariatet presenterat upplägg för arbetet, redovisat resultat och delresultat i de olika analyserna samt lyft principfrågor och förslag för diskussion. Sekretariatet har utöver det stämt av mer specifika frågor med enskilda experter och före- trädare i referensgruppen. Löpande avstämningar har också hållits med Infrastrukturdepartementet.
Enligt direktiven ska uppdraget utföras i nära dialog med Försäk- ringskassan och Myndigheten för digital förvaltning. Vi ska samråda med Myndigheten för samhällsskydd och beredskap, Försvars- makten/MUST, Försvarets radioanstalt och Säkerhetspolisen, Forti- fikationsverket och Datainspektionen. Vi har under våren 2020 haft formell dialog med respektive myndighet angående uppdraget. Vi har därutöver haft flera möten med Försäkringskassan där former för samverkan och upplägg samt kravställning för utvärderingen av Försäkringskassans uppdrag om samordnad
Som stöd i arbetet har vi bildat två arbetsgrupper – en juridisk och en inom säkerhet – bestående av jurister respektive specialister inom informationssäkerhet och säkerhetsskydd som arbetar vid statliga myndigheter. I den juridiska arbetsgruppen har även före- trädare för SKR ingått. Arbetsgrupperna har kvalitetssäkrat underlag och skrivningar samt bidragit med synpunkter i principiella frågor.
Vi ska enligt direktiven också, i relevanta delar i uppdraget, in- hämta synpunkter från privata
49
Utredningens uppdrag och arbete |
SOU 2021:1 |
Offentliga rummet och ett seminarium om
Vi har därutöver haft kontakt med Utredningen om samordning av statliga utbetalningar från välfärdsystemen (Fi 2018:05) och Utred- ningen om ökad och standardiserad användning av betrodda tjänster i den offentliga förvaltningen (I 2020:01).
Som stöd för planering och genomförande av workshopen med myndigheterna samt webinariet med it- och telekombranschen har
vianlitat Sherpa Management AB. Underlag till konsekvensutred- ningen har tagits fram av Governo AB på vårt uppdrag.
2.4Delbetänkandets disposition
I kapitel 3 går vi igenom ett urval tidigare kartläggningar och utred- ningar som rör frågor om säker och kostnadseffektiv
I kapitel 4 presenteras kartläggningen av de statliga myndighet- ernas
I kapitel 5 presenteras omvärldsanalysen och hur
I kapitel
50
SOU 2021:1 |
Utredningens uppdrag och arbete |
Kapitel 6 är främst av beskrivande karaktär och innehåller en genomgång av rättsliga krav på säkerhetsskydd och informations- säkerhet vid utkontraktering.
Kapitel 7 innehåller en beskrivning av dataskyddsregelverket och innefattar dels en genomgång av de bestämmelser som rör det avtals- mässiga och organisatoriska förhållandet mellan den personuppgifts- ansvarige och personuppgiftsbiträdet, dels en analys av reglerna om tredjelandsöverföring.
I kapitel 8 analyserar vi röjandebegreppet i OSL.
Kapitel 9 innehåller en redogörelse för hur röjandebegreppet hanterats i tidigare utredningar m.m. liksom en redovisning av hur
vibedömer några av de frågor som förekommit i tidigare utred- ningar.
I kapitel 10 behandlar vi förslaget till en sekretessbrytande be- stämmelse och de villkor som ska gälla för denna.
Kapitel 11 innehåller ett förslag till undantag från meddelarfri- heten för den krets av personer som träffas av tystnadspliktslagen.
I kapitel 12 redovisas en konsekvensutredning av författnings- förslagen.
I kapitel 13 presenterar utredningen förslag till inriktning för det fortsatta utredningsarbetet när det gäller samordnad statlig
I kapitel 14 behandlas ikraftträdande.
Kapitel 15 innehåller författningskommentarer.
51
3Tidigare kartläggningar och utredningar
I detta kapitel går vi igenom ett urval av kartläggningar och utredningar som rör frågor om säker och kostnadseffektiv
Vi har framför allt valt att lyfta fram rapporter som analyserar frågor om hur
Rapporter som hanterar frågor om samordnad
3.1Kartläggningar av
Under de senaste fem åren har det genomförts ett antal kartlägg- ningar av
Outsourcing av
I en rapport från år 2014 analyserade Myndigheten för samhälls- skydd och beredskap (MSB) hur kommunerna ”använder outsourcing, samverkan kring
53
Tidigare kartläggningar och utredningar |
SOU 2021:1 |
lät genomföra en enkätundersökning som visade att 80 procent av de drygt 120 kommuner som besvarade enkäten ägnar sig åt någon form av outsourcing (utkontraktering). I denna siffra ingick dock både användning av kommersiella tjänster och olika typer av kom- munal samverkan. Det vanligaste var att kommunerna lade ut enskilda system och tjänster på en utomstående part.
Av rapporten framgår att skälen till att utkontraktera
I enkäten ombads kommunerna att ange på en
Informationssäkerhet – trender 2015
Försvarsmakten, Försvarets radioanstalt, MSB och Rikskriminalpolisen tog år 2015 fram en trendrapport som underlag för stöd i säkerhets- arbete i samhället. I rapporten konstaterade myndigheterna att allt flera system läggs ut på externa leverantörer och i molntjänster. Kost- nadseffektivitet, kvalitet och driftsäkerhet är enligt rapporten driv- krafter bakom outsourcing (utkontraktering) samtidigt som det ställer höga krav på beställaren för att inte leda till oönskade risker. Ut- vecklingen med utkontraktering leder enligt myndigheterna ofrån- komligen till att allt mer information samlas hos ett fåtal aktörer.
54
SOU 2021:1 |
Tidigare kartläggningar och utredningar |
och att konsekvenserna av såväl attacker som
Pensionsmyndighetens kartläggning av molntjänster i staten
År 2015 fick Pensionsmyndigheten i uppdrag av regeringen att ana- lysera och värdera potentialen för användning av molntjänster i staten samt att redovisa risker och hinder med att använda molntjänster i statlig verksamhet. Uppdraget redovisades i rapporten Molntjänster i staten – en ny generation av outsourcing. Som en del i uppdraget genomförde Pensionsmyndigheten en enkätundersökning till 211 stat- liga myndigheter. I enkäten ställdes frågor om motiven bakom att använda molntjänster liksom vilken nytta molntjänster kan erbjuda. Frågor ställdes också om de största upplevda hindren för att använda molntjänster.
Pensionsmyndigheten konstaterade i rapporten att statliga myn- digheter som använder molntjänster kan styra om sina resurser mot utveckling och innovation i andra delar av sina verksamheter, exem- pelvis utveckling av nya tjänster för medborgare och företag. Detta eftersom de kan dra nytta av att en molntjänstleverantör i kraft av sin stora skala och specialisering har mycket större möjligheter att arbeta strukturerat och långsiktigt med utveckling och innovation av tjänster. Pensionsmyndigheten konstaterade vidare att molntjänster kan vara fördelaktiga för de myndigheter som har kraftigt varierande behov av
55
Tidigare kartläggningar och utredningar |
SOU 2021:1 |
aldrig behöver köpa kapacitet som inte utnyttjas och att besparingen kan användas till andra värdehöjande aktiviteter. Pensionsmyndig- heten belyste samtidigt utmaningar med s.k. inlåsningseffekter som uppstår om en myndighet på ett eller annat sätt har ett beroende till en specifik leverantör. De kan bl.a. uppstå på grund av en viss leve- rantörs specifika produkter, tjänster eller teknologi. Men även kompe- tensmässiga och rättsliga skäl kan medföra att tjänsten varken kan eller får förvaltas av någon annan än den som levererar den för till- fället. Pensionsmyndigheten pekade på att de största upplevda hindren för statliga myndigheter att använda molntjänster var säkerhetsrela- terade frågor samt oklarheter kring de juridiska förutsättningarna för nyttjande av molntjänster. Att tillämpa gällande regelverk och balansera integritetsskydd och effektivitet upplevdes också som svårt av myndigheterna.
Statens servicecenters rapport om en gemensam statlig molntjänst för myndigheternas
Statens servicecenter (SSC) fick år 2016 i uppdrag av regeringen att analysera och föreslå vilka myndighetsfunktioner som kan vara lämpliga att bedriva samordnat inom staten och utanför storstads- områden. Som en del i uppdraget genomförde SSC en enkätundersök- ning till statliga myndigheter om hur myndigheterna hanterade sin it- drift (i egen regi eller genom utkontraktering) samt vilka kostnader de hade för sin
SSC rekommenderade i sin redovisning av uppdraget att inrätta en statlig molntjänst som skulle erbjuda myndigheterna datorkraft och lagring. Inrättandet av en statlig molntjänst skulle enligt SSC ge årliga besparingar på 750 till 800 miljoner kronor och skapa nya arbets- tillfällen motsvarande 200 årsarbetskrafter. Förslaget skulle enligt SSC också öka
56
SOU 2021:1 |
Tidigare kartläggningar och utredningar |
Post- och telestyrelsens rapport Förslag till en förvaltningsmodell för skyddade
Regeringen uppdrog år 2017 åt Post- och telestyrelsen (PTS) att lämna förslag till en förvaltningsmodell för skyddade
MSB:s studie om säkerhet vid molnlösningar
År 2018 genomförde Örebro universitet på uppdrag av MSB en kart- läggning av säkerhet vid molnlösningar bland offentliga aktörer. Kartläggningen omfattade både statliga myndigheter och kommuner. Syftet var att kartlägga användningen av molnlösningar bland offent- liga aktörer, identifiera samhällsrisker när offentliga aktörer använder molntjänster, analysera graden av centralisering av tillhandahållandet av molntjänster samt kartlägga utmaningar vid upphandling av moln- tjänster. I studien ingick också en internationell utblick av använd- ningen av molntjänster inom EU och Norden.
I rapporten konstaterades att en övervägande del av de offentliga aktörerna använder upphandlade molntjänster i sin verksamhet och att mjukvara som tjänst (SaaS) är den vanligast förekommande moln- tjänsten. Ett fåtal molntjänster identifierades där det fanns en tydlig centralisering. Dessa molntjänster bedömdes dock inte ha betydelse för samhällskritisk infrastruktur eller samhällskritiska tjänster. Av rapporten framgick vidare att statliga myndigheter och kommuner ser kompetensutmaningar när det gäller regelverk, kontraktsfrågor och upphandlingsfrågor. Rapporten visade också att det inte finns någon systematik i hur kontrakt med molntjänstleverantörer följs upp. En minoritet av de som deltagit i studien genomförde revi- sioner, vilket enligt rapportförfattarna gör det svårt att veta vilka av de ställda kraven som uppfylls och på vilken nivå.
57
Tidigare kartläggningar och utredningar |
SOU 2021:1 |
I rapporten presenterades prioriterade krav och rekommendationer för hur MSB i sitt informationssäkerhetsarbete ska kunna underlätta för offentliga aktörer att nyttja molntjänster. De högst prioriterade rekommendationerna handlade om att höja kunskapsnivån om moln- tjänster och vad användningen av en molntjänst innebär samt att ut- veckla stöd för statliga myndigheter och kommuner i att genomföra riskanalyser vid upphandling av molntjänster och i uppföljning av molntjänstavtal.
Kartläggningar av
Ekonomistyrningsverket (ESV) genomförde år
Sedan år 2019 har Myndigheten för digital förvaltning (Digg) an- svaret att följa upp de statliga myndigheternas digitala mognad och
58
SOU 2021:1 |
Tidigare kartläggningar och utredningar |
3.2Utredningar och rapporter som rör utkontraktering
Det har inte gjorts några utredningar specifikt av utkontraktering av
År 2012 genomförde
I förstudien konstaterades att det finns en betydande potential att effektivisera myndigheternas
59
Tidigare kartläggningar och utredningar |
SOU 2021:1 |
Digitaliseringsrättsutredningen
År 2018 presenterade Digitaliseringsrättsutredningen sitt betänk- ande Juridik som stöd för förvaltningens digitalisering (SOU 2018:25). I utredningsuppdraget ingick att kartlägga och analysera i vilken ut- sträckning det förekommer lagstiftning som i onödan försvårar digi- tal utveckling och samverkan inom den offentliga förvaltningen.
I betänkandet lyfter man bl.a. frågan om informationssäkerhet vid utkontraktering till privata leverantörer. Utredningen konstaterar att utkontraktering av
60
4Kartläggning av statliga myndigheters
Vi ska enligt direktiven kartlägga och analysera de statliga myndig- heternas behov av säker och kostnadseffektiv
Kartläggningen ska omfatta ett representativt urval av statliga myndigheter. Kriterier att beakta i urvalet är bl.a. storlek, finan- sieringsform och verksamhetsområde.
4.1Vår kartläggning
I kapitel 3 går vi igenom ett antal kartläggningar som gjorts under de senaste åren och som rör frågor om säker och kostnadseffektiv it- drift i den offentliga förvaltningen. Vi har med utgångspunkt i direk- tiven sett behov av att dels följa upp några av de frågeställningar som ingått i tidigare kartläggningar, dels bredda och fördjupa kunskapen om
61
Kartläggning av statliga myndigheters |
SOU 2021:1 |
Enkät till 200 statliga myndigheter
Den första delen i kartläggningen omfattar en enkät till 200 statliga myndigheter. I urvalet ingår myndigheterna i den statliga redovis- ningsorganisationen, exklusive försvarsmyndigheter, myndigheter med en värdmyndighet och små myndigheter med särskilt låg omsättning. Syftet med enkäten är att få en representativ bild av myndigheternas informationshantering och säkerhet, hur deras it- drift och kostnader för
Enkäten genomfördes mellan den 16 mars 2020 och den 30 juni 2020. Som följd av de begränsningar som
vifått förlänga svarstiden för enkäten i två omgångar. Enkäten skickades ut till 200 myndigheter. De 21 länsstyrelserna samordnade sitt svar. Totalt förväntades därmed 180 myndigheter inkomma med svar. Totalt har 158 myndigheter besvarat hela eller delar av enkäten, fyra myn- digheter har meddelat att de avstår och 18 myndigheter har inte svarat. Svarsfrekvensen uppgår därmed till 88 procent. En bortfalls- analys visar att de myndigheter som inte svarat omfattar såväl små som medelstora myndigheter och med olika typer av verksamhet och verksamhetsområden. Enkätens representativitet är därmed mycket god.
I enkäten används följande indelning för myndighetsstorlek.
Tabell 4.1 |
Kategorier för myndighetsstorlek |
|
|
|
|
|
|
|
|
Antal anställda |
Antal myndigheter |
|
|
|
i enkäturvalet |
|
|
|
|
Små myndigheter |
33 |
||
Medelsmå myndigheter |
47 |
||
|
|
|
|
Medelstora myndigheter |
34 |
||
Stora myndigheter |
500– |
66 |
|
|
|
|
|
Totalt antal |
|
|
180 |
Kommentar: Svaren för de 21 länsstyrelserna har samordnats av en länsstyrelse, denna ligger i kategorin stor myndighet.
62
SOU 2021:1 |
Kartläggning av statliga myndigheters |
Kategorin stora myndigheter är bred. Inom kategorin
I enkäten ingår ett antal frågeområden som sammantaget ska ge en bild av de statliga myndigheternas verksamhet, uppgifter och säker- hetsarbete, hur
Figur 4.1 Frågeområden i enkät om säker och kostnadseffektiv
Fallstudier av fem typmyndigheter
Den andra delen i kartläggningen består av fallstudier av fem myn- digheter för att fördjupa analysen utifrån enkäten. Myndigheterna har valts ut utifrån myndighetsstorlek och vilken roll it spelar i verk- samheten. För att få en god representativitet och spridning har hän- syn också tagits till hur myndigheterna svarat på enkäten när det gäller t.ex. val av
–Stor myndighet där it utgör en kritisk del av verksamheten.
63
Kartläggning av statliga myndigheters |
SOU 2021:1 |
–Mellanstor myndighet där it utgör en stödfunktion.
–Mindre myndighet där it utgör en kritisk del av verksamheten.
–Mindre myndighet där it utgör en stödfunktion.
–Universitet/högskola.
Fallstudierna har genomförts genom semistrukturerade intervjuer med företrädare för ledning, it, säkerhet, ekonomi och juridik samt andra relevanta funktioner eller verksamheter inom myndigheten. En intervjuguide har tagits fram som myndigheterna fått del av inför intervjuerna.
Workshop om myndigheternas behov av
Vi anordnade en digital workshop med 16 myndigheter i oktober 2020 för att fördjupa kunskapen och förståelsen för myndigheternas be- hov av
4.2Verksamhet, uppgifter och informationssäkerhet
Olika verksamheter har olika behov av säker och kostnadseffektiv
64
SOU 2021:1 |
Kartläggning av statliga myndigheters |
4.2.1Samhällsviktig verksamhet
Samhällsviktig verksamhet är ett samlingsbegrepp som omfattar de verksamheter, anläggningar, noder, infrastrukturer och tjänster som är av avgörande betydelse för att upprätthålla viktiga samhällsfunk- tioner inom en samhällssektor. Med samhällsviktig verksamhet menas dels verksamhet som måste fungera för att inte dess bortfall ska leda till en samhällsstörning, dels verksamhet som måste finnas för att hantera en samhällsstörning när den väl inträffar.
Ett drygt
Övriga myndigheter, som inte har ett särskilt sektors- eller be- vakningsansvar ska själva bedöma om de bedriver samhällsviktig verksamhet eller inte. Som stöd för bedömningen har Myndigheten för samhällsskydd- och beredskap (MSB) tagit fram en vägledning för identifiering av samhällsviktig verksamhet (MSB1408).
Drygt en tredjedel av myndigheterna bedriver samhällsviktig verksamhet
I enkäten fick myndigheterna ange om de bedriver verksamhet som kan bedömas vara samhällsviktig. 55 av 158 svarande myndigheter (35 procent) bedömer att de bedriver samhällsviktig verksamhet, medan 100 myndigheter (63 procent) bedömer att de inte gör det. Tre myn- digheter anger att de inte vet om de bedriver samhällsviktig verk- samhet.
Det finns ett visst samband mellan samhällsviktig verksamhet och storlek på myndighet. Större myndigheter bedriver i högre ut- sträckning samhällsviktig verksamhet jämfört med mindre myndig- heter, vilket framgår av tabell 4.2 nedan.
65
Kartläggning av statliga myndigheters
Tabell 4.2 |
Myndigheter som bedriver samhällsviktig verksamhet |
|
|
Fördelning på myndighetsstorlek |
|
|
|
|
|
|
Antal svar |
Små myndigheter |
6 |
|
Medelsmå myndigheter |
6 |
|
|
|
|
Medelstora myndigheter |
11 |
|
Stora myndigheter |
32 |
|
Totalt antal svarande: 55 |
|
|
Källa: Enkätundersökning. |
|
|
De myndigheter som angett att de bedriver samhällsviktig verksam- het fick också ange inom vilken samhällssektor som den samhällsviktiga verksamheten ingår. Detta utifrån de sektorer som MSB pekar ut i sin vägledning; bl.a. energiförsörjning, finansiella tjänster, hälso- och sjukvård samt omsorg, information och kommunikation, livsmedel, skydd och säkerhet, socialförsäkringar och transporter. Myndighet- erna kunde i sitt svar ange fler än en sektor. Av svaren framgår att myndigheternas samhällsviktiga verksamhet finns inom flera sam- hällssektorer, med viss övervikt på skydd och säkerhet, offentlig för- valtning, hälso- och sjukvård och finansiella tjänster.
Figur 4.2 Samhällsviktig verksamhet fördelad på sektor
Myndigheterna har fått ange flera sektorer
Skydd och säkerhet |
|
|
|
|
|
|
|
24% |
|
|
|
|
|
|
|
|
|
|
|
|
|
Hälso- och sjukvård samt omsorg |
|
|
|
|
14% |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Finansiella tjänster |
|
|
|
|
12% |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Information och kommunikation |
|
|
|
|
11% |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Transporter |
|
|
|
6% |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Socialförsäkring |
|
|
4% |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Energiförsörjning |
|
|
4% |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Livsmedel |
|
|
3% |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Offentlig förvaltning |
|
|
2% |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Handel och industri |
|
|
2% |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Kommunal teknisk försörjning |
|
|
0% |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
0% |
5% |
10% |
15% |
20% |
25% |
30% |
||||
Källa: Enkätundersökning.
66
SOU 2021:1 |
Kartläggning av statliga myndigheters |
4.2.2Vilka uppgifter hanterar myndigheterna?
De uppgifter som myndigheterna hanterar i sin verksamhet omfattas av en rad olika regleringar bl.a.: säkerhetsskyddslagstiftningen, offentlighets- och sekretesslagen (2009:400) (OSL) och dataskydds- förordningen. Myndigheter hanterar även andra typer av uppgifter som inte omfattas av särskilda lagkrav.
Myndigheterna har i enkäten fått svara på vilken typ av uppgifter de hanterar i sin verksamhet: säkerhetsskyddsklassificerade uppgifter enligt säkerhetsskyddslagen (2018:585), uppgifter som är sekretess- reglerade enligt OSL och känsliga personuppgifter enligt dataskydds- förordningen. Några motsvarande frågor har inte ställts i de tidigare kartläggningarna om
Merparten av myndigheterna hanterar någon form av skyddsvärd information
Sammanställningen av enkätsvaren om vilken typ av uppgifter myn- digheterna hanterar visar att merparten (nästan 90 procent) av myn- digheterna hanterar någon form av skyddsvärd information i sin verksamhet. Endast 14 av 158 myndigheter bedömer att de inte han- terar någon form av känsliga eller skyddsvärda uppgifter. Olika typer av sekretessreglerade uppgifter är vanligast förekommande liksom känsliga personuppgifter. En mindre andel av myndigheterna han- terar uppgifter som kräver den högsta formen av skydd, dvs. säker- hetsskyddsklassificerad information.
Säkerhetsskyddsklassificerade uppgifter
Med säkerhetsskyddsklassificerade uppgifter avses enligt säkerhets- skyddslagen uppgifter som rör säkerhetskänslig verksamhet och som därför omfattas av sekretess enligt OSL. Hantering av säkerhets- skyddsklassificerade uppgifter ställer särskilda säkerhetskrav på myn- dighetens
Enligt enkätsvaren hanterar 61 av 152 svarande myndigheter (40 pro- cent) säkerhetsskyddsklassificerade uppgifter medan 85 myndigheter (56 procent) inte gör det. Ett fåtal myndigheter vet inte om de hanterar säkerhetsskyddsklassificerade uppgifter. Större myndigheter hanterar i
67
Kartläggning av statliga myndigheters |
SOU 2021:1 |
högre grad säkerhetsskyddsklassificerade uppgifter jämfört med mindre myndigheter, vilket framgår av tabell 4.3 nedan.
Tabell 4.3 Myndigheter som hanterar säkerhetsskyddsklassificerad information
Fördelning på myndighetsstorlek
|
Antal svar |
Små myndigheter |
5 |
Medelstora myndigheter |
9 |
Medelstora myndigheter |
13 |
Stora myndigheter |
34 |
Totalt antal svarande: 61 |
|
Källa: Enkätundersökning.
Myndigheternas säkerhetsskyddsklassificerade uppgifter fördelar sig på olika säkerhetsskyddsklasser. Olika säkerhetsklasser kräver olika skydd
–ju högre skyddsklass desto högre krav på skydd. Begränsat hemlig är den lägsta skyddsklassen och kvalificerat hemlig den högsta.
Tabell 4.4 Myndigheternas säkerhetsskyddsklassificerade uppgifter fördelat på säkerhetsskyddsklasser
Antal svar per kategori
Säkerhetsklass |
Antal svar |
|
|
Kvalificerat hemlig |
17 |
Hemlig |
50 |
Konfidentiell |
49 |
Begränsat hemlig |
50 |
|
|
Vet ej |
5 |
Totalt antal svarande: 61 |
|
Källa: Enkätundersökning.
Majoriteten av myndigheterna hanterar säkerhetsskyddsklassificerad information som klassats som hemlig, konfidentiell eller begränsat hemlig. Ett fåtal myndigheter hanterar uppgifter i den högsta säker- hetsskyddsklassen. Några myndigheter anger att de inte vet vilka säkerhetsskyddsklasser uppgifterna ligger inom (alternativt att de inte vet om de har säkerhetsskyddsklassificerade uppgifter i verksamheten). Oavsett säkerhetsskyddsklass ställer förekomsten av säkerhetsskydds-
68
SOU 2021:1 |
Kartläggning av statliga myndigheters |
klassificerade uppgifter särskilda krav på säkerhet i myndigheternas it- driftslösningar.
Sekretessreglerade uppgifter
Myndigheterna fick i enkäten även ange om de hanterade uppgifter som är sekretessreglerade enligt OSL i sin kärnverksamhet. Att frågan avgränsades till just kärnverksamheten var för att kunna särskilja dem från uppgifter som hanteras i alla myndigheter, exempelvis uppgifter om upphandling och den egna personalen. Huruvida alla svarande myndigheter kunnat särskilja detta är oklart.
Av svaren framgår att drygt 80 procent (123) av myndigheterna hanterar någon form av sekretessreglerade uppgifter i sin kärnverk- samhet. 29 myndigheter svarar att de inte gör det och fem myndig- heter vet inte om de gör det.
De sekretessreglerade uppgifterna regleras med olika styrka, vilket framgår av tabell 4.5 nedan. 90 myndigheter har svarat att de han- terar uppgifter med absolut sekretess, vilket ställer särskilda krav på säkerhetslösningar i
Tabell 4.5 Myndigheternas sekretessreglerade uppgifter fördelat på sekretessgrad
Antal svar per kategori
Sekretessgrad |
Antal svar |
Uppgifter med rakt skaderekvisit (presumtion för offentlighet) |
121 |
Uppgifter med omvänt skaderekvisit (presumtion för sekretess) |
93 |
Uppgifter med absolut sekretess |
90 |
Vet ej |
5 |
|
|
Totalt antal svarande: 154 |
|
Källa: Enkätundersökning.
Känsliga personuppgifter
En tredje typ av särskilt skyddsvärda uppgifter som kan hanteras i myndigheter är känsliga personuppgifter. Med känsliga personupp- gifter avses sådana uppgifter som avses i artikel 9.1 i dataskydds-
69
Kartläggning av statliga myndigheters |
SOU 2021:1 |
förordningen (3 kap. 1 § lagen /2018:218/ med kompletterande be- stämmelser till EU:s dataskyddsförordning). Uppgifter om etniskt ursprung, politiska åsikter och genetiska uppgifter och hälsoupp- gifter utgör exempel på känsliga personuppgifter.
Myndigheterna fick i enkäten ange om de hanterade känsliga per- sonuppgifter i sin kärnverksamhet (samma avgränsning som för sekre- tessreglerade uppgifter). Av enkätsvaren framgår att en majoritet av myndigheterna, 68 procent (107), hanterar känsliga personuppgifter i sin kärnverksamhet. Här finns också en mer jämn fördelning när det gäller myndighetsstorlek (tabell 4.6).
Tabell 4.6 |
Myndigheter som hanterar känsliga personuppgifter |
|
|
Fördelning på myndighetsstorlek |
|
|
|
|
|
|
Antal svar |
Små myndigheter |
14 |
|
Medelsmå myndigheter |
24 |
|
|
|
|
Medelstora myndigheter |
16 |
|
Stora myndigheter |
53 |
|
|
|
|
Totalt antal svarande: 107 |
|
|
|
|
|
Källa: Enkätundersökning.
4.2.3Myndigheternas informationssäkerhet
Informationssäkerhet och ett systematiskt informationssäkerhets- arbete är grunden för att kunna avgöra vilken typ av uppgifter som hanteras i verksamheten och vilket skydd som uppgiftshanteringen kräver. Begreppet informationssäkerhet definieras som bevarande av konfidentialitet, riktighet och tillgänglighet hos information. Med konfidentialitet aves att endast behöriga personer kan ta del av infor- mationen, med riktighet menas att man kan lita på att informationen är korrekt och inte manipulerad och med tillgänglighet avses att informationen finns tillgänglig för behöriga användare när den behövs.
MSB meddelade i september 2020 nya föreskrifter om informa- tionssäkerhet för statliga myndigheter med tillhörande allmänna råd (MSBFS 2020:6). De nya föreskrifterna började gälla den 1 oktober 2020. Den största förändringen gentemot tidigare gällande före- skrifter är betoningen på behandling av information liksom på risker.
70
SOU 2021:1 |
Kartläggning av statliga myndigheters |
Av MSB:s föreskrifter framgår att myndigheter ska bedriva ett systematiskt och riskbaserat informationssäkerhetsarbete med stöd av ett antal angivna standarder. Informationssäkerhetsarbetet ska utformas utifrån de risker och behov som myndigheten definierar. Det ska omfatta all behandling av information som myndigheten ansvarar för och integreras med myndighetens befintliga sätt att leda och styra sin organisation. I föreskrifterna anges hur informations- säkerhetsarbetet ska utformas och bedrivas, bl.a. avseende informa- tionsklassning, riskbedömning och vidtagande av säkerhetsåtgärder (se vidare avsnitt 6.3.2).
Hälften av myndigheterna har delar av informationssäkerhetsarbetet på plats, men arbete återstår
I enkäten fick myndigheterna uppskatta hur långt de kommit i sitt informationssäkerhetsarbete. Detta utifrån en skala från
Av tabell 4.7 nedan framgår att medianen ligger på nivå 4. Flest antal myndigheter (43 av 158 svarande) har uppskattat att de ligger på nivå 4. Det finns därefter en övervikt för nivå 2 och 3 (totalt 64 av 158 myndigheter), dvs. den något lägre nivån. 13 myndigheter har angett att de ligger på nivå 1, och 12 myndigheter att de ligger på nivå 6.
En central del i ett informationssäkerhetsarbete är att få kontroll på vilken typ av information som hanteras i verksamheten och klassa informationen utifrån behovet av skyddsnivå utifrån olika regelverk (se tidigare avsnitt). Informationsklassning ingår som en del i infor- mationssäkerhetsarbetet enligt kategori 4 i enkäten. Knappt hälften av myndigheterna har angett att de ligger på nivå
Tidigare kartläggningar om myndigheters
71
Kartläggning av statliga myndigheters |
SOU 2021:1 |
informationssäkerhetsarbete. Myndigheten för digital förvaltning (Digg) redovisar i sin rapport Myndigheters digitala mognad och it- kostnader (2019) resultatet av en enkät till statliga myndigheter. 14 procent av de myndigheter som ingick i enkätundersökningen hade en väl fungerande informationssäkerhetsstrategi på plats som var införd och tillämpades fullt ut på myndigheten. 25 procent av myndigheterna hade implementerat en informationssäkerhetsstrategi i verksamheten som skulle utvärderas och utvecklas. Ungefär lika stor andel hade påbörjat implementeringen av en strategi, medan 30 pro- cent antingen hade påbörjat ett arbete med att ta fram en strategi eller beslutat om en strategi. Knappt tio procent av myndigheterna uppgav att de endast påbörjat en diskussion om att göra något på området. Även om svarsalternativen i Digg:s enkät skiljer sig åt jäm- fört med våra är de ändå någorlunda jämförbara. Vissa myndigheter har kommit långt i sitt informationssäkerhetsarbete, medan andra avser att påbörja arbetet inom kort eller arbetar med frågorna. En mindre andel myndigheter har inte gjort något alls på området. Digg:s enkät ger dock en något mer positiv bild av hur långt myndig- heterna kommit i sitt arbete jämfört med vår enkät. I Digg:s enkät har myndigheterna även fått uppskatta hur arbetet med informa- tionssäkerhet kommer att se ut på myndigheten år 2021 jämfört med 2019. Drygt 70 procent av myndigheterna bedömer att de år 2021 kommer att ha implementerat en informationssäkerhetsstrategi eller ha en väl fungerande informationssäkerhetsstrategi som tillämpas fullt ut på myndigheten. Det innebär alltså nästan en dubblering jämfört med läget år 2019.
72
SOU 2021:1Kartläggning av statliga myndigheters
Tabell 4.7 Hur långt har myndigheterna kommit i arbetet med informationssäkerhet – enligt myndigheternas egen uppskattning
Svar per kategori
|
Antal |
|
svar |
1. Vi har inte påbörjat ett systematiskt informationssäkerhetsarbete |
|
enligt MSBFS 2016:1. |
13 |
2. Vi har påbörjat arbetet genom att ha utsett en ansvarig att leda arbetet |
|
och börja analysera hur föreskrifterna MSBFS 2016:1 ska införas i myndigheten. |
35 |
3.Vi har tagit fram en informationssäkerhetspolicy och påbörjat arbetet med styrande interna regelverk. Ledningen har beslutat om informationssäkerhets - policyn och vi har beslutade styrande interna regelverk för allt informations -
säkerhetsarbete enligt MSBFS 2016:1. |
|
29 |
4.Vi har förutom av ledningen beslutad informationssäkerhetspolicy och styrande interna regelverk, arbetssätt i delar av organisationen som säkerställer att vi genomför informationsklassning och riskbedömning samt inför säkerhetsåtgärder
utifrån dessa underlag. |
43 |
5.Vi har förutom av ledningen beslutad informationssäkerhetspolicy och styrande interna regelverk, arbetssätt i hela organisationen som säkerställer att vi genomför informationsklassning och riskbedömning samt inför säkerhetsåtgärder utifrån
dessa underlag. |
|
26 |
|
|
|
6.Allt informationssäkerhetsarbete i hela organisationen sker systematiskt enligt framtaget arbetssätt dokumenterat i interna regler och stöd. Arbetet och
de interna regelverken och stöden utvärderas och vidareutvecklas regelbundet. |
12 |
Totalt antal svarande: 158
Källa: Enkätundersökning.
I vår enkät ställde vi också frågan om myndigheterna utgår från någon standard eller modell som stöd för ett systematiskt informations- säkerhetsarbete. 77 procent av myndigheterna har svarat att de utgår från en standard som stöd för ett systematiskt informationssäker- hetsarbete. Bland dessa utgår alla myndigheter utom en från ISO 27001. Det är en av de standarder som rekommenderas i de nya före- skrifterna från MSB. Knappt 20 procent av myndigheterna anger att de inte utgår från någon standard och sex myndigheter (4 procent) har svarat att de inte vet om de gör det.
73
Kartläggning av statliga myndigheters |
SOU 2021:1 |
Detsamma gäller för informationssäkerhet vid
MSB har gett ut en särskild vägledning om att upphandla informa- tionssäkert (MSB1177). I vägledningen beskrivs bl.a. aktiviteter för att uppnå informationssäkerhet i upphandlingens tre steg – förbereda, upphandla och realisera.
I enkäten fick myndigheterna besvara ett antal frågor om infor- mationssäkerhet vid
Tabell 4.8 Har myndigheten en kravkatalog med säkerhetskrav vid
Antal svar per kategori
|
Antal svar |
Vi har inte reflekterat över frågan på myndigheten |
16 |
Vi har påbörjat en diskussion om att vi behöver en kravkatalog |
|
med säkerhetskrav att utgå ifrån |
83 |
|
|
Vi har en säkerhetskravkatalog som vi använder oss av vid upphandling |
46 |
Totalt antal svarande: 154 |
|
Källa: Enkätundersökning.
Tabell 4.9 Har myndigheten ett etablerat arbetssätt för att verifiera säkerhetskrav i anbudssvar vid
Antal svar per kategori
|
Antal svar |
|
|
Vi har inte reflekterat över frågan på myndigheten |
41 |
Vi har ett påbörjat arbetssätt att verifiera säkerhetskraven i anbudssvar |
85 |
|
|
Vi har ett etablerat arbetssätt att verifiera säkerhetskraven i anbudssvar |
30 |
Totalt antal svarande: 156 |
|
|
|
Källa: Enkätundersökning. |
|
74
SOU 2021:1 |
Kartläggning av statliga myndigheters |
Tabell 4.10 Har myndigheten ett etablerat arbetssätt att verifiera säkerhetskraven i leverans/acceptanstest/driftsättning (eller motsvarande)?
Antal svar per kategori
|
Antal svar |
Vi har inte reflekterat över frågan på myndigheten |
40 |
Vi har ett påbörjat arbetssätt att verifiera säkerhetskraven |
|
i leverans/ acceptanstest/driftsättning (eller motsvarande) |
92 |
Vi har ett etablerat arbetssätt att verifiera säkerhetskraven |
|
i leverans/acceptanstest/driftsättning (eller motsvarande) |
25 |
Totalt antal svarande: 157
Källa: Enkätundersökning.
Tabell 4.11 Har myndigheten ett etablerat arbetssätt att verifiera säkerhetskraven under avtalets/kontraktets giltighetstid?
Antal svar per kategori
|
Antal svar |
|
|
Vi har inte reflekterat över frågan på myndigheten |
45 |
Vi har ett påbörjat arbetssätt att verifiera säkerhetskraven |
|
under avtalets/kontraktets giltighetstid |
90 |
Vi har ett etablerat arbetssätt att verifiera säkerhetskraven |
|
under avtalets/kontraktets giltighetstid |
20 |
Totalt antal svarande: 155
Källa: Enkätundersökning.
Av svaren framgår att en majoritet av myndigheterna har påbörjat en diskussion om kravkatalog eller har en kravkatalog med säkerhets- krav på plats som används vid upphandling och för att värdera an- budssvar. Myndigheterna tycks inte ha kommit lika långt när det gäller att verifiera säkerhetskrav vid leverans och driftsättning eller att verifiera kraven under avtalets giltighetstid.
4.2.4Fallstudiemyndigheterna
Fallstudierna av de fem typmyndigheterna bekräftar till stora delar den bild som enkätundersökningen ger avseende verksamhet, upp- gifter och informationssäkerhet. Av de fem fallstudiemyndigheterna bedriver såväl en stor som en mindre myndighet samhällsviktig verk- samhet, vilket ställer särskilda krav på
75
Kartläggning av statliga myndigheters |
SOU 2021:1 |
het. Samtliga fem myndigheter hanterar i större eller mindre om- fattning skyddsvärda uppgifter, där olika typer av sekretessreglerade uppgifter och känsliga personuppgifter är vanligast förekommande. Två av myndigheterna hanterar även säkerhetsskyddsklassificerade uppgifter. Några fallstudiemyndigheter lyfter svårigheten att bedöma skyddsvärdet på aggregerade uppgifter i verksamheten. De upplever också att det är svårt att få stöd i denna typ av bedömningar, exem- pelvis från expertmyndigheter.
Företrädare för några fallstudiemyndigheter framhåller att det kan vara svårt att avgöra vilka krav på
Fallstudiemyndigheterna har kommit olika långt i sitt informa- tionssäkerhetsarbete. Det finns ingen tydlig koppling till myndig- hetsstorlek. Stora myndigheter hanterar i regel en större mängd upp- gifter och måste därför lägga mer tid på informationsklassificering jämfört med mindre myndigheter. En av de mindre myndigheterna pekar på att informationssäkerhetsarbetet kräver att myndigheten har egen kompetens och förmåga att arbeta med informationssäkerhet, vilket kan vara svårt att uppnå.
Den sammantagna bilden är att kraven på
4.3Hinder för säker och kostnadseffektiv
Pensionsmyndigheten konstaterade i sitt uppdrag om molntjänster i staten år 2015 att de största upplevda hindren för statliga myndig- heter att använda molntjänster handlade om säkerhet och oklarheter kring de juridiska förutsättningarna för att använda molntjänster. Att tillämpa gällande regelverk och balansera integritetsskydd och effektivitet upplevdes också som svårt.
76
SOU 2021:1 |
Kartläggning av statliga myndigheters |
I vår enkätundersökning har vi ställt frågor om hinder för och bristande förutsättningar för säker och kostnadseffektiv
4.3.1Hinder för säker
Det kan finnas flera hinder för myndigheter att säkerställa en säker
Figur 4.3 Hinder för säker
9%
22%
15%
11%
20%
23%
Källa: Enkätundersökning.
77
Kartläggning av statliga myndigheters |
SOU 2021:1 |
För de 143 myndigheter som svarat på frågan är bristande informa- tionsklassificering tillsammans med avsaknad av relevant kompetens inom verksamheten och svårigheter att tolka lagstiftning de största hindren för en säker
Att myndigheterna angett bristande informationsklassificering överensstämmer med myndigheternas uppskattningar av det egna informationssäkerhetsarbetet (se avsnitt 4.2.3). I myndigheternas kom- mentarer om bristande informationsklassificering framkommer att det pågår arbete på flera myndigheter. Myndigheterna har i flera fall klassat delar av informationen, men inte all information. Bristande kompetens och resurser lyfts fram som problem i sammanhanget, men även tidsbrist anges. En myndighet anger att de saknar system- stöd för informationsklassificering. En annan myndighet menar att det är svårt att översätta informationsklassificeringen till konkreta säkerhetsnivåer i både hård- och mjukvara. Ytterligare ett problem som lyfts fram är svårigheten att informationsklassa aggregerad in- formation.
Avsaknad av relevant kompetens upplevs som ett lika stort hinder för säker
Det tredje största hindret som myndigheterna ser är svårigheter att tolka gällande lagstiftning. Oklarheter vad gäller användning av molntjänster verkar vara vanligast. Svårigheten att göra bedömningar av säkerhetsskydd lyfts också fram som ett problem av flera myn- digheter, liksom oklarheter kring krav på datalagring och dataskydd. En myndighet menar att det är svårt att få en sammanhängande bild av samtliga regelverk och hur de ska tolkas beroende på vilken tjänst som ska utvärderas. En annan myndighet pekar på att det är svårt att få juridik, it och informationssäkerhet att mötas. Ytterligare en myn- dighet lyfter fram att det inte är tolkningen av lagstiftningen som är
78
SOU 2021:1 |
Kartläggning av statliga myndigheters |
problemet, utan snarare effekterna av tolkningen som medför svårig- heter att genomföra upphandlingar och upprätthålla en stabil
Hög kostnad för de lösningar som verksamheten kräver anges som ytterligare ett hinder för säker
Andra hinder för säker
4.3.2Hinder för kostnadseffektiv
Myndigheterna har också fått ange vilka hinder de ser för att upp- rätthålla en kostnadseffektiv
79
Kartläggning av statliga myndigheters |
SOU 2021:1 |
Figur 4.4 Hinder för kostnadseffektiv
14%16%
9%
21%
19%
21%
Källa: Enkätundersökning.
Som framgår av Figur 4.4 ovan anger flest myndigheter höga krav på säkerhet och leverantörsberoende eller andra inlåsningseffekter som hinder för en kostnadseffektiv
Den vanligaste kommentaren är att säkerhet kostar och att säker- hetskrav påverkar möjligheterna att använda kostnadseffektiva it- lösningar. En myndighet konstaterar att om en myndighet hanterar känsliga uppgifter är det nödvändigt med höga krav på säkerhet. En annan myndighet pekar på att säkerhetsåtgärder kan vara kostnads- drivande, men frånvaro av korrekta åtgärder kan skada verksamheten och orsaka andra större kostnader.
80
SOU 2021:1 |
Kartläggning av statliga myndigheters |
När det gäller leverantörsberoende anger flera myndigheter att de sitter fast i enskilda leverantörers lösningar. På vissa områden och tjänster finns endast ett fåtal leverantörer. Det handlar inte enbart om privata tjänsteleverantörer, utan även om myndigheter eller kon- sortier som erbjuder lösningar för
Svårigheter att formulera ändamålsenliga krav för
Även avsaknad av kompetens, och särskilt beställarkompetens, anges som hinder för kostnadseffektiv
81
Kartläggning av statliga myndigheters |
SOU 2021:1 |
4.4Myndigheternas
4.4.1Ungefär två tredjedelar av myndigheterna har eget datacenter
Datacenter har flera besläktade begrepp såsom datorhall och server- hall. De beskriver alla särskilda anläggningar eller utrymmen avsedda för att inrymma servrar och annan utrustning och hårdvara för lagring och kommunikation samt infrastruktur för kraftförsörjning, kylning, brandsläckning, säkerhetsskydd etc. Som referens till vad ett datacenter innehåller har Kammarkollegiet ett ramavtal för data- center där begreppet ”driftstjänst” används. Begreppet datacenter defi- nieras inte direkt, däremot beskrivs att leverantörer av datacenter- tjänster tillhandahåller tjänster
[…]som minst innefattar strömförsörjning, kylning, brandskydd, fysisk säkerhet och tillhörande övervakning. Drifttjänst kan dessutom inklu- dera Hårdvara och/eller Programvara.
Regeringen preciserade i lagrådsremissen Vissa frågor på elskatte- området från den 9 juni 2016 datorhallar som
[…]anläggningar där en näringsidkare, som huvudsakligen bedriver informationstjänstverksamhet, informationsbehandling eller uthyrning av serverutrymme och tillhörande tjänster, utövar sådan verksamhet, och vars sammanlagda installerade effekt uppgår till minst 0,1 megawatt [effekten för kyl- och fläktanläggningar räknas ej med i den installerade effekten]
Vidare beskrivs att utrustningen i ett datacenter består av
[…]
ägas av den som driver datorhallen eller av dennes kunder.
I vår enkät har begreppet datacenter definierats som
ett fysiskt utrymme där hela eller merparten av er utrustning för servrar, lagring och kommunikationsutrustning finns. Utrymmet kan vara anpassat med avseende på t.ex. kylsystem, elförsörjning, brand- och skalskydd.
82
SOU 2021:1 |
Kartläggning av statliga myndigheters |
Definitionen är formulerad på ett allmänt sätt utan krav på t.ex. viss installerad effekt i syfte att fånga både mer avancerade anläggningar såväl som mindre serverutrymmen i myndigheternas lokaler. Defini- tionen medger även viss möjlighet till jämförelse med resultatet från den enkätundersökning Statens servicecenter (SSC) genomförde år 2016 och som också berörde myndigheternas datacenter.
Av 158 respondenter som svarat på frågan om datacenter i vår enkät har 58 procent (100) uppgivit att de har egna datacenter. Till- sammans har de sammanlagt 220 datacenter, då flera av de som har datacenter har fler än ett.
Figur 4.5 Antal datacenter per svarande
70
60
50
40
30
20
10
0
0 |
1 |
2 |
3 |
4 |
5 |
>5 |
Källa: Enkätundersökning.
Det finns ett visst samband mellan storlek på myndigheten och an- delen med datacenter.
83
Kartläggning av statliga myndigheters
Tabell 4.12 Myndigheter med egna datacenter
Myndighetens storlek |
Antal |
Andel myndigheter som uppgett |
Totalt antal |
|
|
att de har egna datacenter |
datacenter |
|
|
|
|
Små myndigheter |
11 |
38 % |
12 |
Medelsmå myndigheter |
|
|
|
16 |
39 % |
24 |
|
|
|
|
|
Medelstora myndigheter |
|
|
|
24 |
80 % |
38 |
|
Stora myndigheter |
49 |
84 % |
146 |
|
|
|
|
Totalt |
100 |
58 % |
220 |
Källa: Enkätundersökning.
Vidare går det att se ett visst samband mellan storlek på myndigheten och antalet fysiska servrar myndigheten har i sin verksamhet.
Fallstudiemyndigheterna
Resultatet från vår enkätundersökning bekräftas i intervjuerna med fallstudiemyndigheterna. Fyra av de fem intervjuade myndigheterna har egna datacenter.
•En av myndigheterna är ett lärosäte som har fem datacenter. Två av dessa beskrivs som fullt redundanta datacenter med reserv- kraft, redundant kyla och avbrottsfri kraftförsörjning, medan tre av dem beskrivs som serverrum.
•En annan myndighet har två datacenter. Det ena är ett serverrum i myndighetens lokaler. Myndigheten flyttade för två år sedan, i samband med att ett hyreskontrakt löpte ut, in i ett datacenter hos en tjänsteleverantör där den hyr en ”säker bur” som endast myndigheten har åtkomst till. Myndigheten sköter driften själv på båda platserna och anser att det är mer kostnadseffektivt med samlokalisering än om den skulle expanderat genom att hyra egna lokaler.
•En stor myndighet har utrustning i fyra datacenter, varav två är i myndighetens egna lokaler och de två andra tillhör en annan myn- dighet respektive ett kommunalt bolag. Myndigheten beskriver att den även hyr en säker bur hos det kommunala bolaget där de
84
SOU 2021:1 |
Kartläggning av statliga myndigheters |
placerat utrustning. Två av myndighetens datacenter är fullt speglade på ett sätt som ställer tekniska krav på geografisk närhet.
•Den minsta myndigheten som ingått i fallstudien har inga egna datacenter utan erhåller
Flera av fallstudiemyndigheterna framhåller att det är viktigt att de datacenter de använder är nära belägna, både för att de ska vara lättill- gängliga för verksamheten, men i vissa fall även på grund av tekniska krav på accesstid. För de myndigheter som använder samlokalisering har myndigheterna bl.a. värdesatt kostnad, leverantörens erfarenhet och om leverantören har andra kunder från offentlig sektor.
Då det finns stor spridning inom varje storleksgrupp av myn- digheter bör genomsnittet tolkas med viss försiktighet. Resultatet överensstämmer relativt väl med den enkätundersökning SSC genom- förde år 2016 där 67 procent av myndigheterna uppgav att de till- sammans hade sammanlagt 206 datacenter. Givet att urvalet av myn- digheter som svarade på vår respektive SSC:s enkät skiljer sig åt går det dock inte att dra slutsatsen att andelen myndigheter med eget datacenter minskat. Det ger dock viss tillförlitlighet i att andelen myndigheter med eget datacenter är ungefär två tredjedelar. Det är vidare vanligare bland medelstora och stora myndigheter att ha egna datacenter.
4.4.2Användningen av molntjänster från privata tjänsteleverantörer är utbredd i statsförvaltningen
I vår enkät har vi ställt frågor om myndigheternas användning av molntjänster1 från privata tjänsteleverantörer. Användning av publika molntjänster medför i regel en utkontraktering av den
1Se definition i avsnitt 2.2.4.
85
Kartläggning av statliga myndigheters |
SOU 2021:1 |
Tabell 4.13 Myndigheter som använder molntjänster
Andel som använder molntjänster inom respektive storleksgrupp (och antal svarande)
Myndighetens storlek |
IaaS |
PaaS |
SaaS |
|
|
|
|
Små myndigheter |
17 % (5) |
21 % (6) |
79 % (23) |
Medelsmå myndigheter |
41 % (17) |
32 % (13) |
78 % (32) |
|
|
|
|
Medelstora myndigheter |
33 % (10) |
30 % (9) |
93 % (28) |
Stora myndigheter |
40 % (23) |
36 % (21) |
100 % (58) |
|
|
|
|
Totalt |
35 % (55) |
31 % (49) |
89 % (141) |
Källa: Enkätundersökning.
Andelen myndigheter som använder
Drift i egen regi är inte ett substitut till användning av molntjänster
Genom att undersöka andelen myndigheter som använder molntjänster och även har datacenter och drift i egen regi kan vi analysera om molntjänster används som ett likvärdigt alternativ till drift i egen regi.
Tabell 4.14 Myndigheter som använder molntjänster och har egna datacenter
Andel som använder molntjänster inom respektive storleksgrupp (och antal svarande)
Myndighetens storlek |
IaaS |
PaaS |
SaaS |
|
|
|
|
Små myndigheter |
18 % (2) |
9 % (1) |
91 % (10) |
Medelsmå myndigheter |
25 % (4) |
25 % (4) |
88 % (14) |
|
|
|
|
Medelstora myndigheter |
25 % (6) |
25 % (6) |
92 % (22) |
Stora myndigheter |
43 % (21) |
43 % (21) |
100 % (49) |
|
|
|
|
Totalt |
33 % (33) |
32 % (32) |
95 % (95) |
|
|
|
|
Källa: Enkätundersökning.
86
SOU 2021:1 |
Kartläggning av statliga myndigheters |
Det är små skillnader i andelen myndigheter som använder IaaS- och
Vi har i enkäten frågat om vanliga funktioner för vilka
Figur 4.6 Andel myndigheter som använder SaaS
Fasta svarsalternativ
|
|
Stora myndigheter |
|
|
|
|
Medelstora myndigheter |
|
|
|||||||
|
|
|
|
|
|
|
||||||||||
|
|
|
|
|
|
|
||||||||||
|
|
Medelsmå myndigheter |
|
|
Små myndigheter |
|
|
|
||||||||
|
|
|
|
|
|
|
||||||||||
|
|
|
|
|
|
|
||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
36% |
|
|
|
|
|
|
|
Ekonomisystem |
|
|
|
|
21% |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
52% |
|
|
|
||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
46% |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
72% |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Enkätverktyg |
|
|
|
|
|
|
|
|
|
|
68% |
|
||
|
|
|
|
|
|
|
|
|
|
|
|
|
76% |
|||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
|
|
|
46% |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
36% |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Webbplats |
|
|
|
|
|
|
|
|
|
54% |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
61% |
|
|
||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
63% |
|
|
|
|
|
|
|
|
|
12% |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Ärendehanteringssystem |
|
|
|
18% |
|
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
39% |
|
|
|
|
|||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
|
|
33% |
|
|
|
|
|
|
|
|
|
|
|
|
12% |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Diarium |
|
|
|
11% |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
39% |
|
|
|
|
|||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
|
|
|
46% |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
43% |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Kontorsstöd |
|
|
|
|
|
|
|
|
|
|
64% |
|
|
|
|
|
|
|
|
|
|
|
|
|
42% |
|
|
|
|
||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
25% |
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
72% |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
HR/Lön |
|
|
|
|
|
|
|
|
|
54% |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
55% |
|
|
|
||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
42% |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
0% |
10% |
20% |
30% |
40% |
50% |
60% |
70% |
80% |
||||||||
Källa: Enkätundersökning.
87
Kartläggning av statliga myndigheters |
SOU 2021:1 |
Av enkätsvaren framgår att
Fallstudiemyndigheterna
Myndigheterna i fallstudien har genomgående en restriktiv hållning till användning av publika molntjänster från privata tjänsteleveran- törer. I den utsträckning de använder publika molntjänster handlar det ofta om stödverktyg eller lösningar som myndigheterna inte har möjlighet att drifta i egen regi. Samtidigt är det ingen av myndig- heterna som vi har intervjuat som har fattat ett formellt beslut eller har en uttalad princip om att inte använda publika molntjänster.
•En stor myndighet beskriver att de använder ett kontorsstöd som körs på egna servrar men med en molnbaserad katalogtjänst. Myndigheten ser behov av att bygga upp en hybridmiljö.
•En annan stor myndighet beskriver att de använder molntjänster i begränsad omfattning. Myndigheten är samtidigt positivt inställd till att använda molntjänster där det går, främst av det skälet att myndigheten har svårt med kompetensförsörjning och ser molntjänster som ett sätt att dra nytta av extern kompetens.
•Det universitet som finns med bland fallstudiemyndigheterna använder vissa publika molntjänster för studenter, t.ex. Microsoft Office 365, men har en mer restriktiv hållning för andra användare och har för dessa valt
88
SOU 2021:1 |
Kartläggning av statliga myndigheters |
eller EES. Universitetet köper även tjänster från SUNET vars drift i vissa fall är utkontrakterad till privata tjänsteleverantörer.
Flera av de intervjuade myndigheterna understryker att nyckeln till en flexibel och kostnadseffektiv användning av molntjänster är en väl utförd informationsklassificering. I förlängningen innebär det även att informationsseparation är nödvändigt, då många informa- tionsresurser består av både skyddsvärd och icke skyddsvärd infor- mation.
4.4.3Nästan var fjärde myndighet får någon form av
Bland de 158 myndigheterna som svarat på enkäten får 23 procent
(36)
Tabell 4.15 Myndigheter med samordnad
Samordnad
Myndighetens |
Annan myndighet hanterar respondentens |
Respondenten hanterar |
|
storlek |
|
annan myndighets |
|
|
Inkl. de myndigheter |
Exkl. de myndigheter |
|
|
som endast uppgett SSC |
som endast uppgett SSC |
|
|
|
|
|
Små myndigheter |
|
|
|
28 % (8) |
25 % (7) |
- |
|
Medelsmå |
|
|
|
myndigheter |
|
|
|
15 % (6) |
13 % (5) |
12 % (5) |
|
|
|
|
|
Medelstora |
|
|
|
myndigheter |
|
|
|
20 % (6) |
11 % (3) |
10 % (3) |
|
Stora myndig- |
|
|
|
heter |
29 % (16) |
27 % (14) |
10 % (6) |
|
|
|
|
Totalt |
23 % (36) |
20 % (29) |
9 % (14) |
Källa: Enkät.
89
Kartläggning av statliga myndigheters |
SOU 2021:1 |
Samordnad
Bland exemplen på samordnad
Olika sektorer och områden inom statsförvaltningen är olika samordnade
Från enkätresultatet går det att se att vissa områden och sektorer har samordnat sin
90
SOU 2021:1 |
Kartläggning av statliga myndigheters |
Fallstudiemyndigheterna
Fyra av de fem intervjuade myndigheterna har samordnat sin
•För universitetet handlar det om den
•En stor myndighet har samordnat sig med en annan stor myn- dighet som är lokaliserade i närheten. De båda myndigheterna har lånat ut utrymme i varandras datacenter för att möjliggöra redun- dans och säkerhetskopiering.
•En liten myndighet vi intervjuat får nästan samtliga
Alla fallstudiemyndigheter är försiktigt positiva till en samordnad statlig
4.4.4Nästan en tredjedel av myndigheterna använder samlokalisering
Utrustningen i ett datacenter kan ägas av den som driver datorhallen eller av någon annan. Det sistnämnda är vanligen fallet i fråga om s.k. samlokalisering där ett företag hyr ut utrymme i sitt datacenter. Samlokalisering kallas ibland även
91
Kartläggning av statliga myndigheters |
SOU 2021:1 |
vice (HaaS). Begreppet samlokalisering används vanligen för att be- nämna en kommersiell tjänst, men förekommer även i de fall myn- digheter tillhandahåller utrymme i sina datacenter till andra myn- digheter. Det bör tilläggas att den som erbjuder samlokalisering inte nödvändigtvis måste äga den byggnad som rymmer ett datacenter.
Ungefär en tredjedel av myndigheterna uppger att de använder samlokalisering. Mest vanligt är det bland medelsmå myndigheter där nästan hälften av de svarande använder samlokalisering.
Tabell 4.16 Myndigheter som använder samlokalisering från en privat tjänsteleverantör
Myndighetens storlek |
Antal |
Andel |
Små myndigheter |
10 |
34 % |
Medelsmå myndigheter |
19 |
46 % |
|
|
|
Medelstora myndigheter |
8 |
27 % |
Stora myndigheter |
15 |
26 % |
|
|
|
Totalt |
52 |
33 % |
Källa: Enkätundersökning. |
|
|
4.4.5Vanligare med
För att även fånga andra typer av
92
SOU 2021:1 |
Kartläggning av statliga myndigheters |
Tabell 4.17 Myndigheter med
Andel myndigheter med stödtjänster (samt antal)
Myndighetens storlek |
||
|
privat leverantör |
myndighet |
Små myndigheter |
31 % (9) |
28 % (8) |
Medelsmå myndigheter |
49 % (20) |
7 % (3) |
|
|
|
Medelstora myndigheter |
13 % (4) |
0 % (0) |
Stora myndigheter |
14 % (8) |
3 % (2) |
Totalt |
26 % (41) |
8 % (13) |
|
|
|
Källa: Enkätundersökning.
Små och medelsmå myndigheter köper färdigpaketerade
Tabell 4.18 Myndigheter med stödtjänster från en privat tjänsteleverantör respektive annan myndighet
Andel myndigheter med stödtjänster (samt antal)
Myndighetens storlek |
Stödtjänster från privat |
Stödtjänster från annan |
|
tjänsteleverantör |
myndighet |
|
|
|
Små myndigheter |
62 % (18) |
31 % (9) |
Medelsmå myndigheter |
46 % (19) |
12 % (5) |
Medelstora myndigheter |
23 % (7) |
3 % (1) |
Stora myndigheter |
16 % (9) |
7 % (4) |
|
|
|
Totalt |
34 % (53) |
12 % (19) |
Källa: Enkätundersökning. |
|
|
Stödtjänster har i ännu högre grad än
93
Kartläggning av statliga myndigheters |
SOU 2021:1 |
4.5Kostnader för
För att uppskatta kostnaderna för
[…]summan av kostnader för lokaler, el, kylsystem, larm, skal- och brandskydd. Dvs. kostnaden för alla tillgångar som är knutna till den fysiska platsen för datacentret.
4.5.1Platsbundna och icke platsbundna kostnader
Myndigheternas platsbundna kostnader uppgår till 126 miljoner kronor årligen
Av de 158 myndigheter som svarat på enkäten har 100 uppgett att de har egna datacenter. Av dessa har 79 vidare uppgett att de har plats- bundna kostnader som uppgår till sammanlagt 126 miljoner kronor årligen. Sex myndigheter har uppgett att de inte har egna datacenter, men ändå platsbundna kostnader för sammanlagt 2,6 miljoner kronor. Samtliga av dessa sex använder samlokalisering, antingen hos en pri- vat tjänsteleverantör eller i en annan myndighets datacenter. 21 myn- digheter har angett att de har egna datacenter, men har inte uppgett några platsbundna kostnader. Flera av dessa 21 myndigheter hän- visar till att de platsbundna kostnaderna är del av lokalhyran som inte går att särredovisa.2
2De 21 myndigheterna har en liknande storleksfördelning som de 79 som svarat på frågan om platsbundna kostnader. Med antagandet att dessa myndigheters platsbundna kostnader är samma som de genomsnittliga kostnaderna för de som svarat på frågan (inom respektive stor- leksgrupp), skulle det innebära att ytterligare cirka 30 miljoner kronor för platsbundna kost- nader tillkommer.
94
SOU 2021:1Kartläggning av statliga myndigheters
Tabell 4.19 Platsbundna kostnader
Myndighetens storlek |
Antal svarande |
Årliga genomsnittliga kostnader i tkr |
|
|
|
|
|
|
|
Medel |
Median |
Små myndigheter |
8 |
113 |
50 |
Medelsmå myndigheter |
12 |
620 |
190 |
Medelstora myndigheter |
22 |
874 |
195 |
|
|
|
|
Stora myndigheter |
37 |
2 668 |
1 150 |
Totalt |
79 |
1 599 |
400 |
|
|
|
|
Källa: Enkätundersökning. |
|
|
|
Det går att se ett visst samband mellan storleken på myndigheterna och deras platsbundna kostnader. Samtidigt är det viktigt att notera att ett fåtal myndigheter står för en stor del av de sammanlagda plats- bundna kostnaderna. Denna skevhet i fördelningen finns även i olika grupper av myndigheter av samma storlek.
Myndigheternas icke platsbundna kostnader uppgår till ungefär 810 miljoner kronor årligen
De icke platsbundna kostnader som efterfrågats i enkäten har defini- erats som
[…]kostnader för servrar, nätverksutrustning, lagring, kringutrustning etc. som potentiellt kan flyttas till ett nytt datacenter.
Av 100 myndigheter med eget datacenter har 87 svarat att de har icke platsbundna kostnader motsvarande sammanlagt 810 miljoner kronor per år. Även tre myndigheter utan egna datacenter, men som an- vänder samlokalisering, har uppgett att deras icke platsbundna kost- nader uppgår till sammanlagt ungefär 5 miljoner kronor per år. Det finns ett bortfall om 13 myndigheter som har svarat att de har data- center men inte några icke platsbundna kostnader.
95
Kartläggning av statliga myndigheters
Tabell 4.20 Icke platsbundna kostnader
Myndighetens storlek |
Antal svarande |
Årliga genomsnittliga kostnader i tkr |
|
|
|
|
|
|
|
Medel |
Median |
Små myndigheter |
10 |
259 |
205 |
Medelsmå myndigheter |
13 |
2 011 |
350 |
Medelstora myndigheter |
21 |
1 602 |
898 |
|
|
|
|
Stora myndigheter |
43 |
17 393 |
6 000 |
Totalt |
87 |
9 313 |
1 454 |
|
|
|
|
Källa: Enkätundersökning. |
|
|
|
På samma sätt som med de platsbundna kostnaderna är de icke plats- bundna kostnaderna ojämnt fördelade, både sett till helheten men även inom grupper av myndigheter av liknande storlek. Det finns inget uppenbart samband mellan platsbundna och icke platsbundna kostnader på myndigheterna, såsom att kvoten mellan dessa kost- nader är ungefär densamma för olika myndigheter.
4.5.2Kostnader för molntjänster
Myndigheterna spenderar sammanlagt 700 miljoner kronor per år på molntjänster
Myndigheterna spenderar sammanlagt 137, 66 och 497 miljoner kronor för
Tabell 4.21 Kostnader IaaS
Myndighetens storlek |
Antal svarande |
Årliga genomsnittliga kostnader i tkr |
|
|
|
Medel |
Median |
Små myndigheter |
4 |
176 |
147 |
|
|
|
|
Medelsmå myndigheter |
14 |
2 269 |
1 722 |
Medelstora myndigheter |
9 |
2 762 |
325 |
Stora myndigheter |
17 |
4 687 |
220 |
Totalt |
44 |
3 114 |
343 |
Källa: Enkätundersökning.
96
SOU 2021:1Kartläggning av statliga myndigheters
Tabell 4.22 |
Kostnader PaaS |
|
|
|
|
|
|
|
|
Myndighetens storlek |
Antal svarande |
Årliga genomsnittliga kostnader i tkr |
||
|
|
|
|
|
|
|
|
Medel |
Median |
Små myndigheter |
6 |
632 |
170 |
|
Medelsmå myndigheter |
12 |
920 |
500 |
|
Medelstora myndigheter |
8 |
621 |
110 |
|
|
|
|
|
|
Stora myndigheter |
16 |
2 895 |
550 |
|
Totalt |
|
42 |
1 574 |
283 |
|
|
|
|
|
Källa: Enkätundersökning. |
|
|
|
|
Tabell 4.23 |
Kostnader SaaS |
|
|
|
|
|
|
||
Myndighetens storlek |
Antal svarande |
Årliga genomsnittliga kostnader i tkr |
||
|
|
|
|
|
|
|
|
Medel |
Median |
Små myndigheter |
16 |
698 |
650 |
|
|
|
|
|
|
Medelsmå myndigheter |
30 |
1 133 |
650 |
|
Medelstora myndigheter |
24 |
1 880 |
1 200 |
|
|
|
|
|
|
Stora myndigheter |
46 |
8 849 |
2 225 |
|
Totalt |
|
116 |
4 287 |
1 083 |
Källa: Enkätundersökning.
4.5.3Kostnader för samordnad
Myndigheterna betalar årligen 411 miljoner kronor till andra myndigheter för olika
Myndigheterna betalar årligen 411 miljoner kronor till andra myn- digheter för olika
97
Kartläggning av statliga myndigheters
Tabell 4.24 Kostnader för samordnade
Myndighetens storlek |
Antal svarande |
Årliga genomsnittliga kostnader i tkr |
|
|
|
|
|
|
|
Medel |
Median |
Små myndigheter |
8 |
1 557 |
548 |
Medelsmå myndigheter |
8 |
2 122 |
1 750 |
Medelstora myndigheter |
6 |
1 963 |
1 563 |
|
|
|
|
Stora myndigheter |
12 |
30 851 |
14 600 |
Totalt |
34 |
12 101 |
1 647 |
|
|
|
|
Källa: Enkätundersökning. |
|
|
|
4.5.4Kostnader för egen
Myndigheter med samhällsviktig verksamhet och
Som vi redan konstaterat ovan finns ett visst samband mellan myn- digheternas storlek och deras platsbundna och icke platsbundna kostnader. Som vi också konstaterat står ett antal myndigheter i respek- tive grupp för en större del av kostnaden. Genom att redovisa kost- naderna för egen drift (summan av platsbundna och icke platsbundna kostnader), för de myndigheter som har egna datacenter, går det att se att den genomsnittliga årliga kostnaden är högre för myndigheter som ska följa förordningen (2007:603) om intern styrning och kon- troll (ISK) och de myndigheter som uppgett att de bedriver sam- hällsviktig verksamhet.
Tabell 4.25 Skillnad i kostnader för datacenter mellan myndigheter av olika storlek och typ av verksamhet
Genomsnitt av icke platsbundna och platsbundna kostnader per år i (tkr)
Myndighetens storlek |
Alla |
Myndigheter med |
|
|
myndigheter |
|
samhällsviktig |
|
|
|
verksamhet |
|
|
|
|
Små myndigheter |
391 |
- |
203 |
Medelsmå myndigheter |
1 905 |
4 314 |
3 009 |
|
|
|
|
Medelstora myndigheter |
2 403 |
4 314 |
3 832 |
Stora myndigheter |
18 135 |
23 006 |
26 682 |
Totalt |
9 537 |
19 815 |
19 836 |
|
|
|
|
Källa: Enkätundersökning.
98
SOU 2021:1 |
Kartläggning av statliga myndigheters |
Med andra ord har myndighetens storlek betydelse för dess kost- nader förknippade med egna datacenter, men även typen av verksam- het är av stor betydelse. Sett till de totala kostnaderna för egna data- center i staten utgör
Ungefär 450 årsarbetskrafter arbetar med drift på myndigheternas datacenter
Av de myndigheter som uppger att de har egna datacenter uppger 98 att de sammanlagt lägger ungefär 450 årsarbetskrafter på driften av sina datacenter.
Tabell 4.26 Årsarbetskrafter som arbetar med drift i myndigheternas datacenter
Myndighetens storlek |
Antal svarande |
Årsarbetskrafter |
|
|
|
|
|
|
|
Medel |
Median |
Små myndigheter |
10 |
0,8 |
0,6 |
|
|
|
|
Medelsmå myndigheter |
19 |
1,4 |
1 |
Medelstora myndigheter |
22 |
2,1 |
2 |
|
|
|
|
Stora myndigheter |
47 |
7,8 |
4 |
Totalt |
98 |
4,6 |
2 |
Källa: Enkätundersökning.
Flera myndigheter betonar samtidigt att de gjort grova uppskatt- ningar eftersom de inte har personal som uteslutande arbetar med it- drift. Drift är ofta en av flera arbetsuppgifter för den personal som arbetar inom myndigheternas
3SCB, lönestrukturstatistik, statlig sektor 2019.
99
Kartläggning av statliga myndigheters
Tabell 4.27 Antal anställda i staten inom it 2019
Enligt SSYK 2012
Yrke |
|
Antal |
1311 |
170 |
|
1312 |
630 |
|
|
|
|
2511 |
Systemanalytiker och |
640 |
2512 |
Mjukvaru- och systemutvecklare m.fl. |
1 700 |
2513 |
Utvecklare inom spel och digitala media |
410 |
2514 |
Systemtestare och testledare |
1 300 |
|
|
|
2515 |
Systemförvaltare m.fl. |
1 400 |
2516 |
280 |
|
|
|
|
2519 |
Övriga |
1 900 |
3511 |
Drifttekniker, IT |
390 |
3512 |
Supporttekniker, IT |
780 |
3513 |
Systemadministratörer |
530 |
|
|
|
3514 |
Nätverks- och systemtekniker m.fl. |
580 |
Totalt |
10 710 |
|
|
|
|
Källa: SCB. |
|
|
Det bör även noteras att vår enkät gett ett väsentligen annorlunda svar jämfört med den enkät SSC genomförde år 2016 och som visade att 800 heltidsekvivalenter arbetar med drift och underhåll av data- center i staten. Flera faktorer kan förklara skillnaden, bl.a. att SSC:s enkät hade något högre svarsfrekvens på den aktuella frågan men även att ett antal myndigheter, som svarat på båda enkäterna, upp- gett högre siffror i SSC:s enkät än på motsvarande fråga i vår enkät. Om detta beror på att frågan tolkats annorlunda, eller om antalet årsarbetskrafter fokuserade på
4.5.5Myndigheternas totala kostnader för
Myndigheternas kostnader för
För att ge en uppskattning av de totala kostnaderna för myndig- heternas
100
SOU 2021:1 |
Kartläggning av statliga myndigheters |
heterna betalar för IaaS- och
Tabell 4.28 Sammanräknade kostnader för
Kostnad |
Miljoner kronor |
|
|
|
|
|
Svarat på enkät |
Hela statliga redovisnings- |
|
(158 myndigheter) |
organisationen |
|
|
(215 myndigheter)4 |
Datacenter (platsbundna och |
|
|
icke platsbundna kostnader) |
936 |
1 369 |
Molntjänster (IaaS och PaaS) |
203 |
293 |
|
|
|
Lönekostnader5 |
219 |
439 |
Totalt |
1 433 |
2 101 |
Källa: Enkätundersökning och egna beräkningar.
Den sammanräknade kostnaden för
Kostnaden för
Kostnader för samordnad
4Kostnader för hela statliga redovisningsorganisationen har uppskattats genom att justera upp kostnader baserat på kvoten mellan anställda på samtliga myndigheter och de som svarat på vår enkät för respektive storleksgrupp.
5Lönekostnader har uppskattats schablonmässigt med hjälp av myndigheternas uppgifter om årsarbetskrafter, antagande om fördelning om hälften inhyrd och hälften anställd personal, samt SCB:s lönestatistik för Driftstekniker, IT 2019 i staten (38 600 kronor).
101
Kartläggning av statliga myndigheters |
SOU 2021:1 |
För närliggande tjänster såsom
4.5.6Fallstudiemyndigheterna
Fallstudiemyndigheterna vittnar om att det inte finns något enhet- ligt sätt att följa upp
•En stor myndighet beskriver att ökade lagringsbehov kommer att driva kostnader inom infrastruktur och
•En annan stor myndighet skiljer mellan anläggnings- och verk- samhetsnära
•Det universitet som ingått i fallstudien har en decentraliserad organisation där en stor del av
6Baserat på Kammarkollegiets definition ”stationära och bärbara datorer (inklusive surfplattor som fungerar som arbetsplats) med bl.a. tillbehör, programvara, bakomliggande stödsystem och infrastruktur/plattformar som stöttar drift, support och service med mera.”
102
SOU 2021:1 |
Kartläggning av statliga myndigheters |
hetens centrala
•En mellanstor myndighet har fokuserat mycket på effektivitet genom att förbättra hantering av avtal och licenser, bl.a. genom hjälp av licensmäklare. Det som driver
•En liten myndighet får all it tillhandahållen genom en överens- kommelse med sin värdmyndighet. Inom ramen för denna överens- kommelse ingår bl.a.
Fallstudiemyndigheterna framhåller att de har stort fokus på säker- het vilket kan ha lett till dyrare
4.6Myndigheternas framtida behov av
4.6.1Framtida behov
Myndigheterna har i enkäten fått beskriva hur de uppskattar sina behov av
Som en konsekvens av trenden på marknaden mot att erbjuda allt mer mjukvara som tjänster, understryker många myndigheter att det finns behov av tydliga rättsliga förutsättningar för att kunna använda
103
Kartläggning av statliga myndigheters |
SOU 2021:1 |
molntjänster. Här skiljer sig beskrivningarna något mellan myndig- heter, där vissa framhåller att behovet av drift i egen regi kommer att minska, till följd av ökad användning av molntjänster, medan vissa tillägger att behov av egna datacenter kommer bestå för den mest skyddsvärda informationen. En myndighet
X har sedan 2011 utkontrakterat större delen av sin
Bilden nyanseras av myndigheter som har tillräckliga resurser för att kunna drifta lösningar kostnadseffektivt på egen hand.
Vi ser att andelen IaaS går ner en del då flera systemleverantörer gärna vill sälja sina programvaror som PaaS eller SaaS. Vi ser dock inte uppenbara fördelar med detta då totalkostnaden jämfört med att köpa systemen separat och drifta dem inom ramen för vårt
104
SOU 2021:1 |
Kartläggning av statliga myndigheters |
Flera myndigheter framhåller behov av att fortsatt kunna utkontrak- tera drift, både av system där det finns möjlighet att sköta driften i egen regi men där det finns andra skäl att inte göra det, och i de fall där vissa funktioner endast går att erhålla som tjänst genom en extern driftsleverantör. Driftsmiljön är komplex på de flesta myndigheter i bemärkelsen att olika system från olika leverantörer är integrerade mot varandra. En liten myndighet beskriver situationen på följande sätt:
Myndighetens verksamhetskritiska system kommer troligtvis även i framtiden att bestå av en mix av tjänster och produkter från den kon- kurrensutsatta marknaden, tjänster och produkter som endast en speci- fik aktör tillhandahåller respektive egenutvecklade applikationer.
På en övergripande nivå betonar flera myndigheter att den framtida
4.6.2Samordnad
Vi har också ställt frågor om myndigheternas intresse och behov av att ansluta sig till en samordnad statlig
105
Kartläggning av statliga myndigheters |
SOU 2021:1 |
Över hälften av myndigheterna är intresserade av att ansluta sig till en samordnad statlig
Enkätsvaren visar att över hälften (57 procent) av myndigheterna är intresserade av att ansluta sig till en samordnad statlig
Figur 4.7 Har myndigheten intresse/behov av att i framtiden ansluta sig till en samordnad statlig
Andel av myndigheter utifrån storlek
80% |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
70% |
69% |
|
|
|
|
|
|
|
|
Ja |
|
Nej |
|
Vet ej |
|
|
|
|
|
|
|
|
|
|
|||||
|
|
|
|
|
|
|
|
|
|
|||||
|
|
|
|
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
60% |
|
59% |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
53% |
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
52% |
|
|
|
|
|||||
|
|
|
|
|
|
|
|
|
|
|
||||
50% |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
40% |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
30% |
|
|
|
23% |
23% |
24% |
|
|
||||||
|
21% |
22% |
|
|
||||||||||
|
|
|
|
|
|
|
|
|
||||||
|
|
|
|
19% |
||||||||||
|
|
|
|
|
|
|||||||||
20% |
|
|
|
|
|
|
||||||||
|
15% |
|
|
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
|
|
|
|
||
|
10% |
|
|
|
|
|
|
|
|
|
|
|
|
|
10% |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
0% |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Små myndigheter |
|
Medelsmå myndigheter |
|
Medelstora myndigheter |
|
|
Stora myndigheter |
|||||||
|
|
|
|
|
||||||||||
Källa: Enkätundersökning.
Bland de myndigheter som svarat att de inte är intresserade av att ansluta sig till en samordnad statlig
106
SOU 2021:1 |
Kartläggning av statliga myndigheters |
Figur 4.8 Har myndigheten intresse/behov av att i framtiden ansluta sig till en samordnad statlig
Andel av myndigheter som bedriver samhällsviktig verksamhet
70% |
|
|
|
|
|
|
|
|
|
|
|
60% |
|
55% |
|
58% |
|
Ja |
|
Nej |
|
Vet ej |
|
|
|
|
|
|
|||||||
|
|
|
|
|
|||||||
|
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
|
|
|
50% |
|
|
|
|
|
|
|
|
|
|
|
40% |
|
|
|
|
|
|
|
|
|
|
|
30% |
|
|
|
|
|
|
|
|
|
|
|
|
|
22% |
20% |
22% |
|||||||
|
|
|
17% |
|
|
|
|
|
|
||
20% |
|
|
|
|
|
|
|
|
|
||
10% |
|
|
|
|
|
|
|
|
|
|
|
0% |
|
|
|
|
|
|
|
|
|
|
|
|
Samhällsviktig verksamhet |
|
|
Ej samhällsviktig verksamhet |
|||||||
|
|
|
|
||||||||
Källa: Enkätundersökning.
Det förefaller inte finnas något tydligt samband mellan intresse av att ansluta sig till en samordnad statlig
107
Kartläggning av statliga myndigheters
Figur 4.9 |
Har myndigheten intresse/behov av att i framtiden ansluta sig |
|||||||||||
|
|
|
till en samordnad statlig |
|
|
|
|
|
|
|
||
|
|
|
Andel av |
|
|
|
|
|
|
|
||
70% |
|
|
|
|
|
|
|
|
|
|
|
|
60% |
|
|
61% |
|
|
55% |
|
Ja |
|
Nej |
|
Vet ej |
|
|
|
|
|
|
|
||||||
|
|
|
|
|
|
|
||||||
|
|
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
|
|
|
|
50% |
|
|
|
|
|
|
|
|
|
|
|
|
40% |
|
|
|
|
|
|
|
|
|
|
|
|
30% |
|
|
|
|
|
25% |
||||||
|
|
|
23% |
|
|
|||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
20% |
|
|
|
|
|
17% |
|
|
|
|
|
|
|
|
|
13% |
|
|
|
|
|
|
|
|
|
10% |
|
|
|
|
|
|
|
|
|
|
|
|
0% |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Ej |
||||||||||
|
|
|
||||||||||
Källa: Enkätundersökning.
Som skäl att vilja ansluta sig uppger myndigheterna möjligheten att realisera kostnadsbesparingar, förbättra säkerheten och förenkla den digitala samverkan, i nästan lika stor utsträckning.
Tillgång till relevant kompetens är utöver kostnader, säkerhet och samverkan ett viktigt skäl till att vilja ansluta sig till samordnad
Många myndigheter uppger att de har svårt att rekrytera eller få tillgång till relevant kompetens inom
Ett annat återkommande tema är att samordnad
108
SOU 2021:1 |
Kartläggning av statliga myndigheters |
Figur 4.10 Vilka är de huvudsakliga skälen för intresse/behov att ansluta sig till en samordnad statlig
Antal gånger skäl uppgetts (flervalsfråga) och andel av total
40
15%
70
27%
71
27%
80
31%
Kostnadsbesparingar |
|
Förbättrad säkerhet |
|
Förenklad digital samverkan |
|
Annat |
|
|
|
||||
|
|
|
Källa: Enkätundersökning.
Myndigheterna är intresserade av ett helhetsåtagande, av serverdrift och av administrativa tjänster
Myndigheterna har själva fått formulera vilka funktioner de är in- tresserade av att överlåta vid en samordnad statlig
Av de 57 procent av myndigheterna som svarat att de är intres- serade eller har behov av att ansluta sig till en samordnad
109
Kartläggning av statliga myndigheters |
SOU 2021:1 |
•Flera myndigheter uttrycker intresse för serverdrift och IaaS.
•Flera myndigheter uttrycker intresse för samordnad säkerhets- kopiering, backup- eller lagringslösningar.
•Flera myndigheter uttrycker intresse för administrativa tjänster och kontorsstöd exempelvis
•Ett antal myndigheter uttrycker intresse för samlokalisering eller drift av datacenter.
•Ett antal myndigheter uttrycker behov av samordnade container- tjänster.
Av svaren framgår att mindre myndigheter i större utsträckning än större myndigheter är intresserade av helhetsåtaganden. Vidare fram- för flera myndigheter att en eventuell samordnad statlig
25 myndigheter uttrycker intresse för att erbjuda
Nästan 16 procent (25) av myndigheterna uttrycker intresse för att erbjuda
För att tillhandahålla
110
SOU 2021:1 |
Kartläggning av statliga myndigheters |
verkan inom statsförvaltningen, ytterligare ekonomiska resurser och tid för att bygga upp förmågan.
4.6.3Fallstudiemyndigheterna
Flera fallstudiemyndigheter ser ökade behov av
•En liten myndighet vill i fortsättningen ha möjlighet att kunna använda molntjänster i större utsträckning och att skydda känsliga personuppgifter genom drift i statlig regi. För att möta det sist- nämnda behovet har myndigheten inlett en dialog med Försäk- ringskassan om ett helhetsåtagande för it.
•Universitetet håller på att slutföra en större organisatorisk för- ändring av sin förvaltningsgemensamma
•En stor myndighet bedömer att kapacitetsbehovet inom
•En annan stor myndighet ser generellt ökade krav på automati- sering, lagring och redundans. Myndigheten ser även specifika behov av molnbaserade samarbetslösningar.
Beträffande möjligheterna till en samordnad statlig
111
Kartläggning av statliga myndigheters |
SOU 2021:1 |
dagsläget involverade i leveransen av dessa system och myndigheten betonar att färre involverade leder till ökad kontroll och säkerhet.
4.7Analys och slutsatser
Statliga myndigheter har krav på sig att välja kostnadseffektiva lösningar i sin verksamhet. Kraven på säkerhet påverkas av en myn- dighets verksamhet och tillämpliga verksamhetskrav samt vilken typ av uppgifter som myndigheten hanterar. Samhällskritisk verksamhet och myndigheter som hanterar särskilt skyddsvärda uppgifter har störst behov av säkra
Verksamhet och informationshantering påverkar myndigheters behov av
Vår kartläggning visar att de allra flesta myndigheter (90 procent) som besvarat vår enkät hanterar någon form av skyddsvärd infor- mation i sin verksamhet. Även om enkäten inte ger svar på omfatt- ningen av skyddsvärd information i respektive myndighet så är det tydligt att så gott som samtliga myndigheter har att ta ställning till olika grad av säkerhetsaspekter i valet av
112
SOU 2021:1 |
Kartläggning av statliga myndigheters |
uppgifter. Större myndigheter hanterar i högre grad säkerhetsskydds- klassificerade uppgifter än vad mindre myndigheter gör. Det är dock viktigt att poängtera att det inte är faktorer som myndighetsstorlek som påverkar säkerhetskraven, utan snarare verksamhetens karaktär och vilken typ av uppgifter som myndigheten hanterar. Även mindre myndigheter bedriver samhällsviktig verksamhet och hanterar upp- gifter som ställer höga krav på säkra
Myndigheterna behöver fortsätta att utveckla sitt systematiska informationssäkerhetsarbete
Att ha kunskap om vilka uppgifter myndigheten hanterar och vilka krav som ställs på uppgiftshanteringen är viktigt för att kunna göra rätt avvägningar när det gäller
Att säkerställa informationssäkerhetskrav i samband med
–från kravkatalog och verifiering av säkerhetskrav i anbudssvar och leverans till att följa upp säkerhetskraven under avtalets gång. En ungefär lika stor andel av myndigheterna har inte reflekterat över frågan. Även här framkommer att större myndigheter har kommit längre i sitt arbete än mindre myndigheter. Det får anses naturligt eftersom större myndigheter gör fler och större upphandlingar och därmed behöver ha rutiner för detta på plats. Flera stora myndig- heter behöver dock utveckla sitt arbete med att verifiera säkerhets- kraven under avtalets giltighetstid.
113
Kartläggning av statliga myndigheters |
SOU 2021:1 |
Det återstår med andra ord en del arbete med att få informa- tionssäkerheten på plats bland de statliga myndigheterna som grund för säkra
Kompetensbrist är en riskfaktor för säker
Enkätundersökningen visar att såväl stora som små myndigheter ser bristande informationsklassificering och avsaknad av relevant kom- petens som de största hindren för säker
Höga krav på säkerhet och inlåsningseffekter utgör hinder mot kostnadseffektiv
De största hindren för kostnadseffektiv
114
SOU 2021:1 |
Kartläggning av statliga myndigheters |
Flera myndigheter lyfter fram att de sitter fast i enskilda privata tjänsteleverantörers lösningar och att de har investerat i såväl kom- petens som licenser som är kopplade till leverantören. Byte av tjänste- leverantör kan i sig vara både komplext och kostsamt. Är en myndig- het nöjd med den befintliga lösningen kan det ta emot att genomföra ett omfattande arbete för att hitta en ny leverantör. Oavsett situation så ställs även här krav på förmåga att kravställa och på beställar- kompetens.
Myndigheterna har likartade behov av
Enkätundersökningen och fallstudierna visar både på olikheter och likheter mellan myndigheternas
För att möta behoven har många myndigheter en blandning av it- drift de själva hanterar (dvs. drift där myndigheten själv äger hård- vara och mjukvara) och drift de utkontrakterat till en privat tjänste- leverantör eller samordnat med annan myndighet (dvs.
–myndighetens uppfattning om vilka krav som uppställs i olika regelverk (dataskydd, sekretess, säkerhetsskydd, etc.) på uppgifts- hanteringen och i vilken utsträckning dessa krav uppfylls vid anlit- andet av en privat tjänsteleverantör,
–om myndigheten har tillgång till nödvändig kompetens för att själva hantera driften av en specifik funktion,
115
Kartläggning av statliga myndigheters |
SOU 2021:1 |
–marknadens utbud och villkor för de system och applikationer myndigheten har behov av (exempelvis om de säljs som licens eller enbart som tjänst), och
–om det finns kostnadsmässiga fördelar med en driftsform framför en annan.
Av intervjuerna med fallstudiemyndigheterna framgår att även mer praktiska omständigheter kan vara styrande. Det kan t.ex. vara möj- ligheten att samordna sig med en annan myndighet eller om en drifts- form gör att det går snabbare att implementera en ny funktion.
Myndigheterna kommer även fortsättningsvis ha visst behov av drift i egen regi
För de två tredjedelar av myndigheter som har egna datacenter bör enkätresultatet ses i ljuset av hur myndigheternas
116
SOU 2021:1 |
Kartläggning av statliga myndigheters |
Enligt myndigheterna beror det på att
–behovet av kontroll över de uppgifter som behandlas, eller den funktion som tillhandahålls, är så stort att det är mest praktiskt att hantera driften i egna lokaler och på egen utrustning,
–myndigheten inte har klassificerat eller separerat sin data i till- räcklig utsträckning för att det ska vara utan risk eller ens möjligt att utkontraktera driften,
–myndigheten har en teknikskuld (legacy) i form av gamla system och applikationer (eller integrationer mot sådana) som gör det svårt att migrera till extern drift, och
–myndigheten är tillräckligt stor och har tillräckligt förutsägbara kapacitetsbehov för att kunna producera sin drift själv på ett kost- nadseffektivt sätt.
Myndigheternas användning av molntjänster från privata tjänsteleverantörer är utbredd och drift i egen regi är inte alltid ett alternativ
När det gäller kommersiella molntjänster är användningen inom statsförvaltningen i dag utbredd. Vanligast är
117
Kartläggning av statliga myndigheters |
SOU 2021:1 |
även skapa utmaningar i de fall det blir svårare att samordna krav- ställning och förvaltning av de många
Det framgår av enkätundersökningen och från intervjuerna med fallstudiemyndigheterna att många myndigheter både bedriver
Samordningen av
Beträffande samordningen av
118
SOU 2021:1 |
Kartläggning av statliga myndigheters |
modellen har gett myndigheterna möjlighet att själva etablera sam- arbeten om
Myndigheter med samhällsviktig verksamhet har högre kostnader för
Kostnaderna för
119
Kartläggning av statliga myndigheters |
SOU 2021:1 |
kriterier som tillämpats för att avgöra om en myndighet ska omfattas av förordningen (2007:603) om intern styrning och kontroll är att verksamheten har omfattande och komplexa
Sett till hela den statliga redovisningsorganisationen om 215 myn- digheter uppskattas kostnaderna för
Flera faktorer påverkar myndigheternas framtida
Flera myndigheter i enkätundersökningen och i fallstudien betonar att de i framtiden kommer att ha större behov av flexibilitet, skal- barhet och tillgänglighet. Det finns t.ex. ett växande behov att till- gängliggöra data till olika intressenter, samarbeta med externa parter både nationellt och internationellt och att snabbt kunna ställa om verksamheter vid förändrade förutsättningar. Flera myndigheter fram- håller även behov av att i fortsättningen både kunna utkontraktera drift och bedriva drift i egen regi. Verksamhetskritiska system kom- mer sannolikt även i framtiden bestå av tjänster och produkter från den konkurrensutsatta marknaden, tjänster och produkter som endast en specifik aktör tillhandahåller och egenutvecklade applikationer. Det ska tilläggas att ett antal myndigheter uppgett att de kommer att ha samma behov som i dag, givet att deras uppdrag inte förändras.
Det finns ett antal faktorer som kan tänkas påverka myndig- heternas
120
SOU 2021:1 |
Kartläggning av statliga myndigheters |
matiserats och effektiviserats, vilket gjort det möjligt att höja deras produktivitet och kvalitet. Det är samtidigt viktigt att notera att nya tjänster och produkter på
Utöver teknikutvecklingen är även arbetssätt och kompetenser på
121
Kartläggning av statliga myndigheters |
SOU 2021:1 |
bristande beställarkompetens, som ett hinder och en riskfaktor för säker och kostnadseffektiv
Slutligen är styrningen av myndigheterna, inklusive myndighet- ernas rättsliga förutsättningar att utkontraktera
Myndigheterna uttrycker intresse för en samordnad statlig
Över hälften av myndigheterna i enkätundersökningen uttrycker in- tresse för en samordnad statlig
Myndigheterna har något varierande syn på vad som bör ingå i en samordnad statlig
Generellt framhåller flera myndigheter att en samordnad statlig
122
SOU 2021:1 |
Kartläggning av statliga myndigheters |
Ett antal större myndigheter framhåller att de har möjlighet att tillhandahålla
123
5 Omvärldsanalys
Enligt utredningsdirektiven ska vi kartlägga och analysera relevanta modeller för statliga myndigheters
–har förvaltningsmodeller som påminner om den svenska, vilket bör underlätta jämförelse och möjligheten att generalisera lärdomar,
–är
–haft en annan inriktning avseende
Omvärldsanalysen beskriver förvaltningsstrukturen i respektive land, hur politiken organiserat arbetet med
5.1Tidigare studier av samordnad
5.1.1Statens servicecenters rapport om en gemensam statlig molntjänst
Statens servicecenter (SSC) har i rapporten En gemensam molntjänst för myndigheternas
125
Omvärldsanalys |
SOU 2021:1 |
Storbritannien. SSC konstaterar att det pågår en uppbyggnad av stat- liga molntjänster samt en konsolidering av statlig
5.1.2
Iförstudien Effektiv
–Andelen egenproducerad
–I många länder pågick olika initiativ för att konsolidera statlig it- drift för att uppnå skalfördelar och samordningsvinster. Flera länder försöker (eller har försökt) inrätta statliga servicecenter.
–Myndighetsperspektivet har fått ge vika till förmån för koncern- perspektivet och
–Molntjänster kommer (såsom det 2012 formulerades) om några år vara den dominerande leveransformen för utkontrakterade leve- rantörer, Shared Service Centers och driftstjänster.
–Mer konkurrens kombinerat med utvecklingen runt molntjänster kommer att pressa styckpriser på
–Utkontraktering av
126
SOU 2021:1 |
Omvärldsanalys |
I förstudien konstaterades även att det går att uttyda två ansatser där den ena gått ut på att konkurrensutsätta
5.2Norge
Norge har liksom Sverige tre förvaltningsnivåer med stat, regioner (fylken) och kommuner. Till statsförvaltningen hör, utöver reger- ingens departement (departemang), ett
5.2.1Organisering och strategi
Den norska regeringen antog år 2016 Digital agenda for Norge – IKT for en enklere hverdag og økt produktivitet som innehåller priori- teringar för politiken avseende informations- och kommunikations- teknologi (IKT) och den offentliga sektorns digitalisering. I agendan framhålls att förvaltningens digitalisering bör ske på ett sätt som minimerar risker och komplexitet. Vidare ska marknaden användas där det är lämpligt, förvaltningsgemensamma lösningar byggas för gemensamma behov och interoperabilitet med
127
Omvärldsanalys |
SOU 2021:1 |
molntjänststrategi (2016b), en strategi för den offentliga sektorns digitalisering (2016c) och en cybersäkerhetsstrategi (2016d).
Regeringen förtydligar årligen styrningen av den offentliga för- valtningens digitalisering genom det s.k. Digitaliseringsrundskrivet som innehåller en sammanställning av regeringens beslut, rekommen- dationer och beskriver KMD:s bedömning av
Den offentliga sektorns digitaliseringsstrategi är en uppföljning av den digitala agendan från år 2016 och bygger på en överenskom- melse mellan regeringen och intresseorganisationen för kommuner och regioner (KS). I agendan beskrivs en rad prioriterade initiativ och
I takt med att synen på digitalisering och IKT förändrats från att vara en särfråga till att bli en tvärgående fråga, har också den departe- mentala organiseringen av ansvaret för digitaliseringsfrågor utveck- lats i Norge. Under åren
128
SOU 2021:1 |
Omvärldsanalys |
5.2.2Digitaliseringsdirektoratet
Norge har nyligen genomfört en omorganisering av den myndighet som har det huvudsakliga ansvaret för den offentliga förvaltningens digitalisering. Myndigheten, som tidigare hette Direktoratet for for- valtning og IKT (Difi), inrättades 1 januari 2008 efter en samman- slagning av dåvarande Statskonsult,
129
Omvärldsanalys |
SOU 2021:1 |
5.2.3Molntjänster i offentlig förvaltning
Företrädare på Digidir framhåller att användningen av molntjänster i den norska offentlig förvaltningen är utbredd, både i leveransen av administrativa tjänster och i annan central infrastruktur såsom Altinn1. I den norska molntjänststrategin från år 2017 betonar regeringen flera olika nyttor med användningen av molntjänster, däribland ökad kostnadseffektivitet, flexibilitet, säkerhet och minskat klimatavtryck. Strategin nyanserar den riktlinje som lades fast i digitaliseringscirku- läret år 2016 genom att också belysa lagstiftning som ställer särskilda krav på hur offentliga informationsresurser får hanteras. Exempel på sådan lagstiftning är lagstiftning om arkiv, bokföring och säkerhets- skydd. Mot bakgrund av detta har den norska regeringen beslutat att inte införa en s.k. Cloud
1Altinn är en portal med en samling tjänster för dialog mellan privatpersoner, näringsliv och för- valtning. Det är även namnet på den underliggande tekniska plattformen. https://www.altinn.no/
130
SOU 2021:1 |
Omvärldsanalys |
Figur 5.1 Modell av marknadsplats för skytjenester
Källa: Statens innkjøpssenter.
5.2.4Datacenter i norsk förvaltning
Under år 2015 lät KMD ett konsultföretag genomföra en kartlägg- ning (Nexia Management Consulting 2015) av offentliga datacenter
iNorge. Baserat på intervjuer med
131
Omvärldsanalys |
SOU 2021:1 |
Den norska regeringen bedömer i sin molntjänststrategi att det finns behov av en mer resurseffektiv användning av offentliga data- center. Regeringen menar dock att den inte kunnat identifiera ett behov av gemensamma datacenter eller centralt förhandlade avtal för datacenter. Som konsekvens uppmanas myndigheter, som inte kan använda molntjänster och behöver etablera nya datacenter, att i första hand använda outnyttjad kapacitet hos andra myndigheter alterna- tivt att samordna sig med myndigheter med liknande behov. Digidir pekas ut som ansvarig myndighet att leda denna samordning.
5.2.5Informations- och cybersäkerhet
I Norge har Justitie- och beredskapsdepartementet ansvar för infor- mationssäkerhet. Den nationella säkerhetsmyndigheten Nasjonal sikkerhetsmyndighet (NSM) har det övergripande ansvaret för samhällets informationssäkerhet. På myndigheten finns avdelningen Nasjonalt cybersikkerhetssenter (NCSC) som etablerades år 2018 och som samordnar
På liknande sätt som i flera andra länder finns det i den norska förvaltningen en pågående diskussion om informationssäkerhet och en upplevd osäkerhet avseende de rättsliga förutsättningarna att använda molntjänster. Den norska cybersäkerhetsstrategin berör inte uttryckligen frågan om molntjänster. Däremot betonas i molntjänst- strategin att myndigheter måste genomföra risk- och sårbarhets- analyser vid större förändringar av sina
132
SOU 2021:1 |
Omvärldsanalys |
uppmanar regeringen även upphandlande myndigheter att ställa krav på leverantörer med hänvisning till relevanta standarder och certi- fieringar. Här avses såväl internationella ramverk som t.ex. ISO 27001 och 27018 som andra länders ramverk t.ex. FedRAMP från USA och
5.3Danmark
Den offentliga förvaltningen i Danmark är indelad i tre administra- tiva nivåer: den centrala med ministerier (departement) och 176 myn- digheter, fem regioner och 98 kommuner. På central nivå ansvarar en minister ensam för ett departement och som utgångspunkt för besluts- fattande i både enskilda och allmänna fall. Under departementen lyder direktorat eller styrelser, jämförbara med förvaltningsmyndig- heter. Vid sidan av förvaltningsmyndigheter finns mer självständiga organ, benämnda nævn eller råd.
5.3.1Organisering och strategi
Det danska Finansdepartementet ansvarar för en övergripande vision och strategi på
Det finns flera aktuella strategier för den digitala förvaltningen, däribland regeringens digitaliseringsstrategi för den offentliga sektorn (Digitaliseringsstyrelsen 2016), en specifik strategi för statsförvalt- ningen (Digitaliseringsstyrelsen 2017) samt en övergripande cyber- och informationssäkerhetsstrategi (Digitaliseringsstyrelsen 2018). I mars 2019 ingicks även ett samarbetsavtal mellan regeringen och den danska kommun- och regionsektorn om den offentliga förvalt- ningens digitalisering.
133
Omvärldsanalys |
SOU 2021:1 |
Från och med den 1 juli 2018 ska all ny lagstiftning som införs efterleva sju principer som gör den lättare att förena med en digital förvaltning (”digitaliseringsklar lovgivning”). Principerna involverar bl.a. digital kommunikation med enskilda, att bygga på existerande digital infrastruktur och standarder i den offentliga förvaltningen samt att återanvända data och tekniska koncept i förvaltningen.
5.3.2Statens IT
I strategin för statsförvaltningens digitalisering från november 2017 konstaterar regeringen att staten i allt högre grad måste dra nytta av fördelarna med att använda gemensamma
Vid SIT:s inrättande levererade styrelsen tjänster till cirka 10 000 användare vilket i dag ökat till 26 000 användare på 16 departement och 132 organisationer. SIT har cirka 450 anställda och erbjuder huvud- sakligen arbetsplatslösningar,
134
SOU 2021:1 |
Omvärldsanalys |
en naturlig del i arbetet även att integrera och paketera dessa som tjänster gentemot kundmyndigheterna.2 Vissa myndigheter såsom Skatteverket, Polisen och försvarsmyndigheterna använder inte SIT eftersom de på egen hand kan uppnå skalfördelar eller har högre ställda krav på informationssäkerhet än vad SIT kan tillgodose. Verksamheten är helt avgiftsfinansierad sedan år 2015. Innan dess finansierades verksamheten delvis genom avgifter och delvis genom en överföring av anslag från kundmyndigheter till SIT. Anslutning av kundmyndigheter till SIT inleds med en dialog mellan SIT och potentiell kundmyndigheten. Därefter tas ett business case fram som klargör befintliga kostnader för
De tjänster SIT erbjuder har utvecklats över tid från att inled- ningsvis konsolidera och paketera den it som övertagits från myn- digheter, till att erbjuda nya tjänster baserad på hårdvara upphandlad av SIT. Om de anslutande kundmyndigheterna behöver upphandla de tjänster de erhåller från SIT eller inte har hittills berott på vilken typ av tjänst det handlat om. Standardiserade tjänster som paketerade
2Även kallat Service Integration and Management (SIAM).
135
Omvärldsanalys |
SOU 2021:1 |
kunnat nyttja utan att genomföra egna upphandlingar. I de fall verk- samheterna haft specifika behov har kundmyndigheterna själva genom- fört upphandlingen.
Under år 2020 planerar SIT att lansera en molntjänst för staten kallad GovCloud. Tjänsten har hittills endast tagits i drift i mindre skala. Företrädare på Digitaliseringsstyrelsen framhåller att det funnits flera drivkrafter bakom lanseringen, bl.a. lägre kostnader, förenklad hantering av dataskydd och ett mål att stärka viss teknisk kompetens inom staten.
5.3.3Molntjänster
Användningen av publika molntjänster är utbredd i den danska offentliga förvaltningen. Precis som i Sverige finns en osäkerhet om de rättsliga förutsättningarna och det pågår en diskussion om poten- tiella risker och möjligheter med molntjänster.
SIT framhåller i en intervju med konsultföretaget McKinsey & Company (2019) att det finns stora fördelar både med privata och publika molntjänster som gör det möjligt för användare att arbeta på nya sätt och att anpassa sig efter föränderliga behov. SIT:s direktör Michael Ørnø har konstaterat att det finns stor besparingspotential i att konsolidera datacenter, genom lägre hyreskostnader och elför- brukning. I jämförelsen mellan privata och publika molntjänster fram- håller Ørnø viktiga skillnader avseende funktionalitet, rättsliga förut- sättningar och finansiell risk. Publika molntjänster erbjuder i dagsläget mer funktionalitet, varför det blir naturligt för förvaltningen att också fortsättningsvis använda publika molntjänster där det är lämpligt. När det gäller de rättsliga förutsättningarna finns fortfarande utmaningar förknippade med hur känsliga data bör skyddas i publika molntjänster. När det gäller finansiella risker kan efterfrågan på molntjänster vara svår att prognostisera vilket, kombinerat med flexibel prissättning, kan bli kostnadsdrivande. Det finns även risker med inlåsning mot vissa molntjänster.
Informationsklassificering är enligt Ørnø en förutsättning för att en myndighet ska kunna göra ett korrekt val mellan privata eller publika molntjänster. Att utgå från att all data är känslig och bygga lösningar med hög säkerhet för att skydda den kommer att bli orim- ligt dyrt. Genom god informationsklassificering blir det däremot möj-
136
SOU 2021:1 |
Omvärldsanalys |
ligt att segmentera data och välja de mest kostnadseffektiva lösning- arna utifrån behovet av skydd. Även variationen i efterfrågan på tjänster är viktig för valet mellan privata och publika molntjänster. Ørnø framhåller att publika molntjänster gör det möjligt att snabbt utveckla och testa nya lösningar, men att transaktionstunga applika- tioner med förhållandevis jämn efterfrågan kan vara dyrare att pro- duktionssätta i publika molntjänster jämfört med privata. Vidare är det av strategisk betydelse för förvaltningen att ha fortsatt kontroll över sina
5.3.4Informations- och cybersäkerhet
I Danmark ansvarar Försvarsdepartementet för samordningen inom
År 2014 trädde lov om Center for Cybersikkerhed i kraft. Lagen pekar ut CFCS som ansvarig för hantering av incidentrapportering, tillsyn och andra normerande uppgifter. Av lagen följer att CFCS ska ha en nätverkssäkerhetstjänst till vilken vissa myndigheter och företag ska ansluta sig för att CFCS ska kunna övervaka nätverks- kommunikation.
Den danska regeringen har antagit en strategi för cyber- och informationssäkerhet som gäller under åren
137
Omvärldsanalys |
SOU 2021:1 |
tegin konstaterar regeringen att det finns risker med komplexa och föråldrade
Vägledningen Vejledning til anvendelse af cloud från Digitali- seringsstyrelsen (2019) är ett försök att ge klarhet i vad molntjänster är samt när de bör, alternativt inte bör, användas i offentlig förvalt- ning. Organisationer i den offentlig förvaltningen behöver enligt vägledningen säkerställa att det finns rättsliga förutsättningar för användande av molntjänster, att de vidtagit nödvändiga säkerhets- åtgärder och att de gjort en riskbedömning av lösningen som svarar upp mot krav som ställs samt att det är möjligt att kontrollera om leverantörer lever upp till dessa krav. Överväganden av de rättsliga förutsättningarna bör göras med utgångspunkt i bl.a. lagstiftning om offentlig upphandling och dataskydd (om lösningen innebär be- handling av personuppgifter). Då molntjänsternas karaktär i regel gör det svårt för kunden att kontrollera leverantören bör den risk- baserade bedömningen baseras på tillgänglig dokumentation, möj- liga certifieringar och revisionsberättelser, både innan avtal ingås och även löpande under avtalstiden. I vägledningen noteras även att det kan vara svårt att påverka villkor i standardavtal med stora inter- nationella leverantörer som bestämmer säkerhetspolicy på global nivå. Samtidigt har flera stora molntjänstleverantörer avancerade tjänster och stor expertis vilket kan göra det möjligt att uppnå god teknisk säkerhet, redundans och tillgänglighet.
Sammanfattningsvis framhålls i vägledningen att kommersiella molntjänster möjliggör nya lösningar och innovation i den offentliga förvaltningen. Samtidigt betonas också att de risker som finns för- knippade med säkerhet och kostnad kräver noggranna affärsmässiga, juridiska och säkerhetsmässiga överväganden.
5.4Finland
Den finländska förvaltningen är indelad i tre administrativa nivåer. Statens centralförvaltning består av ministerierna (jfr departement) och de riksomfattande ämbetsverken (jfr myndigheter) inklusive inrättningarna inom deras respektive förvaltningsområden. Regional nivå innefattar regionförvaltningsmyndigheter samt
138
SOU 2021:1 |
Omvärldsanalys |
och miljöcentralerna. Lokal nivå utgörs av kommuner som anordnar den lagstadgade basservicen för kommuninvånarna och är självstyr- ande med beskattningsrätt. Styrningen av den finländska statsför- valtningen påminner om den svenska genom att ha relativt själv- ständiga myndigheter samtidigt som enskilda statsråd inte tar beslut i enskilda ärenden.
5.4.1Organisering och strategi
I Finland ansvarar Finansdepartementet för förvaltningens digitali- sering och
Finansdepartementet har vidare tillsatt Delegationen för inform- ationsförvaltningen inom den offentliga förvaltningen (JUHTA) och Ledningsgruppen för digital säkerhet inom den offentliga för- valtningen (VAHTI). JUHTA är ministeriernas och kommunalför- valtningens samarbets- och förhandlingsorgan i frågor som rör digi- tal informationsförvaltning, medan VAHTI är ett samarbetsorgan för styrning och utveckling av informationssäkerheten inom den offentliga förvaltningen.
Under departementet finns två myndigheter med särskilt ansvar för digitalisering i offentlig förvaltning: Valtori, ett servicecenter med ansvarar för försörjning av gemensamma informations- och kommunikationstekniska tjänster och Myndigheten för digitalisering och befolkningsdata. Den senare inrättades den 1 januari 2020 och har tagit över VAHTI:s operativa verksamhet. Myndigheten har även särskilt ansvar för vissa förvaltningsgemensamma digitala kompo- nenter såsom den nationella portalen Suomi.fi, elektroniska myndig- hetsmeddelanden och en fullmaktstjänst.
Den strategiska inriktningen för den offentliga sektorns digitali- sering utgår från ett regeringsprogram som läggs fast i samband med att en ny regeringen tillträder. Det senaste programmet, som utgår från regeringen Marin (2019a), har som mål att bl.a. utveckla den
139
Omvärldsanalys |
SOU 2021:1 |
digitala tillgängligheten i digitala tjänster, stärka skyddet för den personliga integriteten samt satsa på kompetensförsörjning som möjliggör digital transformation av den offentliga förvaltningen. Av programmet framgår även att en nationell cybersäkerhetsstrategi ska tas fram.
5.4.2Valtori och reformen av statens it
Under en period innan
–koncentreringen klart kunde visas ge helhetsekonomiska bespa- ringar inom statsförvaltningen,
–tjänsternas funktionssäkerhet och serviceförmåga garanterades även i ett övergångsskede,
–ett servicecenter som producerar nya branschoberoende informa- tions- och kommunikationstekniska tjänster åt statsförvaltningen kunde inleda sin verksamhet enligt
–att den statliga personalpolicyn och statsrådets (statsministerns) principbeslut om tjänstemäns rättigheter vid organisationsför- ändringar efterlevs.5
Parallellt med
3Finlands regering (2011a, 2011b).
4Finlands finansutskott (2012).
5Finlands regering (2016).
140
SOU 2021:1 |
Omvärldsanalys |
(634/2011). Lagen innehåller bestämmelser bl.a. om informations- säkerhet, arkivering och elektronisk kommunikation mellan myn- digheter och har som uttalat syfte att bl.a. främja interoperabilitet mellan
Driftstjänster (också benämnda som datacenter- och kapacitets- tjänster av Valtori) är indelade i tre kategorier utifrån var de pro- duceras. Den första kategorin produceras i Valtoris egna datacenter i Finland. Den andra kategorin produceras av partners både i Finland och inom EES med krav på att leverantörer lever upp till krav på vissa skyddsnivåer. Den tredje kategorin är driftstjänster producerade i publika molntjänster, såsom Microsoft Azure och Amazon Web Services. Den sistnämnda kategorin produceras i huvudsak i Finland eller inom EES.
6Lag om styrning av informationsförvaltningen inom den offentliga förvaltningen (634/2011).
7Lagen om anordnande av statens gemensamma informations- och kommunikationstekniska tjänster (1226/2013).
84 § Statsrådets förordning om anordnande av statens gemensamma informations- och kom- munikationstekniska tjänster (132/2014).
9En fullständig tjänstekatalog finns på Valtoris webbplats (https://valtori.fi/sv/tjanster).
141
Omvärldsanalys |
SOU 2021:1 |
Figur 5.2 Valtoris illustration av Service Integration and Management (SIAM)
Källa: Valtori.
Tjänsterna produceras i vissa fall inom Valtori men är i regel en kom- bination av tjänster och produkter från olika tjänsteleverantörer som Valtori integrerar och paketerar gentemot kund (Figur 5.2). Kund- myndigheter behöver dock inte göra egna upphandlingar för att an- vända Valtoris tjänster.
5.4.3Statens Revisionsverks granskning
Genom att samla visst ansvar för it- och kommunikationslösningar på Valtori, samt genom att ge Valtori och den statliga inköpscentralen Hansel AB ansvar för
142
SOU 2021:1 |
Omvärldsanalys |
ningar inte anses mer kostnadseffektiva än de tidigare arrangemangen eller tjänster som finns på marknaden. Samtidigt framhåller Revi- sionsverket att Valtori år 2017 genomfört utvecklingsinsatser som ännu inte hunnit påverka revisionens slutsatser. Revisionsverket rekommenderar regeringen att centralisera det övergripande ansvaret för upphandling av grundläggande informationsteknik till en aktör och att utöka användningen av kostnads- och kvalitetsindikatorer i styrningen av Valtori. Avseende upphandling beskriver Riksrevisions- verket att produktion och anskaffning av grundläggande informations- teknik sker i Valtori medan konkurrensutsättning görs av Hansel.10
5.4.4Finansdepartementets utvärdering
Finansdepartementet har under år 2019 låtit utvärdera Valtori och Palkeet – ett mindre servicecenter ansvarigt för HR- och ekonomi- verktyg. I utvärderingen konstateras att kostnadseffektiviteten hos Valtori varierar utifrån serviceområde. Jämfört med marknadspris- erna är Valtori konkurrenskraftig när det gäller expertkonsultation och kommunikationstekniska tjänster. Däremot är arbetsplats- och driftstjänster enligt utvärderingen dyrare än på marknaden. För drifts- tjänster specifikt förklaras skillnaderna i pris delvis med Valtoris relativt omfattande skyldigheter avseende säkerhetsskydd och delvis med att myndigheten köpt och nyttjat kapacitet i publika moln- tjänster på ett sätt som drivit kostnader. I utvärderingen konstateras samtidigt att Valtori är billigare än andra jämförbara servicecenter i Norden. Finansministeriet har inlett ett åtgärdsprogram för att ut- veckla Valtoris verksamhet.11
5.4.5Informations- och cybersäkerhet
I Finland ansvarar Finansdepartement för den offentliga sektorns digitalisering inklusive frågor om
10Statens Revisionsverk (2019).
11Finlands regering (2020b).
143
Omvärldsanalys |
SOU 2021:1 |
rity Center Finland
Ilagens regleras
Den 3 oktober 2019 antog den finländska regeringen ny cyber- säkerhetsstrategi med nationella mål för cybersäkerhet och för skyddet av samhällsviktiga funktioner. I strategin behandlas inte molntjänster specifikt men strategin fastslår att en ny roll som Cybersäkerhets- direktör ska upprättas på Transport- och kommunikationsdeparte- mentet. Cybersäkerhetsdirektören kommer att ansvara för att, i nära samråd med representanter från offentlig förvaltning och näringsliv, ta fram och driva ett utvecklingsprogram som ska höja beredskapen inom cybersäkerhet.12
5.5Nederländerna
Den offentliga förvaltningen i Nederländerna är organiserad i fyra nivåer: den centrala med statliga myndigheter, den regionala med 12 provinser, samt den lokala med 393 kommuner och vattenför- valtningar. Regionerna och kommunerna har visst självbestämmande. Statsförvaltningen utgörs av elva departement med 574 myndigheter under sig som sammanlagt består av 116 000 anställda.
12Finland’s Cyber Security Strategy (2019).
144
SOU 2021:1 |
Omvärldsanalys |
5.5.1Organisering och strategi
En digital agenda13 för den offentliga förvaltningen antogs av den nederländska regeringen år 2018. Agendan, som är kopplad till en bredare digital agenda för hela samhället, har fem fokusområden: innovation, data, inkludering, digital identitet och datakontroll. Stats- sekreteraren på Inrikesdepartementet ansvarar för genomförandet av agendan medan sektorsansvariga statsråd är ansvariga för IKT inom sina respektive sektorer. Utöver den digitala agendan för den offent- liga förvaltningen finns även en särskild agenda för cybersäkerhet14 samt en egen agenda för data15.
5.5.2Molntjänster
År 2010 uppdrog det nederländska parlamentet åt regeringen att ta fram en molnstrategi som efterliknade motsvarande strategier som antagits i Japan, Storbritannien och USA. Regeringen ombads även analysera för- och nackdelar med att inrätta ett privat moln för staten. Regeringen meddelade16 parlamentet år 2011 att det visser- ligen fanns nyttor med användning av molntjänster i staten men att nackdelarna övervägde fördelarna, givet marknadens mognad vid tillfället. I meddelandet beskrevs bl.a. de informationssäkerhets- risker som är förknippade med att lagra känslig information i publika molntjänster utanför Nederländerna. Mot denna bakgrund, och i linje med ett bredare reformprogram för statsförvaltningen (se av- snitt 5.5.3), beslutade regeringen år 2011 att inrätta ett privat statligt moln i egen regi. Det finns i dagsläget inget ramavtal för publika molntjänster på central nivå.
Från och med år 2016 öppnade regeringen även upp för att viss användning av publika molntjänster inom statsförvaltningen var tillåten, givet att ett antal villkor vad uppfyllda.17 Några år senare (år 2019) genomförde det nederländska cybersäkerhetscentret (NCSC) en undersökning på begäran av Inrikesdepartementet i syfte att ge underlag till en ny molnstrategi. I undersökningen framhölls att det finns fördelar med användning av publika molntjänster, som ökad
13Nederländernas regering (2018a).
14Nederländernas regering (2018b).
15Nederländernas regering (2019a).
16Nederländernas regering (2011a).
17Nederländernas regering (2016).
145
Omvärldsanalys |
SOU 2021:1 |
flexibilitet genom att göra det lättare att anamma ny teknik och därmed snabbare kunna svara upp mot ändrade lagar och förord- ningar. Vidare konstaterades att publika molntjänster kan vara lämp- liga för tillfälliga behov, t.ex. vid utveckling av
5.5.3Datacenter
Inrikesdepartementet i Nederländerna beslutade år 2011 om ett reformprogram för att effektivisera statsförvaltningen och sänka de offentliga utgifterna med drygt 6 miljarder euro till och med år 2015.18 I programmet beskrevs statsförvaltningens it som fragmentiserad. Det sades också att det fanns stora skillnader mellan departementen avseende
–bättre förutsättningar för digital utveckling genom en moderni- serad driftsorganisation och ny teknik,
18Nederländernas regering (2011b).
146
SOU 2021:1 |
Omvärldsanalys |
–högre säkerhet genom ökad kontroll, samt
–möjlighet att realisera skalfördelar.
De fyra datacentren är klassificerade som tier 319 och är förbundna med ett fibernät som förvaltas av staten (Figur 5.3). Två av anlägg- ningarna ägs av staten medan två hyrs av privata fastighetsägare. Personalen på datacentren är huvudsakligen anställda på
Figur 5.3
Källa:
År 2013 öppnades det första av de fyra centren,
19Ett datacenter klassat som tier 3 kräver bl.a. inga avstängningar för byte av utrustning, reserv- delar och underhåll.
147
Omvärldsanalys |
SOU 2021:1 |
med vissa infrastrukturtjänster. Tjänsteerbjudandet har utvecklats stegvis från samlokalisering, infrastrukturtjänster, lagring, plattforms- tjänster, till att nu även omfatta vissa
30procent vid övergång till
5.5.4Riksrevisionens årsrapport 2019
Den nederländska riksrevisionen konstaterar i sin årsrapport för 2019 att många departement utkontrakterat uppgifter till delade serviceorganisationer (SSO), såsom t.ex.
20Open Source Observatory (2017).
21Riksrevisionen i Nederländerna (2019).
148
SOU 2021:1 |
Omvärldsanalys |
5.5.5Informations- och cybersäkerhet
I Nederländerna ansvarar Justitie- och säkerhetsdepartementet för samordningen av
Den nederländska agendan för cybersäkerhet antogs år 2018 av regeringen och parlamentet med syftet att motverka växande hot och sårbarheter i den digitala sfären. Viktiga inslag i regeringens arbete med cybersäkerhet för den offentliga förvaltningen är att främja moderna standarder för
En milstolpe i cybersäkerhetsagendan har hittills varit lanseringen av ett gemensamt ramverk med regler om informationssäkerhet (Gov- ernment Information Security Baseline på engelska vilket förkortas BIO) som trädde i kraft den 1 januari 2020. Syftet med ramverket är att minska den administrativa bördan för offentliga organisationer
22Nederländernas regering (2018c).
149
Omvärldsanalys |
SOU 2021:1 |
och leverantörer och att harmonisera krav med internationella regler och standarder. I ramverket delas kraven på hantering av konfidentiell information in i tre nivåer. Det nationella cybersäkerhetscentret (NCSC) bedömer att det för den lägsta skyddsnivån bör vara tillåtet att använda publika, hybrida eller privata molntjänster. För mellan- nivån bör dessa typer av molntjänster också vara tillåtna, förbehållet att det finns förutsättningar att identifiera och hantera avancerade och uthålliga hot (eng. Advanced Persistent Threats). Det finns även en delmängd av information i mellannivån för vilken enbart privata molntjänster eller de statliga datacentren bör vara tillåtna. För infor- mation på den högsta skyddsnivån får varken någon form av moln- tjänster eller de statliga datacentren användas.23
BIO är förpliktigande. Någon i lagstiftningen utpekad tillsyns- instans finns dock inte ännu. Offentliga verksamheter förväntas därför att på egen hand se till att regelverket efterlevs. Innan BIO trädde i kraft skiljde sig bestämmelserna om informationssäkerhet åt mellan de olika nivåerna i förvaltningen.
Utöver detta finns andra nationella regelverk som styr informa- tionsklassificeringen i den offentliga förvaltningen, bl.a. förordningen om informationssäkerhetsföreskrifter (VIR och
Det nederländska Justitiedepartementet har etablerat leveran- törsansvariga för större
23Nederländernas regering (2019b).
24Nederländernas regering (2018d).
150
SOU 2021:1 |
Omvärldsanalys |
5.6Storbritannien
Den brittiska statsförvaltningen har cirka 120 ministrar som stöds av 560 000 tjänstemän på 25 departement och deras myndigheter. Övriga delar av förvaltningen är organiserade på olika sätt beroende på riksdel.
5.6.1Organisering och strategi
År 2011 lanserade koalitionsregeringen i Storbritannien en IKT- strategi25 med fokus på att uppnå ökad effektivitet och kostnads- besparingar i statsförvaltningen. Samma år inrättades även Govern- ment Digital Services (GDS), en enhet inom Cabinet Office (jfr Stats- rådsberedningen), med övergripande ansvar att leda förvaltningens omställning till digitala kanaler som förstahandsval i interaktionen med enskilda (eng. digital by default). De följande åren lanserades flera nya strategier26 på
5.6.2Molntjänster
Genom en större satsning på molntjänster under tidigt
25Storbritanniens regering (2011a) Government ICT Strategy.
26Storbritanniens regering (2012) Government Digital Strategy, (2016) National Cyber Security Strategy, (2017a) Government Transformation Strategy, (2017b) UK Digital Strategy. Även riks- delarna Wales, Nordirland och Skottland har sina egna strategier på
27Storbritanniens regering (2013a).
151
Omvärldsanalys |
SOU 2021:1 |
ingen bedömde även att det fanns ett motstånd till att använda moln- tjänster och att det även hade byggts upp många mindre datacenter i förvaltningen med lågt resursutnyttjande.28 Genom att etablera en marknadsplats för molntjänster avsåg regeringen att främja bättre villkor och minskad inlåsning samtidigt som den skulle stimulera små- och medelstora företag i Storbritannien som kunde sälja tjänster till den offentliga förvaltningen.29 I sin molntjänststrategi för år 2011 uppskattade regeringen att det skulle gå att spara sammanlagt 340 miljoner brittiska pund under åren
Cloud First
För att stimulera en ökad användning av molntjänster beslutade den brittiska regeringen år 2013 att publika molntjänster i första hand ska övervägas när verksamheter upphandlar nya eller ersätter befint- liga
28Storbritanniens regering (2011b).
29Computer Weekly (2019) Government
30Storbritanniens regering (2011b).
31Storbritanniens regering (2013b).
32Government Digital Services (2019a).
33Storbritanniens regering (2019a).
152
SOU 2021:1 |
Omvärldsanalys |
En annan del av satsningen på molntjänster var lanseringen av G- Cloud, ett upphandlingsstöd för molntjänster.
Från lanseringen av det första versionen av
Antalet leverantörer och tjänster på den digitala marknadsplatsen som säljs genom
34Storbritanniens regering (2019b).
35Storbritanniens regering (2019c).
153
Omvärldsanalys |
SOU 2021:1 |
samma avtal. Det finns samtidigt de som varnar för att nya ramavtal driver försäljning från
Det finns många vägledningar och stöd tillgängliga för offentliga verksamheter som avser att avropa molntjänster på den digitala marknadsplatsen och GDS:s webbplats. I en vägledning37 om moln- tjänster publicerad år 2020 föreslås att alla statliga organisationer tar fram egna molntjänststrategier som bl.a. belyser om organisationen bör ha en eller flera leverantörer, vilken påverkan verksamhetens teknikskuld har på denna strategi samt risker för inlåsning och infor- mationssäkerhet.
5.6.3Datacenter
År 2010 fanns ungefär 220 datacenter inom den brittiska statsför- valtningen och sannolikt ytterligare hundratals i den övriga förvalt- ningen. Detta enligt en enkätundersökning från samma år.38 Den dåvarande regeringen konstaterade att dessa datacenter användes ineffektivt och beslutade att offentliga datacenter skulle konsoli- deras och minska i antal.39 År 2014 etablerade regeringen samrisk- företaget (joint venture) Crown Hosting Data Centres Limited (Crown Hosting) tillsammans med leverantören Ark Data Centres Limited. Ett nytt ramavtal upprättades även år 2015 med Crown Hosting som enda leverantör. Avrop från ramavtalet kan löpa i maxi- malt sju år. Företrädare på Crown Hosting menar att syftet med denna modell är att göra det möjligt för offentliga verksamheter att ta steget till att utkontraktera
36Computer Weekly (2019b)
37Government Digital Services (2019b).
38Storbritanniens regering (2010).
39Storbritanniens regering (2011b).
40Public Technology (2018) Crown Hosting CEO: We have taken away all the cloud excuses.
41Storbritanniens regering (2019d).
154
SOU 2021:1 |
Omvärldsanalys |
5.6.4Informations- och cybersäkerhet
I Storbritannien har Cabinet Office en samordnande roll inom it- säkerhet, även om varje departement ansvarar för
Storbritannien har i liten utsträckning lagstadgade krav på it- säkerhet annat än sådant som följer implementation av
1.Säker dataöverföring (”Data in transit protection”); kundens data bör skyddas mot avlyssning och manipulation (konfidentialitet och integritet) genom en kombination av skydd av nätverk och kryptering.
2.Skydd av enheter för lagring och bearbetning av data (”Asset protection and resilience”); de enheter som lagrar och bearbetar kundens data bör skyddas mot fysisk manipulation, skada eller obehörig tillgång.
3.Separering av kunddata (”Separation between consumers”); kunders data bör separeras på så sätt att en kund inte kan manipulera eller få tillgång till en annan kunds data (konfidentialitet och integri- tet).
155
Omvärldsanalys |
SOU 2021:1 |
4.Ramverk för styrning av informationssäkerhet (”Governance framework”); Leverantören bör ha ett ramverk för styrning av informationssäkerhet.
5.Driftsäkerhet (”Operational security”); leverantören ska ha pro- cesser och procedurer för operativ säkerhet.
6.Screening av personal (”Personal security”); leverantörens perso- nal bör ha genomgått screening och säkerhetsutbildning för sin roll.
7.Säker utveckling (”Secure development”); leverantörens tjänster bör utvecklas genom att hot och sårbarheter identifieras och åt- gärdas.
8.Säkerhet i försörjningskedjan (”Supply chain security”); leveran- törens försörjningskedja bör efterleva principerna och på det sätt leverantören kommunicerat.
9.Identifiering och autentisering av användare (”Identify and authen- tication”); tillgång till alla tjänstegränssnitt ska begränsas till autentiserade och auktoriserad användare.
10.Verktyg till kunder (”Secure consumer management”); kunder bör förses med verktyg för att säkert hantera sina tillgångar.
11.Säkerhet i tjänstens externa gränssnitt (”External interface pro- tection”); Alla externa eller mindre betrodda gränssnitt i tjänsten ska identifieras och ha lämpligt skydd mot attacker.
12.Säker administration av tjänsten (”Secure service administra- tion”); Verktyg och metoder leverantören använder för att admi- nistrera tjänsten ska härdas för att undvika att de utnyttjas.
13.Tillgång till revisionshistorik av tjänsten (”Audit information provision to consumers”); Information från tidigare revisioner och granskningar av tjänsten ska finnas tillgängliga för kunden.
14.Kundens ansvar för sin egen säkerhet (”Secure use of the service by the consumer”); Kunden har visst ansvar för att skydda sin egen data och för att motverka säkerhetsbrister genom eget handhavande.
Leverantörer till den offentliga förvaltningen uppmanas att svara på hur de uppfyller dessa principer samt välja hur de kan valideras av upphandlande verksamheter. Det finns sex valideringssätt, däribland egen försäkran, försäkran genom avtal, samt tredje
156
SOU 2021:1 |
Omvärldsanalys |
5.7Internationella initiativ inom EU
5.7.1
Enligt grundarna till
–Implementera en säker federerad och identitetsmekanism,
–Suveräna datatjänster som säkerställer dataintegritet och identitet hos avsändare och mottagare av data,
–Tillgänglighet bland leverantörer, noder och tjänster genom fede- rerade kataloger,
–Integration av befintliga standarder för att säkerställa interopera- bilitet och portabilitet över infrastruktur, applikation och data,
–Ett
–Bidrag till öppen mjukvara och standarder som kan stödja den federerade infrastrukturen.
Initiativet är indelat i de två arbetsströmmarna ekosystem och krav hos användare samt teknisk implementation. I den första arbets- strömmen arbetar användare med att implementera projekt inom sina respektive sektorer. I arbetsströmmen för teknisk implemen- tation arbetar olika grupper med arkitektur, tekniska definitioner och beskrivningar av funktionaliteten i den federerade infrastruk-
42
157
Omvärldsanalys |
SOU 2021:1 |
turen. Det finns även en tvärgående arbetsström som arbetar med samordning mellan grupperna där det uppstår behov.43
Regeringen uppdrog åt Skatteverket i september 2020 att bevaka
5.7.2Europeiska molntjänstfederationen för offentlig förvaltning
År 2019 lanserade
–Investera i ny infrastruktur för molntjänster för offentlig förvalt- ning,
–definiera gemensamma spelregler för dessa typer av tjänster, och
43
44Europaparlamentets och rådets förordning (EU) 2019/881 av den 17 april 2019 om Enisa (Europeiska unionens cybersäkerhetsbyrå) och om cybersäkerhetscertifiering av informations- och kommunikationsteknik och om upphävande av förordning (EU) nr 526/2013 (cyber- säkerhetsakten).
45
158
SOU 2021:1 |
Omvärldsanalys |
–att främja en utökad förmåga till säker och energieffektiv data- bearbetning i små- och medelstora företag och offentlig sektor.
Initiativet om en europeisk molntjänstfederation förväntas skapa synergier med andra initiativ, såsom
5.8Jämförelse och diskussion
I jämförelse med tidigare internationella utblickar kan vi konstatera att de trender som tidigare beskrivits till viss del består. Nedan be- skrivs dessa trender som två olika strategier som de studerade länderna har tillämpat med avseende på styrningen av sina offentliga verksam- heters digitalisering.
Statens IT i Danmark, Valtori i Finland och
De två strategierna bör dock inte ses som ömsesidigt uteslutande. T.ex. har både Danmark och Norge officiella vägledningar för moln- tjänster i offentlig förvaltning (författade av Digitaliseringsstyrelsen respektive regeringen). Att strategierna överlappar varandra kan ses i ljuset av att satsningarna på servicecenter i Danmark, Finland och Nederländerna inte varit avgränsade till att enbart tillhandahålla it- drift, eller att det funnits en uttalad ambition om att ersätta alla kommersiella molntjänster statsförvaltningen använder med tjänster producerade av statliga servicecenter. Företrädare för de studerade länderna ger i dag uttryck för att de två strategierna bör komplettera varandra – myndigheter behöver själva kunna upphandla molntjänster utifrån egna behov, samtidigt som staten ur ett koncernperspektiv
159
Omvärldsanalys |
SOU 2021:1 |
behöver koncentrera och konsolidera viss
5.8.1Effektivitet och motiv till reformer
Reformer och satsningar, vare sig de gällt servicecenter eller digitala marknadsplatser för molntjänster, har motiverats på flera olika sätt. Offentliga besparingar har lyfts fram som den huvudsakliga anled- ningen till satsningarna i flera av länderna.
Som exempel uppskattade Storbritannien i sin molntjänststrategi från år 2011 att
Norge har bedömt att det finns stora samhällsekonomiska vinster med att införa en marknadsplats för molntjänster. Dessa besparingar avser perioden under åren
46Storbritanniens regering (2011b).
47Storbritanniens regering (2019e).
160
SOU 2021:1 |
Omvärldsanalys |
Digitaliseringsstyrelsen i Danmark framhåller att potentialen i att koncentrera viss
I Nederländerna och Finland har revisionsmyndigheter i de båda länderna granskat satsningarna på att koncentrera resurser, upp- handlingar och processer avseende it till servicecenter. Det reform- program som låg till grund för
I Finland har Statens Revisionsverk granskat reformen bakom Valtori men har inte kunnat påvisa tydliga kostnadsbesparingar till följd av effektiviserad
Länderna i omvärldsanalysen har belyst flera andra nyttor än kost- nadsbesparingar med de genomförda reformerna, däribland
–att ökad användning av kommersiella molntjänster (som alterna- tiv till
–att det råder brist på nyckelkompetenser inom it i förvaltningen och att åtgärder för att underlätta upphandling av molntjänster, alternativt för att bygga upp servicecenter med åtagande för it- drift, gör att förvaltningarna kan dra nytta av kompetens från
161
Omvärldsanalys |
SOU 2021:1 |
näringslivet respektive vidmakthålla och stärka relevant kompe- tens inom förvaltningen,
–att servicecenter, men även marknadsplatser med förkvalificerade molntjänstleverantörer, skapar effektiva förutsättningar att ställa krav på leverantörer.
Sammanfattningsvis skiljer sig beskrivningen av målen för satsning- arna åt i de studerade länderna före respektive efter att de har genom- förts. Vissa skillnader beror sannolikt på vem som tillfrågats och möjligheten för intervjuade att nyansera bakgrunden till satsning- arna, jämfört med hur målen för satsningarna ursprungligen formu- lerats i strategier och politisk kommunikation.
För Danmark, Finland och Nederländerna ligger resultatet i linje med forskning om Shared Service Centers i
Sammanfattningsvis kan vi konstatera att det har visat sig svårt att påvisa kostnadsbesparingar till följd av genomförda satsningar och reformer i de studerade länderna. Detta beror delvis på metod- problem då flera av länderna inte genomfört utvärderingar före (och) eller efter satsningarna, varför det inte går att säga något om kost- nadsutvecklingen. Till metodproblemet hör även att den producerade varans
Två viktiga slutsatser är även att de beskrivna strategierna utgör komplement till varandra samt att flera av länderna betonar vikten av att börja smått och med standardiserade lösningar för att lyckas med en samordnad statlig
48Paagman A m.fl. (2015).
162
SOU 2021:1 |
Omvärldsanalys |
5.8.2Informations- och cybersäkerhet
De studerade ländernas informations- och cybersäkerhetsstrategier syftar på en övergripande nivå till att främja ett riskbaserat arbets- sätt. Eftersom privata aktörer både svarar för många samhällsviktiga funktioner och offentlig förvaltning är beroende av
Sett till organiseringen hanteras frågor om informations- och cybersäkerhet av olika departement i de studerade länderna. I Neder- länderna och Norge är Justitie- och säkerhetsdepartementet respektive Justitiedepartementet ansvarigt, i Danmark Försvarsdepartementet, i Finland Kommunikationsdepartementet och i Storbritannien Stats- rådsberedningen (Cabinet Office). Det bör dock poängteras att frå- gorna i praktiken även hanteras på andra departement då de över- lappar med andra politikområden.
I takt med att it- och cybersäkerhetsfrågor fått allt större bety- delse har verksamheter som arbetar med frågorna i förvaltningarna konsoliderats till särskilda myndigheter. Danmark inrättade Center for Cybersikkerhed år 2012 (CFCS), Nederländerna inrättade NCSC år 2012 och Storbritannien inrättade ett center med samma namn år 2016. I Finland ligger det samordnande ansvaret för
Samtliga intervjuade i omvärldsanalysen lyfter en liknande proble- matik med osäkerhet avseende de rättsliga förutsättningarna för utkontraktering av
163
Omvärldsanalys |
SOU 2021:1 |
verkar möjligheter att lagra och bearbeta data utanför Norge och Nederländerna har på departementsnivå förhandlat med Microsoft i dataskyddsfrågor.
Det är möjligt att koncentreringen av resurser, upphandlingar och processer till servicecenter i Danmark, Finland och Nederländerna gör det möjligt att koncentrera kompetens inom informations- och cybersäkerhet, samt att samordna
Det finns risker förknippade med båda strategierna. Om ett ser- vicecenter har sårbarheter till följd av tekniska eller organisatoriska brister, samt saknar logisk eller fysisk separation av resurser för olika verksamheter, kan dessa sårbarheter drabba flera verksamheter. Som exempel kritiserade Rigsrevisionen i Danmark år 2019 Statens IT för att inte vara tillräckligt restriktiv med de behörigheter myndigheten tilldelat sina anställda vilket gjort att anställda fått onödigt omfattande tillgång till olika system.
164
6Säkerhetsskydd och informationssäkerhet
6.1Inledning
Syftet med detta kapitel är att kartlägga de rättsliga förutsättning- arna för myndigheters1 utkontraktering av
Kapitlet inleds med en genomgång av relevanta bestämmelser i säkerhetsskyddsregleringen. Därefter följer en redogörelse för rele- vanta delar av informationssäkerhetsregelverket.
6.2Säkerhetsskyddsregleringen
6.2.1Inledning
Bestämmelser om säkerhetsskydd finns i säkerhetsskyddslagen (2018:585) och säkerhetsskyddsförordningen (2018:658). Säkerhets- polisens föreskrifter om säkerhetsskydd (PMFS 2019:2), Försvarsmak- tens föreskrifter om säkerhetsskydd (FFS 2019:2), Transportstyrelsens föreskrifter om säkerhetsskydd (TSFS 2019:108), Affärsverket svenska kraftnäts föreskrifter om säkerhetsskydd (SvKFS 2019:1) och Försvars- maktens föreskrifter om signalskyddstjänsten (FFS 2019:9) inne-
1Med myndigheter avses i detta kapitel statliga myndigheter, kommuner och regioner om inget annat framgår av sammanhanget.
165
Säkerhetsskydd och informationssäkerhet |
SOU 2021:1 |
håller mer detaljerade bestämmelser som kompletterar lagen och för- ordningen.
För riksdagen och dess myndigheter gäller säkerhetsskyddslagen med vissa begränsningar. Dessutom finns bestämmelser i lagen (2019:109) om säkerhetsskydd i riksdagen och dess myndigheter. Vi ska enligt våra direktiv kartlägga de rättsliga förutsättningarna för statliga myndigheters, kommuners och regioners utkontraktering av
Den följande genomgången tar utgångspunkt i säkerhetsskydds- lagen och säkerhetsskyddsförordningen. Relevanta bestämmelser i Säkerhetspolisens respektive Försvarsmaktens föreskrifter berörs också, eftersom det är dessa föreskrifter som är av huvudsaklig relevans för stat- liga myndigheters, kommuners och regioners utkontraktering av
6.2.2Säkerhetsskyddets tillämpningsområde
Säkerhetsskyddslagen gäller för den som bedriver säkerhetskänslig verksamhet, dvs. verksamhet som är av betydelse för Sveriges säker- het eller som omfattas av ett för Sverige förpliktande internationellt åtagande om säkerhetsskydd – oavsett om verksamheten bedrivs i offentlig eller privat regi (1 kap. 1 § säkerhetsskyddslagen). Uttrycket Sveriges säkerhet tar sikte på förhållanden av grundläggande bety- delse för Sverige. Det innebär att lagens krav på säkerhetsskydd gäller för såväl militär som civil verksamhet.
Vilka verksamheter som är av betydelse för att upprätthålla Sveriges säkerhet måste bedömas i ljuset av samhällsutvecklingen. Tidigare var uttrycket starkt förknippat med Försvarsmaktens verk- samhet, eftersom det främsta hotet mot rikets säkerhet ansågs vara ett militärt angrepp. I dag är samhället och hotbilden mer komplex och föränderlig, vilket har fört med sig att uppgifter som rör för- hållanden inom andra samhällssektorer också kan vara av betydelse för den nationella säkerheten. Det kan exempelvis gälla uppgifter om viktig civil infrastruktur som flygplatser, energianläggningar och för- medlingsstationer för telekommunikation (prop. 2017/18:89, s. 133). Med säkerhetsskydd avses skydd av säkerhetskänslig verksamhet mot spioneri, sabotage, terroristbrott och andra brott som kan hota
166
SOU 2021:1 |
Säkerhetsskydd och informationssäkerhet |
verksamheten samt skydd i andra fall av säkerhetsskyddsklassificerade uppgifter (1 kap. 2 § första stycket säkerhetsskyddslagen).
Med säkerhetsskyddsklassificerade uppgifter avses sådana upp- gifter som rör säkerhetskänslig verksamhet och som därför omfattas av sekretess enligt offentlighets- och sekretesslagen (2009:400) (OSL) eller som skulle ha omfattats av sekretess enligt den lagen, om den hade varit tillämplig (enligt 1 kap. 2 § andra stycket säker- hetsskyddslagen). I specialmotivering till paragrafen anges bestäm- melserna om försvarssekretess enligt 15 kap. 2 § OSL, sekretess i underrättelseverksamhet enligt 18 kap. 2 § OSL, utrikessekretess enligt 15 kap. 1 § OSL, sekretess i det internationella samarbetet enligt 15 kap. 1 a § OSL och bestämmelsen om förundersöknings- sekretess i 18 kap. 1 § OSL som sekretessbestämmelser som kan vara tillämpliga på den typen av uppgifter som omfattas av krav på säker- hetsskydd. Säkerhetspolisen anger dessutom i sin vägledning om säkerhetsskydd Introduktion till säkerhetsskydd (2019) att bestämmel- sen i 18 kap. 8 § om sekretess för säkerhets- och bevakningsåtgärd som möjligt relevant för bedömningen av om en uppgift ska vara säkerhetskyddsklassificerad.
Säkerhetsskyddsklassificerade uppgifter ska delas in i följande säkerhetsskyddsklasser utifrån den skada som ett röjande av upp- giften kan medföra för Sveriges säkerhet: kvalificerat hemlig vid en synnerligen allvarlig skada, hemlig vid en allvarlig skada, konfiden- tiell vid en inte obetydlig skada, eller begränsat hemlig vid endast ringa skada (2 kap. 5 § första stycket säkerhetsskyddslagen).
I 3 kap. i PMFS 2019:2 och i 3 kap. i FFS 2019:2 finns bestäm- melser om hantering av säkerhetsskyddsklassificerade uppgifter och handlingar.
6.2.3Säkerhetsskyddsanalys
En säkerhetsskyddsanalys utgör grunden för säkerhetsskyddsarbetet. Av säkerhetsskyddsanalysen ska det framgå vilka delar av verksam- heten som är säkerhetskänslig och ur vilket perspektiv. När säker- hetsskyddsanalysen är fastställd ska verksamhetsutövaren upprätta en säkerhetsskyddsplan av vilken det ska framgå vilka säkerhets- skyddsåtgärder som ska vidtas. Analysen och säkerhetsskyddsplanen är därför viktiga dokument när verksamhetsutövaren ska bedöma
167
Säkerhetsskydd och informationssäkerhet |
SOU 2021:1 |
om en utkontraktering är möjlig eller ens lämplig. Av säkerhets- skyddsregelverket framgår följande rörande säkerhetsskyddsanalys.
Den som bedriver säkerhetskänslig verksamhet ska utreda och dokumentera behovet av säkerhetsskydd genom en s.k. säkerhets- skyddsanalys (2 kap. 1 § första stycket säkerhetsskyddslagen). Av specialmotiveringen till bestämmelsen framgår att om verksamhets- utövaren är osäker på om och i vilken utsträckning verksamheten till någon del omfattas av lagen bör en analys göras för att få svar på den frågan (prop. 2017/18:89, s. 137).
Verksamhetsutövaren ska med utgångspunkt i analysen planera och vidta de säkerhetsskyddsåtgärder som behövs med hänsyn till verksamhetens art och omfattning, förekomsten av säkerhetsskydds- klassificerade uppgifter och övriga omständigheter (2 kap. 1 § andra stycket säkerhetsskyddslagen).
I2 kap. 1 § andra stycket säkerhetsskyddsförordningen preci- seras följande avseende säkerhetsskyddsanalysen. Säkerhetsskydds- analysen innebär att säkerhetsskyddsklassificerade uppgifter och vad som i övrigt behöver ett säkerhetsskydd ska identifieras. Vilka delar av verksamheten som är skyddsvärda med hänsyn till Sveriges säkerhet samt vilka hot och sårbarheter som finns kopplade till detta skyddsvärde ska också identifieras. Säkerhetsskyddsanalysen ska även innehålla en bedömning av vilka säkerhetsskyddsåtgärder som är nöd- vändiga. Analysen ska hållas uppdaterad.
I Säkerhetspolisens föreskrifter om säkerhetsskydd anges bl.a. följande rörande säkerhetsskyddsanalysen. En säkerhetsskyddsanalys ska identifiera vilka skyddsvärden som finns i verksamheten, dvs. säkerhetsskyddsklassificerade uppgifter och den totala mängden så- dana uppgifter som finns i verksamheten, vilka för Sverige för- pliktande internationella åtaganden om säkerhetsskydd som finns i verksamheten, och vilken säkerhetskänslig verksamhet i övrigt som finns i verksamheten (2 kap. 1 § i PMFS 2019:2). Verksamhetsutöv- aren ska bedöma från vilket eller vilka perspektiv (konfidentialitet, tillgänglighet eller riktighet) den identifierade säkerhetskänsliga verk- samheten är skyddsvärd (2 kap. 4 § PMFS 2019:2). Verksamhets- utövaren ska också utifrån hotbilden och egna identifierade hot be- döma hur hoten kan påverka den säkerhetskänsliga verksamheten och om det finns behov av att vidta säkerhetsskyddsåtgärder (2 kap. 7 § andra stycket PMFS 2019:2). Verksamhetsutövaren ska vidare göra sårbarhetsbedömningar beträffande den säkerhetskänsliga verk-
168
SOU 2021:1 |
Säkerhetsskydd och informationssäkerhet |
samheten. I säkerhetsskyddsanalysen ska det anges vilka övergrip- ande sårbarheter som har identifierats. Verksamhetsutövaren ska där- efter bedöma hur sårbarheterna påverkar verksamhetens säkerhets- skydd och om det finns behov av att vidta säkerhetsskyddsåtgärder (2 kap. 9 § PMFS 2019:2).
Beslut att fastställa säkerhetsskyddsanalysen fattas av verksam- hetsutövarens högsta chef eller motsvarande organ, eller den som sådan chef eller sådant organ bestämmer. Säkerhetsskyddsanalysen ska uppdateras vid behov, dock minst en gång vartannat år (2 kap. 10 § PMFS 2019:2). När säkerhetsskyddsanalysen är fastställd ska verksamhetsutövaren upprätta en säkerhetsskyddsplan där det fram- går vilka säkerhetsskyddsåtgärder som ska vidtas. Planen ska fast- ställas av säkerhetsskyddschefen eller den han eller hon bestämmer (2 kap. 11 § PMFS 2019:2).
I Försvarsmaktens föreskrifter om säkerhetsskydd anges att en säkerhetsskyddsanalys ska innehålla en beskrivning av myndighetens verksamhet och organisation samt dess skyddsvärden (verksamhets- beskrivning) (2 kap. 3 § FFS 2019:2).
Med säkerhetsskyddsanalysen som grund ska myndigheten upp- rätta en säkerhetsskyddsplan. Av planen ska framgå vilka säkerhets- skyddsåtgärder som ska vidtas, vem som har ansvaret och när respek- tive åtgärd ska vara genomförd. Behov av resurser, ansvarsfördel- ning, organisation, utbildning, övning samt rutiner och bestämmelser ska särskilt framgå. Säkerhetsskyddsplanen ska även beskriva vilka åtgärder som behöver vidtas inför, under eller efter sådana avbrott och störningar i myndighetens säkerhetskänsliga verksamhet som kan medföra mer än ringa skada (2 kap. 4 § FFS 2019:2).
Myndighetens ledning ska orienteras innan myndighetens säkerhets- skyddsanalys och säkerhetsskyddsplan beslutas (2 kap. 5 § FFS 2019:2).
6.2.4Säkerhetsskyddsavtal
Hur säkerhetsskyddet ska hanteras vid en utkontraktering regleras i bestämmelserna om säkerhetsskyddsavtal.
Myndigheter som avser att genomföra en upphandling och ingå ett avtal om varor, tjänster eller byggentreprenader ska se till att det i ett säkerhetsskyddsavtal anges hur kraven på säkerhetsskydd ska tillgodoses av leverantören om det i upphandlingen förekommer
169
Säkerhetsskydd och informationssäkerhet |
SOU 2021:1 |
säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen kon- fidentiell eller högre, eller upphandlingen i övrigt avser eller ger leve- rantören tillgång till säkerhetskänslig verksamhet av motsvarande betydelse för Sveriges säkerhet. Verksamhetsutövaren ska kontrollera att leverantören följer säkerhetsskyddsavtalet (2 kap. 6 § säkerhets- skyddslagen). Kravet på att ingå säkerhetsskyddsavtal gäller även för enskilda verksamhetsutövare.
Det huvudsakliga syftet med ett säkerhetsskyddsavtal är att reglera de säkerhetsskyddsåtgärder som behövs hos leverantören för den verksamhet som omfattas av ett kontrakt om varor, tjänster eller byggentreprenader. Avtalet utgör en grund för att besluta om vilka anställningar och annat deltagande i verksamheten hos leverantören som ska placeras i säkerhetsklass (prop. 2017/18:89 s. 104).
Om de säkerhetsskyddsklassificerade uppgifter som förekommer i en viss upphandling hör till kategorin begränsat hemlig finns det inte någon skyldighet att ingå ett säkerhetsskyddsavtal. Denna skyl- dighet gäller nämligen bara om det i upphandlingen förekommer uppgifter i säkerhetsskyddsklassen konfidentiell eller högre, eller upphandlingen i övrigt avser eller ger leverantören tillgång till säker- hetskänslig verksamhet av motsvarande betydelse för Sveriges säkerhet.
Den som har ingått ett säkerhetsskyddsavtal ska anmäla det till Säkerhetspolisen (2 kap. 7 § säkerhetsskyddsförordningen). I Säker- hetspolisens vägledning Säkerhetsskyddad upphandling – en vägled- ning (2019) framhålls att verksamhetsutövaren inte bara är skyldig att ingå säkerhetsskyddsavtal med en huvudleverantör, utan också med eventuella underleverantörer om dessa kan komma att få till- gång till säkerhetsskyddsklassificerade uppgifter i säkerhetsskydds- klassen konfidentiell eller högre eller få tillgång till säkerhetskänslig verksamhet där åtkomst kan medföra en inte obetydlig skada för Sveriges säkerhet (s. 7).
6.2.5Säkerhetsskyddsåtgärder
En verksamhetsutövare som utkontrakterar säkerhetskänslig verk- samhet ska ingå ett säkerhetsskyddsavtal med leverantören, där leve- rantören åläggs att vidta säkerhetsskyddsåtgärder som säkerställer samma nivå av säkerhetsskydd som hade gällt om myndigheten själv bedrivit den utkontrakterade verksamheten. I 2 kap.
170
SOU 2021:1 |
Säkerhetsskydd och informationssäkerhet |
hetsskyddslagen anges vilka säkerhetsåtgärderna inom säkerhets- skyddet är och vilket syfte de har.
Informationssäkerhet ska förebygga att säkerhetsskyddsklassi- ficerade uppgifter obehörigen röjs, ändras, görs otillgängliga eller förstörs, och förebygga skadlig inverkan i övrigt på uppgifter och informationssystem som gäller säkerhetskänslig verksamhet (2 kap. 2 § säkerhetsskyddslagen). Det innebär att om ett informations- system ska hantera säkerhetsskyddsklassificerade uppgifter ska in- formationssystemets säkerhetsfunktioner anpassas för att förebygga att sådana uppgifter obehörigen röjs, ändras, görs otillgängliga eller förstörs. Säkerhetsåtgärderna ska dessutom i förhållande till upp- gifter och informationssystem som inte utgör eller innehåller säker- hetsskyddsklassificerade uppgifter, men som har avgörande betydelse för t.ex. styrning, reglering och övervakning av för Sverige viktiga samhällsfunktioner, tillgodose behov av tillgänglighet och riktighet. Med uppgifter och informationssystem avses i sammanhanget såväl uppgifter som de tekniska system som används för att i olika avseen- den elektroniskt behandla uppgifter (prop. 2017/18:89, s. 138).
I säkerhetsskyddsförordningen finns en bestämmelse som speci- fikt tar sikte på situationen då en utkontraktering till utländska leverantörer innefattar hantering av säkerhetsskyddsklassificerade upp- gifter. Av bestämmelsen framgår att säkerhetsskyddsklassificerade uppgifter inte får lämnas till en utländsk leverantör om inte Sverige har ingått ett internationellt säkerhetsskyddsåtagande med den andra staten och leverantören har godkänts genom en kontroll enligt den andra statens säkerhetsskyddslagstiftning (3 kap. 9 § andra stycket säkerhetsskyddsförordningen).
Fysisk säkerhet ska förebygga såväl att obehöriga får tillträde till områden, byggnader och andra anläggningar eller objekt där de kan få tillgång till säkerhetsskyddsklassificerade uppgifter eller där säker- hetskänslig verksamhet i övrigt bedrivs, som skadlig inverkan på så- dana områden, byggnader, anläggningar eller objekt (2 kap. 3 § säker- hetsskyddslagen).
Personalsäkerhet ska förebygga att personer som inte är pålitliga från säkerhetssynpunkt deltar i en verksamhet där de kan få tillgång till säkerhetsskyddsklassificerade uppgifter eller i en verksamhet som av någon annan anledning är säkerhetskänslig, samt säkerställa att de som deltar i säkerhetskänslig verksamhet har tillräcklig kunskap om säkerhetsskydd (2 kap. 4 § säkerhetsskyddslagen).
171
Säkerhetsskydd och informationssäkerhet |
SOU 2021:1 |
6.2.6Närmare om samrådskravet vid utkontraktering
I 2 kap. 6 § säkerhetsskyddsförordningen finns bestämmelser som tar sikte på statliga myndigheter som avser att genomföra en upp- handling som innebär krav på säkerhetsskyddsavtal. Statliga myndig- heter måste då under vissa förutsättningar vidta särskilda åtgärder innan ett sådant förfarande inleds.
Om bestämmelserna i 2 kap. 6 § säkerhetsskyddsförordningen är tillämpliga ska myndigheten dels genomföra en särskild säkerhets- skyddsbedömning, dels samråda med Säkerhetspolisen eller För- svarsmakten. De beskrivna skyldigheterna gäller i två fall.
Det ena fallet avser situationer där leverantören kan få tillgång till eller möjlighet att förvara säkerhetsskyddsklassificerade uppgifter utanför myndighetens lokaler. Skyldigheten att göra en särskild säker- hetsbedömning och att samråda med tillsynsmyndighet gäller om uppgifterna hör till säkerhetsskyddsklassen hemlig eller högre. Skyl- digheterna gäller alltså bara för uppgifter som hör till de två högsta säkerhetsskyddsklasserna; hemlig och kvalificerat hemlig.
Det är viktigt att ha i åtanke att uppgifter som var för sig bedömts vara begränsat hemliga eller inte hemliga alls kan ha ett högre skydds- värde sammantagna, vilket medför att skyldigheten att samråda med tillsynsmyndigheten träder in. Enbart det faktum att det är fråga om ett stort antal uppgifter medför dock inte att uppgifterna blir mer känsliga.
Det andra fallet där skyldigheterna enligt paragrafen gäller är om leverantören kan få tillgång till säkerhetskänsliga informations- system utanför myndighetens lokaler och obehörig åtkomst till syste- men kan medföra allvarlig skada för Sveriges säkerhet. Valet av nivån allvarlig skada innebär att skadan motsvarar vad som gäller för pla- cering av uppgifter i den näst högsta säkerhetsskyddsklassen, dvs. hemlig.
Tillsynsmyndigheten får dels förelägga myndigheten att vidta åt- gärder enligt säkerhetsskyddslagen och de föreskrifter som har med- delats i anslutning till den lagen, dels besluta att myndigheten inte får genomföra upphandlingen om ett föreläggande inte följs eller om tillsynsmyndigheten bedömer att säkerhetsskyddslagens krav inte kan tillgodoses trots att ytterligare åtgärder vidtas.
172
SOU 2021:1 |
Säkerhetsskydd och informationssäkerhet |
6.2.7Säkerhetsprövning
Den som genom anställning eller på något annat sätt ska delta i säkerhetskänslig verksamhet ska säkerhetsprövas (3 kap. 1 § säkerhets- skyddslagen). Kravet på säkerhetsprövning innebär att en myndighet som avser utkontraktera säkerhetskänslig verksamhet måste genom- föra säkerhetsprövning av den personal som ska delta i den säker- hetskänsliga verksamheten.
Säkerhetsprövningen syftar till att klarlägga om en person kan antas vara lojal mot de intressen som skyddas i lagen och i övrigt är pålitlig från säkerhetssynpunkt (3 kap. 2 § säkerhetsskyddslagen). Endast den som har bedömts pålitlig från säkerhetssynpunkt och har tillräckliga kunskaper om säkerhetsskydd, och som behöver upp- gifterna eller annan tillgång till verksamheten för att kunna utföra sitt arbete eller på annat sätt delta i den säkerhetskänsliga verksam- heten, ska vara behörig att ta del av säkerhetsskyddsklassificerade uppgifter eller i övrigt delta i säkerhetskänslig verksamhet (2 kap. 3 § säkerhetsskyddsförordningen).
Säkerhetsprövningen ska genomföras innan deltagandet i den säker- hetskänsliga verksamheten påbörjas. Prövningen ska innefatta en grundutredning samt registerkontroll och särskild personutredning i viss omfattning (3 kap. 3 § säkerhetsskyddslagen).
Prövningen görs av den som beslutar om anställning eller annat deltagande i den säkerhetskänsliga verksamheten, om inte en myn- dighet har det bestämmande inflytandet över den prövades lämplig- het att delta i säkerhetskänslig verksamhet hos en enskild verksam- hetsutövare – då är det myndigheten som gör den slutliga bedömningen (3 kap. 4 § andra stycket säkerhetsskyddslagen).
I3 kap.
6.2.8Tystnadsplikt och sekretessbrytande bestämmelse
Säkerhetsskyddslagen innehåller två bestämmelser om tystnadsplikt. I 5 kap. 1 § säkerhetsskyddslagen anges att den som med stöd av lagen har fått del av uppgifter som förekommer i angelägenhet som
173
Säkerhetsskydd och informationssäkerhet |
SOU 2021:1 |
avser säkerhetsprövning inte obehörigen får röja eller utnyttja dessa uppgifter. I 5 kap. 2 § säkerhetsskyddslagen anges att den som på grund av anställning eller på annat sätt deltar eller har deltagit i säkerhetskänslig verksamhet inte obehörigen får röja eller utnyttja säkerhetsskyddsklassificerade uppgifter. Vidare anges i förhållande till båda bestämmelserna att i det allmännas verksamhet tillämpas i stället bestämmelserna i OSL.
Utredningen om vissa säkerhetsskyddsfrågor framhöll i sitt betänk- ande (SOU 2018:82) Kompletteringar till den nya säkerhetsskyddslagen att tystnadsplikt enligt säkerhetsskyddslagen i en utkontrakterings- situation inte gäller för leverantörens personal, om inte leveran- törens verksamhet som sådan är säkerhetskänslig och därför omfattas av säkerhetsskyddslagen, (s. 126).
Vidare finns i 5 kap. 3 § en sekretessbrytande bestämmelse som ger stöd för att lämna ut uppgifter som omfattas av bestämmelser om sekretess i OSL till en annan stat eller mellanfolklig organisation i ett ärende om underlag för säkerhetsprövning enligt 4 kap. 4 §. Bestämmelsen utgör en sådan föreskrift som anges i 8 kap. 3 § 1 OSL. Kravet på att det står klart att utlämnandet är förenligt med svenska intressen innebär ett hinder mot att lämna ut uppgifter som kommit fram vid en registerkontroll om uppgifterna är olämpliga att delge en utländsk myndighet eller en mellanfolklig organisation (prop. 2017/18:89, s. 156).
6.2.9Tillsyn
Tillsynen över säkerhetsskyddet regleras i 7 kap. 1 § säkerhetsskydds- förordningen. Tillsyn över säkerhetsskyddet inom Fortifikations- verket, Försvarshögskolan och de myndigheter som hör till Försvars- departementet utövas av Försvarsmakten. Säkerhetspolisen utövar tillsyn över säkerhetsskyddet inom övriga myndigheter utom Justitie- kanslern samt kommuner och regioner. Tillsyn över enskild verk- samhet utövas av länsstyrelserna samt Affärsverket svenska kraftnät, Transportstyrelsen och Post- och telestyrelsen.
Säkerhetspolisen och Försvarsmakten får även utöva tillsyn över leverantörer som har uppdrag för flera verksamhetsutövare om leve- rantörens samlade uppdrag är av stor betydelse för Sveriges säkerhet (7 kap. 2 § andra stycket säkerhetsskyddsförordningen).
174
SOU 2021:1 |
Säkerhetsskydd och informationssäkerhet |
Tillsynsmyndigheterna får inom sitt tillsynsområde utöva tillsyn över säkerhetsskyddet hos leverantörer som omfattas av ett säker- hetsskyddsavtal och över underleverantörer som leverantören har anlitat inom ramen för säkerhetsskyddsavtalet (5 kap. 4 § säkerhets- skyddslagen).
6.2.10Anmälan av incidenter
Säkerhetsskyddsregelverket innefattar en skyldighet att anmäla vissa typer av incidenter som har betydelse för säkerhetsskyddet. En verksamhetsutövare ska skyndsamt anmäla till Säkerhetspolisen om en säkerhetsskyddsklassificerad uppgift kan ha röjts eller om det inträffat en
Om verksamhetsutövaren tillhör Försvarsmaktens tillsynsområde, ska anmälan göras också till Försvarsmakten.
Skyldigheten att anmäla incidenter får förutsättas gälla oavsett om verksamheten som berörs av incidenten bedrivs av verksamhets- utövaren själv eller om den utkontrakterats till en privat tjänsteleve- rantör. I en utkontrakteringssituation är det av vikt att verksamhets- utövaren säkerställer att tjänsteleverantören har förmåga att upptäcka och informera verksamhetsutövaren om incidenter som inträffat. Detta bör regleras i säkerhetsskyddsavtalet mellan tjänsteleverantören och verksamhetsutövaren.
En verksamhetsutövare som är skyldig att anmäla säkerhetshot- ande händelser och som tillhandahåller tjänster åt en annan verk- samhetsutövare ska i samband med anmälan informera och vid behov samråda med de uppdragsgivare som berörs av incidenten (2 kap. 11 § säkerhetsskyddsförordningen).
175
Säkerhetsskydd och informationssäkerhet |
SOU 2021:1 |
6.2.11Internationella säkerhetsskyddsåtaganden
Det finns särskilda krav för en myndighet som tillämpar säker- hetsskyddsregleringen när myndigheten avser att anlita utländska privata tjänsteleverantörer. Från och med den 1 januari 2022 gäller nämligen att Sverige måste ha ingått ett internationellt säkerhets- skyddsåtagande med ett land för att en verksamhetsutövare ska få lämna ut säkerhetsskyddsklassificerade uppgifter till en utländsk pri- vat tjänsteleverantör i det landet. Leverantören måste också ha god- känts genom en kontroll enligt den andra statens säkerhetsskydds- lagstiftning (3 kap. 9 § andra stycket säkerhetsskyddsförordningen och punkt 6 i övergångsbestämmelserna till säkerhetsskyddförordningen).
Ett internationellt säkerhetsskyddsåtagande är en folkrättslig för- pliktelse avseende säkerhetsskydd mellan Sverige och ett annat land. Åtagandet utgör juridiskt sett en ömsesidig garanti för att säker- hetsskyddsklassificerade uppgifter hanteras på ett säkert sätt i varje land. Det finns både bi- och multilaterala avtal, t.ex. säkerhets- skyddsavtal med North Atlantic Treaty Organization (NATO) och avtal mellan de nordiska länderna. Varje avtal är unikt beroende på ländernas lagstiftning och behov.
Vissa avtal gäller endast inom militär verksamhet. I dagsläget saknas avtal som gäller för civil verksamhet med bl.a. USA och Kanada, vilket påverkar möjligheterna för myndigheter som tillämpar säker- hetsskyddsregleringen att anlita leverantörer i dessa länder för avtal som löper efter den 1 januari 2022.
Kravet på internationella säkerhetsskyddsåtaganden är något som verksamhetsutövaren särskilt bör beakta vid ingående av kontrakt som löper över den 1 januari 2022. I annat fall finns det en risk att verksamhetsutövaren efter detta datum inte kan tillämpa kontraktet som det ursprungligen var tänkt.
6.2.12Särskilt om aggregerad och ackumulerad information
En särskild fråga är hur man bör hantera den situationen att en utkontraktering av viss
176
SOU 2021:1 |
Säkerhetsskydd och informationssäkerhet |
bearbetats eller kan bearbetas så att man av sammanställningen kan utvinna en annan och mer känslig information än av uppgifterna var för sig. En annan situation kan vara att den sammanställda informa- tionen visar på exempelvis beroenden mellan olika verksamheter, förmåga, sårbarheter eller andra förhållanden som kan leda till en inte obetydlig skada för Sveriges säkerhet om den röjs.
Det kan av lagmotiven utläsas att sammanställningar av uppgifter från olika källor kan göra att den sammanställda informationen ut- gör säkerhetsskyddsklassificerade uppgifter även om informationen härrör från öppna källor (prop. 2017/18:89 s. 45). Uppgifterna i en sammanställning kan alltså vara säkerhetsskyddsklassificerade, fastän de i ett annat sammanhang inte är det var och en för sig. Det framgår vidare av lagmotiven att verksamhetsutövarna, vid sin klassificering av uppgifter, måste bedöma om en samling av uppgifter i en viss säkerhetsskyddsklass medför att en högre säkerhetsskyddsklass ska tillämpas. Samtidigt påpekas det att man med hänsyn till behovet av att undvika onödiga administrativa kostnader och ingrepp i enskildas integritet m.m. inte bör göra klassificeringen i större utsträckning och med placering i högre klass än vad som är nödvändigt (prop. 2017/18:89 s. 67).
Utredningen om vissa säkerhetsskyddsfrågor framhöll i sitt slut- betänkande att förarbetsuttalandena kan tolkas så att verksamhets- utövarna i sitt arbete med säkerhetsskyddsklassificering är skyldiga att beakta mängden uppgifter och konsekvenserna av att de sam- manställs. Rättsläget kan alltså uppfattas på det sättet att en mängd uppgifter som, sedda var för sig, är att bedöma som begränsat hem- liga bör klassificeras som konfidentiella om de finns i en samling och skadan vid röjande skulle bli inte obetydlig (SOU 2018:82, s. 153 f.).
Av Säkerhetspolisens föreskrifter framgår att verksamhetsutöv- aren vid en särskild säkerhetsskyddsbedömning enligt 3 kap. 1 § säker- hetsskyddsförordningen ska beakta såväl de enskilda säkerhetsskydds- klassificerade uppgifterna som den totala mängden sådana uppgifter som kan komma att behandlas i informationssystemet (4 kap. 6 § i PMFS 2019:2).
Det framgår vidare av Säkerhetspolisens Vägledning i säkerhets- skydd Informationssäkerhet (2020) att aggregerade uppgifter betyder att flera olika typer av uppgifter samlas och tillsammans utgör ett nytt skyddsvärde, medan ackumulerade uppgifter betyder en ökad volym av samma typ av uppgifter. Om enskilda uppgifter som saknar
177
Säkerhetsskydd och informationssäkerhet |
SOU 2021:1 |
säkerhetsskyddsklass eller är indelade i en av säkerhetsskydds- klasserna begränsat hemlig, konfidentiell eller hemlig samlas, kan det i vissa fall medföra att en högre säkerhetsskyddsklass ska tillämpas på uppgiftssamlingen. Så är fallet om den aggregerade eller ackumu- lerade informationen gör att en antagonist kan dra andra, helt nya slutsatser av uppgiftssamlingen än av varje enskild uppgift (s. 10).
Detta innebär att en myndighet i sin säkerhetsskyddsanalys kan behöva ta ställning till om en sammanställning av uppgifter, där upp- gifterna var för sig inte är säkerhetsskyddsklassificerade, ändå upp- når en nivå av känslighet som medför att säkerhetsskyddsregleringen blir tillämplig eller att uppgifterna i sin sammanställda form hamnar i en högre säkerhetsskyddsklass. En myndighet är dock i en utkon- trakteringssituation inte skyldig att bedöma hur skyddsvärdet hos myndighetens uppgifter påverkas av andra verksamhetsutövares upp- gifter som hanteras av samma privata tjänsteleverantör. Däremot måste tjänsteleverantören ta ställning till om det samlade uppdraget har betydelse för Sveriges säkerhet.
Det kan exempelvis handla om situationer där tjänsteleveran- tören tillhandahåller driftstjänster eller infrastrukturlösningar i en omfattning som sammantaget bedöms utgöra en viktig del av den nationella förmågan. Vid större koncentrationer av uppdrag kan detta gälla även om de enskilda uppdragen inte omfattas av säkerhets- skyddsavtal. Säkerhetsskyddslagstiftningen kan i sådana fall bli tillämp- lig för tjänsteleverantörens verksamhet. Det innebär i sin tur att tjänsteleverantören behöver genomföra en säkerhetsskyddsanalys och med utgångspunkt i analysen vidta relevanta säkerhetsskydds- åtgärder, som kan överskrida de åtgärder som ålagts leverantören i säkerhetsskyddsavtal.
6.2.13Utkontraktering av säkerhetskänslig verksamhet
Utredningen om vissa säkerhetsskyddsfrågor hade till uppgift att bl.a. kartlägga behovet av att förebygga att säkerhetsskyddsklassi- ficerade uppgifter eller i övrigt säkerhetskänslig verksamhet utsätts för risker i samband med utkontraktering, och föreslå olika före- byggande åtgärder, t.ex. tillståndsprövning. Utredningen lämnade sitt slutbetänkande Kompletteringar till den nya säkerhetsskyddslagen (SOU 2018:82) i november 2018.
178
SOU 2021:1 |
Säkerhetsskydd och informationssäkerhet |
Utredningen bedömde inledningsvis att det fanns anledning att utöka skyldigheten att ingå säkerhetsskyddsavtal. Utredningen kon- staterade i denna del bl.a. följande: Det finns situationer där säker- hetsskyddsklassificerade uppgifter eller i övrigt säkerhetskänslig verksamhet exponeras för utomstående, men där det i dagsläget inte finns någon skyldighet att ingå säkerhetsskyddsavtal. Ett exempel på detta kan vara olika former av samarbeten och samverkan som inte handlar om anskaffning av varor, tjänster eller byggentreprenader. Ett annat exempel kan vara situationer där det är leverantörens och inte beställarens skyddsvärden som behöver skyddas. Det finns också situationer där det är oklart om det gäller krav på säkerhetsskydds- avtal. Om det inte ställs krav på säkerhetsskyddsavtal i alla relevanta situationer där säkerhetsskyddsklassificerade uppgifter eller i övrigt säkerhetskänslig verksamhet kommer att exponeras för utomstående, ökar sannolikheten för att motparten inte vidtar de säkerhetsskydds- åtgärder som behövs.
Utredningen föreslog mot denna bakgrund en utvidgning av skyldigheten att ingå säkerhetsskyddsavtal. Förslaget innebär att den som bedriver säkerhetskänslig verksamhet ska ingå ett säkerhets- skyddsavtal så snart verksamhetsutövaren avser att genomföra en upphandling, ingå ett avtal eller inleda någon annan form av sam- verkan eller samarbete med en utomstående part, om förfarandet innebär att den utomstående parten kan få tillgång till säkerhets- skyddsklassificerade uppgifter i säkerhetsskyddsklassen konfiden- tiell eller högre, eller i övrigt avser eller kan ge den utomstående parten tillgång till säkerhetskänslig verksamhet av motsvarande bety- delse för Sveriges säkerhet.
Utredningens kartläggning av behoven att förebygga att säker- hetsskyddsklassificerade uppgifter eller i övrigt säkerhetskänslig verk- samhet utsätts för risker i samband med utkontraktering visade att det finns flera brister i säkerhetsskyddsarbetet som bl.a. yttrar sig vid utkontraktering av säkerhetskänslig verksamhet. Vissa av brist- erna gäller säkerhetsskyddet generellt, t.ex. att verksamhetsutövaren inte tillämpar säkerhetsskyddsreglerna eller har bristande kunskap om sina skyddsvärden. Sådana brister accentueras när verksamhets- utövaren utkontrakterar en del av den säkerhetskänsliga verksam- heten eller på annat sätt kopplar in utomstående i verksamheten. Andra brister handlar specifikt om olika förfaranden där utomstå- ende involveras i den säkerhetskänsliga verksamheten genom exem-
179
Säkerhetsskydd och informationssäkerhet |
SOU 2021:1 |
pelvis utkontraktering. Bristerna handlar om bristfällig eller helt av- saknad av prövning av om utkontraktering är lämplig, eller att det är svårt att pröva lämpligheten. Vidare kan det vara fråga om att säker- hetsskyddsavtal är bristfälliga, bristfällig uppföljning av utkontrak- teringen medan den pågår och att det saknas tillräckliga möjligheter för samhället att ingripa mot förfaranden som är olämpliga från säker- hetsskyddssynpunkt.
Med utgångspunkt i kartläggningen av utvecklingsbehovet före- slog utredningen ett antal förebyggande åtgärder som delvis mot- svaras av vad som gäller i dagsläget enligt 2 kap. 6 § säkerhetsskydds- förordningen. Utredningens förslag innebär för det första att den som bedriver säkerhetskänslig verksamhet och som avser att genom- föra ett förfarande som kräver säkerhetsskyddsavtal innan förfaran- det inleds ska identifiera vilka säkerhetsskyddsklassificerade uppgif- ter eller vilken säkerhetskänslig verksamhet i övrigt som den utom- stående parten kan få tillgång till och som kräver säkerhetsskydd (särskild säkerhetsbedömning). Med utgångspunkt i den särskilda säkerhetsbedömningen och övriga omständigheter ska verksamhets- utövaren därefter pröva om det planerade förfarandet är lämpligt från säkerhetsskyddssynpunkt (lämplighetsprövning). Om lämplig- hetsprövningen leder till bedömningen att det planerade förfarandet är olämpligt från säkerhetsskyddssynpunkt, får det inte inledas.
Utredningens förslag innebär för det andra att verksamhets- utövare som planerar att inleda ett förfarande i vissa fall ska samråda med tillsynsmyndigheten. I förslagen ingår även en möjlighet för till- synsmyndigheten att förelägga verksamhetsutövaren att vidta åtgär- der enligt säkerhetsskyddslagen och de föreskrifter som har med- delats i anslutning till lagen. Om ett föreläggande inte följs eller om tillsynsmyndigheten bedömer att det planerade förfarandet är olämp- ligt från säkerhetsskyddssynpunkt även om ytterligare åtgärder vidtas, föreslås tillsynsmyndigheten få besluta att verksamhetsutövaren inte får genomföra det planerade förfarandet.
Utredningens förslag innebär för det tredje en möjlighet för till- synsmyndigheten att genom föreläggande ingripa mot ett pågående förfarande, t.ex. en pågående utkontraktering om ett sådant pågå- ende förfarande som omfattas av ett krav på säkerhetsskyddsavtal är olämpligt från säkerhetsskyddssynpunkt. Föreläggandet kan bl.a. inne- bära ett krav på att hela eller delar av förfarandet ska upphöra.
180
SOU 2021:1 |
Säkerhetsskydd och informationssäkerhet |
Utredningens förslag på utökad skyldighet att teckna säkerhets- skyddsavtal och förslagen på förebyggande åtgärder vid utkontrak- tering bereds för närvarande i Regeringskansliet.
6.3Informationssäkerhet
6.3.1Inledning
Syftet med detta avsnitt är att kartlägga de rättsliga förutsättningarna för myndigheters utkontraktering av
För krav på informationssäkerhetsarbetet gäller delvis olika regel- verk inom statlig respektive kommunal sektor. För statliga myndig- heter gäller förordningen (2015:1052) om krisberedskap och bevak- ningsansvariga myndigheters åtgärder vid höjd beredskap. Förord- ningen innehåller bestämmelser om informationssäkerhet och kom- pletteras av flera föreskrifter från Myndigheten för samhällsskydd och beredskap (MSB).
Europaparlamentets och rådets direktiv (EU) 2016/1148 av den 6 juli 2016 om åtgärder för en hög gemensam nivå på säkerhet i nätverks- och informationssystem i hela unionen
181
Säkerhetsskydd och informationssäkerhet |
SOU 2021:1 |
6.3.2Statliga myndigheters informationssäkerhet
Förordningen om krisberedskap och bevakningsansvariga myndigheters åtgärder vid höjd beredskap
I förordningen finns bestämmelser som syftar till att statliga myn- digheter genom sin verksamhet ska minska sårbarheten i samhället och utveckla en god förmåga att hantera sina uppgifter under freds- tida krissituationer och inför, respektive vid, höjd beredskap.
Varje myndighet ansvarar för att egna informationshanterings- system uppfyller sådana grundläggande och särskilda säkerhetskrav att myndighetens verksamhet kan utföras på ett tillfredsställande sätt, med särskilt beaktande av behovet av säkra ledningssystem (19 §).
I 21 § finns ett bemyndigande för MSB att meddela föreskrifter om krav på säkerhet för myndigheternas informationshanterings- system och att meddela föreskrifter rörande rapportering av it- incidenter. MSB har meddelat bestämmelser om sådana säkerhets- krav som avses i 19 § förordningen om krisberedskap och bevak- ningsansvariga myndigheters åtgärder vid höjd beredskap i två olika föreskrifter, dels i föreskrifter om informationssäkerhet för statliga myndigheter (MSBFS 2020:6), dels i föreskrifter om säkerhetsåtgärder i informationssystem för statliga myndigheter (MSBFS 2020:7).
Myndigheten för samhällsskydd och beredskaps föreskrifter om informationssäkerhet för statliga myndigheter (MSBFS 2020:6)
Föreskrifterna innehåller bl.a. krav på hur myndigheternas informa- tionssäkerhetsarbete ska utformas och bedrivas, bestämmelser om säkerhetsåtgärder samt bestämmelser om hur uppföljning av infor- mationssäkerhetsarbetet ska ske.
182
SOU 2021:1 |
Säkerhetsskydd och informationssäkerhet |
I 6 § finns bestämmelser om hur informationssäkerhetsarbetet ska bedrivas. Där framgår följande. Myndigheten ska säkerställa att informationssäkerhetsarbetet är systematiskt och riskbaserat genom att klassa sin information avseende konfidentialitet, riktighet och tillgänglighet i olika nivåer utifrån vilka konsekvenser ett bristande skydd kan få (informationsklassning). Myndigheten ska vidare identi- fiera, analysera och värdera risker för sin information (riskbedömning). Myndigheten ska dessutom utifrån genomförd informationsklassning och riskbedömning identifiera behov av och införa ändamålsenliga och proportionella säkerhetsåtgärder, och utvärdera säkerhetsåtgärderna samt vid behov anpassa skyddet av informationen.
I 8 § i föreskrifterna finns en bestämmelse av särskild betydelse vid utkontraktering. Där framgår att myndigheten, innan den låter en extern aktör behandla information, utifrån informationsklassning och riskbedömning, ska hantera de risker en sådan behandling inne- bär. Myndigheten ska vidare i avtal ställa krav på vilka säkerhets- åtgärder den externa aktören ska vidta och hur myndigheten följer upp dessa krav.
I de allmänna råd som meddelats i anslutning till 8 § i föreskrif- terna anges att avtalet mellan myndigheten och den externa aktören bör reglera att den externa aktören ska ha tillräcklig kompetens avseende informationssäkerhet, hur den externa aktören ska över- lämna information till myndigheten om misstänkta eller inträffade incidenter, avvikelser och sårbarheter, hur den externa aktören ska följa upp sitt egna och eventuella underleverantörers systematiska och riskbaserade informationssäkerhetsarbete, och hur myndighet- ens information ska återlämnas när avtalet upphör.
Myndigheten för samhällsskydd och beredskaps föreskrifter om säkerhetsåtgärder i informationssystem för statliga myndigheter (MSBFS 2020:7)
Föreskrifterna innehåller bl.a. bestämmelser om ansvar inom myn- digheten, riskbedömning, dokumentation av
Myndigheten ska upprätthålla uppdaterad dokumentation över beroenden mellan olika interna informationssystem respektive bero- enden av informationssystem hos externa aktörer (2 kap. 4 §).
183
Säkerhetsskydd och informationssäkerhet |
SOU 2021:1 |
I 3 kap. i föreskrifterna finns bestämmelser om bl.a. utkontrak- tering. Där framgår bl.a. att myndigheten vid utkontraktering ska identifiera vilka krav på säkerhet som ska gälla samt dokumentera vilka säkerhetsåtgärder som valts för att möta respektive krav (3 kap. 1 §).
Myndigheten ska vidare innan driftsättning och inför förändring som kan påverka säkerheten i informationssystemen kontrollera att valda säkerhetsåtgärder är tillräckliga för att möta identifierade krav på säkerhet och verifiera att det finns nödvändig dokumentation för drift och förvaltning. I de fall brister identifieras ska myndigheten vidare riskbedöma och hantera dessa brister innan driftsättning eller inför förändring som kan påverka säkerheten i informationssyste- men (3 kap. 2 §).
I de allmänna råden som meddelats i anslutning till dessa bestäm- melser anges att nödvändig dokumentation för drift och förvaltning bör omfatta arkitektur, ingående komponenter, konfiguration, data- flöden och övrig relevant systeminformation. Av dokumentationen bör även framgå vem som är systemägare samt om och till vilken extern aktör informationssystemet är utkontrakterat.
Myndigheten för samhällsskydd och beredskaps föreskrifter om rapportering av
Föreskrifterna innehåller bestämmelser om rapportering av
I 8 § i föreskrifterna finns en bestämmelse om incidentrappor- tering vid utkontraktering. Bestämmelsen innebär att om myndig- heten överlåter en del av sin informationshantering till en aktör som inte omfattas av rapporteringsskyldighet ska myndigheten se till att aktören åtar sig att rapportera
184
SOU 2021:1 |
Säkerhetsskydd och informationssäkerhet |
6.3.3
Direktivet innebär bl.a. skyldigheter för vissa leverantörer av samhällsviktiga tjänster, och vissa leverantörer av digitala tjänster, att vidta säkerhetsåtgärder för att hantera risker samt förebygga och hantera incidenter i nätverk och informationssystem som de är bero- ende av för att tillhandahålla tjänsterna. Regleringen gäller därför, till skillnad från den som avser statliga myndigheter, inte organisa- tionens informationshantering i sin helhet, förutom i de fall där leve- rantören enbart bedriver samhällsviktiga eller digitala tjänster och att leverantören är beroende av samtliga av sina nätverk och informa- tionssystem för att leverera tjänsten. Bedriver leverantören verksam- het som inte utgörs av en samhällsviktig eller digital tjänst faller den utanför regleringen. Leverantörerna ska också rapportera incidenter som har en betydande eller avsevärd inverkan på kontinuiteten i tjänster.
I direktivet identifieras sju sektorer som tillhandahåller samhälls- viktiga tjänster. Dessa är bankverksamhet, digital infrastruktur, energi, finansmarknadsinfrastruktur, hälso- och sjukvård, leverans och distri- bution av dricksvatten samt transport.
Direktivet har genomförts i svensk rätt genom lagen (2018:1174) om informationssäkerhet för samhällsviktiga och digitala tjänster och förordningen (2018:1175) om informationssäkerhet för samhälls- viktiga och digitala tjänster. MSB har meddelat föreskrifter om bl.a. anmälan och identifiering av leverantörer av samhällsviktiga tjänster (MSBFS 2018:7), informationssäkerhet för leverantörer av samhälls- viktiga tjänster (MSBFS 2018:8), rapportering av incidenter för leveran- törer av samhällsviktiga tjänster (MSBFS 2018:9) och rapportering av incidenter för leverantörer av digitala tjänster (MSBFS 2018:10).
Lagen och förordningen om informationssäkerhet för samhälls- viktiga och digitala tjänster gäller för de sektorer som anges i direk- tivet, med tillägg av digitala tjänster. Sådan verksamhet som träffas av regelverket kan bedrivas i såväl enskild som offentlig regi. Hälso- och sjukvård som bedrivs enligt hälso- och sjukvårdslagen (2017:30) kan nämnas som exempel på sådan verksamhet som träffas av regel- verket.
185
Säkerhetsskydd och informationssäkerhetSOU 2021:1
Regelverket gäller inte för leverantörer av allmänna kommunika- tionsnät eller allmänt tillgängliga elektroniska kommunikationstjänster och därför omfattas av lagen (2003:389) om elektronisk kommuni- kation, leverantörer av betrodda tjänster som omfattas av kraven i artikel 19 i Europaparlamentets och rådets förordning (EU) nr 910/2014 av den 23 juli 2014 om elektronisk identifiering och be- trodda tjänster för elektroniska transaktioner på den inre marknaden och om upphävande av direktiv 1999/93/EG, leverantörer av digitala tjänster som är mikroföretag eller små företag enligt definitionen i kommissionens rekommendation 2003/361/EG av den 6 maj 2003 om definitionen av mikroföretag samt små och medelstora företag eller för verksamhet som omfattas av säkerhetsskyddslagen.
Det framgår av 13 § i lagen om informationssäkerhet för sam- hällsviktiga och digitala tjänster att leverantörer som omfattas av lagen ska vidta ändamålsenliga och proportionella tekniska och orga- nisatoriska åtgärder för att hantera risker som hotar säkerheten i nätverk och informationssystem som de använder för att tillhanda- hålla samhällsviktiga tjänster. Det framgår vidare att åtgärderna ska säkerställa en nivå på säkerheten i nätverken och informationssyste- men som är lämplig i förhållande till risken. Motsvarande skyldig- heter gäller för leverantörer av digitala tjänster (15 § lagen om infor- mationssäkerhet för samhällsviktiga och digitala tjänster).
Leverantörerna som träffas av lagen ska vidta lämpliga åtgärder för att förebygga och minimera verkningar av incidenter som på- verkar nätverk och informationssystem som de använder för att tillhandahålla samhällsviktiga tjänster, och att åtgärderna ska syfta till att säkerställa kontinuiteten i tjänsterna (14 § lagen om infor- mationssäkerhet för samhällsviktiga och digitala tjänster). Motsvar- ande skyldigheter gäller för leverantörer av digitala tjänster (16 § lagen om informationssäkerhet för samhällsviktiga och digitala tjänster).
I specialmotiveringen till 13 § i lagen om informationssäkerhet för samhällsviktiga och digitala tjänster förtydligas att säkerhets- kraven gäller de nätverk och informationssystem som leverantören använder vid tillhandahållandet av samhällsviktiga tjänster, oavsett om denne sköter underhållet av sina nätverk och informationssystem internt eller har utkontrakterat verksamheten (prop. 2017/18:205, s. 94). Detsamma får antas gälla även i förhållande till de krav som anges i 14, 15 och 16 §§ lagen om informationssäkerhet för samhälls- viktiga och digitala tjänster.
186
SOU 2021:1 |
Säkerhetsskydd och informationssäkerhet |
Leverantörer av samhällsviktiga tjänster ska utan onödigt dröjs- mål rapportera incidenter som har en betydande inverkan på konti- nuiteten i den samhällsviktiga tjänst som de tillhandahåller (18 § lagen om informationssäkerhet för samhällsviktiga och digitala tjäns- ter). Leverantörer av digitala tjänster ska inom samma tidsram rap- portera incidenter som har en avsevärd inverkan på tillhandahåll- andet av en digital tjänst som de erbjuder (19 § lagen om informa- tionssäkerhet för samhällsviktiga och digitala tjänster). Incidentrap- porten ska enligt 2 kap. 4 § första stycket 4 p. i MSBFS 2018:9 för samhällsviktiga tjänster och enligt 8 § första stycket 4 i MSBFS 2018:10 för digitala tjänster innehålla namn och organisationsnummer till extern aktör dit informationshantering har utkontrakterats i det fall incidenten inträffat hos den externa aktören.
I förordningen om informationssäkerhet för samhällsviktiga och digitala tjänster regleras vilka myndigheter som är tillsynsmyndig- heter för leverantörer av samhällsviktiga tjänster enligt lagen om informationssäkerhet för samhällsviktiga och digitala tjänster. Statens energimyndighet är tillsynsmyndighet för energisektorn, Transport- styrelsen för transportsektorn, Finansinspektionen för finansmark- nadsinfrastruktursektorn, Inspektionen för vård och omsorg för hälso- och sjukvårdssektorn, Livsmedelsverket är tillsynsmyndighet för den sektor som handhar leverans och distribution av dricksvatten och Post- och telestyrelsen för den sektor som handhar digital infra- struktur (17 § förordningen om informationssäkerhet för samhälls- viktiga och digitala tjänster). Post- och telestyrelsen är dessutom tillsynsmyndighet för leverantörer av digitala tjänster (18 § förord- ningen om informationssäkerhet för samhällsviktiga och digitala tjänster).
Statens energimyndighet, Transportstyrelsen, Finansinspektionen, Livsmedelsverket och Post- och telestyrelsen får meddela föreskrif- ter om säkerhetsåtgärder för sina respektive tillsynsområden. Social- styrelsen får meddela sådana föreskrifter för Inspektionen för vård och omsorgs tillsynsområde (8 § förordningen om informations- säkerhet för samhällsviktiga och digitala tjänster). Arbete med så- dana föreskrifter pågår.
187
Säkerhetsskydd och informationssäkerhet |
SOU 2021:1 |
6.4Sammanfattning
Reglerna om informationssäkerhet skiljer sig delvis åt mellan statliga myndigheter å ena sidan och kommuner och regioner å den andra.
För statliga myndigheter gäller förordningen om krisberedskap och bevakningsansvariga myndigheters åtgärder vid höjd beredskap och de föreskrifter som MSB meddelat med stöd av förordningen. Av förordningen framgår den grundläggande utgångspunkten att varje myndighet ansvarar för sin egen informationssäkerhet. Det finns ingen myndighet som utövar tillsyn över att dessa regler följs.
Lagen och förordningen om informationssäkerhet för samhälls- viktiga och digitala tjänster samt de föreskrifter som MSB meddelat med stöd av lagen och förordningen gäller för sektorerna bankverk- samhet, digital infrastruktur, energi, finansmarknadsinfrastruktur, hälso- och sjukvård, leverans och distribution av dricksvatten, trans- port och digitala tjänster. Tillsynen över regleringen är delad mellan flera myndigheter, som ansvarar för varsin sektor.
Till skillnad från informationssäkerhetsregleringen, som gäller för den totala informationshanteringen inom en verksamhet som träffas av regleringen, så gäller säkerhetsskyddsregleringen för en begränsad del av verksamheten (som är säkerhetskänslig) eller en delmängd uppgifter (för att dessa är säkerhetsskyddsklassificerade). I likhet med vad som gäller enligt informationssäkerhetsregleringen så är det verksamhetsutövaren (eller myndigheten) som ansvarar för att säkerhetsskyddet upprätthålls inom den egna verksamheten. Till- syn över säkerhetsskydd inom statliga myndigheter, kommuner och regioner utövas av Försvarsmakten och Säkerhetspolisen.
188
7 Dataskydd
7.1Inledning
Syftet med detta kapitel är att kartlägga de rättsliga förutsättning- arna för myndigheters1 utkontraktering av
Kapitlet inleds med en redogörelse för regleringen av myndig- heters behandling av personuppgifter. Därefter följer en genomgång av de regler i dataskyddsförordningen som reglerar det organisa- toriska och avtalsmässiga förhållandet mellan en personuppgifts- ansvarig och ett personuppgiftsbiträde. Avslutningsvis finns en ana- lys av rättsläget när det gäller överföring av personuppgifter till tredjeland.
7.2Dataskyddsregleringen
7.2.1Europakonventionen
Sedan den 1 januari 1995 är den europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna (Europa- konventionen) inkorporerad i svensk rätt och gäller som lag.2 Av 2 kap. 19 § regeringsformen framgår att lag eller annan föreskrift inte får meddelas i strid med Sveriges åtaganden på grund av konven- tionen.
Enligt artikel 8 i Europakonventionen har var och en rätt till respekt för sitt privat- och familjeliv, sitt hem och sin korrespon- dens. Offentlig myndighet får inte inskränka åtnjutande av denna rättighet annat än med stöd av lag och om det i ett demokratiskt
1Med myndigheter avses i detta kapitel statliga myndigheter, kommuner och regioner om inget annat framgår av sammanhanget.
2Lagen (1994:1219) om den europeiska konventionen angående skydd för de mänskliga rättig- heterna och de grundläggande friheterna, prop. 1993/94:117.
189
Dataskydd |
SOU 2021:1 |
samhälle är nödvändigt med hänsyn till statens säkerhet, den all- männa säkerheten, landets ekonomiska välstånd eller till förebygg- ande av oordning eller brott eller till skydd för hälsa eller moral eller för andra personers fri- och rättigheter.
Behandling av personuppgifter kan falla inom tillämpningsområ- det för artikel 8 i Europakonventionen.
7.2.2Europeiska unionens stadga om de grundläggande friheterna
Vid Europeiska rådets möte i Nice år 2000 antog EU:s medlems- stater Europeiska unionens stadga om de grundläggande rättighet- erna (stadgan). Som en följd av Lissabonfördraget, som trädde i kraft år 2009, är stadgan rättsligt bindande för
I artikel 7 i stadgan anges att var och en har rätt till respekt för sitt privatliv och familjeliv, sin bostad och sina kommunikationer. Av artikel 8 i stadgan framgår vidare att var och en har rätt till skydd av de personuppgifter som rör honom eller henne. Dessa uppgifter ska behandlas lagenligt för bestämda ändamål och på grundval av den berörda personens samtycke eller någon annan legitim och lagenlig grund. Var och en har rätt att få tillgång till insamlade uppgifter som rör honom eller henne och att få rättelse av dem. En oberoende myn- dighet ska kontrollera att dessa regler efterlevs.
3Dom av den 20 maj 2003, Österreichischer Rundfunk m.fl.,
4Se t.ex. Airey mot Irland, nr 6289/73, dom meddelad den 9 oktober 1979, X och Y mot Neder- länderna, nr 8978/80, dom meddelad den 26 mars 1985, K.U. mot Finland, nr 2872/02, dom meddelad den 2 december 2008 och Söderman mot Sverige, nr 5786/08, dom meddelad den
12november 2013.
190
SOU 2021:1 |
Dataskydd |
7.2.3Regeringsformen
Svensk grundlag ger ett grundläggande skydd för den personliga integriteten, utöver det som följer av att lag eller annan föreskrift inte får meddelas i strid med Europakonventionen. Enligt målsätt- ningsstadgandet i 1 kap. 2 § första stycket regeringsformen ska den offentliga makten utövas med respekt för den enskilda människans frihet. I fjärde stycket samma paragraf anges att det allmänna ska värna om den enskildes privat- och familjeliv. I 2 kap. 4 och 5 §§ regeringsformen finns bestämmelser om absolut skydd mot allvar- liga fysiska integritetsintrång, bl.a. döds- och kroppsstraff. Enligt 2 kap. 6 § första stycket regeringsformen är var och en därutöver skyddad gentemot det allmänna mot bl.a. påtvingade kroppsliga ingrepp.
För att stärka skyddet för den personliga integriteten infördes den 1 januari 2011 ett nytt andra stycke i 2 kap. 6 § regeringsformen. I bestämmelsen anges att var och en gentemot det allmänna är skyddad mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden. Skyddet får enligt 2 kap. 20 och 21 §§ regeringsformen begränsas genom lag, men endast för att till- godose ändamål som är godtagbara i ett demokratiskt samhälle.
7.2.4Dataskyddsförordningen
Inledning
Den generella regleringen av personuppgiftsbehandling i Sverige och
iövriga
Det materiella tillämpningsområdet
Dataskyddsförordningen ska tillämpas på sådan behandling av per- sonuppgifter som helt eller delvis företas på automatisk väg samt på annan behandling än automatisk av personuppgifter som ingår eller kommer att ingå i ett register (artikel 2.1).
191
Dataskydd |
SOU 2021:1 |
Med personuppgifter avses varje upplysning som avser en identi- fierad eller identifierbar fysisk person, varvid en identifierbar fysisk person är en person (registrerad) som direkt eller indirekt kan identi- fieras särskilt med hänvisning till en identifierare som ett namn, ett identifikationsnummer, en lokaliseringsuppgift eller onlineidentifi- katorer eller en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet (artikel 4.1).
Uttrycket behandling definieras som en åtgärd eller kombination av åtgärder beträffande personuppgifter eller uppsättningar av person- uppgifter, oberoende av om de utförs automatiserat eller ej, såsom insamling, registrering, organisering, strukturering, lagring, bearbet- ning eller ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring (artikel 4.2).
Med register förstås en strukturerad samling av personuppgifter som är tillgänglig enligt särskilda kriterier, oavsett om samlingen är centraliserad, decentraliserad eller spridd på grundval av funktionella eller geografiska förhållanden (artikel 4.6).
Utgångspunkten är att dataskyddsförordningen är tillämplig på all behandling av personuppgifter som utgör ett led i en verksamhet som omfattas av unionsrätten, med vissa undantag. Dataskydds- förordningen ska inte tillämpas på behandling av personuppgifter som medlemsstater utför när de bedriver verksamhet som omfattas av avdelning V kapitel 2 i
Att dataskyddsförordningen inte kan tillämpas utanför unions- rätten – i enlighet med vad som framgår av artikel 2.2 led a – följer redan av det förhållandet att EU:s befogenheter att anta bindande rättsakter naturligtvis är begränsad till unionsrätten. Bestämmelsen är alltså en ren upplysningsbestämmelse. I skäl 16 till dataskyddsför-
192
SOU 2021:1 |
Dataskydd |
ordningen anges nationell säkerhet som exempel på en sådan verk- samhet som faller utanför unionsrätten.
I artikel 2.2. led c, 2.3 och 2.4 i dataskyddsförordningen finns ytter- ligare föreskrifter om dataskyddsförordningens materiella tillämpnings- område.
Det territoriella tillämpningsområdet
Dataskyddsförordningen ska tillämpas på behandlingen av person- uppgifter inom ramen för den verksamhet som bedrivs av en per- sonuppgiftsansvarig eller ett personuppgiftsbiträde som är etablerad i unionen, oavsett om behandlingen utförs i unionen eller inte (arti- kel 3.1).
Vidare ska dataskyddsförordningen enligt artikel 3.2 tillämpas på behandling av personuppgifter som avser registrerade som befinner sig i unionen och som utförs av en personuppgiftsansvarig eller ett personuppgiftsbiträde som inte är etablerat i unionen i två situa- tioner, nämligen om behandlingen har anknytning till varor eller tjänster till sådana registrerade i unionen, oavsett om dessa varor eller tjänster erbjuds kostnadsfritt eller inte (led a) eller övervakning av deras beteende så länge beteendet sker inom unionen (led b).
Slutligen ska dataskyddsförordningen tillämpas på behandling av personuppgifter som utförs av en personuppgiftsansvarig som inte är etablerad i unionen, men på en plats där en medlemsstats natio- nella rätt gäller enligt folkrätten (artikel 3.3). Som exempel på en så- dan plats nämns i skäl 25 till förordningen en medlemsstats diplo- matiska beskickning eller konsulat.
7.2.5Dataskyddslagen
Av artikel 288 andra stycket i fördraget om Europeiska unionens funktionssätt följer att en förordning ska ha allmän giltighet och vara till alla delar bindande och direkt tillämplig i varje medlemsstat.
Den omständigheten att den generella unionsrättsakten om data- skydd är en förordning innebär omfattande begränsningar i möjlig- heten att införa eller behålla nationella bestämmelser om dataskydd. I dataskyddsförordningen finns emellertid många bestämmelser som både medger eller ger utrymme för kompletterande nationella bestäm-
193
Dataskydd |
SOU 2021:1 |
melser av olika slag. I vissa fall t.o.m. förutsätts kompletterande natio- nella bestämmelser. Detta gäller särskilt för den offentliga sektorn.
Vidare anges i skäl 8 till dataskyddsförordningen att om förord- ningen föreskriver förtydliganden eller begränsningar av dess be- stämmelser genom medlemsstaternas nationella rätt, kan medlems- staterna, i den utsträckning det är nödvändigt för samstämmigheten och för att göra de nationella bestämmelserna begripliga för de per- soner de tillämpas på, införliva delar av förordningen i nationell rätt. Det är alltså tillåtet att under vissa förutsättningar genomföra delar av dataskyddsförordningen i den nationella rätten.
De kompletterande bestämmelser som bedömts som lämpliga eller nödvändiga att införa i svensk rätt med anledning av dataskydds- förordningen och som är av generell karaktär, i betydelsen att de rör hela samhället eller flertalet myndigheter och inte endast en sektor, har samlats i lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning (dataskyddslagen).
Dataskyddslagen är inte heltäckande utan endast ett komplement till dataskyddsförordningen (1 kap. 3 §). Det innebär att lagen inte kan tillämpas självständigt. Är dataskyddslagen tillämplig på en viss behandling av personuppgifter som den personuppgiftsansvarige utför kan denna alltså inte nöja sig med att enbart tillämpa bestäm- melserna i den lagen. Även bestämmelserna i dataskyddsförordningen måste iakttas.
Dataskyddslagen är subsidiär i förhållande till annan reglering, dvs. om en annan lag eller en förordning innehåller någon bestäm- melse som avviker från den lagen, ska den bestämmelsen tillämpas i stället (1 kap. 6 §).
Genom 1 kap. 2 § dataskyddslagen har tillämpningsområdet för dataskyddsförordningen utvidgats. I paragrafen föreskrivs att bestäm- melserna i dataskyddsförordningen, i den ursprungliga lydelsen, och denna lag – dvs. dataskyddslagen – ska gälla även vid behandling av personuppgifter som utgör ett led i en verksamhet som inte omfattas av unionsrätten och i verksamhet som omfattas av avdelning V kapi- tel 2 i
194
SOU 2021:1 |
Dataskydd |
7.2.6Registerförfattningar
Vid sidan om dataskyddsförordningen och dataskyddslagen finns bestämmelser om dataskydd i en mängd s.k. registerförfattningar. I vissa fall finns också bestämmelser om dataskydd insprängda i för- fattningar som i huvudsak reglerar andra frågor.
Registerförfattningarna gäller i regel för en viss myndighet eller grupp av myndigheter. Författningarna innehåller särregler som är anpassade för den verksamhet som myndigheten eller myndighet- erna ägnar sig åt. Det följer av att dataskyddslagen är subsidiär i för- hållande till annan reglering att registerförfattningarna i förekom- mande fall ska tillämpas i stället för dataskyddslagen. Det kan i detta sammanhang inflikas att det finns många myndigheter för vilka det inte gäller någon registerförfattning. Sådana myndigheter har att enbart förhålla sig till dataskyddsförordningen och till de komplet- terande bestämmelserna i dataskyddslagen.
Som exempel på en registerförfattning kan nämnas domstolsdata- lagen (2015:728). Den lagen ska tillämpas när de allmänna domstol- arna, de allmänna förvaltningsdomstolarna samt hyres- och arrende- nämnderna behandlar personuppgifter dels i den rättskipande och rättsvårdande verksamhet, dels när personuppgifterna vidarebehandlas i den administrativa verksamheten för att lämnas ut efter begäran (2 § första stycket). Det anförda innebär att domstolarna – när de behandlar personuppgifter i andra sammanhang – t.ex. inom ramen för ett personalärende – har att tillämpa dataskyddsförordningen och de kompletterande bestämmelserna i dataskyddslagen.
Det bör understrykas att domstolsdatalagen och andra register- författningar endast utgör komplement till dataskyddsförordningen. I författningarna regleras alltså inte alla dataskyddsfrågor. Som exempel kan här nämnas reglerna om överföring av personuppgifter till tredje land som återfinns i artiklarna
195
Dataskydd |
SOU 2021:1 |
7.2.7Dataskyddsdirektivet
I samband med att dataskyddsförordningen antogs fattades även beslut om ett nytt direktiv för personuppgiftsbehandling inom det brottsbekämpande området: Europaparlamentets och rådets direktiv (EU) 2016/680 av den 27 april 2016 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personupp- gifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF (dataskyddsdirektivet).
Direktivet har i svensk rätt genomförts i huvudsak genom brotts- datalagen (2018:1177).
7.2.8Brottsdatalagen
Inledning
Brottsdatalagen är en ramlag som gäller vid behandling av person- uppgifter som utförs av behöriga myndigheter i syfte att förebygga, förhindra, upptäcka brottslig verksamhet, utreda eller lagföra brott eller verkställa straffrättsliga påföljder (1 kap. 2 §.) Lagen gäller också vid behandling av personuppgifter som en behörig myndighet utför i syfte att upprätthålla allmän ordning och säkerhet. Det ska sägas att grundläggande begrepp som personuppgifter, behandling
m.m.vilka förekommer i brottsdatalagen har samma innebörd som motsvarande begrepp i dataskyddsförordningen.
En avgörande skillnad mellan dataskyddsförordningen och brotts- datalagen är att den senare regleringens tillämpningsområde knutits till vilket syfte personuppgiftsbehandlingen har. Ytterligare en förut- sättning för att lagen ska vara tillämplig är som sagt att behandlingen utförs av en behörig myndighet. Det förhållandet att brottsdata- lagens tillämpningsområde knutits till bl.a. personuppgiftsbehand- lingens syfte innebär att personuppgifternas karaktär saknar betydelse för frågan om brottsdatalagen är tillämplig. Personuppgifterna som behandlas måste alltså inte i sig vara hänförliga till de frågor som behandlingen ska syfta till för att lagen ska vara tillämplig.
196
SOU 2021:1 |
Dataskydd |
Brottsdatalagen ska enligt lagmotiven i huvudsak tillämpas av Polis- myndigheten, Kustbevakningen, Skatteverket, Tullverket, Åklagar- myndigheten, Ekobrottsmyndigheten, de allmänna domstolarna och Kriminalvården (prop. 2017/18:232, 99 f.).
Brottsdatalagens tillämpningsområde är bredare
än det nya dataskyddsdirektivets tillämpningsområde
I likhet med dataskyddsförordningen ska det nya dataskyddsdirek- tivet inte tillämpas på behandling av personuppgifter som utgör ett led i en verksamhet som inte omfattas av unionsrätten (artikel 2.3 led a). Av skäl 14 till det nya dataskyddsdirektivet framgår att verk- samhet som rör nationell säkerhet, verksamhet som utförs av byråer och organ som hanterar nationella säkerhetsfrågor och medlems- staternas behandling av personuppgifter inom verksamhet som avser den gemensam utrikes- och säkerhetspolitiken inte omfattas av direk- tivets tillämpningsområde.
Artikel 2.3 a i det nya dataskyddsdirektivet har genomförts genom 1 kap. 4 § brottsdatalagen. Av den bestämmelsen följer att brotts- datalagen inte gäller vid Säkerhetspolisens behandling av personupp- gifter som rör nationell säkerhet eller om Polismyndigheten har övertagit en arbetsuppgift som rör nationell säkerhet. Lagen gäller inte heller sådan verksamhet som omfattas av lagen (2007:258) om behandling av personuppgifter i Försvarsmaktens försvarsunder- rättelseverksamhet och militära säkerhetstjänst.
Det sätt på vilket lagstiftningen utformats innebär att brottsdata- lagen däremot ska tillämpas när övriga myndigheter behandlar person- uppgifter som ett led i en verksamhet som inte omfattas av unionsrätten (jfr prop. 2017/18:232 s. 104 och 433.). Brottsdatalagen har därmed getts ett bredare tillämpningsområde än det nya dataskyddsdirektivet.
Vid sidan om brottsdatalagen finns olika speciallagar för brotts- bekämpande myndigheter. Dessa lagar gäller utöver brottsdatalagen. Som exempel kan nämnas lagen (2018:1693) om polisens behandling av personuppgifter inom brottsdatalagens område.
197
Dataskydd |
SOU 2021:1 |
7.2.9Några grunddrag i regleringen
Dataskyddsförordningen
Dataskyddsförordningen bygger på den grundläggande tanken att en personuppgiftsbehandling inte är tillåten med mindre än att det finns en rättslig grund för den. I artikel 6.1 i dataskyddsförordningen listas dessa grunder. Listan är uttömmande.
De rättsliga grunder som myndigheternas personuppgiftsbehand- ling i allmänhet grundar sig på återfinns i led c och led e. Enligt led c är behandlingen laglig om den är nödvändig för att fullgöra en rätts- lig förpliktelse som åvilar den personuppgiftsansvarige. Av led e följer att behandlingen är laglig om den är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgifts- ansvariges myndighetsutövning.
När det gäller de rättsliga grunder för behandlingen som följer av led c och led e sägs i första stycket i artikel 6.3 led a och led b att dessa grunder ska fastställas i enlighet med unionsrätten eller en medlemsstats nationella rätt som den personuppgiftsansvarige om- fattas av. I lagmotiven till dataskyddslagen görs bedömningen att dessa bestämmelser inte innebär något krav på att själva behand- lingen av personuppgifter måste regleras. Det är i stället den rättsliga förpliktelsen, uppgiften av allmänt intresse, eller myndighetsutöv- ningen som ska ha stöd i rättsordningen (prop. 2017/18:105 s. 48 ff.).
I dataskyddslagen har det i 2 kap. 1 och 2 §§ införts bestämmelser som syftar till att tydliggöra vad som följer av artikel 6.1 led c och led e och artikel 6.2 första stycket led a och b i dataskyddsförord- ningen.
I artikel 5.1 i dataskyddsförordningen listas ett antal principer som alltid måste iakttas när personuppgifter behandlas.
Som exempel kan nämnas att uppgifterna ska samlas in för sär- skilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål (led b).
Det är som utgångspunkt förbjudet att behandla vissa person- uppgifter, så kallade särskilda kategorier av personuppgifter, t.ex. personuppgifter som avslöjar politiska åsikter och personuppgifter som rör fällande domar i brottmål samt lagöverträdelser som inne- fattar brott (artikel 9 och 10). I vissa situationer gäller undantag från det principiella förbudet (artikel
198
SOU 2021:1 |
Dataskydd |
I artiklarna
Bestämmelser om personuppgiftsansvarigas ansvar och om person- uppgiftsbiträden m.m. finns i artiklarna
I artikel 44 finns ett principiellt förbud att överföra personupp- gifter som är under behandling eller är avsedda att behandlas efter det att de överförts till ett tredjeland eller en internationell organisa- tion. Undantag från detta förbud föreskrivs i artiklarna 45, 46 och 49.
Slutligen ska nämnas att i artikel
Brottsdatalagen
Enligt brottsdatalagen får personuppgifter behandlas om det är nöd- vändigt för att en behörig myndighet ska utföra sin uppgift att före- bygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott, verkställa straffrättsliga påföljder eller upprätthålla all- män ordning och säkerhet (2 kap. 1 § första stycket). I likhet med vad som gäller för dataskyddsförordningen bygger brottsdatalagen på den grundläggande tanken att en personuppgiftsbehandling måste vila på en rättslig grund för att den ska vara laglig.
Liksom när det gäller behandling av personuppgifter enligt data- skyddsförordningen gäller att personuppgifter bara får behandlas för särskilda, uttryckligt angivna och berättigade ändamål (2 kap. 3 § första stycket).
Vissa särregler gäller för känsliga personuppgifter (1 kap.
I övrigt innehåller lagen bestämmelser om de personuppgifts- ansvarigas skyldigheter (3 kap.), enskildas rättigheter (4 kap.), till- syn (5 kap.), administrativa sanktionsavgifter (6 kap.), skadestånd och överklagande (7 kap.) och överföring av personuppgifter till tredje- land och internationella organisationer (8 kap.).
199
Dataskydd |
SOU 2021:1 |
7.3Det organisatoriska och avtalsmässiga förhållandet mellan den ansvarige och ett biträde
7.3.1Roller vid behandling av personuppgifter
Den personuppgiftsansvarige är en fysisk eller juridisk person, offent- lig myndighet, institution eller annat organ som ensamt eller tillsam- mans med andra bestämmer ändamålen och medlen för behand- lingen av personuppgifter (artikel 4.7). Om ändamålen och medlen för behandlingen bestäms av unionsrätten eller medlemsstaternas nationella rätt kan den personuppgiftsansvarige eller de särskilda kriterierna för hur denne ska utses föreskrivas i unionsrätten eller i medlemsstaternas nationella rätt (artikel 4.7 och skäl 45).
En förutsättning för dataskyddets upprätthållande är att det finns någon som är ansvarig för att reglerna följs.
Ett personuppgiftsbiträde är enligt dataskyddsförordningen en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som behandlar personuppgifter för den personuppgiftsansva- riges räkning (artikel 4.8).
Den som behandlar personuppgifter på ett sätt som omfattas av dataskyddsförordningen utför alltid behandlingen i egenskap av antingen personuppgiftsansvarig eller personuppgiftsbiträde. Några andra roller vid personuppgiftsbehandling finns inte. En annan sak är att det enligt dataskyddsförordningen är möjligt att vara mottagare av personuppgifter, dvs. den som får personuppgifter utlämnade till sig, eller tredje part (artikel
5Se bl.a.
200
SOU 2021:1 |
Dataskydd |
7.3.2Myndigheters personuppgiftsansvar
Som vi nämner i avsnitt 7.2.6 ovan finns flera registerförfattningar som kompletterar dataskyddsförordningen och dataskyddslagen. Ibland följer det av registerförfattningen vilken myndighet som är personuppgiftsansvarig. Om en personuppgiftsbehandling omfattas av en registerförfattning och personuppgiftsansvaret regleras i register- författningen, ansvarar den myndighet som där utpekas som person- uppgiftsansvarig för behandlingen av personuppgifter som regleras av registerförfattningen. Omfattas behandlingen av personuppgifter inte av registerförfattningen eller dess bestämmelse om personupp- giftsansvar så avgörs ansvaret utifrån den allmänna definitionen i dataskyddsförordningen.
I de fall personuppgiftsansvaret inte definieras i nationell rätt men där en myndighets verksamhet eller uppgifter regleras av natio- nell lagstiftning bör personuppgiftsansvaret härledas från nationell rätt genom den uppgift som ålagts den myndigheten.6 Den myn- dighet som behandlar personuppgifter som ett led i att uppfylla en rättslig förpliktelse, för att utföra en uppgift av allmänt intresse eller som ett led i myndighetsutövning bör därmed som regel vara att anse som personuppgiftsansvarig för den personuppgiftsbehandlingen, mot bakgrund av kravet på att den rättsliga grunden för sådan behandling ska vara fastställd i enlighet med nationell rätt.
Beroende på om det finns en tillämplig registerförfattning och hur denna är utformad kan bestämmelser om personuppgiftsansvar
ien registerförfattning omfatta handhavandet av
Myndigheter bestämmer som utgångspunkt över mål och medel för den personuppgiftsbehandling som sker inom ramen för sin egen
6Se Artikel
201
Dataskydd |
SOU 2021:1 |
när flera myndigheter samordnar sin
7.3.3Personuppgiftsansvarets innebörd vid anlitande av ett personuppgiftsbiträde
Personuppgiftsansvaret innebär ett ansvar både för att efterleva data- skyddsförordningen och de nationella regler som meddelats med stöd av den, och att dokumentera de överväganden som görs och åtgärder som vidtas på ett sådant sätt att efterlevnaden kan påvisas. Detta följer av ansvarsskyldigheten (artikel 5.2).
Ansvarsskyldigheten innebär mer precist att den personuppgifts- ansvarige med beaktande av behandlingens art, omfattning, samman- hang och ändamål samt riskerna, av varierande sannolikhetsgrad och allvar, för fysiska personers rättigheter och friheter ska genomföra lämpliga tekniska och organisatoriska åtgärder för att säkerställa och kunna visa att behandlingen utförs i enlighet med förordningen. De åtgärder som vidtas ska ses över och uppdateras vid behov (arti- kel 24.1). Ett sätt för den personuppgiftsansvarige att visa att denne fullgör sina skyldigheter är att tillämpa godkända uppförandekoder eller godkända certifieringsmekanismer (artikel 24.3).
När en personuppgiftsansvarig anlitar ett personuppgiftsbiträde ska det ske i enlighet med de regler som uppställs i dataskydds- förordningen. Det finns med utgångspunkt i ansvarsprincipen även anledning att dokumentera de överväganden som görs, avseende exempelvis val av biträde, på lämpligt sätt.
När det gäller val av biträde framgår det av dataskyddsförord- ningen att om en behandling ska genomföras för en personuppgifts- ansvarigs räkning ska den personuppgiftsansvarige endast anlita per- sonuppgiftsbiträden som ger tillräckliga garantier om att genomföra lämpliga tekniska och organisatoriska åtgärder på ett sådant sätt att behandlingen uppfyller kraven i förordningen och säkerställer att den registrerades rättigheter skyddas (artikel 28.1). Av skäl 81 fram- går att tillräckliga garantier ska ges i synnerhet i fråga om sakkun- skap, tillförlitlighet och resurser.
Den personuppgiftsansvarige har med andra ord en omsorgsplikt vid val av biträde, som innefattar att göra en riskbedömning. Om- sorgsplikten innebär att den personuppgiftsansvarige behöver utreda vilka förutsättningar personuppgiftsbiträdet har att efterleva sina
202
SOU 2021:1 |
Dataskydd |
skyldigheter enligt dataskyddsregelverket. Eventuella skyldigheter som personuppgiftsbiträdet omfattas av enligt tredjelands lagstift- ning att lämna ut personuppgifter till det landets myndigheter i strid med bestämmelserna om tredjelandsöverföring bör enligt vår uppfatt- ning kunna tas i beaktande vid bedömningen av om personuppgifts- biträdet kan ge tillräckliga garantier.
Ett personuppgiftsbiträde kan visa att sådana tillräckliga garantier tillhandahålls genom att ha anslutit sig till en godkänd uppförande- kod eller en godkänd certifieringsmekanism (artikel 28.5).
7.3.4Personuppgiftsbehandling för den ansvariges räkning
Det som är avgörande för att den som behandlar personuppgifter gör det i egenskap av personuppgiftsbiträde är att denne behandlar personuppgifter ”för den personuppgiftsansvariges räkning”. Det förekommer situationer där rollfördelningen i förhållande till en personuppgiftsbehandling framstår som oklar.
Europeiska dataskyddsstyrelsen, EDPB, har tagit fram en vägled- ning rörande begreppen personuppgiftsansvarig och personupp- giftsbiträde. I vägledningen framhålls att bedömningen av om det är fråga om ett biträdesförhållande beror på vilka konkreta aktiviteter som vidtas med personuppgifter i en specifik kontext. Bedömningen ska utgå från den tjänst som erbjuds. När tjänsten som erbjuds inte är specifikt inriktad på behandling av personuppgifter, eller där per- sonuppgiftsbehandlingen inte utgör ett kärnelement i den tjänst som erbjuds, så kan tjänsteleverantören vara personuppgiftsansvarig för den personuppgiftsbehandling som tjänsteleverantören utför, bero- ende på att det då är mer troligt att det är tjänsteleverantören själv som bestämmer ändamål och medel för personuppgiftsbehandlingen.7
Tillhandahållande av
7EDPB, Guidelines 07/2020 on the concepts of controller and processor in the GDPR, version 1.0, beslutad den 02 september 2020, s. 25.
203
Dataskydd |
SOU 2021:1 |
uppgiftsbiträde åt uppdragsgivande myndighet, som är personupp- giftsansvarig.
7.3.5Personuppgiftsbiträdesavtalets form och innehåll
Av dataskyddsförordningen framgår att när uppgifter behandlas av ett personuppgiftsbiträde ska hanteringen regleras genom ett avtal eller en annan rättsakt enligt unionsrätten eller enligt medlemsstat- ernas nationella rätt som är bindande för personuppgiftsbiträdet med avseende på den personuppgiftsansvarige (artikel 28.3).
Det finns varken inom svensk rätt eller unionsrätten någon rätts- akt med det innehåll som framgår av dataskyddsförordningen av- seende förhållandet mellan den personuppgiftsansvarige och ett per- sonuppgiftsbiträde som är tillämplig vid utkontraktering av
Personuppgiftsbiträdesavtalet ska vara skriftligt (artikel 28.9) och kan helt eller delvis baseras på sådana standardavtalsklausuler som beslutas av kommissionen eller en tillsynsmyndighet (artikel
I personuppgiftsbiträdesavtalet ska föremålet för behandlingen, behandlingens varaktighet, art och ändamål, typen av personupp- gifter och kategorier av registrerade, samt den personuppgiftsansva- riges skyldigheter och rättigheter anges (artikel 28.3). I dataskydds- förordningen föreskrivs dessutom följande rörande avtalets innehåll.
Det ska framgå att biträdet endast får behandla personuppgifter på dokumenterade instruktioner från den personuppgiftsansvarige, inbegripet när det gäller överföringar av personuppgifter till ett tredjeland eller en internationell organisation (artikel 28.3, led a).
Avtalet ska till sitt innehåll säkerställa att personer med behörig- het att behandla personuppgifterna har åtagit sig att iaktta konfidentia- litet eller omfattas av en lämplig lagstadgad tystnadsplikt (artikel 28.3, led b).
204
SOU 2021:1 |
Dataskydd |
Det ska framgå av avtalet att personuppgiftsbiträdet ska vidta alla de tekniska och organisatoriska åtgärder som krävs enligt dataskydds- förordningen för att säkerställa en lämplig säkerhetsnivå (artikel 28.3 led c och artikel 32).
Personuppgiftsbiträdet ska vidare i avtalet åta sig att respektera de villkor som uppställs i avtalet för anlitande av ett annat person- uppgiftsbiträde (underbiträde) (artikel 28.3, led d).
I avtalet ska biträdet även åläggas att hjälpa den personuppgifts- ansvarige, genom lämpliga tekniska och organisatoriska åtgärder och om detta är möjligt, så att den personuppgiftsansvarige kan fullgöra sin skyldighet att svara på begäran om utövande av den registrerades rättigheter (artikel 28.3, led e).
Det ska av avtalet framgå att personuppgiftsbiträdet ska bistå den personuppgiftsansvarige med att se till att vissa i förordningen an- givna skyldigheter avseende bl.a. säkerhet uppfylls (artikel 28, led f).
Avtalet ska reglera hanteringen av personuppgifter när biträdets uppdrag att behandla personuppgifter upphört (artikel 28, led g).
Personuppgiftsbiträdet ska dessutom i avtalet åläggas att ge den personuppgiftsansvarige tillgång till all information som krävs för att visa att de skyldigheter som fastställs i denna artikel har fullgjorts samt möjliggöra och bidra till granskningar, inbegripet inspektioner, som genomförs av den personuppgiftsansvarige eller av en annan revi- sor som bemyndigats av den personuppgiftsansvarige (artikel 28, led h).
7.3.6Personuppgiftsbiträdets skyldigheter och ansvar
Personuppgiftsbiträdets uppgift är att behandla personuppgifter en- ligt den personuppgiftsansvariges instruktioner (artikel 29). Sådan personuppgiftsbehandling som går utöver den ansvariges instruktioner är inte tillåten. I personuppgiftsbiträdesavtalet regleras ytterligare skyldigheter för biträdet gentemot den ansvarige.
Utöver skyldigheten att enbart behandla personuppgifter enligt den ansvariges instruktioner och de skyldigheter som framgår av biträdesavtalet så innehåller dataskyddsförordningen vissa skyldig- heter som direkt åligger personuppgiftsbiträdet.
Personuppgiftsbiträdet ska föra ett register över alla kategorier av behandling som utförts för den personuppgiftsansvariges räkning (artikel 30). Personuppgiftsbiträdet ska vidare på begäran samarbeta
205
Dataskydd |
SOU 2021:1 |
med tillsynsmyndigheten vid utförandet av dennes uppgifter (arti- kel 31). Personuppgiftsbiträdet har ett självständigt ansvar för att vidta lämpliga tekniska och organisatoriska åtgärder för att säker- ställa en säkerhetsnivå som är lämplig i förhållande till risken (arti- kel 32). Personuppgiftsbiträdet ska underrätta den personuppgifts- ansvarige utan onödigt dröjsmål efter att ha fått vetskap om en per- sonuppgiftsincident (artikel 33.2). Personuppgiftsbiträdet ska också under vissa omständigheter utse ett dataskyddsombud (artikel 37). Avslutningsvis innehåller dataskyddsförordningen bestämmelser som gäller när personuppgiftsbiträdet anlitar ett underbiträde (artikel 28.2 och 4).
Om personuppgiftsbiträdet inte uppfyller sina skyldigheter en- ligt dataskyddsförordningen kan biträdet bli föremål för administra- tiva sanktionsavgifter (artikel 83). Det finns även möjlighet för en registrerad att väcka talan mot ett personuppgiftsbiträde (artikel 79). Den registrerade har också rätt till ersättning från personuppgifts- biträdet när skada inträffar som en följd av överträdelse av förord- ningens bestämmelser (artikel 83).
Personuppgiftsbiträden ska avslutningsvis i vissa fall utse en före- trädare inom unionen (artikel 27.1).
7.3.7Underbiträden
Ett personuppgiftsbiträde får inte anlita ett annat personuppgifts- biträde (underbiträde) utan att ett särskilt eller allmänt skriftligt förhandstillstånd har erhållits av den personuppgiftsansvarige. Om ett allmänt skriftligt tillstånd har erhållits, ska personuppgiftsbiträ- det informera den personuppgiftsansvarige om eventuella planer på att anlita nya personuppgiftsbiträden eller ersätta personuppgifts- biträden, så att den personuppgiftsansvarige har möjlighet att göra invändningar mot sådana förändringar (artikel 28.2).
I de fall där ett personuppgiftsbiträde anlitar ett underbiträde för utförande av specifik behandling på den personuppgiftsansvariges vägnar ska underbiträdet genom ett avtal eller en annan rättsakt enligt unionsrätten eller enligt medlemsstaternas nationella rätt, åläggas samma skyldigheter i fråga om dataskydd som de som fast- ställs i avtalet eller den andra rättsakten mellan den personuppgifts- ansvarige och personuppgiftsbiträdet, och framför allt att ge tillräck-
206
SOU 2021:1 |
Dataskydd |
liga garantier om att genomföra lämpliga tekniska och organisa- toriska åtgärder på ett sådant sätt att behandlingen uppfyller kraven i denna förordning. Om underbiträdet inte fullgör sina skyldigheter i fråga om dataskydd ska det ursprungliga personuppgiftsbiträdet vara fullt ansvarig gentemot den personuppgiftsansvarige för utför- andet av det andra personuppgiftsbiträdets skyldigheter (artikel 28.4).
7.3.8Behandlingar som går utöver den ansvariges instruktioner
Om ett personuppgiftsbiträde fastställer ändamålen med och medlen för behandlingen innebär det en överträdelse av dataskyddsförord- ningen och att personuppgiftsbiträdet blir personuppgiftsansvarig för den behandlingen (artikel 28.10).
Frågan är hur behandlingar som går utöver den ansvariges instruk- tioner förhåller sig till behandlingar för vilka personuppgiftsbiträdet fastställer ändamål och medel för personuppgiftsbehandlingen.
Den personuppgiftsansvarige får endast behandla personuppgif- ter som är adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas (artikel 5.1, led c). Det är inte otänkbart att en personuppgiftsbehandling som personuppgiftsbiträdet utför som går utöver den ansvariges instruktioner, men inte sker för ändamål som biträdet själv fastställt, ryms inom de tillåtna ramarna inom vilka den ansvarige får behandla personuppgifter. Så länge behandlingen inte sker för ändamål som biträdet själv fastställt, bör behandlingen inte kunna anses ske i strid med bestämmelsen i arti- kel 28.10. En sådan behandling skulle dock stå i strid med artikel 29. Den skulle dessutom ske i strid med villkoren i personuppgifts- biträdesavtalet.
En behandling som innebär att personuppgiftsbiträdet behandlar uppgifter för ändamål som biträdet själv fastställt innebär att bi- trädet själv blir ansvarig för behandlingen, och kan därmed bli skyl- dig att betala sanktionsavgifter enbart på den grunden att det skett en överträdelse av artikel 28.10.
207
Dataskydd |
SOU 2021:1 |
7.3.9Reglering av inbördes ansvar och sanktioner
Inledning
Både tillsynsmyndighetens sanktionsmöjligheter och den registrerades ställning har stärkts genom dataskyddsförordningen. När det gäller relationen mellan den personuppgiftsansvarige och personuppgifts- biträdet så innehåller dataskyddsförordningen väldigt få bestämmel- ser om vad som gäller när personuppgiftsbiträdet inte uppfyller sina skyldigheter i förhållande till den personuppgiftsansvarige. Detta får förutsättas regleras på avtalsmässig väg i relationen mellan de båda. Det finns dock anledning att beröra några regler som är av betydelse för relationen mellan den ansvarige och biträdet när biträdet inte uppfyller sina skyldigheter enligt dataskyddsförordningen i förhåll- ande till den ansvarige.
Skadestånd
En personuppgiftsansvarig som behandlat personuppgifter på ett sätt som strider mot dataskyddsförordningen och därigenom orsakar skada ansvarar för skadan. Ett personuppgiftsbiträde ansvarar för skada uppkommen till följd av behandlingen endast om denne inte har fullgjort de skyldigheter enligt dataskyddsförordningen som speci- fikt riktar sig till personuppgiftsbiträden eller agerat utanför eller i strid med den personuppgiftsansvariges lagenliga anvisningar (arti- kel 82.2).
Den personuppgiftsansvarige ska lämna biträdet instruktioner för personuppgiftsbehandlingen (jfr artikel 28.3). Om personuppgifts- biträdet anser att en instruktion strider mot dataskyddsförordningen eller mot andra av unionens eller medlemsstaternas dataskydds- bestämmelser ska biträdet omedelbart informera den ansvarige om detta (artikel 28.3). En sådan underrättelse bör rimligen kunna på- verka personuppgiftsbiträdets ansvar för personuppgiftsbehandling som sker i strid med dataskyddsförordningen.
Personuppgiftsbiträdet är skyldigt att följa den ansvariges instruk- tioner. Detta förhållande skulle även kunna uttryckas som att den personuppgiftsansvarige har en ensidig rätt att lämna, och ändra redan lämnade, instruktioner. En annan sak är att en ändring av instruk-
208
SOU 2021:1 |
Dataskydd |
tionerna kan påverka prissättningen för den tjänst som biträdet till- handahåller den ansvarige.
Det går att tänka sig en situation där den personuppgiftsansvarige lämnar en instruktion som innebär att exempelvis tredjelandsöver- föring av personuppgifter inte är tillåten. Om personuppgifts- biträdet ändå genomför en tredjelandsöverföring så innebär detta att biträdet handlar i strid med den ansvariges instruktioner och person- uppgiftsbiträdets bör då kunna hållas ansvarig för skada som drabbar den registrerade genom att tredjelandsöverföringen sker utan stöd i dataskyddsförordningen.
Om den ansvarige har vetskap om eller skäl att misstänka att personuppgiftsbiträdet överför personuppgifter till tredjeland i strid med den ansvariges instruktioner bör dock den ansvarige inte kunna undkomma i alla fall visst ansvar. Detta eftersom den personupp- giftsansvarige eller personuppgiftsbiträdet ska undgå ansvar endast om den visar att den inte på något sätt är ansvarig för den händelse som orsakade skadan (artikel 28.3).
En personuppgiftsansvarig och ett personuppgiftsbiträde som har medverkat vid samma behandling och som är ansvariga för even- tuell skada som behandlingen orsakat är solidariskt ansvariga (arti- kel 82.4). Den av den ansvarige och biträdet som då har betalat full ersättning för skadan har rätt att från den andre som medverkat vid samma behandling återkräva den del av ersättningen som motsvarar dennes del av ansvaret för skadan (artikel 82.5).
Den ansvarige har sammanfattningsvis möjlighet att få ersättning för utlägg som den ansvarige gör för skador som personuppgifts- biträdet orsakar när behandling av personuppgifter sker i strid med den personuppgiftsansvariges instruktioner.
Administrativa sanktionsavgifter
Tillsynsmyndigheten får påföra administrativa sanktionsavgifter vid överträdelser av dataskyddsförordningen (artikel 58.2 led i och arti- kel 83). Denna befogenhet finns både i förhållande till den person- uppgiftsansvarige och personuppgiftsbiträdet, när biträdet inte upp- fyller de skyldigheter i dataskyddsförordningen som riktar sig direkt till personuppgiftsbiträdet. Som exempel på när sanktionsavgifter kan utdömas gentemot ett personuppgiftsbiträde kan nämnas den
209
Dataskydd |
SOU 2021:1 |
situationen då personuppgiftsbiträdet behandlat personuppgifter på något annat sätt än enligt den personuppgiftsansvariges instruk- tioner (artikel 83.4 led a som innehåller en hänvisning till artikel 29).
Det ska i sammanhanget framhållas att det i Sverige finns en beloppsmässig begränsning för sanktionsavgifter som utdöms i för- hållande till myndigheter, som är väsentligt lägre än vad som gäller i förhållande till privata aktörer. Det finns en möjlighet för medlems- staterna att fastställa regler om sanktionsavgifter för myndigheter (artikel 58.7). Sådana regler finns i dataskyddslagen, där det framgår att i förhållande till myndigheter får sanktionsavgifter bestämmas upp till 10 miljoner kronor (6 kap. 2 §). För ett personuppgiftsbiträde som inte omfattas av beloppsbegränsningen gäller att sanktions- avgifterna kan uppgå till 10 000 000 EUR eller på upp till 2 procent av ett företags totala globala årsomsättningen under föregående budgetår (artikel 58.4). I lagmotiven anges bl.a. följande som skäl för införandet av den beloppsmässiga begränsningen. Inom den privata sektorn kan en överträdelse av dataskyddsregleringen, förutom att kränka enskildas personliga integritet, medföra otillbörliga konkurrens- fördelar som snedvrider den inre marknaden. Någon sådan ekono- misk vinning, på bekostnad av andra aktörer på marknaden, kan myndigheter inte dra. Dessutom lyfts att när det gäller institution- ernas egen behandling av personuppgifter så gäller en beloppsgräns som är betydligt lägre än vad som gäller enligt dataskyddsförord- ningen (prop. 2017/18:105, s. 141).
Det förekommer avtalsklausuler som innebär att den personupp- giftsansvarige ska vara skyldig att ersätta personuppgiftsbiträdet när personuppgiftsbiträdet drabbats av en sanktionsavgift, där maxbelop- pet är satt högre än de 10 miljoner kronor som gäller enligt data- skyddslagen. Det kan finnas anledning för en myndighet att överväga om det är lämpligt att godta sådana avtalsklausuler, mot bakgrund av att den svenska lagstiftaren gjort bedömningen att sanktionsavgifter som kan utdömas gentemot myndigheter ska uppgå till max 10 mil- joner kronor.
210
SOU 2021:1 |
Dataskydd |
7.4Tredjelandsöverföring
enligt dataskyddsförordningen
7.4.1Inledning
Det ingår i vårt uppdrag att analysera de rättsliga förutsättningarna för utkontraktering av
Detta avsnitt innehåller en analys av de rättsliga förutsättningarna för överföring av personuppgifter till tredjeland, i ljuset av EU- domstolens senaste praxis avseende överföringar av personuppgifter till tredjeland.
Det bör inledningsvis poängteras att det är den personuppgifts- ansvarige, och i vissa fall personuppgiftsbiträdet, som ska säkerställa att dataskyddsregleringen efterlevs. Det innebär att det är den per- sonuppgiftsansvarige, dvs. myndigheten, som ska tolka regelverket och utifrån sin tolkning ta ställning till vilka åtgärder som lagligen kan vidtas med personuppgifter. Detta gäller även för överföringar av personuppgifter till tredjeland.
De nationella dataskyddsmyndigheterna kan gemensamt genom EDPB lämna råd, riktlinjer och rekommendationer avseende tolk- ningen och tillämpningen av reglerna i dataskyddsförordningen (artikel 70.1 led e). I slutändan är det dock
Det kan konstateras att dataskyddsförordningens regler om tredje- landsöverföring försvårar, och i vissa fall förhindrar, vissa former av utkontraktering, inte minst efter
211
Dataskydd |
SOU 2021:1 |
7.4.2Överföring av personuppgifter till tredjeland är bara tillåten i vissa fall
Det är enligt dataskyddsförordningen som utgångspunkt förbjudet att överföra personuppgifter till tredjeland, dvs. länder utanför EU och EES, och till internationella organisationer. Överföring av person- uppgifter till tredjeland får bara ske om villkoren i dataskyddsför- ordningen för när sådan överföring är tillåten är uppfyllda (artikel 44).
Dataskyddsregelverket syftar till att skydda de registrerades per- sonuppgifter. Ett fritt flöde av personuppgifter över gränserna till länder med endast ett svagt eller obefintligt skydd för enskildas fri- och rättigheter vid behandling av personuppgifter skulle urholka det skydd som dataskyddsförordningen är avsedd att ge.
Den som överför personuppgifter har inte bara att förhålla sig till bestämmelserna i femte kapitlet. Alla andra bestämmelser i data- skyddsförordningen måste också följas. Det innebär bl.a. att det måste finnas en rättslig grund för den personuppgiftsbehandlingen enligt artikel 6.
Det följer av förordningstexten att förbudet även gäller för vidare överföring av personuppgifter från det tredje landet eller den inter- nationella organisationen till ett annat tredjeland eller en annan inter- nationell organisation.
7.4.3Vad avses med en tredjelandsöverföring av personuppgifter?
Utredningens bedömning: Det utgör en överföring av person- uppgifter till tredjeland när en personuppgiftsansvarig eller ett personuppgiftsbiträde behandlar personuppgifter genom använd- ning av utrustning som finns i tredjeland. Det saknar betydelse hur lång eller kort tid som utrustningen används och om upp- gifterna är krypterade eller pseudonymiserade – det är alltjämt fråga om personuppgifter och en överföring av sådana uppgifter.
212
SOU 2021:1 |
Dataskydd |
Allmänt
Vad som närmare ska förstås med att personuppgifter överförs till tredjeland är inte reglerat i dataskyddsförordningen. I skälen till förordningen anges att ”[d]et är viktigt att den skyddsnivå som fysiska personer säkerställs inom unionen genom denna förordning inte undergrävs när personuppgifter överförs från unionen till per- sonuppgiftsansvariga, personuppgiftsbiträden eller andra mottagare i tredjeland […] vilket inbegriper vidarebefordran av personupp- gifter från tredjelandet […] till personuppgiftsansvariga, personupp- giftsbiträden i samma eller ett annat tredjeland” (skäl 101).
Skrivningen tyder på att det inte bara är när personuppgifter överförs från en personuppgiftsansvarig eller ett personuppgifts- biträde inom EU ochEES eller i ett tredjeland till en mottagare i ett annat tredjeland som det är fråga om en tredjelandsöverföring, utan även när en personuppgiftsansvarig eller ett personuppgiftsbiträde som finns i ett tredjeland för över personuppgifter till en mottagare i samma tredjeland.
Praxis från
Isitt svar på dessa frågor angav
ien medlemsstat lägger ut personuppgifter som är lagrade på en
8Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter.
213
Dataskydd |
SOU 2021:1 |
webbsida som i sin tur är lagrad hos en webbhotelleverantör som är etablerad i samma medlemsstat eller i en annan medlemsstat, varvid uppgifterna blir åtkomliga för alla som kopplar upp sig på Internet, inklusive personer i tredje land (p. 4 i domslutet).
Vår bedömning av innebörden av tredjelandsöverföring
En strikt läsning av domen i Lindqvist ger vid handen att internet- publicering inte utgör någon överföring av personuppgifter till tredje- land i den mening som avses i artikel 25 i 1995 års dataskyddsdirektiv givet att det är en enskild individ som publicerar uppgifterna, att den enskilda individen befinner sig i en medlemsstat och att webb- hotelleverantören är etablerad i en medlemsstat.
Som vi bedömer saken måste det dock betraktas som en över- föring av personuppgifter till tredjeland att en personuppgiftsansvarig eller ett personuppgiftsbiträde behandlar personuppgifter genom användning av utrustning som finns i tredjeland. Det saknar bety- delse hur lång eller kort tid som utrustningen används. Inte heller har det någon betydelse i sammanhanget att uppgifterna är krypterade eller pseudonymiserade. Det är alltjämt fråga om personuppgifter och en överföring av sådana uppgifter. Av detta följer att det inte krävs – för att det ska vara fråga om en överföring – att uppgifterna lämnas ut till tredje part.9
Även om personuppgifterna hela tiden är under den personupp- giftsansvariges kontroll är det alltså fråga om en överföring när de förs över till tredjeland eller en internationell organisation.
9Jfr Sören Öman, Dataskyddsförordningen, artikel 44, Nordstedts Juridik (JUNO).
214
SOU 2021:1 |
Dataskydd |
Det är också vår bedömning att det inte är fråga om en tredje- landsöverföring när personuppgifter behandlas uteslutande inom EU, även om den personuppgiftsansvarige eller personuppgiftsbiträdet som behandlar personuppgifterna är bunden av tredjelands lagstift- ning som innebär att denne kan åläggas att lämna ut uppgifter direkt till ett tredjelands myndigheter. Tredjelandsöverföringen sker först i samband med att uppgifterna överförs till myndigheter eller annan mottagare i tredjeland. Däremot kan förekomsten av nämnda skyl- digheter enligt vår uppfattning ha betydelse utifrån omsorgsplikten vid val av personuppgiftsbiträde (se avsnitt 7.3.3).
7.4.4Överföring på grundval av ett beslut om adekvat skyddsnivå
Personuppgifter får överföras till tredjeland eller en internationell organisation om kommissionen har beslutat att tredjelandet, ett terri- torium eller en eller flera specificerade sektorer i tredjelandet, eller den internationella organisationen i fråga säkerställer en adekvat skyddsnivå (artikel 45.1). En överföring som sker på denna grund kräver inget särskilt tillstånd. Ett beslut om adekvat skyddsnivå fattas av kommissionen enligt artikel 45.3.
I artikel 45.2 finns regler om vilka faktorer som kommissionen ska beakta när den bedömer om det finns en adekvat skyddsnivå. Bestämmelsen innehåller tre led med en uppräkning av olika om- ständigheter som kommissionen ska ta hänsyn till i sin bedömning. Det första ledet (led a) tar sikte på respekten för rättsstatsprincipen och mänskliga rättigheter och grundläggande friheter liksom före- komsten av relevant lagstiftning och regler samt faktiska och verk- ställbara rättigheter för registrerade, inbegripet tillgång till effektiv administrativ och rättslig prövning för de registrerade vars person- uppgifter överförs. Det andra ledet (led b) avser förekomsten av en eller flera effektivt fungerande oberoende tillsynsmyndigheter i det tredjelandet som har ansvar för att säkerställa och kontrollera att data- skyddsregler följs, och lämpliga verkställighetsbefogenheter. Det tredje ledet (led c) avser bl.a. förekomsten av internationella åtaganden som det berörda tredjelandet gjort.
Kommissionen har med stöd av motsvarande regler i 1995 års dataskyddsdirektiv fattat tolv beslut om adekvat skyddsnivå. Dessa beslut avser USA, Andorra, Argentina, Bailiwick of Guernsey, dvs.
215
Dataskydd |
SOU 2021:1 |
öarna Guernsey, Alderney, Sark, Herm, Jethou, Brecqou och Lihou samt Färöarna, Isle of Man, Israel, Jersey, Kanada, Nya Zeeland, Schweiz och Uruguay. Av artikel 45.9 i dataskyddsförordningen följer att dessa beslut ska förbli i kraft tills de ändras, ersätts eller upphävs.
Hittills har kommissionen fattat ett beslut om adekvat skydds- nivå med stöd av artikel 45.3 i dataskyddsförordningen. Detta beslut avser Japan.
När det gäller USA antog kommissionen ett beslut redan år 2000 om adekvat skyddsnivå genom de s.k. Safe
Efter intensiva förhandlingar mellan kommissionen och USA an- togs i juli 2016 ett nytt beslut om adekvat skyddsnivå genom den så kallade skölden för privatlivet.11 Det senare av dessa beslut var i allt väsentligt konstruerat på samma sätt som det tidigare beslutet om adekvat skyddsnivå genom Safe
7.4.5Överföring som omfattas av lämpliga skyddsåtgärder
Utredningens bedömning: Standardavtalsklausuler är en lämplig skyddsåtgärd som kan läggas till grund för överföring av person- uppgifter till tredjeland om det i mottagarens land finns ett grund- läggande rättighetsskydd och en möjlighet att göra detta skydd gällande inför domstol eller annan oberoende instans.
10Kommissionens beslut av den 26 juli 2000 enligt Europaparlamentets och rådets direktiv 95/46/EG om huruvida ett adekvat skydd säkerställs genom de principer om integritetsskydd (Safe Harbor Privacy Principles) i kombination med frågor och svar som Förenta staternas handelsministerium utfärdat (2000/520/EG).
11Kommissionens genomförandebeslut (EU) 2016/1250 av den 12 juli 2016 enligt Europa- parlamentets och rådets direktiv 95/46/EG om huruvida ett adekvat skydd säkerställs genom skölden för skydd av privatlivet i EU och Förenta staterna.
216
SOU 2021:1 |
Dataskydd |
Allmänt
Om det inte finns något beslut om adekvat skyddsnivå kan över- föring av personuppgifter till tredjeland eller en internationell orga- nisation ske efter att den personuppgiftsansvarige eller personupp- giftsbiträdet som har för avsikt att överföra personuppgifter har vidtagit lämpliga skyddsåtgärder och på villkor att lagstadgade rättig- heter för registrerade och effektiva rättsmedel för registrerade finns att tillgå (artikel 46.1).
I artikel 46.2 i dataskyddsförordningen finns en lista på lämpliga skyddsåtgärder som inte kräver något särskilt tillstånd av en till- synsmyndighet för att användas. I listan nämns rättsligt bindande och verkställbara instrument mellan myndigheter (led a), bindande företagsbestämmelser (led b), standardiserade dataskyddsbestämmelser som antas av kommissionen eller av en tillsynsmyndighet, s.k. stan- dardavtalsklausuler (led c och d), samt en godkänd uppförandekod eller en godkänd certifieringsmekanism tillsammans med rättsligt bindande och verkställbara åtaganden för den personuppgiftsansva- rige eller personuppgiftsbiträdet i tredjelandet att tillämpa lämpliga skyddsåtgärder, även när det gäller registrerades rättigheter (led e och f).
I artikel 46.3 nämns ytterligare två skyddsåtgärder. Till skillnad från de skyddsåtgärder som listas i artikel 46.2 kräver dessa särskilt tillstånd av tillsynsmyndighet. Dessa skyddsåtgärder är avtalsklausuler mellan den personuppgiftsansvarige eller personuppgiftsbiträdet och den personuppgiftsansvarige, personuppgiftsbiträdet eller mot- tagaren av personuppgifterna i det tredjelandet eller den internatio- nella organisationen (led a) eller bestämmelser som ska införas i admi- nistrativa överenskommelser mellan offentliga myndigheter eller organ vilka inbegriper verkställbara och faktiska rättigheter för registrerade (led b).
EDPB har gett ut riktlinjer när det gäller sådana skyddsåtgärder som avses i artikel 46.2 led a och artikel 46.3 led a.12 Dessa skydds- åtgärder tar sikte på överföringar mellan myndigheter eller motsvar- ande. En myndighet som vill överföra personuppgifter till en tjänste- leverantör i tredjeland kan alltså inte använda dessa skyddsåtgärder.
12EDPB, Guidelines 2/2020 on articles 46 (2) (a) and 46 (3) (b) of Regulation 2016/679 for transfers of personal data between EEA and
18januari 2020.
217
Dataskydd |
SOU 2021:1 |
Kommissionen har tidigare fattat beslut om standardavtalsklau- suler.13 Kommissionen publicerade den 12 november 2020 ett utkast till nya standardavtalsklausuler på sin webbplats.14 De nya standard- avtalsklausulerna får antas efter ett granskningsförfarande i en kom- mitté där medlemsstaterna finns representerade (artikel 46.2 led c som hänvisar till artikel 93.2, där det föreskrivs att granskningsför- farandet i artikel 5 i Europaparlamentets och rådets förordning /EU/ nr 182/2011 av den 16 februari 2011 om fastställande av allmänna regler och principer för medlemsstaternas kontroll av kommissionens utövande av sina genomförandebefogenheter ska tillämpas för be- slutet).
I artikel 40, 42 och 47 finns detaljerade bestämmelser om bind- ande företagsbestämmelser, godkända uppförandekoder och certi- fieringsmekanismer. Den förstnämnda av dessa skyddsåtgärder tar sikte på överföring av personuppgifter inom en internationell kon- cern eller en internationell grupp av företag. Skyddsåtgärden kan alltså inte användas av en myndighet som vill överföra personupp- gifter till en privat tjänsteleverantör i tredjeland. Det finns såvitt vi känner till ännu inte några godkända uppförandekoder eller certifieringsmekanismer som svenska myndigheter kan använda sig av för att föra över personuppgifter till länder utanför EU eller EES.
Den grund i artikel 46 som är tillämplig för svenska myndigheters överföring av personuppgifter till tredjeland är sammanfattningsvis standardavtalsklausuler enligt artikel 46.2 led c och d.
När är standardavtalsklausuler en lämplig skyddsåtgärd?
Det följer av förordningstexten i artikel 46.1 att det inte räcker att den personuppgiftsansvarige eller personuppgiftsbiträdet som har för avsikt att överföra personuppgifter till tredje land har vidtagit lämpliga skyddsåtgärder. Överföringen får bara ske på villkor ”att
13Kommissionens beslut 2001/497/EG av den 15 juni 2001 om standardavtalsklausuler för överföring av personuppgifter till tredje land enligt direktiv 95/46/EG, kommissionens beslut 2010/87/EU av den 5 februari 2010 om standardavtalsklausuler för överföring av personupp- gifter till registerförare etablerade i tredjeland i enlighet med Europaparlamentets och rådets direktiv 95/46/EG och kommissionens genomförandebeslut (EU) 2016/2297 av den 16 de- cember 2016 om ändring av beslut 2001/497/EG och 2010/87/EU rörande standardavtals- klausuler för överföring av personuppgifter till tredjeländer och till registerförare etablerade i tredjeländer i enlighet med Europaparlamentets och rådets direktiv 95/46/EG.
14
218
SOU 2021:1 |
Dataskydd |
lagstadgade rättigheter för registrerade och effektiva rättsmedel för registrerade finns tillgängliga”. Det förefaller alltså krävas att det i mottagarlandet finns ett grundläggande rättighetsskydd och en möj- lighet att göra detta skydd gällande inför domstol, för att en tredje- landsöverföring med stöd av standardavtalsklausuler ska kunna komma i fråga. Denna tolkning vinner enligt vår mening stöd av
När det gäller frågan om vilken nivå av skydd som krävs för de tre kriterierna ”lämpliga skyddsåtgärder”, ”lagstadgade rättigheter” och ”effektiva rättsmedel” så uttalade
Vidare konstaterar domstolen att när det gäller kravet på ”adekvat skyddsnivå”, det inte krävs att det berörda tredjelandet säkerställer en skyddsnivå som är identisk med den som garanteras i unionens rättsordning. Kravet på adekvat skyddsnivå ska förstås som att tredje- landet, genom sin interna lagstiftning eller på grund av de internatio- nella förpliktelser som åligger landet, de facto säkerställer en nivå för skyddet av grundläggande fri- och rättigheter som är väsentligen lik- värdig med den skyddsnivå som garanteras inom unionen enligt förordningen, jämförd med stadgan (p. 94). Detsamma gäller vid användande av standardavtalsklausuler som grund för överföring till tredjeland (p. 96).
Skyddsnivån ska fastställas utifrån dataskyddsförordningen, jäm- förd med de grundläggande rättigheter som garanteras i stadgan (p. 101). När det gäller frågan om vilka omständigheter som ska be- aktas i bedömningen av skyddsnivån så ska, utöver avtalsvillkoren, hänsyn tas till ”de relevanta delarna av rättssystemet i det tredje- landet såvitt avser den åtkomst som myndigheterna i det tredjelandet eventuellt har till överförda personuppgifter”. Ledning för denna be- dömning kan hämtas i artikel 45.2 (se avsnitt 7.4.3) (p. 104). EDPB ger också i rekommendationer som beslutades den 10 november 2020 vägledning avseende hur bedömningen av om övervakning av bl.a.
219
Dataskydd |
SOU 2021:1 |
datatrafik i tredjeland innebär ett godtagbart ingripande i skyddet för fysiska personers rättigheter vid behandling av personuppgifter.15
Vi drar slutsatsen av domstolens uttalanden i Facebook Ireland och Schrems att standardavtalsklausuler är en lämplig skyddsåtgärd som kan läggas till grund för överföring av personuppgifter endast när rättssystemet i det berörda tredjelandet erbjuder en viss nivå av skydd för de registrerade som berörs av tredjelandsöverföringen. Denna slutsats stöds av domstolens uttalande att det finns situa- tioner i vilka standardavtalsklausuler inte kan vara ett tillräckligt medel för att i praktiken säkerställa ett effektivt skydd av de personupp- gifter som överförs till det berörda tredjelandet, exempelvis bero- ende på att lagstiftningen i det tredjelandet tillåter att myndig- heterna i detta tredjeland gör ingrepp i de registrerade personernas rättigheter avseende dessa uppgifter (p. 126).
Domstolen konstaterar avslutningsvis att samtliga skyddsåtgärder enligt artikel 46.2 inte nödvändigtvis måste föreskrivas i ett beslut av kommissionen, såsom beslutet om standardavtalsklausuler (p. 128). Eftersom de standardiserade dataskyddsbestämmelserna inte kan leda till skyddsåtgärder som går utöver en avtalsenlig skyldighet att säkerställa att den skyddsnivå som krävs enligt unionsrätten iakttas, kan det vara nödvändigt, beroende på den situation som råder i ett visst tredjeland, för den personuppgiftsansvarige att vidta ytterligare åtgärder för att säkerställa att skyddsnivån iakttas (p. 133).
EDPB:s rekommendationer om ytterligare skyddsåtgärder
EDPB:s rekommendationer synes utgå från att det kan finnas situationer då det är tillräckligt att den personuppgiftsansvarige eller personuppgiftsbiträdet vidtar ytterligare skyddsåtgärder som komple- ment till standardavtalsklausulerna, oavsett vilken nivå av grundlägg- ande rättighetsskydd och tillgång till rättslig prövning som finns i
15EDPB, Recommendations 02/2020 on the European Essential Guarantees for surveillance measures.
16EDPB, Recommendations 01/2020 on measures that supplement transfer tools to ensure com- pliance with the EU level of protection of personal data.
220
SOU 2021:1 |
Dataskydd |
det berörda tredjelandet. På sidan 15 i rekommendationerna anges exempelvis att vid överföringar som berörs av sektion 702 i Foreign Intelligence Surveillance Act (FISA) i USA eller liknande övervak- ningsprogram så kan tredjelandsöverföringen vara tillåten om ytter- ligare skyddsåtgärder vidtas som gör försök att få obehörig åtkomst till personuppgifterna verkningslösa.
Vi anser dock att det följer av såväl förordningstexten som av
I bilaga 2 till EDPB:s rekommendationer finns exempel på ytter- ligare skyddsåtgärder i form av tekniska, avtalsmässiga och organisa- toriska åtgärder. Användningsfall sex på sidan 26 i rekommendation- erna gäller överföring till molntjänstleverantörer eller andra person- uppgiftsbiträden som kräver behandling av uppgifter i läsbart format för att kunna utföra sitt uppdrag. Om tredjelandets myndigheters rätt till tillgång till uppgifterna som överförs går utöver vad som är nödvändigt och proportionerligt i ett demokratiskt samhälle så anser EDPB att det saknas tillgång till tekniska åtgärder som kan ge ett tillräckligt skydd för registrerades rättigheter. Detta, framhåller EDPB, gäller även om kryptering tillämpas både under transport och vid lagring.
Vi tolkar detta användningsfall som att det är avsett att omfatta alla tjänster som kräver behandling av okrypterade personuppgifter, dvs. inte bara sådana tjänster där mottagarens personal aktivt be- höver ta del av personuppgifter (t.ex. vid support) för att kunna ut- föra sitt uppdrag. Det innebär i så fall att EDPB anser att det inte finns några ytterligare tekniska skyddsåtgärder som kan bidra till ett adekvat skydd vid användning av sådana tjänster som träffas av användningsfallet, när tredjelandets myndigheters rätt till tillgång till
221
Dataskydd |
SOU 2021:1 |
uppgifterna som överförs går utöver vad som är nödvändigt och pro- portionerligt i ett demokratiskt samhälle.
I användningsfall tre behandlar EDPB situationen då uppgifter som är destinerade till ett tredjeland som omfattas av ett kom- missionsbeslut om adekvat skyddsnivå överförs via internet och diri- geras via tredjeländer som inte omfattas av sådana kommissions- beslut. Under vissa förutsättningar anser EDPB att kryptering kan vara en ytterligare skyddsåtgärd som är tillräcklig för att överföringen ska kunna ske i enlighet med dataskyddsförordningen. En fråga som infinner sig är om EDPB:s rekommendationer ska förstås som att det alltid krävs att tekniska skyddsåtgärder vidtas när uppgifter över- förs via internet, eftersom det aldrig vid sändningstillfället med säker- het går att förutse hur uppgifterna kommer att dirigeras under över- föringen till mottagaren.
7.4.6Överföringar och utlämnanden som inte är tillåtna enligt unionsrätten
Av artikel 48 följer att domstolsbeslut eller beslut från myndigheter i tredjeland där det krävs att en personuppgiftsansvarig eller ett personuppgiftsbiträde överför eller lämnar ut personuppgifter får erkännas eller genomföras på något som helst sätt endast om det grundar sig på en internationell överenskommelse, såsom ett avtal om ömsesidig rättslig hjälp, som gäller mellan det begärande tredje- landet och unionen eller en medlemsstat, utan att detta påverkar andra grunder för överföring enligt detta kapitel.
En begäran om utlämnande av uppgifter från en domstol eller en myndighet i ett tredjeland kan alltså inte åberopas som en grund för att överföra personuppgifter till tredjeland. Artikeln innebär dock inget förbud mot ett sådant utlämnande om det kan ske med stöd av någon av bestämmelserna i kapitlet (jfr skäl 115 sista meningen).
7.4.7Undantag i särskilda situationer
Om det inte finns något beslut om adekvat skyddsnivå och om en överföring av personuppgifter till tredjeland eller en internationell organisation inte heller kan grundas på förekomsten av lämpliga skyddsåtgärder får en överföring eller en uppsättning av överföringar
222
SOU 2021:1 |
Dataskydd |
ske till ett tredjeland eller en internationell organisation enligt första stycket i artikel 49.1 på följande villkor:
–Den registrerade har uttryckligen samtyckt till att uppgifterna får överföras, efter att först ha blivit informerade om de eventuella riskerna med sådana överföringar för den registrerade (led a).
–Överföringen är nödvändig för att fullgöra ett avtal mellan den registrerade och den personuppgiftsansvarige eller för att genom- föra åtgärder som föregår ett sådant avtal på den registrerades begäran (led b).
–Överföringen är nödvändig för att ingå eller fullgöra ett avtal mellan den personuppgiftsansvarige och en annan fysisk eller juri- disk person i den registrerades intresse (led c).
–Överföringen är nödvändig av viktiga skäl som rör allmänintresset (led d).
–Överföringen är nödvändig för att kunna fastställa, göra gällande eller försvara rättsliga anspråk (led e).
–Överföringen är nödvändig för att kunna skydda den registrerades eller andra personers grundläggande intressen, när den registrerade är fysiskt eller rättsligt förhindrad att ge sitt samtycke (led f).
–Överföringen görs från ett register som enligt unionsrätten eller medlemsstaternas nationella rätt är avsett att ge allmänheten information och som är tillgängligt antingen för allmänheten eller för var och en som kan styrka ett berättigat intresse, men endast i den utsträckning som de i unionsrätten eller medlemsstaternas nationella rätt angivna villkoren för tillgänglighet uppfylls i det enskilda fallet (led g).
Av andra stycket i artikel 49.1 följer att när en överföring inte skulle kunna grundas på en bestämmelse i artikel 45 eller 46 och inget av undantagen för en särskild situation som avses i första stycket i samma punkt är tillämpligt, får en överföring till ett tredjeland eller en internationell organisation äga rum endast om överföringen inte är repetitiv, endast gäller ett begränsat antal registrerade, är nöd- vändig för ändamål som rör den personuppgiftsansvariges tvingande berättigade intressen och den registrerades intressen eller rättigheter och friheter inte väger tyngre, och den personuppgiftsansvarige har
223
Dataskydd |
SOU 2021:1 |
bedömt samtliga omständigheter kring överföringen av uppgifter och på grundval av denna bedömning vidtagit lämpliga skyddsåtgärder för att skydda personuppgifter.
En överföring enligt första stycket artikel 49.1 led g får inte om- fatta alla personuppgifter eller hela kategorier av personuppgifter som finns i registret (artikel 49.2).
Undantagsbestämmelserna i artikel 49.1 led a, b och c samt andra stycket får inte användas av offentliga myndigheter när de vidtar åtgärder som ett led i deras myndighetsutövning (artikel 49.3).
Det allmänintresse som avses i artikel 49.1 led d ska vara erkänt i unionsrätten eller i den nationella rätt som den personuppgifts- ansvarige omfattas av (artikel 49.4).
Artikel 49 reglerar undantag från förbudet mot överföring av personuppgifter till tredjeland i särskilda situationer, och det anges särskilt i artikeln att de särskilda undantagen är avsedda att användas när det inte är möjligt att överföra uppgifterna på grundval av arti- kel 45 eller artikel 46. Tillämpning av artikel 49 är alltså avsedd endast i undantagsfall. Enligt
Avslutningsvis får medlemsstaterna, om det saknas beslut om adekvat skyddsnivå, i sin nationella rätt med hänsyn till viktiga all- mänintressen, uttryckligen fastställa gränser för överföringen av speci- fika kategorier av personuppgifter till ett tredjeland eller en inter- nationell organisation. Medlemsstaterna ska underrätta kommissionen om sådana bestämmelser (artikel 49.5).
17Se bl.a. dom av den 16 december 2008, Satakunnan Markkinapörssi och Satamedia,
224
SOU 2021:1 |
Dataskydd |
7.4.8Rättsläget avseende överföringar av personuppgifter till USA
Utredningens bedömning:
Som vi beskriver i avsnitt 7.4.3 så ogiltigförklarade
Mot bakgrund av ovanstående återstår möjligheten att föra av per- sonuppgifter med stöd av lämpliga skyddsåtgärder enligt artikel 46 eller att tillämpa de undantag för särskilda situationer som regleras i artikel 49.
När det gäller möjligheten att använda sig av standardavtalsklau- suler och undantaget i artikel 49 som grund för överföring av per- sonuppgifter till USA kan följande konstateras utifrån
225
Dataskydd |
SOU 2021:1 |
För det första konstaterar domstolen att bedömningen av giltigheten av beslut om adekvat skydd genom skölden för privatlivet har rele- vans även för bedömningen av de skyldigheter som åligger den per- sonuppgiftsansvarige och mottagaren av personuppgifter med stöd av de standardiserade dataskyddsbestämmelserna (p. 154). Detta kon- staterande får förstås i ljuset av att domstolen i domskälen även ut- talar att den skyddsnivå som krävs för att en överföring av person- uppgifter till tredjeland ska vara tillåten är densamma oavsett på vilken grund för överföringen som tillämpas (se ovan avsnitt 7.4.4). Domstolens bedömning av giltigheten av beslutet om adekvat skydd genom skölden för privatlivet har därför betydelse även för möjlig- heten att föra över personuppgifter till USA på andra grunder i data- skyddsförordningen.
För det andra gör domstolen bedömningen att de inskränkningar av grundläggande rättigheter som vissa övervakningsprogram som tillämpas av amerikanska myndigheter innebär inte är begränsade till vad som är strikt nödvändigt, eftersom de interna bestämmelser som övervakningsprogrammen grundar sig på inte motsvarar de minimikrav som i unionsrätten gäller enligt proportionalitetsprincipen (p. 184). Därför är de begränsningar av skyddet av personuppgifter som över- förts till USA inte reglerade på ett sådant sätt att de uppfyller krav som är väsentligen likvärdiga med dem som uppställs i unionsrätten (p. 185).
För det tredje konstaterar domstolen att det saknas tillgång till ett sådant rättsmedel som kan användas inför ett organ som ger per- soner vars uppgifter överförs till USA garantier som är väsentligen likvärdiga med dem som krävs enligt unionsrätten (p. 197).
Det grundläggande rättsskyddet i USA ger med andra ord inte en sådan nivå av skydd som krävs enligt dataskyddsförordningen. EU- domstolen ogiltigförklarar därför beslutet om skölden för privatlivet (p. 201).
Vår bedömning är att domstolens konstateranden avseende rättsläget i USA vad gäller inskränkningar av grundläggande rättig- heter och tillgången till rättsmedel och oberoende prövning äger giltighet även i förhållande till övriga grunder för överföring av per- sonuppgifter till USA enligt dataskyddsförordningen, eftersom kravet på skyddsnivå är densamma oavsett vilken grund som tillämpas. Vi har mot denna bakgrund svårt att se att det i en situation som gäller tredjelandsöverföring vid utkontraktering av
226
SOU 2021:1 |
Dataskydd |
ligare skyddsåtgärder som kan vidtas som läker de brister som EU- domstolen i Facebook Ireland och Schrems bedömer finns i amerikansk lagstiftning.
7.5Tredjelandsöverföringar enligt brottsdatalagen
Bestämmelser om överföring av personuppgifter till tredjeland och internationella organisationer finns i 8 kap. brottsdatalagen.
En behörig myndighet får under vissa förutsättningar överföra personuppgifter till ett tredjeland eller en internationell organisa- tion, om personuppgifterna behandlas i Sverige eller är avsedda att behandlas i ett tredjeland eller av en internationell organisation (1 § första stycket). För att överföringen ska vara tillåten krävs för det första att den är nödvändig för att förebygga, förhindra eller upp- täcka brottslig verksamhet, utreda eller lagföra brott, verkställa straff- rättsliga påföljder eller upprätthålla allmän ordning och säkerhet (1 § första stycket p. 1). Överföringen måste alltså vara nödvändig för ett syfte som omfattas av lagens tillämpningsområde. För det andra krävs att överföringen riktas till en behörig myndighet i ett tredje- land eller till en internationell organisation som är en behörig myn- dighet (1 § första stycket p. 2). Slutligen och för det tredje krävs att överföring omfattas av ett beslut om adekvat skyddsnivå, tillräckliga skyddsåtgärder och ett undantag för särskilda situationer (1 § första stycket p. 3
Vad som närmare ska förstås med ett beslut om adekvat skydds- nivå, tillräckliga skyddsåtgärder och undantag för särskilda situationer regleras i
I 2 § regleras den situationen att en svensk myndighet har fått personuppgifter från en annan medlemsstat. Sådana personuppgifter får överföras till tredjeland eller en internationell organisation endast om den myndighet som har lämnat uppgifterna till en svensk myn- dighet har medgett att de överförs (första stycket). Om medgivande på grund av tidsbrist inte kan inhämtas i förväg får personupp- gifterna ändå överföras om det är nödvändigt för att avvärja en omedelbar och allvarlig fara för allmän säkerhet. Detsamma gäller om det är nödvändigt för att avvärja en omedelbar och allvarlig fara
227
Dataskydd |
SOU 2021:1 |
för andra väsentliga intressen för Sverige eller någon annan medlemsstat (andra stycket).
I 6 och 7 §§ finns regler om vad som gäller för vidareöverföring av sådana personuppgifter som avses i 2 §.
Av 8 § första stycket följer att en behörig myndighet i Sverige i vissa undantagsfall får överföra personuppgifter till andra än behöriga myndigheter. En sådan överföring får ske bl.a. om det är absolut nödvändigt för att den svenska myndigheten ska kunna utföra en uppgift enligt 1 kap. 2 § som den har ansvar för.
7.6Sammanfattning och våra samlade bedömningar
Det här kapitlet innehåller en genomgång av de delar av dataskydds- regelverket som i våra direktiv utpekas som särskilt centrala vid ut- kontraktering av
När den ansvarige uppdrar åt ett personuppgiftsbiträde att be- handla personuppgifter å den ansvariges vägnar så är det den ansva- rige som ska lämna biträdet instruktioner för behandlingen. Detta är enligt vår mening en central utgångspunkt i relationen mellan den personuppgiftsansvarige och personuppgiftsbiträdet.
Överföring av personuppgifter till tredjeland är en behandling av personuppgifter som bara är tillåten i de fall som anges i dataskydds- förordningens femte kapitel.
Vår bedömning är att det utgör en överföring av personuppgifter till tredjeland när en personuppgiftsansvarig eller ett personupp- giftsbiträde behandlar personuppgifter genom användning av utrustning som finns i tredjeland. Det saknar betydelse hur lång eller kort tid som utrustningen används, och om uppgifterna är krypterade eller pseudonymiserade – det är alltjämt fråga om personuppgifter och en överföring av sådana uppgifter.
Standardavtalsklausuler är en lämplig skyddsåtgärd som kan läggas till grund för överföring av personuppgifter till tredjeland om det i mottagarens land finns ett grundläggande rättighetsskydd och en möj- lighet att göra detta skydd gällande inför domstol eller annan obero- ende instans.
228
SOU 2021:1 |
Dataskydd |
229
8Offentlighet, sekretess och tystnadsplikt
8.1Inledning
Vi ska enligt direktiven bl.a. kartlägga de rättsliga förutsättningarna för myndigheter1 att utkontraktera
Det är inte möjligt att besvara denna fråga utan att dessförinnan analysera röjandebegreppets innebörd. I det följande gör vi inled- ningsvis en översiktlig genomgång av reglerna om offentlighet, sekre- tess och tystnadsplikt (avsnitt
8.2Allmänna handlingar
Var och en har enligt 2 kap. 1 § tryckfrihetsförordningen (TF) rätt att ta del av allmänna handlingar. En handling är enligt 2 kap. 4 § TF allmän om den förvaras hos en myndighet och enligt 9 § eller 10 § är att anse som inkommen till eller upprättad hos myndigheten. En upptagning, t.ex. en elektronisk handling, anses enligt 2 kap. 6 § TF vara förvarad hos myndigheten, om upptagningen är tillgänglig för myndigheten med tekniskt hjälpmedel som myndigheten själv ut- nyttjar för överföring i sådan form att den kan läsas, avlyssnas eller uppfattas på annat sätt.
1Med myndigheter avses i detta kapitel statliga myndigheter, kommuner och regioner om inget annat framgår av sammanhanget.
231
Offentlighet, sekretess och tystnadsplikt |
SOU 2021:1 |
En handling anses ha kommit in till en myndighet, när den har anlänt till myndigheten eller kommit behörig befattningshavare till handa (2 kap. 9 § första stycket TF). I fråga om upptagning gäller
istället att den anses ha kommit in till myndigheten när någon annan har gjort den tillgänglig för myndigheten med tekniskt hjälpmedel som myndigheten själv utnyttjar för överföring i sådan form att den kan läsas eller avlyssnas eller uppfattas på annat sätt (2 kap. 6 § TF). En handling anses upprättad hos en myndighet när den har expedi- erats, eller om den inte har expedierats, när det ärende som den hän- för sig till har slutbehandlats hos myndigheten eller, om handlingen inte hänför sig till visst ärende, när den har justerats av myndigheten eller färdigställts på annat sätt (2 kap. 10 § TF).
Från bestämmelsen om när en handling anses inkommen görs undantag i 2 kap. 9 § tredje stycket TF. En åtgärd som någon vidtar endast som ett led i en teknisk bearbetning eller teknisk lagring av en handling som en myndighet har tillhandahållit ska inte anses leda till att handlingen har kommit in till myndigheten. Bestämmelsen reglerar alltså den situationen att en icke allmän handling, som någon har bearbetat eller lagrat tekniskt, återkommer till den myndighet som tillhandahöll den. Handlingen ska vid återkomsten inte anses vara inkommen. Syftet med detta är att förhindra att en handling endast på grund av att den skickats för teknisk bearbetning eller teknisk lagring ändrar karaktär och blir allmän, dvs. bestämmelsen avser att bevara handlingens status, inte att ändra den. Handlingens status hos en mottagande myndighet regleras av en annan bestäm- melse i TF nämligen 2 kap. 13 § första stycket TF (jfr HFD 2019 ref. 24 p. 23).
En handling som förvaras hos en myndighet endast som ett led i en teknisk bearbetning eller teknisk lagring för någon annans räk- ning anses inte som allmän handling hos den myndigheten (2 kap. 13 § första stycket TF).
Rätten att ta del av allmänna handlingar får begränsas bara om det är nödvändigt med hänsyn till vissa, särskilt angivna, intressen (2 kap. 2 § första stycket TF). En sådan begränsning ska anges noga i en bestämmelse i en särskild lag eller, om det i ett visst fall anses lämp- ligare, i en annan lag som den förstnämnda lagen hänvisar till (2 kap. 2 § andra stycket TF). Den särskilda lag som avses är OSL.
232
SOU 2021:1 |
Offentlighet, sekretess och tystnadsplikt |
8.3Några definitioner
I 3 kap. § OSL definieras några i lagen förekommande centrala begrepp. Sekretess definieras som ett förbud mot att röja en uppgift, vare sig det sker muntligen, genom utlämnande av en allmän handling eller på något annat sätt. Med sekretessreglerad uppgift avses en upp- gift för vilken det finns en bestämmelse om sekretess. Med sekretess- belagd uppgift förstås en sekretessreglerad uppgift för vilken sekre- tess gäller i ett enskilt fall. En sekretessbrytande bestämmelse är en bestämmelse som innebär att en sekretessbelagd uppgift får lämnas ut under vissa förutsättningar. En primär sekretessbestämmelse är en bestämmelse om sekretess som en myndighet ska tillämpa på grund av att bestämmelsen riktar sig direkt till myndigheten eller omfattar en viss verksamhetstyp eller en viss ärendetyp som hanteras hos myn- digheten eller omfattar vissa uppgifter som finns hos myndigheten. En bestämmelse om överföring av sekretess är en bestämmelse som innebär att en sekretessbestämmelse som är tillämplig på en uppgift hos en myndighet, ska tillämpas på uppgiften även av en myndighet som uppgiften lämnas till eller som har elektronisk tillgång till upp- giften hos den förstnämnda myndigheten. Slutligen ska med sekun- där sekretessbestämmelse förstås en bestämmelse om sekretess som en myndighet ska tillämpa på grund av en bestämmelse om över-
föring av sekretess.
8.4Vad innebär sekretess?
Som vi konstaterar ovan innebär sekretess ett förbud att röja en upp- gift, oavsett om det görs muntligen, genom utlämnande av allmän handling eller på något annat sätt (3 kap. 1 § OSL). Förbudet att röja uppgifter träffar alltså varje form av röjande. Sekretess innebär således både handlingssekretess och tystnadsplikt och gäller inte bara för uppgifter i allmänna handlingar, utan även för uppgifter som finns hos en myndighet i sådana handlingar som ännu inte blivit allmänna. Otillåtet röjande av en sekretessbelagd uppgift är straff- sanktionerat som brott mot tystnadsplikt (20 kap. 3 § brottsbalken).
Sekretess gäller som huvudregel inte bara i förhållande till en- skilda (dvs. privatpersoner, företag etc.) utan också mellan myndig- heter samt inom en myndighet, om det finns olika verksamhets-
233
Offentlighet, sekretess och tystnadsplikt |
SOU 2021:1 |
grenar där som är att betrakta som självständiga i förhållande till varandra (8 kap. 1 och 2 §§ OSL).
En uppgift för vilken sekretess gäller får röjas för en utländsk myndighet eller mellanfolklig organisation under vissa förutsätt- ningar (8 kap. 3 § OSL) Ett utlämnande får ske antingen i enlighet med en särskild föreskrift i lag eller förordning eller om uppgifterna i motsvarande fall skulle få lämnas ut till en svensk myndighet och det enligt den utlämnande myndigheten står klart att det är förenligt med svenska intressen att uppgiften lämnas.
8.5Offentlighet- och sekretesslagens tillämpningsområde
Enligt 2 kap. 1 § första stycket OSL gäller lagens förbud mot att röja eller utnyttja en uppgift för myndigheter. Av övriga bestämmelser i kapitlet och bilagan till OSL följer att vissa organ som inte är myn- digheter ska jämställas med sådana vid tillämpningen av 2 kap. TF och OSL.
I bestämmelsens andra stycke anges att lagens förbud mot att röja eller utnyttja en uppgift också gäller för en person som fått känne- dom om uppgiften genom att för det allmännas räkning delta i en myndighets verksamhet på grund av anställning eller uppdrag hos myndigheten, på grund av tjänsteplikt, eller på annan liknande grund.
Röjandeförbudet enligt lagen gäller alltså inte bara för myndig- hetens anställda, utan också för sådana personer som på grund av uppdrag hos myndigheten eller på annan liknande grund deltar i myn- dighetens verksamhet.
8.6Sekretessbestämmelsers uppbyggnad
En sekretessbestämmelse består i regel av tre huvudsakliga rekvisit, dvs. förutsättningar för bestämmelsens tillämplighet. Dessa rekvisit anger sekretessens föremål, dess räckvidd och dess styrka.
Sekretessens föremål är den information som kan hemlighållas och anges i lagen genom ordet uppgift tillsammans med en mer eller mindre långtgående precisering av uppgiftens art, exempelvis upp- gift om enskilds personliga förhållanden.
234
SOU 2021:1 |
Offentlighet, sekretess och tystnadsplikt |
En sekretessbestämmelses räckvidd bestäms normalt genom att det i bestämmelsen preciseras att sekretessen för de angivna upp- gifterna bara gäller i en viss typ av ärende, i en viss typ av verksamhet eller hos en viss myndighet. Några få sekretessbestämmelser gäller utan att räckvidden är begränsad. Uppgiften kan då hemlighållas oavsett i vilket ärende, i vilken verksamhet eller hos vilken myndig- het den förekommer.
Sekretessens styrka bestäms i regel med hjälp av s.k. skaderekvi- sit. Man skiljer i detta sammanhang mellan raka och omvända skaderekvisit. Vid rakt skaderekvisit är utgångspunkten att upp- giften är offentlig och att sekretess gäller bara om det kan antas att en viss skada uppstår om uppgiften lämnas ut. Vid ett omvänt skade- rekvisit är utgångspunkten den motsatta, dvs. att uppgiften är sekre- tessbelagd. Uppgiften får då lämnas ut endast om det står klart att den kan röjas utan att viss skada uppstår. Sekretessen kan även vara absolut, vilket innebär att de uppgifter som omfattas av bestäm- melsen ska hemlighållas utan någon skadeprövning, om uppgifterna begärs ut.
8.7Sekretessbrytande bestämmelser
Som vi konstaterar ovan gäller sekretess inte bara i förhållande till enskilda utan också gentemot andra svenska myndigheter, utländska myndigheter och mellanfolkliga organisationer, samt mellan olika självständiga verksamhetsgrenar inom en myndighet. I vissa fall måste dock myndigheter kunna lämna ut uppgifter för att kunna utföra sina uppgifter. Vidare kan enskilda i vissa fall ha ett berättigat behov av att få ta del av uppgifter som annars omfattas av sekretess. Sekre- tessregleringen innehåller därför särskilda sekretessbrytande bestäm- melser. Dessa har utformats efter en intresseavvägning mellan myn- digheternas eller enskildas behov av att ta del av uppgifterna och de intressen som aktuella sekretessbestämmelser ska skydda.
235
Offentlighet, sekretess och tystnadsplikt |
SOU 2021:1 |
8.8Överföring av sekretess och tystnadsplikt
8.8.1Överlämnande till annan myndighet
Som huvudregel gäller att sekretess inte följer med en uppgift när den lämnas till en annan myndighet. Det beror bl.a. på att behovet av och styrkan i en sekretess inte kan bestämmas enbart med hänsyn till sekretessintresset. Offentlighetsintresset kan kräva att uppgifter som behandlas som hemliga hos en myndighet är offentliga hos en annan myndighet.
Vissa bestämmelser om överföring av sekretess med begränsade tillämpningsområden har dock införts. Sådana bestämmelser innebär att en primär sekretessbestämmelse som är tillämplig hos en myn- dighet ska tillämpas på uppgiften även av en myndighet som upp- giften har lämnats till eller som har elektronisk tillgång till uppgiften hos den förstnämnda myndigheten (s.k. direktåtkomst). En och samma sekretessbestämmelse kan således vara en primär sekretessbestäm- melse hos den utlämnande myndigheten och en sekundär sekretess- bestämmelse hos den mottagande myndigheten.
Om en sekretessreglerad uppgift lämnas från en myndighet till en annan gäller sekretess för uppgiften hos den mottagande myndig- heten antingen om sekretess följer av en primär sekretessbestäm- melse som är tillämplig hos den mottagande myndigheten eller om sekretess följer av en bestämmelse om överföring av sekretess. Om ingen av dessa förutsättningar är uppfyllda blir uppgiften offentlig hos den mottagande myndigheten.
8.8.2Överlämnande till privata subjekt
Gällande rätt
OSL innehåller ingen allmän bestämmelse om tystnadsplikt för en utomstående fysisk eller juridisk person som har tagit del av en sekretessbelagd uppgift. I enskilda fall kan dock tystnadsplikt enligt OSL ändå gälla, nämligen då uppgiften lämnats ut med förbehåll enligt 10 kap. 14 § OSL som inskränker den enskildes rätt att lämna uppgiften vidare eller utnyttja den.
236
SOU 2021:1 |
Offentlighet, sekretess och tystnadsplikt |
I vissa andra fall av utlämnande till privata subjekt träder tyst- nadsplikt enligt andra författningar in, såsom den tystnadsplikt som gäller för advokater enligt 8 kap. rättegångsbalken eller inom enskilt bedriven hälso- och sjukvård enligt 6 kap. 12 § patientsäkerhetslagen (2010:659).
Tystnadsplikt för privata tjänsteleverantörer
Den 1 januari 2021 trädde lagen (2020:914) om tystnadsplikt vid utkontraktering av teknisk bearbetning eller lagring av uppgifter i kraft (tystnadspliktslagen).
Tystnadspliktslagen ska tillämpas när en myndighet uppdrar åt ett företag eller en annan enskild (tjänsteleverantör) att endast tek- niskt bearbeta eller tekniskt lagra uppgifter (1 §) Vid tillämpning av lagen jämställs med myndigheter associationer som avses i 2 kap. 3 § OSL, organ som anges i bilagan till OSL och vissa yrkesmässigt bedrivna enskilda verksamheter som till någon del är offentligt finansierade (2 §). Med tjänsteleverantör jämställs en underleveran- tör som medverkar till att fullgöra tjänsteleverantörens uppdrag (3 §). Den som på grund av anställning eller på något annat sätt har deltagit i en tjänsteleverantörs verksamhet att på uppdrag av en myndighet endast tekniskt bearbeta eller lagra uppgifter får inte obehörigen röja eller utnyttja dessa uppgifter (4 §).
8.9Röjandebegreppet
8.9.1Lagtexten
Utredningens bedömning: Det följer av lagtexten i offentlig- hets- och sekretesslagen (2009:400) att ett utlämnande är en form av röjande, att uttrycket röja är ett neutralt begrepp i den men- ingen att det kan vara såväl tillåtet som otillåtet och att det inte krävs att mottagaren av uppgiften ska ha tagit del av den för att den ska betraktas som röjd.
237
Offentlighet, sekretess och tystnadsplikt |
SOU 2021:1 |
Definitionen av sekretess
Som följer av det föregående definieras uttrycket sekretess som ett förbud att röja en uppgift, vare sig det sker muntligen, genom ut- lämnande av en allmän handling eller på något annat sätt (3 kap. 1 § OSL).
Uttrycket röja definieras inte i lagtexten. Att utlämna en allmän handling eller muntligen förmedla uppgiften nämns däremot som exempel på hur ett röjande av en uppgift kan gå till. Anledningen till att dessa exempel lyfts fram i lagtexten är att de anknyter till grund- lagsskyddade rättigheter; handlingsoffentligheten enligt TF och yttrandefriheten enligt regeringsformen. Med formuleringen eller på något annat sätt markeras att lagstiftaren föreställt sig att uppgifter också kan röjas på andra sätt än de som uttryckligen nämns i lagtexten.
Av lagtexten framgår således att ett utlämnande av en uppgift utgör en form av röjande. En uppgift som har lämnats ut är därmed röjd. En uppgift kan alltså inte vara utlämnad utan att samtidigt vara röjd.
Vi har i våra kontakter med myndigheter under arbetets gång fått veta att den uppfattningen förekommer att uttrycket röja endast tar sikte på ett utlämnande i strid med en sekretessbestämmelse förekommer. Som konstateras i det föregående definieras uttrycket sekretess som ett förbud mot att röja en uppgift. Det är självfallet inte alltid förbjudet att röja uppgifter. Om en myndighet exempelvis efter en skadeprövning finner att en uppgift kan lämnas ut och i enlighet med detta lämnar ut uppgiften så röjer myndigheten upp- giften utan att det finns ett förbud mot det. Som följer av lagtexten är ju ett utlämnande en form av röjande. Det är i ett sådant fall fråga om ett tillåtet röjande. Myndigheten röjer förstås uppgiften även i det fallet att den lämnar ut uppgiften i strid med en sekretess- bestämmelse. Det är i ett sådant fall fråga om ett otillåtet röjande. Uttrycket röja är således neutralt i den meningen att ett röjande kan vara såväl tillåtet som otillåtet.
Uppfattningen att uttrycket röja endast tar sikte på ett utläm- nande i strid med en sekretessbestämmelse strider mot lagtexten och måste därmed betecknas som felaktig.
238
SOU 2021:1 |
Offentlighet, sekretess och tystnadsplikt |
Att röja en uppgift
Uttrycket röja i olika varianter förekommer förutom i definitionen av uttrycket sekretess på ett flertal ställen i OSL. Enligt 2 kap. 1 § första stycket OSL – som handlar om lagens tillämpningsområde – gäller förbud att röja en uppgift för myndigheter. Skaderekvisiten i OSL – såväl de raka som de omvända – utgår från uttrycket röja. I 18 kap. 7 § OSL sägs exempelvis att sekretess gäller för uppgift som hänför sig till verksamhet som avser särskilt personsäkerhets- arbete enligt 2 a § polislagen (1984:387), om det inte står klart att uppgiften kan röjas utan fara för att verksamheten skadas.
Det är enligt OSL alltid uppgifter som röjs. Ingenstans i OSL heter det att en handling röjs. Detta är naturligt eftersom OSL – om
vibortser från
Att lämna ut en handling eller en uppgift
I vissa bestämmelser i OSL används uttrycket lämna ut i olika varianter. I några av dessa bestämmelser – t.ex. i definitionen av uttrycket sekretess – talas om utlämnande av allmän handling. Som nämns i avsnitt 8.2 följer av 2 kap. 19 § andra stycket TF att det i en särskild lag ska anges hur ett beslut om att avslå en begäran om att utfå en allmän handling ska överklagas. Den lag som här avses är OSL och i linje med detta föreskrivs i 6 kap. 7 § första stycket p. 1 OSL att en enskild får överklaga ett beslut av en myndighet att inte lämna ut en handling till den enskilde.
I de flesta bestämmelser i OSL där uttrycket lämna ut förekom- mer heter det att en uppgift lämnas ut. En sekretessbrytande bestäm- melse sägs exempelvis vara en bestämmelse som innebär att en sekre- tessbelagd uppgift får lämnas ut under vissa förutsättningar (3 kap. 1 § OSL). I 5 kap. 5 § första stycket första meningen OSL sägs att om det kan antas att en uppgift i en allmän handling inte får lämnas ut på grund av en bestämmelse om sekretess, får myndigheten markera detta genom att en särskild anteckning (sekretessmarkering) görs på handlingen eller, om handlingen är elektronisk, införs i handlingen
239
Offentlighet, sekretess och tystnadsplikt |
SOU 2021:1 |
eller i det datasystem där den elektroniska handlingen hanteras. Ett annat exempel på detta finns i 10 kap. 2 § OSL där det sägs att sekretess inte hindrar att en uppgift lämnas till en enskild eller till en annan myndighet, om det är nödvändigt för att den utlämnande myndigheten ska kunna fullgöra sin verksamhet.
Att lämna ut en handling eller en uppgift – vad är det för skillnad?
I OSL talas det alltså i vissa fall om att en handling lämnas ut och i andra fall om att en uppgift lämnas ut. Frågan inställer sig hur dessa formuleringar förhåller sig till varandra.
Det kan konstateras att uttrycket handling i OSL anknyter till TF:s terminologi. Med handling avses en framställning i skrift eller bild samt en upptagning som endast med tekniska hjälpmedel kan läsas eller avlyssnas eller uppfattas på annat sätt (2 kap. 3 § TF). Denna definition träffar såväl traditionella pappershandlingar som elektroniska handlingar. En uppgift kan vara dokumenterad i en handling. Det är sådana uppgifter som är av intresse i sammanhanget, inte handlingen i sig. Att lämna ut en handling innebär att uppgifter i handlingen lämnas ut. Den som lämnar ut en handling lämnar alltså ut uppgifter.
Mot denna bakgrund måste saken uppfattas på det sättet att när det i OSL sägs att en handling lämnas ut avses den form av upp- giftsutlämnande som sker genom att en handling lämnas ut. När det däremot heter att en uppgift lämnas ut så avses dels det fallet att uppgiften lämnas ut genom att en handling lämnas ut, dels det fallet att uppgifterna lämnas ut på något annat sätt. Saken bör kunna ut- tryckas så att uppgifter alltid lämnas ut när en handling lämnas ut men en handling lämnas inte alltid ut när uppgifter lämnas ut.
En uppgift är röjd även om någon inte tar del av den
Enligt Svenska Akademiens ordlista ska med uttrycket röja förstås avslöja, förråda; visa, lägga i dagen. I en rent språklig mening fram- står det som tveksamt om en uppgift kan sägas vara avslöjad – som alltså är en synonym till röjd – med mindre än att en utomstående tagit del av uppgiften. En tolkning i enlighet med detta skulle alltså
240
SOU 2021:1 |
Offentlighet, sekretess och tystnadsplikt |
innebära att en uppgift inte kan betraktas som röjd med mindre än att någon utomstående tagit del av uppgiften.
Det ligger i sakens natur att när det i OSL sägs att en uppgift lämnas ut, detta inte tar sikte på annat än att uppgiften lämnas ut från myndigheten. Man skulle kunna uttrycka det som att en uppgift måste passera en gräns – sekretessgränsen – för att den ska kunna betraktas som utlämnad. Om exempelvis en myndighetsanställd lämnar en handling till sin kollega på myndigheten har uppgifterna i handlingen inte lämnats ut. (Här bortses ifrån det fallet att sekretess gäller inom en myndighet, se 8 kap. 2 § OSL.)
En uppgift måste kunna betraktas som utlämnad även om mot- tagaren av uppgiften inte har tagit del av den. Antag att en myndighet på begäran av en journalist skickar ett
Med utgångspunkt i röjandebegreppets allmänspråkliga betydelse skulle man kunna argumentera för att frågan om en uppgift är utlämnad respektive frågan om en uppgift är röjd ska bedömas sepa- rat och att en uppgift som har lämnats ut – dvs. passerat sekretess- gränsen – inte ska ses som röjd om inte någon som befinner sig på andra sidan gränsen har tagit del av uppgiften. Uppgiften skulle alltså kunna betraktas som utlämnad men inte röjd.
Av definitionen av sekretess följer dock att en uppgift som har lämnats ut har röjts. En argumentation som går ut på att en uppgift skulle kunna betraktas som utlämnad men inte som röjd kan alltså inte vara riktig. Som nyss konstaterats måste en uppgift kunna be- traktas som utlämnad även om mottagaren av uppgiften inte tagit del av den. Härav följer att det inte krävs att mottagaren har tagit del av uppgiften för att den ska kunna betraktas som röjd.
Att lämna ut och att röja – finns det någon skillnad?
Man kan mot denna bakgrund ställa sig frågan om det i OSL görs någon skillnad mellan att lämna ut en uppgift och att röja en uppgift.
Som vi tolkar det används i OSL uttrycket lämna ut uppgifter i de fall åtgärden – dvs. att låta uppgifterna passera sekretessgränsen – föregås av ett beslut från myndighetens sida. Det framstår som natur- ligt att t.ex. hävda att en myndighet som med stöd av en sekretess-
241
Offentlighet, sekretess och tystnadsplikt |
SOU 2021:1 |
brytande bestämmelse beslutar att en sekretessbelagd uppgift ska passera sekretessgränsen lämnar ut uppgiften. Med den tolkningen framstår det som logiskt att det i t.ex. definitionen av sekretess- brytande bestämmelse heter att uppgifter får lämnas ut.
En annan sak är att sådana beslut som innebär att myndigheten låter uppgifter passera sekretessgränsen i vissa fall kan fattas form- löst t.ex. när en enskild tar del av uppgifter om sig själv på ”Mina sidor” genom att logga in på myndighetens webbsida med hjälp av e- legitimation.
I vissa fall förefaller det inte korrekt att beskriva ett skeende som att en myndighet har lämnat ut uppgifter. Om exempelvis en enskild myndighetsanställd, utan att agera på myndighetens vägnar, munt- ligen förmedlar uppgifterna framstår det som naturligare att i stället hävda att uppgifterna röjts.
Som vi redan varit inne på utgör ett utlämnande av en uppgift en form av röjande. När det i lagtexten heter att en uppgift lämnas ut – som t.ex. i 10 kap. 2 § OSL – avses just den formen av röjande. När det heter att uppgifter röjs träffas däremot alla situationer då en uppgift passerar sekretessgränsen. Med den tolkningen framstår det som logiskt att det i definitionen av sekretess i 3 kap. 1 § OSL talas om ett förbud att röja en uppgift. Avsikten är naturligtvis att alla situationer då en uppgift passerar sekretessgränsen ska träffas av förbudet och inte endast när det sker genom att en uppgift lämnas ut.
I det följande används uttrycken lämna ut respektive röja omväx- lande utifrån vad som framstår naturligt i sammanhanget.
8.9.2Lagmotiven
Utredningens bedömning: Lagmotiven till sekretesslagstiftningen ger ingen närmare vägledning när det gäller frågan hur röjande- begreppet i offentlighets- och sekretesslagen (2009:400) ska tolkas. Det finns i lagmotiven till straffbestämmelsen om brott mot tyst- nadsplikt i 20 kap. 3 brottsbalken stöd för att en uppgift ska be- traktas som röjd så snart den lämnats ut.
242
SOU 2021:1 |
Offentlighet, sekretess och tystnadsplikt |
Inledning
Syftet med detta avsnitt är att undersöka om det i lagmotiven till OSL och dess föregångare sekretesslagen (1980:100) samt straff- bestämmelsen om brott mot tystnadsplikt i 20 kap. 3 § brottsbalken finns någon vägledning när det gäller frågan hur röjandebegreppet i OSL ska tolkas.
Lagmotiven till offentlighets- och sekretesslagen
Den 30 juni 2009 ersattes 1980 års sekretesslag med OSL. Med endast en språklig justering överfördes definitionen av uttrycket sekretess i 1980 års sekretesslag till den nya definitionskatalogen 3 kap. 1 § OSL. Några materiella ändringar gjordes alltså inte och inte heller gjordes i lagstiftningsärendet några uttalanden om hur röjande- begreppet ska tolkas (prop. 2008/09:150 s. 297 ff. och 364). Vägled- ande uttalanden får därför sökas i lagmotiven till
Lagmotiven till 1980 års sekretesslag
Promemorians förslag
Till grund för 1980 års sekretesslag låg ett förslag som presenterades i den inom Justitiedepartementet upprättade promemorian (Ds Ju 1977:1 och 11) Handlingssekretess och tystnadsplikt.
I det första kapitlet i promemorians förslag till sekretesslag hade vissa grundläggande bestämmelser tagits in. I 2 § reglerades i två punkter vad sekretess innebar (s. 24). Enligt den första punkten innebar sekretess en begränsning i rätten enligt 2 kap. TF att ta del av allmän handling, i den mån sekretessbelagd uppgift röjs genom att handlingen lämnas ut. I den andra punkten i samma paragraf före- skrevs att sekretess innebar – när inte annat följde av bestämmelse som upptogs i lagen eller som hade stöd i denna – ett förbud att genom utlämnande av handling, muntligen eller på annat sätt röja sekretessbelagd uppgift utanför den särskilda verksamhet för det all- männas räkning vari den har inhämtats eller att utnyttja uppgiften utanför denna verksamhet.
243
Offentlighet, sekretess och tystnadsplikt |
SOU 2021:1 |
I specialmotiveringen till 2 § 2 angavs följande (s. 225).
Sålunda förbjuds genom bestämmelsen varje form av röjande av sekre- tessbelagd uppgift. Det är likgiltigt om röjande sker genom att en allmän handling företes, genom att någon får ta del av en handling som inte är allmän, genom att befattningshavare meddelar uppgifter i ett brev eller genom att han lämnar information muntligen. Också andra former för röjande av uppgift kan tänkas, exempelvis att någon förevisar ett hemligt föremål för annan. Det är utan betydelse om uppgiften före röjandet är dokumenterad eller inte. Inte heller spelar det någon roll om uppgift lämnas ut på begäran av utomstående eller efter initiativ av den som har uppgiften om hand.
Lagrådsremissen
I den lagrådsremiss som utarbetades sedan promemorian hade remiss- behandlats gavs den föreslagna lagens första kapitel som – i likhet med lagförslaget i promemorian innehöll vissa grundläggande bestäm- melser – en annorlunda utformning (prop. 1979/80:2 Del A s. 407 f.).
Till skillnad från förslaget i promemorian fanns i lagrådsremissens lagförslag ingen klar definition av uttrycket sekretess. I stället hette det i 2 § att – om sekretess gäller enligt denna lag för uppgift – uppgiften inte får lämnas till enskild, vare sig det sker genom att allmän handling lämnas ut eller det sker muntligen eller på annat sätt. I 3 § sades att – om sekretess gäller enligt denna lag för uppgift som förekommer hos viss myndighet – uppgiften inte får lämnas till annan myndighet eller till annan verksamhetsgren inom samma myndighet.
I specialmotiveringen till 2 § angavs följande (s. 119).
Genom bestämmelsen i 2 §, som i likhet med 3 § ger uttryck åt den för lagens konstruktion grundläggande tanken om en enhetlig reglering av sekretessen, förbjuds varje form av röjande av sekretessbelagd uppgift för enskild. I lagtexten uttrycks detta så att uppgift inte får lämnas ut till enskild. Det saknar betydelse på vilket sätt röjande sker. I första hand nämns förbud mot att röja uppgift genom att lämna ut allmän handling. Vad som menas med allmän handling framgår av TF (jfr prop. 1975/76:160 s. 119). Uppgift får inte heller röjas genom att en befattningshavare lämnar ut information muntligen eller på annat sätt. Innebörden härav är att befattningshavaren inte får låta någon ta del av hemlig uppgift vare sig detta sker genom att allmän handling företes eller att någon får ta del av handling som inte är allmän eller att upp- giften meddelas i brev. Också andra former för röjande av en uppgift kan tänkas, exempelvis att någon förevisar ett hemligt föremål för annan. Bestämmelsen avser alltså varje form av röjande. Det är också utan
244
SOU 2021:1 |
Offentlighet, sekretess och tystnadsplikt |
betydelse om uppgiften före röjandet är dokumenterad eller inte. Inte heller spelar det någon roll om uppgift lämnas ut på begäran av utom- stående eller efter initiativ av den som har uppgiften om hand.
Lagrådet
I sin granskning påpekade lagrådet att det förhållandet att uttrycket sekretess saknade en klar definition ledde till vissa komplikationer (s. 454). Som en följd av detta ansåg lagrådet att det skulle ges en förklaring av den speciella innebörd begreppet sekretess avsågs ha i lagen. Lagrådet föreslog därför att det i den föreslagna lagens första paragraf – som i övrigt föreslogs innehålla en beskrivning av lagens innehåll – i ett andra stycke skulle införas en bestämmelse med följande innehåll (s. 489).
Bestämmelserna avser förbud att röja uppgift, vare sig det sker munt- ligen eller genom att allmän handling lämnas ut eller det sker på annat sätt (sekretess).
Lagrådets förslag i denna del godtogs och lagtexten kom att få den utformning som lagrådet hade förordat (s. 494).
Lagmotiven ger inte någon vägledning
I både specialmotiveringen till det lagförslag som lämnades i pro- memorian och i specialmotiveringen till det lagförslag som lämnades i lagrådsremissen talas det om någon får ta del av en uppgift etc. Det går att argumentera för att dessa formuleringar och de exempel på röjande som lämnas i texterna tyder på att man föreställde sig att det endast kunde vara fråga om ett röjande i de fall mottagaren hade tagit del av uppgifterna. I viss utsträckning grumlas dock bilden av att det i båda texterna även talas om att uppgifter lämnas ut. Att en uppgift har lämnats ut säger någonting om huruvida mottagaren tagit del av uppgiften. I detta sammanhang finns även skäl att göra den allmänna reflektionen att om tanken hade varit att mottagaren måste ha tagit del av uppgifterna för att de ska betraktas som röjda, det hade varit på sin plats att tydligt påpeka detta. Det ligger nära till hands att tolka frånvaron av ett sådant påpekande som att lagstiftaren inte hade någon sådan avsikt eller kanske inte ens reflekterade över frågeställ- ningen.
245
Offentlighet, sekretess och tystnadsplikt |
SOU 2021:1 |
Som vi redogör för ovan arbetades lagförslaget i lagrådsremissen om på inrådan av lagrådet. I lagrådsremissens specialmotivering kom- menteras bestämmelsen såsom den utformats i remissen och inte bestämmelsen såsom den slutligen kom att utformas.
I den bestämmelse som specialmotiveringen i lagrådsremissen behandlar används inte uttrycket röja utan endast att en uppgift lämnas ut. Något tydligt stöd för tesen att det var lagstiftarens avsikt att ett röjande skulle förutsätta att mottagaren tar del av uppgiften finns inte i den kommenterade bestämmelsens ordalydelse eller i lagrådets motivering av sitt förslag.
Med hänsyn till detta bedömer vi att lagmotiven inte kan anses ge någon egentlig vägledning när det gäller frågan om det krävs att någon tagit del av en uppgift för att en uppgift ska betraktas som röjd.
Lagmotiven till bestämmelsen om brott mot tystnadsplikt
Brott mot tystnadsplikt
För brott mot tystnadsplikt döms den – enligt 20 kap. 3 § första stycket brottsbalken – som röjer uppgift, som han är pliktig att hemlighålla enligt lag eller annan författning eller enligt förordnande eller förbehåll som har meddelats med stöd av lag eller annan författ- ning, eller olovligen utnyttjar sådan hemlighet. I andra stycket i samma bestämmelse föreskrivs ansvar även för oaktsamma gärningar. I ringa fall ska inte dömas till ansvar.
Som framgår av lagtexten träffas alltså – trots brottsbeteckningen brott mot tystnadsplikt – alla former av röjande av straffbestäm- melsen.
Det bör noteras att bestämmelsen är subsidiär i förhållande till andra bestämmelser, dvs. den ska endast tillämpas om inte någon annan bestämmelse är tillämplig. Man kan tänka sig gärningar som faller in såväl under någon straffbestämmelse i exempelvis 19 kap. brottsbalken som under aktuell straffbestämmelse. I ett sådant fall ska alltså den första av dessa bestämmelser tillämpas.
När det gäller uppsåtliga brott ska – såvitt framgår av lagmotiven
–det subjektiva rekvisitet, dvs. kravet på uppsåt eller oaktsamhet, omfatta också det förhållandet att den röjda uppgiften inte får läm- nas ut i det aktuella fallet (prop. 1979/80:2, Del A, s. 404). En offent- lig funktionär som av oaktsamhet misstar sig på sekretessregleringens
246
SOU 2021:1 |
Offentlighet, sekretess och tystnadsplikt |
innehåll ska alltså fällas till ansvar för endast oaktsamt brott, om denne röjer en sekretessbelagd uppgift. Oaktsamma brott som är ringa ska vara fria från ansvar. I lagmotiven sägs vidare att frågan om ett oaktsamt brott är ringa får avgöras med hänsyn till samtliga om- ständigheter i det konkreta fallet. En faktor som kan vara av bety- delse – förutom vilken uppgift som röjts och vilken skada det lett till
–är vilka krav som rimligen kan ställas på den offentliga funktio- nären med hänsyn till dennes möjligheter att bedöma den rättsliga situationen.
Närmare om lagmotiven
Innan 1980 års sekretesslag trädde i kraft den 1 januari 1981 fanns bestämmelser om förbud att lämna ut allmänna handlingar i lagen (1937:249) om inskränkningar i rätten att utbekomma allmänna hand- lingar medan regler om tystnadsplikt i det allmännas verksamhet fanns spridda i ett stort antal författningar.
I linje med den uppdelning som gjordes i lagstiftningen mellan handlingssekretess och tystnadsplikt träffade bestämmelsen i 20 kap. 3 § brottsbalken – enligt sin ordalydelse – endast den som muntligen förmedlade (yppade) eller olovligen utnyttjade hemlig uppgift. Vidare fanns i 41 § i 1937 års sekretesslag bestämmelser om straff för den som i strid med den lagen eller föreskrift som meddelats enligt lagen utlämnade allmän handling eller bröt mot förbehåll som gjorts vid handlingens utlämnande.
Till grund för den lagrådsremiss som utarbetades på grundval av den tidigare omnämnda promemorian föreslog regeringen att 1937 års sekretesslag och därmed även 41 § i den lagen skulle upphävas, att en ny sekretesslag skulle införas (1980 års sekretesslag) samt att bestäm- melsen om brott mot tystnadsplikt skulle justeras på det sättet att den skulle omfatta den som röjde någon uppgift som han till följd av lag eller annan författning var pliktig att hemlighålla eller om han olov- ligen utnyttjade sådan hemlighet (prop. 1979/80:2, Del A, s. 444).
I specialmotiveringen till förslaget resonerade departementschefen kring innebörden av 20 kap. 3 § brottsbalken enligt den lydelse som gällde då (s. 402). Med hänvisning till rättsfallet NJA 1953 s. 654 menade han att det kunde betraktas som brott mot tystnadsplikt att någon röjer något, som han ska hemlighålla, genom att förete en icke
247
Offentlighet, sekretess och tystnadsplikt |
SOU 2021:1 |
allmän handling eller genom att visa upp en hemlig allmän handling trots att ordet yppa användes i bestämmelsen. Departementschefens slutsats var därför att det fanns goda skäl för att hävda att också ut- lämnande av allmän handling i strid med föreskrifterna i 1937 års sekretesslag eller mot förbud som har meddelats enligt den lagen skulle betraktas som ett brott mot tystnadsplikt. Han var också av den uppfattningen – med hänvisning till prop. 1975:76:160 s. 266 och 1975/76:204 s. 171 – att även den som bröt mot förbehåll som har gjorts vid utlämnande av handling kunde tänkas bli straffad för brott mot tystnadsplikt och att 41 § i 1937 års sekretesslag därmed inte längre hade någon självständig betydelse.
I sin granskning av förslaget förordade lagrådet – för att det skulle bli helt klart att straffbestämmelsen inte endast avsåg tystnadsplikt som föreskrivs direkt i lag eller annan författning utan även sådan som följer av förordnande eller förbehåll – att första stycket i para- grafen skulle anges avse, att någon röjer uppgift som han är pliktig att hemlighålla enligt lag eller annan författning eller enligt förord- nande eller förbehåll, som meddelats med stöd av lag eller annan för- fattning, eller att han olovligen utnyttjar sådan hemlighet. (s. 488).
När det gäller frågan om bestämmelsen i 20 kap. 3 § kunde tillämpas på gärningar som inte omfattades av lydelsen påpekade lagrådet med hänvisning till litteraturen (Beckman m.fl., Kommentar till brotts- balken II, 4 uppl. 1978, s. 401) att den i remissprotokollet redovisade uppfattningen om gällande rätt inte var oomtvistad.
Slutligen ska sägas att lagrådet förordade brottsbeteckningen sekretessbrott i stället för brott mot tystnadsplikt. Enligt lagrådet byggde tydligen förslaget på sekretesslag på uppfattningen att brott mot tystnadsplikt skulle omfatta inte endast röjande som skedde genom muntligt eller skriftligt meddelande utan också det blotta ut- lämnandet av sekretessbelagd allmän handling. Lagrådet menade att redan det förhållande att det rådde tveksamhet om gällande rätts innebörd medförde att det inte kunde anses vara lämpligt – om man avser att innesluta även det blotta utlämnandet av handling – att använda beteckningen brott mot tystnadsplikt.
I slutprotokollet godtog departementschefen den av lagrådet föreslagna lydelsen (s. 504). Däremot vidhöll han den uppfattningen att beteckningen brott mot tystnadsplikt skulle användas, dock utan att invända mot den tolkning av uttrycket röja som lagrådet gav uttryck för.
248
SOU 2021:1 |
Offentlighet, sekretess och tystnadsplikt |
Det finns fog för tolkningen att en uppgift är röjd så snart den lämnats ut
Det finns i de ovan omtalade lagmotiven stöd för att lagstiftaren tänkte sig att ett röjande sker så snart en handling lämnas ut. Det som avses här är förstås att den uppgift som finns dokumenterad i handlingen röjs. Att lagrådet vid sin uttolkning av innebörden i lag- förslaget skriver att ett röjande ska kunna ske genom blotta utläm- nandet av en handling måste rimligen tolkas som att det enligt lag- rådet inte uppställs något krav på att uppgiften i handlingen måste avslöjas för att den ska röjas.
De aktuella uttalandena avser uttrycket röja i 20 kap. 3 § brotts- balken och inte uttrycket röja i OSL. Bestämmelsen om brott mot tystnadsplikt innebär dock att det uppställs en straffsanktion för den som uppsåtligen eller av oaktsamhet röjer uppgifter i strid med OSL. Mot den bakgrunden framstår det som ologiskt att tänka sig att ut- trycket röja i 20 kap. 3 § brottsbalken skulle ha en annan innebörd än i OSL. Vår slutsats blir därmed att uttrycken i de olika lagstift- ningarna bör tolkas på samma sätt.
Det ska för ordningens skull nämnas att det på ett ställe i lag- motiven framhålls att det för tjänstemän som har att tillämpa sekre- tesslagen finns en viss marginal som följer av rekvisitens utformning och området där ansvar för sekretessbrott [brott mot tystnadsplikt] inträder (prop. 1979:/80, Del A, s. 85). Vi uppfattar att detta uttal- ande inte tar sikte på annat än det förhållandet att det för att ansvar för brott mot tystnadsplikt ska komma i fråga inte är tillräckligt att ett röjande skett. Därutöver krävs ju att det subjektiva rekvisitet är uppfyllt. Det som avses är med andra ord att ett röjande i strid med sekretesslagen (i dag OSL) inte nödvändigtvis innebär att någon gjort sig skyldig till brott mot tystnadsplikt. Detta uttalande kan alltså inte åberopas som stöd för att uttrycket röja i 20 kap. 3 § brotts- balken skulle ha en annan innebörd än i OSL.
Eftersom uttrycket röja i OSL således bör tolkas på samma sätt som motsvarande uttryck i 20 kap. 3 § brottsbalken finns alltså fog för att hävda att ett röjande enligt OSL sker så snart en handling lämnas ut.
249
Offentlighet, sekretess och tystnadsplikt |
SOU 2021:1 |
8.9.3Rättspraxis
Det saknas rättspraxis som uttryckligen behandlar frågan om när en uppgift ska betraktas som röjd enligt OSL.
8.9.4Litteratur
Kommentaren till offentlighets- och sekretesslagen
I kommentaren till OSL sägs att rättsfallet NJA 1991 s. 103 kan vara vägledande också vid tillämpningen av OSL och när det gäller brott mot tystnadsplikt.2 Vilka skäl denna slutsats grundas på redovisas inte.
Vi återkommer till detta rättsfall i kapitel 9 och 10.
Brottsbalkskommentaren
I kommentaren till straffbestämmelsen om brott mot tystnadsplikt i 20 kap. 3 § brottsbalken sägs att när det i OSL talas om röjande, ligger däri inte mer än att gärningen ska bestå i att uppgift eller allmän handling lämnas ut i fall som omfattas av sekretess. Något krav på att ett avslöjande ska ha skett ska däremot inte läggas in i ordet röja.3 Enligt kommentaren bör vidare – med hänvisning till prop. 1979/80:2 Del A s. 402 ff., s. 488 och s. 504 – samma innebörd kunna ges ordet röja också i 20 kap. 3 § brottsbalken.
8.10Våra samlade bedömningar
Av bl.a. definitionen av sekretess i 3 kap. 1 § OSL framgår att ett utlämnande är en form av röjande. Av samma bestämmelse följer att uttrycket röja är neutralt i den meningen att det kan vara såväl tillåtet som otillåtet.
2Se Lenberg E. m.fl., Offentlighets- och sekretesslag /2009:400/ 3 kap. 1 §, Nordstedts Juridik /JUNO/ /, Ahlström K., Offentlighets- och sekretesslag /2009:400/ 3 kap. 1 §, Lexino /JUNO/ / och Corell H. mf.l. Sekretesslagen, Kommentar till 1980 års lag med ändringar, Norstedts juri- dik, tredje uppl., Stockholm, 1991, s. 64.
3Se Johansson S. m.fl. Brottsbalken m.m., 20 kap. 3 §, Norstedts Juridik /JUNO/ /, se även Roos
250
SOU 2021:1 |
Offentlighet, sekretess och tystnadsplikt |
En uppgift kan vara utlämnad utan att någon har tagit del av den. Ett resonemang som går ut på att en uppgift inte skulle kunna betraktas som röjd med mindre än att någon tar del av den förut- sätter därmed det betraktelsesättet att uppgifter skulle kunna vara utlämnade utan att vara röjda. Av definitionen av sekretess följer dock att ett utlämnande är en form av röjande. Som vi konstaterar ovan måste en uppgift kunna betraktas som utlämnad även om mot- tagaren av uppgiften inte har tagit del av den. Härav följer att det inte krävs att mottagaren har tagit del av uppgiften för att den ska kunna betraktas som röjd.
Lagmotiven till sekretesslagstiftningen ger ingen närmare vägled- ning när det gäller frågan hur röjandebegreppet i OSL ska tolkas. Däremot finns det i lagmotiven till straffbestämmelsen om brott mot tystnadsplikt i 20 kap. 3 brottsbalken stöd för att en uppgift ska betraktas som röjd så snart den lämnats ut.
251
9 Tidigare utredningar
9.1Inledning
Frågan hur myndigheternas1 utkontraktering av
Syftet med detta avsnitt är att teckna en översiktlig bild av några av de analyser som redan har gjorts (avsnitt
Rättsfallet NJA 1991 s. 103 och ett beslut den 9 september 2014 (dnr
I avsnitt 9.9 behandlar vi frågan när en uppgift – enligt NJA 1991 s. 103 – ska anses röjd i den mening som avses i straffbestämmelsen om vårdslöshet med hemlig uppgift. Frågan om de i rättsfallet upp- ställda riktlinjerna kan användas för att avgöra om en utkontrak- tering innebär att uppgifter som omfattas av utkontrakteringen röjs enligt OSL behandlas däremot i kapitel 10.
1Med myndigheter avses i detta kapitel statliga myndigheter, kommuner och regioner om inget annat framgår av sammanhanget.
253
Tidigare utredningar |
SOU 2021:1 |
9.2NJA 1991 s. 103
9.2.1Vårdslöshet med hemlig uppgift
Rättsfallet NJA 1991 s. 103 handlar om brottet vårdslöshet med hemlig uppgift. I det följande lämnas därför en kort beskrivning av straff- bestämmelsen.
Brottsbalkens 19 kap. har rubriken Om brott mot Sveriges säker- het. Den som av grov oaktsamhet befordrar, lämnar eller röjer sådan uppgift som avses i bestämmelsen om obehörig befattning med hemlig uppgift (7 §) – dvs. uppgift om försvarsverk, vapen, förråd, import, export, tillverkningssätt, underhandlingar, beslut eller något förhållande i övrigt vars uppenbarande för främmande makt kan med- föra men för Sveriges säkerhet, vare sig uppgiften är riktig eller inte, om uppgiften rör något förhållande av hemlig natur – döms enligt 9 § för vårdslöshet med hemlig uppgift.
9.2.2Närmare om rättsfallet
Omständigheterna kan sammanfattas enligt följande.
Ett bolag skulle enligt avtal med en försvarsmyndighet förvara två pärmar med handlingar som innehöll uppgifter som var hemliga i den mening som avses i 19 kap. 9 § brottsbalken. Pärmarna förvarades i ett säkerhetsskåp. Reservnycklarna till säkerhetsskåpet förvarades – i strid med gällande säkerhetsföreskrifter – i ett låst jalusiskåp av trä. Vid ett inbrott i bolagets lokaler bröt gärningsmannen upp jalusi- skåpet och beredde sig därefter med hjälp av reservnycklarna till- träde till säkerhetsskåpet där pärmarna förvarades. Gärningsmannen hade tagit en kamera, vapen och ammunition som fanns i skåpet men det var inte klarlagt om han hade tagit del av handlingarnas innehåll.
Två personer som ansvarade för säkerheten hos bolaget åtalades för vårdslöshet med hemlig uppgift. Såväl tingsrätten som hovrätten fann dem skyldiga till den åtalade gärningen och de dömdes för vårds- löshet med hemlig uppgift.
De åtalade överklagade till Högsta domstolen och anförde bl.a. att de inte kunde anses ha röjt uppgifterna eftersom det inte var visat att deras åsidosättande av säkerhetsföreskrifterna hade lett till att någon obehörig hade tagit del av handlingarnas innehåll.
254
SOU 2021:1 |
Tidigare utredningar |
Högsta domstolen ogillade åtalet och anförde i domskälen följande.
När det gäller frågan huruvida [de tilltalade] genom sitt förfarande kan anses ha röjt uppgifter ur de i säkerhetsskåpet förvarade handlingarna är följande att beakta. Uttrycket ”röjer uppgift” i bestämmelsen innebär enligt vanligt språkbruk att en uppgift avslöjas eller uppenbaras. Detta förutsätter att det finns någon person, för vilken uppgiften görs till- gänglig. Det torde dock inte alltid kunna krävas att denne faktiskt har fått kännedom om uppgiften. Det bör sålunda som regel vara tillräckligt att en handling med hemliga uppgifter har kommit i någon obehörigs besittning. Även vissa andra, närliggande situationer bör omfattas. Där- emot kan inte varje möjlighet att ta del av en uppgift, som har beretts någon obehörig, medföra att uppgiften skall anses ha röjts; en sådan ordning skulle i realiteten innebära att det oaktsamma handlandet i sig ofta skulle medföra straffansvar. Avgörande för straffansvar bör främst vara om uppgiften har blivit tillgänglig för någon obehörig under sådana omständigheter, att man måste räkna med att den obehörige kommer att ta del av uppgiften.
Det bör inte komma i fråga att på grund av uttalanden i lagförarbetena vidga bestämmelsens tillämpningsområde till situationer som ligger helt vid sidan av vad som sålunda kan anses följa av ordalydelsen. Varken de motivuttalanden vartill hänvisas i TR:ns och HovR:ns domar eller andra uttalanden i förarbetena till bestämmelsen eller dess tidigare motsvarig- het ger för övrigt stöd för en sådan vidgad tillämpning.
I målet är upplyst att vid inbrottet tillgripits, förutom en i lokalen befint- lig kamera, två kulsprutepistoler jämte ammunition som förvarades i säkerhetsskåpet. Det har däremot inte kunnat klarläggas huruvida gär- ningsmannen tagit någon befattning med de i säkerhetsskåpet förvarade hemliga handlingarna. Omständigheterna är inte heller sådana att de hem- liga uppgifterna likväl kan anses ha röjts. Åtalet skall därför ogillas.
9.3Beslutet från JO
Två vårdgivare hade ingått avtal med ett företag om hjälp med journalföring av patientuppgifter. Enligt avtalen agerade företaget som personuppgiftsbiträde i förhållande till vårdgivaren (som var personuppgiftsansvarig). Avtalen innebar att vårdgivaren tillät att läkarsekreterare som var anställda hos företaget på distans lyssnade av inlästa diktat och skrev in uppgifterna i patientens journal. Han- teringen var helt elektronisk och uppgifter lagrades aldrig utanför regionens
255
Tidigare utredningar |
SOU 2021:1 |
Det råder enligt 25 kap. 1 § OSL, stark sekretess till skydd för uppgifter om patienter inom den allmänna hälso- och sjukvården. JO konstaterade att frågan om en vårdgivare kan lämna ut sekretess- belagda uppgifter till ett personuppgiftsbiträde eller till personal hos biträdet ska prövas på vanligt sätt enligt OSL.
Läkarsekreterarna hos företaget omfattades inte av den tystnads- plikt som enligt OSL gällde för vårdgivarens egen personal. Frågan om uppgifterna i patientjournalerna kunde göras tillgängliga för läkarsekreterarna var därför enligt JO i första hand beroende av om ett utlämnande kunde ske utan att det innebar men (dvs. skada) för den som skyddas av sekretessen. Läkarsekreterarna hade en avtals- reglerad tystnadsplikt i förhållande till arbetsgivaren (dvs. företa- get). Vidare följer av regelverket om behandling av personuppgifter en sorts tystnadsplikt för den som behandlar uppgifterna. Enligt JO var dessa ”alternativa” tystnadsplikter för läkarsekreterarna inte tillräckliga för att anse att ett utlämnande kunde ske utan att det inne- bar men (skada) för den som skyddas av sekretessen. Mot bakgrund av att de uppgifter som behandlades enligt avtalen var av mycket integritetskänsligt slag lades vid bedömningen vikt bl.a. vid att vård- givarens egen personal kan dömas för brott mot tystnadsplikt om en sekretessbelagd uppgift felaktigt röjs, medan så inte var fallet när det gällde läkarsekreterare som var anställda i företaget. Ett utlämnande hade enligt JO inte heller haft stöd i någon av de sekretessbrytande bestämmelser som finns i 10 kap. OSL eller i en lag eller förordning som OSL hänvisar till.
JO:s slutsats blev att vårdgivarna inte hade haft rättsligt stöd för att på det sätt som skett lämna ut sekretessbelagda uppgifter om patienter för journalföring av företagets läkarsekreterare. Enligt JO var det anmärkningsvärt att vårdgivarna inte hade ägnat sekretess- aspekterna större uppmärksamhet i samband med att avtalen ingicks. Vårdgivarna fick allvarlig kritik för att de hade ingått avtal som innebar att regionen lämnade ut patientuppgifter för journalföring av anställda vid ett företag, trots att detta inte var förenligt med regel- verket om sekretess.
256
SOU 2021:1 |
Tidigare utredningar |
9.4
Fram till år 2015 avlämnade
Mot bakgrund av det ovan nämnda beslutet från JO beslutade E- delegationen att inleda en förstudie i syfte att klarlägga rättsläget rörande i vad mån sekretess utgjorde hinder för utkontraktering och skapa underlag för en bedömning av om det fanns anledning för dele- gationen att överväga författningsåtgärder inom området (Fi 2009:01/2015/4,
Enligt den uppfattning som
Som vi uppfattar saken var det emellertid
257
Tidigare utredningar |
SOU 2021:1 |
Slutligen bör nämnas att det enligt
9.5Esamverkansprogrammet
9.5.1Rättsliga uttalanden och vägledningar under åren
Sedan
Den 17 december 2015 publicerade eSam det rättsliga uttalandet Röjandebegreppet enligt offentlighets- och sekretesslagen (VER
Som skäl för sin ståndpunkt anförde eSam att innebörden av röj- andeförbudet i lagmotiven till 1980 års sekretesslag beskrivs på ett sätt som indikerar att ett röjande också förutsätter att mottagaren kommer att ta del av uppgiften i fråga eller åtminstone har rätt att göra det. Slutligen påpekades att avsikten med att uppgifter görs tillgängliga för en privat tjänsteleverantör vid utkontraktering av it- drift inte är att denne ska tillgodogöra sig informationsinnehållet. Syftet är i stället att tjänsteleverantören enbart ska tekniskt bearbeta eller lagra själva informationsmassan.
I skriften Outsourcing – en vägledning om sekretess och person- dataskydd som publicerades i januari 2016 kommenterade eSam det rättsliga uttalandet (s. 16 ff.). I skriften hänvisas till bl.a. rättsfallet NJA 1991 s. 103 som – enligt eSam – borde kunna tjäna till vägled- ning vid tolkningen av röjandebegreppet i OSL.
258
SOU 2021:1 |
Tidigare utredningar |
9.5.2Rättsliga uttalanden, vägledningar och kompletteringar under åren
Den 23 oktober 2018 publicerade eSam det rättsliga uttalandet Rätts- ligt uttalande om röjande och molntjänster (VER 2018:57). I uttal- andet sägs att om sekretessreglerade uppgifter görs tekniskt tillgäng- liga för en privat tjänsteleverantör som till följd av ägarförhållanden eller annars är bunden av regler i ett annat land, enligt vilka tjänste- leverantören kan bli skyldig att överlämna information utan att internationell rättshjälp anlitats eller annan laglig grund finns enligt svensk rätt, får uppgifterna anses vara röjda. Anledningen är att det inte längre är osannolikt att uppgifterna kan komma att lämnas till utomstående. Detsamma får – enligt uttalandet – anses gälla om redan ägarförhållanden eller geografisk placering av en privat tjänste- leverantörs tekniska hjälpmedel ger anledning att befara att mänsk- liga rättigheter (t.ex. skyddet för privatlivet) eller det allmännas in- tressen (t.ex. rikets säkerhet) inte skulle säkerställas om svenska myndigheters data hade tillgängliggjorts.
Inledningsvis slår eSam fast att det rättsliga uttalandet från den
17 december 2015 inte tog sikte på sådana molntjänster som erbjuds av företag som har servrar i olika länder så att informationen kan finnas sparad (speglad) i flera länder och snabbt kan flyttas mellan olika jurisdiktioner samt vara åtkomlig via nät.
Slutligen anför eSam att en annan bedömning inte kan uteslutas för det fall att ett röjande hindras genom kryptering av tillräcklig – och när så krävs – godkänd kvalitet eller av andra åtgärder med samma verkan.
Den 20 september 2019 publicerade eSam promemorian Kom- pletterande information om molntjänster. Syftet med promemorian var att komplettera det rättsliga uttalandet som gjorts i oktober 2018.
Under rubriken Information klargörs att det som sägs i det rätts- liga uttalandet från december 2015 om röjandebegreppet enligt OSL förutsatte två saker. För det första att tjänsteleverantören enligt avtal med uppdragsgivaren inte får ta del av eller vidarebefordra de upp- gifter som görs tekniskt tillgängliga för tjänsteleverantören och för det andra att omständigheterna i övrigt inte får medföra att det var osannolikt att det ändå skulle ske. Enligt eSam räcker det alltså inte med att göra en sannolikhetsbedömning. En sådan bedömning blir
259
Tidigare utredningar |
SOU 2021:1 |
aktuell att göra först sedan det konstaterats att den rättsliga regler- ingen av parternas mellanhavanden har utformats på ett hållbart sätt.
Vi tolkar eSam som att man ger uttryck för att en myndighet röjer en uppgift som omfattas av sekretess om myndigheten lämnar ut uppgiften till en privat tjänsteleverantör som enligt den lag denne har att följa kan bli tvungen att lämna ut uppgiften till en utländsk myndighet utan att sekretessprövning först gjorts av en svensk myn- dighet.
I skriften Outsourcing 2.0 En vägledning om sekretess och data- skydd som publicerades i december 2019 kommenterar eSam det resonemang som förs i promemorian. Det framgår tydligt av denna vägledning att den utländska lagstiftning som eSam åsyftar är den år 2018 antagna amerikanska lagstiftningen Clarifying Lawful Over- seas Use of Data Act (US CLOUD Act). Enligt eSam innebär denna lagstiftning att amerikanska myndigheter under vissa förutsättningar kan begära att privata tjänsteleverantörer som är underkastade amerikansk jurisdiktion, ska bevara eller lämna ut uppgifter som är under tjänste- leverantörens kontroll utan att gå vägen via internationell rättshjälp.
9.5.3Kritik mot eSam:s ställningstaganden
De ställningstaganden som eSam gjort under åren 2018 till 2019 har kritiserats i olika sammanhang.
Representanter från Sveriges kommuner och regioner (SKR) har bl.a. – trots att organisationen ingår i eSam – gett uttryck för upp- fattningen att US CLOUD Act inte behöver innebära några ökade risker för offentlig sektors molninvesteringar. Även Microsoft har gett uttryck för en liknande uppfattning.2
Kritik har också riktats mot eSam från advokathåll.3 Kritiken som har haft molntjänster i fokus kan sägas ha legat på två plan. Kri- tikerna menar – för det första – att det saknas rättsligt stöd för att kräva annat än att myndigheterna inför en förestående utkontrak- tering ska genomföra den av eSam förordade sannolikhetsbedöm- ningen. För det andra menar kritikerna att den faktiska sannolik-
2Voister, Esam om Cloud Act kritik (2019) och Microsoft, Molntjänster och säkerhet (2018).
3Cirio Advokatbyrå AB, Molntjänster, offentlighet- och sekretess i offentlig sektor. Utredning om och förslag till lagstiftning rörande offentlig sektors möjligheter att använda publika molntjänster (2020).
260
SOU 2021:1 |
Tidigare utredningar |
heten för att uppgifter som lagras hos molntjänster skulle lämnas ut till amerikanska myndigheter med stöd av US CLOUD Act är låg.4
9.6Digitaliseringsrättsutredningen
Digitaliseringsrättsutredningen analyserade frågan hur utkontrak- tering av
Utredningen konstaterade att det är omtvistat om det finns rättsliga förutsättningar för att under vissa omständigheter lämna ut sekretessbelagda uppgifter utan att ett röjande av uppgifterna fak- tiskt sker (s. 349). Utredningen tog inte uttrycklig ställning till frågan men pekade ändå på ett par omständigheter som enligt utred- ningen talade mot att så skulle vara fallet oavsett om det endast är ett s.k. tekniskt tillgängliggörande av uppgifter och att den privata tjänsteleverantörens personal har förbjudits i avtal ta del av eller vidarebefordra informationen (s. 351 f.).
Utredningen påtalade att det av kommentaren till brottsbalken följer att det alltid är ett röjande att göra en uppgift tillgänglig för någon annan, oavsett om det sker ett faktiskt avslöjande av informa- tionen. Vidare gav utredningen uttryck för uppfattningen att viss försiktighet bör iakttas när det gäller att hämta ledning i Högsta domstolens resonemang i rättsfallet NJA 1991 s. 103 eftersom resone- manget där avser gränsdragningen för straffansvar.
Slutligen ska sägas att utredningen även uppmärksammade att Transportstyrelsen i rapporten Kartlägga hanteringen av vissa upp- gifter som författades på regeringens uppdrag med anledning av den s.k. Transportstyrelseskandalen år 2017 funnit att uppgifter som varit tillgängliga för obehöriga var att betrakta som i formell mening röjda även om det inte fanns några indikationer på att uppgifterna kommit i orätta händer.
4Kritiken har bemötts av eSam och en av Esams kritiker har replikerat, se eSam, Kommentar till kritisk rapport om molntjänster i offentlig sektor (2020) och Computer Sweden, Varför be- möter inte Esam och Försäkringskassan huvudpunkterna i vår kritik? (2020).
261
Tidigare utredningar |
SOU 2021:1 |
9.7Några myndighetsrapporter
9.7.1Statens servicecenter
I februari 2015 publicerade Statens servicecenter (SSC) skriften En förvaltningsgemensam tjänst för
Utan att ta uttrycklig ställning förs i bilagan ett resonemang om vilka möjligheter som finns för myndigheter att – utan en sekretess- brytande bestämmelse – utkontraktera
En annan sak som i detta sammanhang är värt att lyfta fram är att det i bilagan ges uttryck för uppfattningen att det förefaller ha ut- vecklats en praxis som innebär att ett utlämnande av handlingar som sker endast för teknisk bearbetning och teknisk lagring utanför myndigheten inte skulle utgöra ett röjande i den mening som avses i OSL. I bilagan sägs att denna praxis möjligen grundar sig på det förhållandet att ett sådant utlämnande inte utgör någon expediering i tryckfrihetsförordningens (TF) mening. Vidare hänvisas till ett ut- talande i lagmotiven (prop. 1975/76:160 s. 137) där det sägs att det är naturligt att se saken så att upptagningen [vid teknisk bearbetning och teknisk lagring utanför myndigheten] aldrig har befunnit sig utanför myndigheten.
262
SOU 2021:1 |
Tidigare utredningar |
9.7.2Pensionsmyndigheten
I rapporten Molntjänster i staten En ny generation av outsourcing från Pensionsmyndigheten (se avsnitt 3.1) sägs bl.a. att om en myndighet anlitar en molntjänstleverantör och den information som myndig- heten har för avsikt att lämna ut till den aktuella molntjänstleve- rantören är sekretessreglerad, har myndigheten att ta ställning till om sekretess utgör ett hinder för utlämnande (s. 39).
Av allt att döma var det således Pensionsmyndighetens utgångs- punkt att en myndighet röjer uppgifter i den mening som avses i OSL om den lämnar ut uppgifter till en molntjänstleverantör. Med hänvisning till
9.7.3Kammarkollegiet
I februari 2019 publicerade Kammarkollegiet förstudien Webbaserat kontorsstöd.
I studien öppnade Kammarkollegiet upp för synsättet att uppgif- ter som levererats till en molntjänstleverantör inte nödvändigtvis måste betraktas som röjda i den mening som avses i OSL (s. 33). Detta skulle – enligt Kammarkollegiet – förutsätta att myndigheten i avtalet med molntjänstleverantören tydligt anger att leverantörens
263
Tidigare utredningar |
SOU 2021:1 |
personal inte får ta del av lagrade uppgifter utan myndighetens förhandstillstånd. Enlig Kammarkollegiet möjliggör detta för myndig- heten att göra en sekretessprövning i det enskilda fallet.
Kammarkollegiet tog i studien även upp frågan om kryptering eller andra åtgärder med samma verkan kan innebära att sekretess- reglerade uppgifter får hanteras av en privat tjänsteleverantör (s. 34). Det framstår som oklart om Kammarkollegiet menade att dessa åtgärder kan ha betydelse för frågan om uppgifterna ska betraktas som röjda enligt OSL eller om åtgärderna endast har betydelse som omständigheter att beakta vid den skadeprövning som myndigheten har att göra inför ett eventuellt röjande.
Slutligen ska sägas att Kammarkollegiet sade sig instämma i den slutsats som eSam gav uttryck för i sitt rättsliga uttalande från okto- ber 2018 (s. 35). Det som här avsågs var uttalandet om att uppgifter som finns tillgängliga i en utländsk molntjänst bör betraktas som röjda om den privata tjänsteleverantören är bunden av regler i ett annat land, enligt vilka leverantören kan bli skyldig att överlämna information till en myndighet i det landet utan att internationell rättshjälp anlitats eller annan laglig grund finns enligt svensk rätt.
9.7.4Försäkringskassan
I november 2019 publicerade Försäkringskassan skriften Vitbok Moln- tjänster i samhällsbärande verksamhet – risker, lämplighet och vägen framåt.
I vitboken sade sig Försäkringskassan dela den bedömning som eSam och Kammarkollegiet förordade, nämligen att det måste be- traktas som ett röjande enligt OSL, att vid utkontraktering anlita privata tjänsteleverantörer som kan komma att lämna ut uppgifter till ett annat lands myndigheter (s. 30). Enligt Försäkringskassans be- dömning kunde inte kryptering lösa normkonflikten. Enligt Försäk- ringskassan kan det inte heller uteslutas att en myndighet i ett annat land som anser sig behörig att tillgå uppgifter också anser sig ha rätt att tillgå krypteringsnycklar. Vidare framhöll Försäkringskassan att de krypteringsmetoder som skulle försvåra en sådan tillgång skulle medföra att en stor del av tjänsternas funktionalitet kraftigt skulle försämras.
264
SOU 2021:1 |
Tidigare utredningar |
9.8Några synpunkter på tidigare utredningar m.m.
9.8.1Inledning
Det är tydligt att det synsätt som eSam förespråkar har fått ett bety- dande genomslag. Flera myndigheter har åtminstone delvis anammat den argumentation som eSam för (för enkelhetens skull skriver vi i det följande eSam även i det fall uppfattningen delas av flera).
I detta avsnitt redovisar vi vår syn på några av de ställningstagan- dena som kommit till uttryck i tidigare utredningar. Innan vi närmare går in på våra synpunkter är ett par påpekanden på plats.
Som vi redovisar ovan (avsnitt 8.9) är det vår bedömning att en uppgift som är utlämnad också är röjd oavsett om någon tagit del av uppgiften eller inte. Ett utlämnande är en form av röjande. Av detta följer att en uppgift inte kan vara utlämnad utan att samtidigt vara röjd.
Det har inte gjorts någon närmare analys av hur uttrycken röja och lämna ut förhåller sig till varandra i någon av de tidigare utred- ningarna. Uttrycket lämna ut verkar i vissa fall ha använts i enlighet med den tolkningen vi har gjort. I vissa andra fall har uttrycket använts på ett sätt som indikerar att man inte nödvändigtvis be- traktat en utlämnad uppgift som röjd.
När det gäller det ovan redovisade
9.8.2Teknisk bearbetning eller teknisk lagring
Utredningens bedömning: Det förekommer att en privat tjänste- leverantör eller en myndighet endast tekniskt bearbetar eller tek- niskt lagrar uppgifter på uppdrag av en myndighet. Det finns inget stöd för antagandet att uppdragsmyndigheten inte röjer upp- gifterna i enlighet med offentlighets- och sekretesslagen (2009:400) i en sådan situation.
265
Tidigare utredningar |
SOU 2021:1 |
Inledning
I bilaga 4 till den tidigare redovisade rapporten från SSC sägs att det förefaller ha utvecklats en praxis som innebär att ett utlämnande av handlingar som sker endast för teknisk bearbetning och teknisk lagring utanför myndigheten inte skulle utgöra ett röjande i den mening som avses i OSL. Som vi tidigare nämnt har man i detta sammanhang bl.a. hänvisat till lagmotiven där det sägs att det är naturligt att se saken så att upptagningen [vid teknisk bearbetning och teknisk lagring utanför myndigheten] aldrig har befunnit sig utan- för myndigheten.
Syftet med detta avsnitt är att undersöka om det finns grund för antagandet att uppdragsmyndigheten inte röjer uppgifterna i enlig- het med OSL i en sådan situation.
Bestämmelserna i TF
Som vi redogjort för ovan följer av 2 kap. 9 § tredje stycket TF att en åtgärd som någon vidtar endast som ett led i en teknisk be- arbetning eller teknisk lagring av en handling som en myndighet har tillhandahållit inte ska anses leda till att handlingen har kommit in till myndigheten. Bestämmelsen reglerar alltså den situationen att en icke allmän handling, som någon har bearbetat eller lagrat tekniskt, återkommer till den myndighet som tillhandahöll den. Handlingen ska vid återkomsten inte anses vara inkommen.
En handling som förvaras hos en myndighet endast som ett led i en teknisk bearbetning eller teknisk lagring för någon annans räk- ning anses inte som allmän handling hos den myndigheten (2 kap. 13 § första stycket TF).
Dessa bestämmelser tillkom år 1978 i samband med att 2 kap. TF ersattes med ett helt nytt kapitel.
I allmänmotiveringen till 2 kap. 10 § TF (nuvarande 2 kap. 13 § första stycket TF) anförde departementschefen bl.a. att offentlig- hetsprincipen inte krävde att allmänheten skulle ha tillgång till en upptagning hos en myndighet som endast har teknisk befattning med den (prop. 1975/76:160 s. 87). Vidare påtalades att undantags- bestämmelsen inte endast träffade den situationen att en myndighet tekniskt bearbetade eller lagrade upptagningar för annan myndighets räkning utan även när myndigheten agerade på uppdrag av enskild.
266
SOU 2021:1 |
Tidigare utredningar |
I specialmotiveringen tydliggjordes att undantagsbestämmelsen – i likhet med vad som alltjämt gäller – var tillämplig på handlingar, dvs. såväl traditionella pappershandlingar som upptagningar (s. 171). Här- utöver påpekades att t.ex. en magnetbandsupptagning som förvarades hos en arkivmyndighet normalt inte kunde anses lagrad för annans räkning.
I specialmotiveringen till 2 kap. 6 § andra stycket TF (nuvarande 2 kap. 9 § tredje stycket TF) anfördes som exempel på en situation då bestämmelsen skulle kunna vara tillämplig att en myndighet över- sände ett maskinskrivet manuskript till en datacentral för överföring av texten till ett magnetband (prop. 1975/76:160 s. 137). Enligt den bedömning som gjordes fick uppenbarligen den omständigheten att magnetbandsupptagningen blev tillgänglig för den uppdragsgivande myndigheten inte medföra att upptagningen ansågs ha inkommit dit. Enligt departementschefen var det i sådana fall naturligt att se saken så att upptagningen aldrig hade befunnit sig utanför myndigheten. För att hålla undan sådana situationer bedömdes det dock som nöd- vändigt att införa en särskild undantagsbestämmelse.
Liknande situationer som vid teknisk bearbetning kunde – enligt departementschefen – uppkomma vid teknisk lagring för myndig- hets räkning. Som exempel på detta nämndes sådan lagring som krävde särskilda tekniska anordningar, t.ex. lagring av information i skrivminne eller på magnetband.
Någon särskild bestämmelse om att en handling som en myndig- het ställde till förfogande för en annan myndighet endast för teknisk bearbetning eller teknisk lagring inte skulle anses som inkommen till den senare myndigheten föreslogs inte. Skälet för detta angavs vara att en sådan handling enligt 2 kap. 10 § TF över huvud taget inte skulle betraktas som en allmän handling (s. 138).
Bestämmelserna i OSL
En bestämmelse om överföring av sekretess
Får en myndighet i verksamhet för enbart teknisk bearbetning eller teknisk lagring för en annan myndighets räkning en uppgift som hos den senare myndigheten är sekretessreglerad av hänsyn till ett all- mänt intresse, blir sekretessbestämmelsen tillämplig även hos den mot- tagande myndigheten (11 kap. 4 a § OSL).
267
Tidigare utredningar |
SOU 2021:1 |
Av lagmotiven framgår att bestämmelsen är tänkt att tillämpas när en myndighet tillhandahåller digitala tjänster åt en annan myn- dighet och vid en myndighets utkontraktering av
Tillämpningsområdet för bestämmelsen är detsamma som för den undantagsbestämmelse som finns i 2 kap. 13 § TF vars innehåll nyss beskrivits. Detta innebär att de uppgifter som omfattas av sekre- tessen aldrig kan finnas dokumenterade i allmänna handlingar hos myndigheten.
Det bör noteras att det endast är sekretess till skydd för allmänna intressen som överförs. Sådana sekretessbestämmelser finns i 15– 20 kap. OSL.
Av 11 kap. 8 § OSL följer att bestämmelsen inte gäller om en primär sekretessbestämmelse till skydd för samma intresse redan är tillämplig på uppgifterna hos den mottagande myndigheten. I sådant fall ska i stället den primära sekretessbestämmelsen tillämpas, oav- sett om den primära sekretessen är starkare eller svagare än den sekundära sekretessen.
En sekretessbestämmelse till skydd för enskilds personliga och ekonomiska förhållanden
Sekretess gäller i verksamhet för enbart teknisk bearbetning eller teknisk lagring för någon annans räkning för uppgift om en enskilds personliga eller ekonomiska förhållanden (40 kap. 5 § OSL).
Bestämmelsen fick sin nuvarande lydelse genom lagändringar som trädde i kraft den 1 januari 2018. Dessförinnan var bestäm- melsen utformad på det sättet att den angav att sekretess gällde i verksamhet för enbart teknisk bearbetning eller teknisk lagring för någon annans räkning av personuppgifter som avsågs i personupp- giftslagen (1998:204) (numera upphävd) för uppgift om enskilds personliga eller ekonomiska förhållanden.
268
SOU 2021:1 |
Tidigare utredningar |
Till grund för den lagändring som gjordes låg de förslag som lämnats i
Regeringen delade
Med den lydelse bestämmelsen nu har råder ingen tvekan om att dess räckvidd omfattar all verksamhet som enbart avser teknisk be- arbetning och teknisk lagring av uppgifter för annans räkning. Sekre- tessens föremål är liksom tidigare enskilds personliga eller ekono- miska förhållanden. Sekretessen är absolut, dvs. någon skadeprövning ska inte göras.
Tillämpningsområdet för bestämmelsen är detsamma som för den undantagsbestämmelse som finns i 2 kap. 13 § TF.
Slutligen bör nämnas att bestämmelsen inte endast täcker in en situation där en myndighet utför tjänster på uppdrag av en annan myndighet. Även det fallet att en myndighet utför tjänster på upp- drag av en privat aktör omfattas.
Bestämmelserna om teknisk lagring och teknisk bearbetning i relation till röjandebegreppet
Inledningsvis kan vi konstatera att de bestämmelser som vi redogjort för ovan inte reglerar frågan när en uppgift ska anses vara röjd enligt OSL. En direkt tillämpning av bestämmelserna kan därmed inte leda
269
Tidigare utredningar |
SOU 2021:1 |
till antagandet att endast det förhållandet att handlingar enbart tek- niskt bearbetas eller tekniskt lagras av någon på uppdrag av en myn- dighet ska innebära att uppdragsmyndigheten inte har röjt uppgift- erna som finns i handlingarna enligt OSL.
Med utgångspunkt i det exempel att någon på uppdrag av en myndighet ska överföra ett maskinskrivet manuskript till ett magnet- band anförde departementschefen – i specialmotiveringen till 2 kap. 6 § andra stycket TF (nuvarande 2 kap. 9 § tredje stycket) – att det var naturligt att se saken så att upptagningen aldrig hade befunnit sig utanför myndigheten. Uttalandet skulle kunna uppfattas på det sättet att lagstiftaren därigenom slog fast att – i sådana fall – de uppgifter som finns i handlingarna inte ska betraktas som röjda enligt OSL. Om man ska se saken så att handlingarna aldrig har lämnat myndig- heten så kan förstås uppgifterna som finns i handlingarna inte heller vara röjda.
En invändning mot det sättet att resonera är att handlingarna faktiskt har lämnat myndigheten i sådana fall eftersom undantags- bestämmelsen i 2 kap. 9 § tredje stycket TF annars inte skulle fylla någon funktion.
Vi kan konstatera att det i lagmotiven till de aktuella bestäm- melserna i TF inte finns något uttalande som egentligen stödjer antagandet att en myndighet som uppdrar åt en annan myndighet att enbart tekniskt bearbeta handlingar inte röjer uppgifterna som finns dokumenterade i dessa. Inte heller finns det stöd för ett sådant antagande i rättspraxis eller i litteraturen.
Till detta kommer att lagstiftaren har bedömt att det finns behov av att i 11 kap. 4 a § OSL införa en bestämmelse om överföring av sekretess. Får en myndighet i verksamhet för enbart teknisk bearbet- ning eller teknisk lagring för en annan myndighets räkning en upp- gift som hos den senare myndigheten är sekretessreglerad av hänsyn till ett allmänt intresse, blir sekretessbestämmelsen tillämplig även hos den mottagande myndigheten.
Det är en berättigad fråga varför denna bestämmelse ens skulle behövas om det vore så att den uppdragsgivande myndigheten inte skulle anses ha röjt uppgifterna till den mottagande myndigheten. En bestämmelse om överföring av sekretess är enligt sin definition en bestämmelse som innebär att en sekretessbestämmelse som är tillämplig på en uppgift hos en myndighet, ska tillämpas på uppgiften även av en myndighet som uppgiften lämnas till eller som har elek-
270
SOU 2021:1 |
Tidigare utredningar |
tronisk tillgång till uppgiften hos den förstnämnda myndigheten (3 kap. 1 § OSL). En förutsättning för att en bestämmelse om över- föring av sekretess ska tillämpas är alltså att en myndighet har lämnat uppgifter till en annan myndighet, eller givit den andra myndigheten tillgång till uppgiften, dvs. röjt uppgiften.
I detta sammanhang kan också tilläggas att det varken i lag- motiven till 11 kap. 4 a § eller 40 kap. 5 § OSL eller i lagmotiven till den senare bestämmelsens föregångare i 9 kap. 7 § i 1980 års sekre- tesslag finns något som stödjer antagandet att endast det förhållan- det att handlingar enbart tekniskt bearbetas eller tekniskt lagras av någon på uppdrag av en myndighet ska innebära att uppdragsmyn- digheten inte har röjt uppgifterna som finns i handlingarna enligt OSL (se Ds Ju 1977:11, Del 2, s. 455 ff., prop. 1979/80:2, Del A, s. 271 ff. och prop. 1997/98:44 s. 148).
Mot denna bakgrund gör vi bedömningen att det saknas grund för ett sådant antagande.
9.8.3US CLOUD Act och liknande regleringar och 8 kap. 3 § OSL
Utredningens bedömning: Det förhållandet att det finns en risk för att en privat tjänsteleverantör i enlighet med den lagstiftning som denne är bunden av (t.ex. US CLOUD Act eller någon lik- nande reglering) kan bli tvungen att lämna ut uppgifter till en utländsk myndighet innebär inte att den svenska myndigheten handlar i strid med 8 kap. 3 § offentlighets- och sekretesslagen (2009:400) när den lämnar ut uppgifterna till tjänsteleverantören. Inte heller kan det bli fråga om ett otillåtet röjande enligt 8 kap. 3 § offentlighets- och sekretesslagen om tjänsteleverantören i ett senare skede lämnar ut uppgifterna till en utländsk myndighet.
Av våra direktiv framgår att vi särskilt ska analysera eventuella konse- kvenser av att uppgifter som lämnas ut till en privat tjänsteleverantör kan komma att exponeras för andra staters rättsordningar, med sär- skilt fokus på betydelsen av rättsakter från tredjeland, t.ex. US CLOUD Act.
271
Tidigare utredningar |
SOU 2021:1 |
I 8 kap. 3 § OSL föreskrivs att en uppgift för vilken sekretess gäller enligt denna lag inte får röjas för en utländsk myndighet eller en mellanfolklig organisation, om inte utlämnande sker i enlighet med särskild föreskrift i lag eller förordning (p. 1), eller uppgiften i motsvarande fall skulle få lämnas ut till en svensk myndighet och det enligt den utlämnande myndighetens prövning står klart att det är förenligt med svenska intressen att uppgiften lämnas till den ut- ländska myndigheten eller den mellanfolkliga organisationen (p. 2).
Bestämmelserna i 8 kap. 3 § OSL innebär alltså ett förbud för myndigheter att i vissa fall röja uppgifter för utländska myndigheter eller mellanfolkliga organisationer. Att en svensk myndighet för över uppgifter till privata tjänsteleverantörer som är bundna av US CLOUD Act eller någon liknande reglering innebär att det finns en risk för att tjänsteleverantörerna lämnar uppgifterna till utländska myndigheter.
Vi vill här framhålla att en risk för att uppgifterna ska överlämnas till utländska myndigheter inte enligt vår mening innebär att upp- gifterna röjs till utländska myndigheter redan genom att de lämnas ut till tjänsteleverantörerna. Som vi ser det bryter alltså inte en myn- dighet mot 8 kap. 3 § OSL genom att lämna ut uppgifter till en tjänsteleverantör som är bunden av US CLOUD Act eller någon liknande reglering. Detta eftersom den nämnda bestämmelsen tar sikte på den situationen att en myndighet lämnar en uppgift direkt till en utländsk myndighet. Enligt vår bedömning kan det inte heller bli fråga om ett otillåtet röjande enligt 8 kap. 3 § OSL om tjänste- leverantören lämnar ut uppgifterna till en utländsk myndighet i ett senare skede eftersom det endast är en sådan aktör som är bunden av OSL som kan vidta en åtgärd som leder till att uppgifter röjs.
272
SOU 2021:1 |
Tidigare utredningar |
9.9När är en uppgift röjd i den mening som avses i straffbestämmelsen om vårdslöshet med hemlig uppgift enligt NJA 1991 s. 103?
Utredningens bedömning: NJA 1991 s. 103 innebär att en hem- lig uppgift som finns dokumenterad i en pappershandling ska anses ha röjts i den mening som avses i straffbestämmelsen om vårdslöshet med hemlig uppgift i 19 kap. 9 § brottsbalken, om någon vidtar en åtgärd som innebär att obehöriga tillgängliggörs den hemliga uppgiften under sådana omständigheter att man måste räkna med att den obehörige kommer att ta del av uppgiften.
9.9.1Inledning
Som följer av vår redogörelse ovan uttalas i NJA 1991 s. 103 att avgörande för straffansvar främst bör vara om uppgiften har blivit tillgänglig för någon obehörig under sådana omständigheter, att man måste räkna med att den obehörige kommer att ta del av uppgiften.
Syftet med detta avsnitt är att närmare klargöra när en uppgift – enligt rättsfallet – ska anses som röjd enligt straffbestämmelsen om vårdslöshet med hemlig uppgift i 19 kap. 9 § brottsbalken.
Frågan om de i rättsfallet uppställda riktlinjerna kan användas för att avgöra om en utkontraktering innebär att uppgifter som omfattas av utkontrakteringen röjs enligt OSL behandlas i nästa kapitel.
9.9.2Rättsfallet handlar om det objektiva rekvisitet röjer uppgift
I såväl tingsrättens som hovrättens domar diskuteras frågan om upp- gifterna hade röjts i enlighet med 19 kap. 9 § brottsbalken. Ingressen till Högsta domstolens referat lyder [f]råga om innebörden av ut- trycket ”röjer uppgift” i 19 kap 9 § BrB (vårdslöshet med hemlig upp- gift). Vidare konstaterar Högsta domstolen i det sista stycket i sina domskäl att [o]omständigheterna är inte heller sådana att de hemliga uppgifterna likväl kan anses ha röjts.
273
Tidigare utredningar |
SOU 2021:1 |
Vi kan inte tolka dessa skrivningar på annat sätt än att rättsfallet handlar om det objektiva rekvisitet röjer uppgift i straffbestämmel- sen om vårdslöshet med hemlig uppgift.
9.9.3Besittning och tillgänglighet
Som vi uppfattar domskälen gör Högsta domstolen en åtskillnad mellan två olika situationer nämligen dels det fallet att en åtgärd leder till att en handling med en hemlig uppgift kommer i någon obehörigs besittning, dels det fallet att en åtgärd leder till att en hem- lig uppgift blir tillgänglig för någon. En uppgift kan alltså vara till- gänglig för någon utan att denne har fått den handling i vilken upp- giften finns dokumenterad i sin besittning.
En åtgärd som innebär att en handling med hemliga uppgifter kommit i någon obehörigs besittning innebär – enligt huvudregeln – att uppgifterna som finns dokumenterade i handlingen röjs (den femte meningen i första stycket i de ovan citerade domskälen). Med tanke på vad rättsfallet handlar om finns skäl att utgå ifrån att Högsta domstolen med handling i detta fall avser en pappershandling, alltså ett fysiskt objekt. Detta ligger också i linje med det förhållandet att domstolen talar om besittning. Man kan vara i besittning av ett fysiskt objekt t.ex. en pappershandling. Däremot framstår det som tveksamt om man kan hävda att någon kan vara i besittning av uppgiften i sig.
Varje åtgärd som leder till att någon obehörig tillgängliggörs uppgifter som finns i en pappershandling leder inte till att uppgift- erna i pappershandlingen röjs (den sjunde meningen i första stycket i de ovan citerade domskälen). Detta framstår som logiskt och följd- riktigt. Antag t.ex. att en myndighetsanställd som sitter på ett tåg lämnar kvar en pappershandling med en hemlig uppgift i kupén när han lämnar den för att dricka en kopp kaffe i bistrovagnen. I ett så- dant fall kanske man kan hävda att uppgiften i pappershandlingen genom denna åtgärd tillgängliggjorts för alla som sitter i kupén. Det framstår samtidigt som långtgående att göra gällande att uppgiften röjts för alla dessa personer. För att avgränsa innebörden av röjande- begreppet i tillgänglighetsfallen introducerar Högsta domstolen regeln att uppgiften – för att den ska anses ha röjts i ett sådant fall – måste ha blivit tillgänglig för någon obehörig under sådana omständig- heter, att man måste räkna med att den obehörige kommer att ta del
274
SOU 2021:1 |
Tidigare utredningar |
av uppgiften (den åttonde meningen i första stycket i de ovan citerade domskälen).
9.9.4Högsta domstolens slutsats och bedömning
Mot bakgrund av det ovan anförda bedömer vi att riktlinjer som Högsta domstolens genom rättsfallet introducerade kan beskrivas enligt följande. Om någon vidtar en åtgärd som innebär att obehöriga tillgängliggörs en hemlig uppgift som finns dokumenterade i en pappers- handling ska uppgiften anses ha röjts i den mening som avses i straff- bestämmelsen om vårdslöshet med hemlig uppgift enligt 19 kap. 9 § brotts- balken om uppgiften har blivit tillgänglig för någon obehörig under så- dana omständigheter att man måste räkna med att den obehörige kom- mer att ta del av uppgiften.
I de ovan citerade domskälens tredje stycke prövade Högsta dom- stolen – med en tillämpning av de i domskälen introducerade rikt- linjerna – om uppgifterna i pärmarna skulle betraktas som röjda genom att de tilltalade förvarat nycklarna till säkerhetsskåpet i ett vanligt skåp gjort av trä.
I den andra meningen i samma stycke konstateras att det inte kunnat klarläggas huruvida inbrottstjuven tagit någon befattning med de i säkerhetsskåpet förvarade hemliga handlingarna. Detta upp- fattar vi som synonymt med ett konstaterande att det i målet inte är visat att den av de tilltalade vidtagna åtgärden lett till att inbrotts- tjuven haft handlingarna i sin besittning. Som vi uppfattar saken menade emellertid Högsta domstolen att åtgärden lett till att upp- gifterna hade blivit tillgängliga för obehöriga. Frågan blev därmed om de hemliga uppgifterna – genom den åtgärd som de tilltalade hade vidtagit – tillgängliggjorts för inbrottstjuven under sådana omstän- digheter att man måste ha räknat med att han skulle ta del av dem. I den tredje meningen besvarade Högsta domstolen den frågan nek- ande.
Enligt vår tolkning ogillades således åtalet av den anledning att det objektiva rekvisitet röjer i den aktuella straffbestämmelsen inte bedömdes vara uppfyllt.
275
Tidigare utredningar |
SOU 2021:1 |
9.10Våra samlade bedömningar
Det förekommer att en privat tjänsteleverantör eller en myndighet endast tekniskt bearbetar eller tekniskt lagrar uppgifter på uppdrag av en myndighet. Det finns inget stöd för antagandet att uppdrags- myndigheten inte röjer uppgifterna i enlighet med OSL i en sådan situation.
Det förhållandet att en privat tjänsteleverantör är bunden av US CLOUD Act eller någon liknande reglering innebär att det finns en risk för att leverantören överlämnar uppgifter som omfattas av en utkontraktering till en utländsk myndighet. En sådan risk innebär inte att myndigheten gör sig skyldig till ett otillåtet röjande enligt 8 kap. 3 § OSL genom att överföra uppgifterna till tjänsteleveran- tören. Detta eftersom den nämnda bestämmelsen tar sikte på den situationen att en myndighet lämnar en uppgift direkt till en utländsk myndighet. Enligt vår bedömning kan det inte heller bli fråga om ett otillåtet röjande enligt 8 kap. 3 § OSL om tjänsteleverantören lämnar ut uppgifterna till en utländsk myndighet i ett senare skede eftersom det endast är en sådan aktör som är bunden av OSL som kan vidta en åtgärd som leder till att uppgifter röjs.
NJA 1991 s. 103 innebär att en hemlig uppgift som finns doku- menterad i en pappershandling ska anses ha röjts i den mening som avses i straffbestämmelsen om vårdslöshet med hemlig uppgift i 19 kap. 9 § brottsbalken, om någon vidtar en åtgärd som innebär att obehöriga tillgängliggörs den hemliga uppgiften under sådana om- ständigheter att man måste räkna med att den obehörige kommer att ta del av uppgiften.
276
10En sekretessbrytande bestämmelse
10.1Utkontraktering och röjande
Utredningens bedömning: En myndighet som utkontrakterar
Röjandet sker när uppgifterna lämnas ut till tjänsteleveran- tören oavsett om denne är bunden av US CLOUD Act eller någon liknande reglering.
10.1.1Inledning
Om en myndighets1 utkontraktering av
1Med myndigheter avses i detta kapitel statliga myndigheter, kommuner och regioner om inget annat framgår av sammanhanget.
277
En sekretessbrytande bestämmelse |
SOU 2021:1 |
ut uppgifter som omfattas av absolut sekretess inom ramen för ut- kontrakteringen.
I våra direktiv framhålls den rättsliga osäkerhet som råder beträff- ande röjandefrågan. Det är tydligt att dagens situation inte är tillfreds- ställande. För att vi ska kunna utföra vårt uppdrag och ta ställning till om författningsändring bör föreslås fordras det att vi svarar på frågan om en utkontraktering innebär ett röjande.
Som vi framhållit flera gånger är det vår bedömning att ett ut- lämnade är en form av röjande. En uppgift kan därmed inte vara utlämnad utan att samtidigt vara röjd. Härav följer att en utkon- traktering – enligt vår tolkning – innebär att uppgifter röjs om den innebär att uppgifter lämnas ut.
Det krävs dock ett ställningstagande till frågan vilket eller vilka kriterier som ska vara avgörande för om en uppgift ska betraktas som utlämnad och därmed som röjd vid en utkontraktering. Vi måste därför fylla uttrycken röjd och utlämnad – som dessa begrepp ska förstås i kontexten utkontraktering – med ett konkret innehåll.
10.1.2NJA 1991 s. 103 och utkontraktering
Vad innebär en tillämpning av de i 1991 års rättsfall uppställda riktlinjerna i detta sammanhang?
Som vi redovisar i avsnitt 2.2.5 kan en utkontraktering av
En tillämpning av de i 1991 års rättsfall uppställda riktlinjerna i detta sammanhang skulle enligt vår bedömning innebära att upp- gifterna ska anses ha röjts endast om omständigheterna vid tillgäng- liggörandet var sådana att man måste ha räknat med att den privata tjänsteleverantören kommer att ta del av uppgifterna. Om det saknas skäl för ett sådant antagande och uppgifterna i enlighet med det sagda inte ska anses ha röjts behöver myndigheten alltså inte iaktta be- stämmelserna i OSL.
278
SOU 2021:1 |
En sekretessbrytande bestämmelse |
Transportstyrelseskandalen och Arbetsdomstolens bedömning
I samband med Transportstyrelseskandalen år 2017 prövade Arbets- domstolen frågan om den dåvarande generaldirektören för Transport- styrelsen hade gjort sig skyldig till vårdslöshet med hemlig uppgift (dom nr 15/19, mål nr AD 152/17, meddelad den 6 mars 2019). Den dåvarande generaldirektören hade fattat beslut om att – enkelt uttryckt
–utkontraktera myndighetens
Den övergripande fråga som Arbetsdomstolen hade att ta ställ- ning till var om det funnits tillräckliga skäl att avskeda general- direktören. Vid denna bedömning ansågs frågan om generaldirek- tören hade begått vårdslöshet med hemlig uppgift när hon fattade de aktuella besluten vara av betydelse. Arbetsdomstolen hänvisade till 1991 års rättsfall och menade att de i rättsfallet uppställda rikt- linjerna skulle ligga till grund för bedömningen. Frågan var närmare bestämt om två driftstekniker i Tjeckien hade haft tillgång till hem- liga uppgifter. Arbetsdomstolen fann att det inte var visat att så var fallet och gjorde därför bedömningen att uppgifterna inte hade röjts.
Som vi tolkar domskälen kom Arbetsdomstolen alltså fram till att uppgifterna inte hade röjts redan på den grunden att de inte hade varit tillgängliga för den privata tjänsteleverantören. Vid den bedöm- ningen saknade därmed Arbetsdomstolen skäl att – i enlighet med 1991 års rättsfall – ta ställning till frågan om uppgifterna hade blivit tillgängliga för tjänsteleverantören under sådana omständigheter att man måste ha räknat med att tjänsteleverantören eller någon annan utomstående skulle komma att ta del av uppgifterna.
Det viktiga i detta sammanhang är emellertid det förhållandet att Arbetsdomstolen ansåg sig oförhindrad att tillämpa de i 1991 års rätts- fall uppställda riktlinjerna för att ta ställning till frågan om uppgifter röjts i den mening som avses i bestämmelsen om vårdslöshet med hemlig uppgift. Givet att röjandebegreppet i den aktuella straff- bestämmelsen respektive OSL ska anses ha samma innebörd skulle Arbetsdomstolens dom kunna åberopas som argument för att de i 1991 års rättsfall uppställda riktlinjerna även kan användas när man tar ställning till frågan om uppgifter ska betraktas som utlämnade i samband med att en myndighet utkontrakterar
279
En sekretessbrytande bestämmelse |
SOU 2021:1 |
Det finns skäl att framhålla att Arbetsdomstolen är en special- domstol med uppgift att döma i arbetsrättsliga tvister. De uttalanden som Arbetsdomstolen gör i frågor som ligger utanför arbetsrätten kan inte betraktas som prejudicerande. Betydelsen av Arbetsdom- stolens dom i detta sammanhang ska därför inte överdrivas.
Till bilden hör också – som nämns i avsnitt 9.6 – att Transport- styrelsen i sin rapport till regeringen efter turerna år 2017 gjorde en annan bedömning än Arbetsdomstolen.
10.1.3En utkontraktering innebär att uppgifterna lämnas ut och därmed röjs
Som följer av det föregående behandlas i 1991 års rättsfall inne- börden av det objektiva rekvisitet röjer i straffbestämmelsen om vårdslöshet med hemlig uppgift i 19 kap. 9 § brottsbalken. Frågan är inledningsvis om uttrycket röjer i nämnda straffbestämmelse ska ha samma innebörd som motsvarande uttryck i OSL.
Ett förhållande som kan vara värt att notera i detta sammanhang är att 1980 års sekretesslag inte gällde för det bolag som i 1991 års rättsfall hade till uppgift att förvara pärmarna med hemliga uppgifter. De hemliga uppgifterna i pärmarna var alltså redan röjda – genom att de lämnats ut till bolaget – i den mening som avses i OSL. Det var således inte fråga om att någon myndighet vidtagit någon åtgärd vari- genom uppgifterna hade röjts enligt OSL.
Som vi redan har varit inne på bör uttrycket röjer i OSL ha samma innebörd som motsvarande uttryck i straffbestämmelsen om brott mot tystnadsplikt i 20 kap. 3 § brottsbalken. En utgångspunkt måste vara att uttryck som förekommer i brottsbalken (19 kap. 9 § och 20 kap. 3 §) måste ges samma innebörd även om de förekommer i olika bestämmelser. Vår slutsats är därmed att rättsfallet kan användas vid en tolkning av röjandebegreppet i OSL. Frågan är emellertid vilken räckvidd prejudikatet ska anses ha.
Vi återgår till det i avsnitt 9.9.3 anförda exemplet med en myndig- hetsanställd som sitter på ett tåg lämnar kvar en pappershandling med en hemlig uppgift i kupén när han lämnar den för att dricka en kopp kaffe i bistrovagnen. Även om uppgifterna som finns doku- menterade i pappershandlingen kanske kan sägas ha blivit tillgängliga för alla i kupén framstår det som rimligt att de inte ska anses ha röjts med mindre än att omständigheterna var sådana att det fanns skäl att
280
SOU 2021:1 |
En sekretessbrytande bestämmelse |
räkna med att någon obehörig skulle ta del av dem. Alla åtgärder som leder till att uppgifterna tillgängliggörs för utomstående ska med andra ord inte leda till att de röjs. Att tillämpa de i rättsfallet upp- ställda riktlinjerna i en situation som det var fråga om i rättsfallet eller i liknande situationer framstår som logiskt och begripligt.
Vi avfärdar däremot den tanken att man kan resonera på samma sätt vid en utkontraktering av
–i analogi med 1991 års rättsfall – inte skulle ha lämnat ut uppgift- erna till tjänsteleverantören som svårförståelig. Det är således vår bedömning att en myndighet får anses lämna ut de uppgifter som omfattas av utkontrakteringen till tjänsteleverantören. Av definitionen av sekretess i 3 kap. 1 § OSL framgår att ett utlämnande är en form av röjande. Uppgifter kan alltså inte vara utlämnade utan att sam- tidigt vara röjda. En utkontraktering innebär följaktligen att de upp- gifter som omfattas av utkontrakteringen röjs.
10.1.4Avtalsreglerad tystnadsplikt, kryptering och pseudonymisering
Enligt våra direktiv ska vi i vår analys lägga särskild vikt vid frågan om avtalsreglerad tystnadsplikt och tekniska säkerhetsåtgärder, tex. kryptering eller pseudonymisering, kan påverka möjligheten att lämna ut uppgifter.
Ett avtal mellan en utkontrakterande myndighet och en privat tjänsteleverantör som förpliktar den senare att inte sprida de uppgifter som omfattas av utkontrakteringen (avtalsreglerad tystnadsplikt) har ingen inverkan på det förhållandet att myndigheten lämnar ut och därmed röjer uppgifterna för tjänsteleverantören. I enlighet med den tolkning som görs i föregående avsnitt röjs alltså de uppgifter som
281
En sekretessbrytande bestämmelse |
SOU 2021:1 |
omfattas av en utkontraktering till tjänsteleverantören oavsett före- komsten av en avtalad tystnadsplikt.
Som vi ser saken bör bedömningen bli densamma i de fall den privata tjänsteleverantören i avtal med myndigheten förbundit sig att inte ta del av uppgifterna.
En annan sak är att avtalad tystnadsplikt kan ha betydelse vid en eventuell skadeprövning (se avsnitt 10.2.3).
Kryptering och pseudonymisering utgör exempel på tekniska säkerhetsåtgärder som en myndighet kan, och ibland är skyldig att, vidta i syfte att försvåra för en obehörig att ta del av uppgifter. I vilken utsträckning åtgärder av detta slag faktiskt försvårar åt- komst beror på hur åtgärden utformats och vilka kunskaper och resurser i övrigt som finns hos tjänsteleverantören.
Det finns inga nu kända säkerhetsåtgärder som gör det helt, både i teori och praktik, omöjligt för tjänsteleverantören att ta del av upp- gifterna. De tekniska säkerhetsåtgärderna medför alltså endast att det blir mer osannolikt att tjänsteleverantören tar del av uppgifterna i jämförelse med vad som skulle ha varit fallet om åtgärderna inte hade vidtagits. Vid en utkontraktering kan uppgifterna ändå – trots förekomsten av dylika säkerhetsåtgärder – sägas ha gjorts tillgängliga (åtminstone teoretiskt) för tjänsteleverantören.
Kännetecknande för alla former av utkontraktering av
En invändning mot detta skulle kunna vara att det i dag finns tek- niska säkerhetsåtgärder som gör att det blir praktiskt sett omöjligt för en tjänsteleverantör att komma åt uppgifterna och att utkon- trakteringen av det skälet inte bör betraktas som ett utlämnande av uppgifterna. Även om man skulle resonera på det sättet skulle det sannolikt inte leda till att alla tekniska säkerhetsåtgärder alltid skulle
282
SOU 2021:1 |
En sekretessbrytande bestämmelse |
bedömas innebära att uppgifterna i fråga inte skulle ha lämnats ut till tjänsteleverantören. Som just konstaterats finns ju inga nu kända säkerhetsåtgärder som gör det omöjligt i teori och praktik för tjänste- leverantören att ta del av uppgifterna. I vissa fall skulle säkerhets- åtgärderna leda till att uppgifterna inte ansågs utlämnande och i andra fall skulle de anses vara det trots säkerhetsåtgärder. Det skulle alltså bli nödvändigt att föra ett sannolikhetsresonemang.
Det kan konstateras att ett sannolikhetsresonemang skulle leda till svårbemästrade gränsdragningsproblem och därmed osäkerhet. Det finns många olika typer av säkerhetsåtgärder och vissa av dessa är väldigt säkra i den meningen att de bidrar till att göra det mycket osannolikt att tjänsteleverantören tar del av uppgifterna medan andra inte är lika säkra. Det finns skäl att anta att det inte alltid är så enkelt för den myndighet som står i begrepp att utkontraktera it- drift att avgöra vilka säkerhetsåtgärder som är tillräckligt säkra för att uppgifterna inte ska betraktas som utlämnade till tjänsteleveran- tören. Vi befarar att myndigheterna i många fall skulle vara utläm- nade till den information om säkerhetsåtgärder som privata tjänste- leverantörer lämnar och att det kan vara svårt att på ett tillräckligt säkert sätt verifiera denna information.
Vi vill framhålla att det resonemang vi för ovan bör hållas isär från den skyldighet som kan finnas att skydda uppgifter genom t.ex. kryptering. Vi uttalar oss inte heller om värdet av kryptering eller andra säkerhetsåtgärder i sig. Förekomsten av sådana säkerhetsåtgärder kan vara helt avgörande för att uppgifter ska få hanteras t.ex. enligt säkerhetsskyddsregleringen. Kryptering och andra säkerhetsåtgärder kan också ha betydelse vid skadeprövningen enligt OSL (se avsnitt 10.2.3 och jfr beslut från JO den 4 juni 2019, Dnr
Mot denna bakgrund bedömer vi att en utkontraktering innebär att uppgifterna som omfattas av utkontrakteringen lämnas ut och därmed röjs i den mening som avses i OSL oavsett om de krypterats eller pseudonymiserats.
10.1.5US CLOUD Act och liknande regleringar har ingen betydelse för frågan om uppgifterna anses ha röjts
I enlighet med vår bedömning ovan ska uppgifter som omfattas av en utkontraktering anses utlämnade till den privata tjänsteleveran- tören och därmed röjda. Röjandet sker när uppgifterna lämnas ut till
283
En sekretessbrytande bestämmelse |
SOU 2021:1 |
tjänsteleverantören oavsett om denne är bunden av CLOUD Act eller någon liknande reglering.
10.2En sekretessbrytande bestämmelse behövs
Utredningens bedömning: En myndighet kan efter en övergrip- ande skadeprövning finna att det inte finns något hinder mot att uppgifter lämnas ut och att en utkontraktering av
Ett utlämnande med stöd av 10 kap. 14 § offentlighets- och sekretesslagen (2009:400) (utlämnande med förbehåll) kan i en utkontrakteringssituation ske endast i undantagsfall.
Det finns begränsade möjligheter för myndigheterna att ut- kontraktera
Det finns behov av en sekretessbrytande bestämmelse som tar sikte på utkontraktering av
Utredningens förslag: En sekretessbrytande bestämmelse som tar sikte på utkontraktering av
10.2.1Det finns ett behov av utkontraktering
Som vi redan konstaterat i vår kartläggning (kapitel 4) har många statliga myndigheter utkontrakterat delar av sin
284
SOU 2021:1 |
En sekretessbrytande bestämmelse |
I våra fallstudier har det framkommit att sekretessreglerade upp- gifter ofta är uppblandade med icke sekretessreglerade uppgifter. Det är mot denna bakgrund inte orimligt att anta att myndigheter avstår från att utkontraktera
Det finns i vissa fall en möjlighet, i alla fall teoretiskt, för myn- digheterna att hantera
Myndigheterna ska eftersträva en god ekonomisk hushållning i sin verksamhet. Utkontraktering kan vara ett nödvändigt led i att uppnå detta. Vi instämmer således med den bedömning som reger- ingen har gjort i lagmotiven till lagen (2020:914) om tystnadsplikt vid utkontraktering av teknisk bearbetning eller lagring av uppgifter (tystnadspliktslagen). I prop. 2019/20:201, s. 5 anförs följande:
[…]förvaltning och utveckling av
Det kan även finnas tekniska hinder som i praktiken gör det omöjligt att etablera
Ett annat skäl som ofta framförs för utkontraktering av
285
En sekretessbrytande bestämmelse |
SOU 2021:1 |
Enligt vår enkätundersökning hanterar 80 procent av de statliga myndigheter som svarade på enkäten sekretessreglerade uppgifter i sin kärnverksamhet. Vi vet inte exakt i vilken omfattning dessa uppgifter hanteras av privata tjänsteleverantörer inom ramen för de statliga myndigheternas utkontrakterade
Mot denna bakgrund anser vi att det är klarlagt att myndighet- erna har behov av att utkontraktera
10.2.2Den nuvarande regleringssituationen
Inledning
Enligt direktiven är vi oförhindrade att föreslå ändringar i OSL. Våra förslag får dock inte innebära någon förändring av lagens struktur och begreppsapparat. Inte heller ska sådana förslag innefatta ändring av, eller tillägg till, lagens bestämmelser om beslutsordning eller sekretessprövningens metodik. I uppdraget ingår inte heller att före- slå ändringar i grundlag eller i säkerhetsskyddslagstiftningen.
För att klarlägga om det finns skäl att föreslå någon regeländring är det nödvändigt att dessförinnan inventera den nuvarande regler- ingssituationen. Det vi i första hand ser framför oss att detta del- betänkande kommer att utmynna i är förslag till ändringar i OSL med de begränsningar som beskrivs ovan. I linje med detta under- söker vi i detta avsnitt om den reglering som i dag finns i OSL ger fullgoda möjligheter för myndigheterna att med bibehållen säkerhet utkontraktera
Utlämnande av sekretessreglerade uppgifter som omfattas av skaderekvisit
Regleringen i 2 kap. TF innebär att de uppgiftssamlingar som berörs av en utkontraktering kan utgöras av allmänna handlingar eller hand- lingar som inte är allmänna. Sekretess innebär ett förbud att röja upp-
286
SOU 2021:1 |
En sekretessbrytande bestämmelse |
gifter oavsett om dessa finns dokumenterade i allmänna handlingar eller handlingar som inte är allmänna. En annan sak är att offentlig- hetsprincipen endast ger en rätt att ta del av allmänna handlingar och uppgifter ur allmänna handlingar.
Vi har i det föregående (avsnitt 10.1.3) bedömt att röjandebe- greppet i OSL ska tolkas på det sättet att en myndighets utkon- traktering av
En myndighet som står i begrepp att utkontraktera
I 6 kap. 3 och 4 §§ OSL finns regler om hur en myndighet ska hantera en begäran om utlämnande av allmän handling och en be- gäran om utlämnande av en uppgift ur en allmän handling.
Det är tydligt att bestämmelserna i 6 kap. OSL är tänkta att till- lämpas t.ex. när någon från allmänheten begär ut allmänna hand- lingar som förekommer i ett ärende som en befattningshavare på myndigheten handlägger.
Ett utlämnande av allmänna handlingar som sker med anledning av en utkontraktering, dvs. på myndighetens eget initiativ, skiljer sig på flera punkter från sådana utlämnanden som regleras i 6 kap. OSL. I OSL finns inga regler om sådana utlämnanden över huvud taget.
Inom statliga myndigheter är det myndighetens ledning som enligt myndighetsförordningen (2007:515) ansvarar för att verksam- heten bedrivs effektivt och enligt gällande rätt. Myndighetens ledning beslutar i ärenden av principiell karaktär eller av större bety- delse. De flesta andra ärenden får delegeras efter beslut av myndig- hetschefen eller den som denne beslutar. Vem som beslutar om ett utlämnande av uppgifter i samband med en utkontraktering får därför förutsättas följa av myndighetens arbets- och delegationsordning.
Inom kommuner är det enligt 6 kap. 6 § kommunallagen (2017:725) nämnderna som inom sitt respektive område ska se till att verksam- heten bedrivs i enlighet med de lagar och bestämmelser som gäller för verksamheten. En nämnd får enligt 6 kap. 37 § kommunallagen uppdra åt presidiet, ett utskott, en ledamot, en ersättare eller en
287
En sekretessbrytande bestämmelse |
SOU 2021:1 |
anställd att besluta i ett ärende. Regleringen sker vanligen genom en delegationsordning.
En utkontraktering innebär ett utlämnande av uppgifter som sker på myndighetens eget initiativ. Ett sådant utlämnande är inte ett utslag av offentlighetsprincipen. Utlämnandet syftar snarare till att åstadkomma en väl fungerande
Ett utlämnande av uppgifter behöver inte ske endast som ett led i ett förverkligande av offentlighetsprincipen. I 6 kap. 5 § OSL före- skrivs exempelvis att en myndighet ska på begäran av en annan myn- dighet lämna uppgift som den förfogar över, om inte uppgiften är sekretessbelagd eller det skulle hindra arbetets behöriga gång. I dessa fall sker alltså utlämnandet för den mottagande myndighetens skull.
S.k. massuttag som med nödvändighet förutsätter övergripande skadeprövningar förefaller inte heller vara något helt främmande. Saken berördes redan i lagmotiven till 1980 års sekretesslag (prop. 1979/80:2, Del A, s. 78 ff.). Enligt departementschefen bör det i de flesta fall finnas ett fullt tillräckligt underlag för bedömningen av om sekretessregleringen ska anses hindra ett utlämnande eller inte. Departementschefen hänvisade härvidlag till att befattnings- havaren alltid har kännedom om beställarens identitet och oftast också dennes avsikt med uppgifterna.
I detta sammanhang bör den s.k. dataskyddssekretessen i 21 kap. 7 § OSL nämnas. Bestämmelsen innebär att sekretess gäller för per- sonuppgift, om det kan antas att uppgiften efter ett utlämnande kommer att behandlas i strid med – såvitt här är av intresse – data- skyddsförordningen eller lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning.
I praktiken har bestämmelsen haft betydelse mestadels i fråga om massuttag eller uttag av s.k. selekterade uttag (se t.ex. RÅ 2002 ref. 54, NJA 2015 s. 180, NJA 2015 s. 624 och HFD 2014 ref. 66).
Även om det ovan nämnda uttalandet i lagmotiven till 1980 års sekretesslag och den praxis som finns i fråga om 21 kap. 7 § OSL och dess motsvarighet i 1980 års sekretesslag inte tar sikte på utkontrak- teringssituationer kan konstateras att massuttag är något som före- kommer och myndigheterna därmed ställs inför att hantera. Vi kan
288
SOU 2021:1 |
En sekretessbrytande bestämmelse |
inte se att det skulle finnas några betänkligheter mot att en myn- dighet efter en övergripande skadeprövning finner att det inte finns något hinder mot att uppgifter lämnas ut och att en utkontraktering av
Något om skadeprövningen
Frågan är vilka omständigheter som bör tillmätas betydelse vid en sådan övergripande skadeprövning som föregår ett beslut om utkon- traktering av uppgifter som omfattas av sekretess med ett skade- rekvisit.
Som vi ser det måste man skilja mellan det fallet att uppgifterna omfattas av raka skaderekvisit och det fallet att de omfattas av om- vända skaderekvisit. Av naturliga skäl måste man kunna anta att utrymmet för en utkontraktering är vidare i de fall uppgifterna som utkontrakteringen berör omfattas av raka skaderekvisit.
Ett sekretessavtal mellan den utkontrakterande myndigheten och en privat tjänsteleverantör innebär att den senare förbinder sig att inte utnyttja eller sprida de uppgifter som är föremål för utkontrak- tering. Genom ett sådant avtal åstadkoms därför en avtalsreglerad tystnadsplikt. I lagmotiven till vissa ändringar som gjordes i 1980 års sekretesslag uttalas att problemet med att personalen hos det företag som myndigheten har anlitat inte omfattas av sekretess oftast kan avhjälpas genom att det företag som myndigheten har anlitat har sekretessavtal med sina anställda (prop. 1981/82:186 s.
Som JO konstaterade följer en form av tystnadsplikt av data- skyddsregleringen. Den som behandlar personuppgifter i strid med dataskyddsregleringen, exempelvis genom att lämna ut dem när regler- ingen inte tillåter det, kan bli skadeståndsskyldig eller föremål för
289
En sekretessbrytande bestämmelse |
SOU 2021:1 |
tillsynsmyndighetens ingripande, inklusive sanktionsavgifter. En skill- nad nu jämfört med vad som gällde vid tidpunkten för JO:s prövning är att dataskyddsförordningen nu tillämpas. Dataskyddsförord- ningen innebär skarpare sanktioner vid överträdelser av dataskydds- regelverket jämfört med vad som gällde enligt tidigare gällande lag- stiftning. Detta kan möjligtvis få betydelse vid skadeprövningen men kan inte – såvitt vi kan bedöma – fullt ut kompensera för avsak- naden av en straffsanktionerad tystnadsplikt.
Enligt vår bedömning bör det däremot finnas utrymme för en annan bedömning i de fall mottagarna av uppgifterna omfattas av en straffsanktionerad tystnadsplikt. I sådana fall borde skadeprövningen oftare kunna mynna ut i att utkontraktering är möjlig även om upp- gifterna i fråga omfattas av omvända skaderekvisit. Detta ligger för övrigt i linje med vad JO uttalar i det ovan omtalade beslutet.
Kryptering och andra tekniska åtgärder som försvårar för perso- nalen hos en tjänsteleverantör att ta del av uppgifter som hanteras för myndighetens räkning bör enligt vår mening också kunna till- mätas betydelse vid skadeprövningen oavsett om uppgifterna i fråga omfattas av raka eller omvända skaderekvisit.
Av JO:s bedömningar följer vidare – såvitt vi förstår saken – att förekomsten av tystnadsplikt och tekniska åtgärder, exempelvis kryptering inte är de enda parametrarna som har betydelse vid skade- prövningen, oavsett om uppgifterna omfattas av raka eller omvända skaderekvisit. Enligt JO ska även frågan om vilka konsekvenser det skulle kunna leda till om tjänsteleverantörens personal sprider upp- gifter vidare utan att det är tillåtet beaktas, exempelvis om straff- rättsligt ansvar kan inträda.
Nödvändigt utlämnande
OSL innehåller inte någon sekretessbrytande bestämmelse som specifikt tar sikte på den situationen att en myndighet utkontrak- terar sin
290
SOU 2021:1 |
En sekretessbrytande bestämmelse |
verksamhet. Frågan är om den myndighet som står i begrepp att utkontraktera
I lagmotiven till motsvarande bestämmelse i 1980 års sekretesslag sägs att den ska tillämpas restriktivt. Det är inte tillräckligt att myn- dighetens arbete blir mer effektivt (prop. 1979/80:2 Del A s. 465 och 494). JO har i flera avgöranden haft anledning att resonera kring bestämmelsens räckvidd och har i dessa gett uttryck för den upp- fattningen att bestämmelsen tar sikte på situationer av undantags- karaktär (se t.ex. JO 1982/83:JO1 s. 238, dnr
Synpunkten att ett röjande av uppgifter i samband med sådan ut- kontraktering som sker i syfte att dra nytta av utförarens expert- kompetens eller tekniska utrustning i särskilda fall kan anses utgöra ett sådant nödvändigt utlämnande som kan ske trots sekretess har framförts av eSam. Som exempel på sådan utkontraktering har nämnts
Digitaliseringsrättsutredningen tog upp denna fråga i sitt betänk- ande och gjorde bedömningen att den av eSam och
291
En sekretessbrytande bestämmelse |
SOU 2021:1 |
Vi gör ingen annan bedömning i denna fråga än Digitaliserings- rättsutredningen. Vår slutsats blir därmed att bestämmelsen i 10 kap. 2 § OSL inte kan användas när en myndighet utkontrakterar sin it- drift annat än i vissa undantagsfall.
Utlämnande med förbehåll
Det finns i 10 kap. 14 § OSL en bestämmelse som innebär att myn- digheter i vissa fall kan lämna ut sekretessbelagda uppgifter med förbehåll. Endast uppgifter som är sekretessbelagda enligt en sekre- tessbestämmelse som har ett skaderekvisit omfattas av bestämmelsen tillämpningsområde. Uppgifter som omfattas av absolut sekretess kan följaktligen inte lämnas ut med förbehåll.
Ett utlämnande av uppgifterna kan ske under förutsättning att den risk för skada, men eller annan olägenhet som hindrar att upp- gifterna lämnas till den enskilde kan undanröjas genom förbehållet. Ett förbehåll kan t.ex. avse ett förbud mot att lämna uppgifterna vidare eller utnyttja dem. Förbehållet medför att tystnadsplikt upp- kommer för den som tagit emot uppgifterna som inskränker rätten att meddela och offentliggöra uppgifterna (meddelarfrihet). Ett röj- ande av uppgifterna kan medföra straffansvar för brott mot tyst- nadsplikt.
I bestämmelsen uppställs avsevärda begränsningar kring hur och när ett förbehåll får ställas upp. För det första får ett förbehåll inte meddelas i förväg utan ska föregås av en prövning i varje särskilt fall och avse konkreta uppgifter. För det andra ska ett förbehåll med- delas som ett formligt beslut, dvs. det ska dokumenteras och inne- hålla en överklagandehänvisning. För det tredje ska uppgiftsutläm- nandet ske till en utpekad fysisk person. Det går alltså inte att i avtal reglera generella förbehåll (se bl.a. JO 1992/93:JO1 s. 197, dnr 145- 90, JO 1994/95:JO1 s. 574, dnr
Mot den nu tecknade bakgrunden bedömer vi att bestämmelsen om utlämnande med förbehåll inte kan användas vid utkontraktering av
292
SOU 2021:1 |
En sekretessbrytande bestämmelse |
10.2.3Behovet av författningsändringar
Det nu anförda innebär att det finns begränsade rättsliga förutsätt- ningar för en myndighet – om vi nu utgår ifrån att uppgifterna är sekretessreglerade – att utkontraktera sin
Ytterligare en komplikation som bör betonas är att det – givet vår tolkning av röjandebegreppet – finns begränsade möjligheter för myndigheterna att utkontraktera
Som vi redan konstaterat är utkontraktering av
Vår bedömning är att det behövs en reglering som i större ut- sträckning än den nuvarande ger ett uttryckligt stöd för att lämna ut uppgifter inom ramen för en utkontraktering av
10.2.4En sekretessbrytande bestämmelse bör införas
En sekretessbrytande bestämmelse bör inte införas med mindre än att myndighetens behov att lämna ut uppgifter väger tyngre än de intressen som sekretessen avser att skydda. Det är vår övergripande bedömning att myndigheternas behov av att utkontraktera
293
En sekretessbrytande bestämmelse |
SOU 2021:1 |
10.3Den sekretessbrytande bestämmelsens utformning
Utredningens förslag: Den sekretessbrytande bestämmelsen ska placeras i 10 kap. offentlighets- och sekretesslagen (2009:400) och ta sikte på fall då uppgifter lämnas ut till privata tjänste- leverantör eller andra myndigheter som har i uppdrag att utföra endast teknisk bearbetning eller teknisk lagring för den utläm- nande myndighetens räkning (utkontraktering). Ett utlämnande ska inte ske om det intresse som sekretessen ska skydda har före- träde framför intresset av utkontraktering.
Utredningens bedömning: Bestämmelsen ska inte villkoras med något lämplighetsrekvisit.
Det finns inte skäl att från bestämmelsens tillämpningsområde undanta vissa sekretessbestämmelser eller uppgifter som är säker- hetsskyddsklassificerade enligt säkerhetsskyddslagstiftningen.
10.3.1Tillämpningsområdet
Avgränsning till
Den fråga som inställer sig inledningsvis är om den sekretessbry- tande bestämmelsen ska träffa utkontraktering av
Det förstnämnda alternativet har den fördelen att det eliminerar risken för att en viss form av utkontraktering – utan att det framstår som sakligt motiverat – hamnar utanför den sekretessbrytande be- stämmelsens tillämpningsområde.
Som följer av avsnitt 2.2.3 är det inte alltid givet vilken verk- samhet som kan sägas falla in under begreppet
En sekretessbrytande bestämmelse innebär att sekretess som annars skulle ha skyddat vissa uppgifter inte längre ska gälla i en viss situation. För att inte tillämpningen av en sådan bestämmelse ska riskera att bli alltför varierad och oförutsägbar bör dess tillämpnings- område utformas på ett så tydligt sätt som möjligt. Den vaghet som
294
SOU 2021:1 |
En sekretessbrytande bestämmelse |
ligger i uttrycket
Bestämmelsen bör avgränsas till teknisk bearbetning eller teknisk lagring
Som vi redogjort för ovan (avsnitt 9.8.2) förekommer formuleringen teknisk bearbetning eller teknisk lagring i TF och OSL. Uttrycket teknisk lagring eller teknisk bearbetning är därmed sedan länge inarbetat. Därtill kommer att uttrycket används i tystnadsplikts- lagen som har ett nära samband med de frågor som behandlas i detta betänkande. Även om uttrycket inte kan sägas vara alldeles entydigt framstår det som mer tydligt än uttrycket
Härutöver bör framhållas att vi – genom att låta den sekretess- brytande bestämmelsen ta sikte på utkontraktering av teknisk bear- betning eller teknisk lagring av uppgifter – undviker att introducera ett nytt begrepp med otydligt innehåll på ett rättsområde som redan nu måste betecknas som komplext.
Med hänsyn till det ovan anförda bör därför den sekretessbryt- ande bestämmelsen utformas på det sättet att den endast tar sikte på utkontraktering av teknisk bearbetning och teknisk lagring av upp- gifter.
Bestämmelsen avser enbart teknisk bearbetning eller teknisk lagring
Avgränsningen till tjänster eller funktioner som enbart innebär tek- nisk bearbetning eller teknisk lagring för myndighetens räkning innebär att tjänster som visserligen innefattar moment av teknisk bearbetning eller teknisk lagring, men som inte enbart avser sådan bearbetning eller lagring inte omfattas av bestämmelsen.
Utkontraktering av arbetsuppgifter som är hänförliga till vård- och omsorgssektorns behandling av personuppgifter vid t.ex. jour- nalföring, bedömning av röntgenbilder eller patientrådgivning, ut-
295
En sekretessbrytande bestämmelse |
SOU 2021:1 |
gör exempel på utkontraktering som faller utanför tillämpnings- området.
Bestämmelsen avser hantering som sker för myndighetens räkning
Det ska betonas att den avgränsning av tillämpningsområdet som nu gjorts innebär att bestämmelsen endast träffar den hantering av upp- gifter som sker för myndighetens räkning. Det följer av den föreslagna bestämmelsens ordalydelse att sådan hantering av uppgifter som en privat tjänsteleverantör utför för ändamål kopplade till den egna verk- samheten faller utanför tillämpningsområdet. Tjänsteleverantörens hantering av myndighetens uppgifter för utveckling av egna produkter och tjänster kan nämnas som exempel. Det kan i sammanhanget tilläggas att ett personuppgiftsbiträdes behandling av personuppgifter för egna ändamål inte är tillåten enligt dataskyddsförordningen (se avsnitt 7.3.6). I praktiken innebär detta att myndigheten inte kan godta sådana avtalsvillkor som medger att tjänsteleverantören an- vänder uppgifterna för egen räkning om den sekretessbrytande bestämmelsen ska tillämpas för utlämnandet.
Den föreslagna regleringen medför inte några nya hinder för ut- kontraktering avseende sådana arbetsuppgifter som faller utanför tillämpningsområdet eller sådan hantering som sker för tjänsteleve- rantörens egen räkning. Sådana utlämnanden får ske med stöd av de regler som gäller i dag, dvs. utlämnande efter skadeprövning eller med stöd av en sekretessbrytande bestämmelse.
10.3.2Bestämmelsen bör även ta sikte på utkontraktering myndigheter emellan och placeras i offentlighets- och sekretesslagen
I detta delbetänkande har vi fokuserat på sådana fall då myndigheter uppdrar åt en privat tjänsteleverantör att helt eller delvis hantera myndighetens
En fråga vi har övervägt är om den sekretessbrytande bestäm- melsen ska utformas på det sättet att den endast tar sikte på det som i direktiven beskrivs som utkontraktering av
296
SOU 2021:1 |
En sekretessbrytande bestämmelse |
Det förekommer även att myndigheter får i uppdrag att helt eller delvis hantera
Vi kan inte se att det finns några bärande skäl för att begränsa den sekretessbrytande bestämmelsen till att endast träffa det som i direktiven benämns utkontraktering av
Denna bestämmelse bör lämpligen placeras i 10 kap. OSL som innehåller sekretessbrytande bestämmelser och bestämmelser om undantag från sekretess.
10.3.3En villkorslös bestämmelse?
Som utgångspunkt gäller att det i första hand är lagstiftaren som har till uppgift att fullt ut ansvara för de avvägningar som måste göras mellan det intresse som föranlett den sekretessbrytande bestäm- melsen och de intressen som sekretessen avser skydda och andra hänsynstaganden. I linje med detta uppställs särskilda villkor endast i ett fåtal sekretessbrytande bestämmelser (se t.ex. 10 kap. 27 § och 15 kap. 3 a § OSL).
Det står klart att den främsta fördelen med att inte införa några särskilda villkor för den sekretessbrytande bestämmelsen är att det skulle skapa en tydlig reglering i OSL. Det skulle därmed stå klart att sekretess inte hindrar en myndighet från att lämna ut uppgifter till en tjänsteleverantör som har i uppdrag att endast tekniskt bear- beta eller tekniskt lagra uppgifterna för myndighetens räkning. För- delarna med en sådan ordning måste dock vägas mot eventuella nack- delar.
297
En sekretessbrytande bestämmelse |
SOU 2021:1 |
10.3.4En intresseavvägning
Uppgifter som omfattas av sekretess kan vara mycket känsliga oav- sett om det är fråga om sekretess till skydd för enskilda eller till skydd för det allmänna, beroende på omfattningen av och karaktären hos uppgifterna. Det är samtidigt så att den sekretessbrytande be- stämmelse som vi föreslår ska tillämpas av samtliga myndigheter i många olika situationer. De förhållanden under vilka den sekretess- brytande bestämmelsen ska tillämpas är så varierande att det fram- står som vanskligt att slå fast att intresset av utkontraktering i alla tänkbara situationer väger tyngre än de intressen som sekretessen avser att skydda. Vi menar därför att det – trots den under föregå- ende rubrik beskrivna utgångspunkten – finns ett behov av att skapa en reglering som möjliggör hänsynstagande till sekretessintresset i det enskilda fallet där det framstår som nödvändigt. En sådan regler- ing skulle kunna utformas på det sättet att den sekretessbrytande bestämmelsen förses med det villkoret att den myndighet som avser att utkontraktera
Det är i detta sammanhang värt att framhålla att ett krav på en intresseavvägning skulle – till skillnad från en villkorslös sekretess- brytande bestämmelse – tvinga myndigheterna att i sina överväg- anden inför ett beslut om utkontraktering av
Av betydelse i sammanhanget är också att ett krav på intresse- avvägning ytterst innebär att ansvar för brott mot tystnadsplikt enligt 20 kap. 3 § brottsbalken kan komma i fråga i de fall utkontrak- tering skett trots att sekretessintresset vägde tyngre.
En invändning som kan riktas mot att införa ett krav på en in- tresseavvägning är att det i viss utsträckning förtar poängen med en sekretessbrytande bestämmelse. Myndigheterna har redan i dag i vissa fall en möjlighet att utkontraktera
Det går inte att bortse ifrån att skadeprövningen i första hand tar sikte på fall där det finns förutsättningar för myndigheterna att göra en mer detaljerad bedömning, t.ex. när någon från allmänheten begär ut en handling ur en akt med sekretessreglerade uppgifter. Som vi
298
SOU 2021:1 |
En sekretessbrytande bestämmelse |
nämner ovan torde det i många fall vara förenat med svårigheter att göra en skadeprövning i samband med utkontraktering av
Vid en samlad bedömning anser vi att övervägande skäl talar för den sekretessbrytande bestämmelsen bör förses med det villkoret att den myndighet som avser att utkontraktera
10.3.5Närmare om intresseavvägningen
Ett villkor för att utlämnande ska få ske bör således vara att de skäl som talar för att det intresse som sekretessen ska skydda har före- träde framför intresset av att uppgiften lämnas ut. Det är viktigt att poängtera att endast sekretesshänsyn kan tas vid denna bedömning. Det finns alltså inte utrymme att inom ramen för intresseavväg- ningen beakta andra hänsyn som t.ex. om det från mera allmänna utgångspunkter är lämpligt att utkontraktering sker.
Vilka intressen som föranlett sekretessen, med vilken styrka som sekretessen är reglerad liksom uppgifternas art och omfattning är faktorer av betydelse. Det kan också – enligt vår bedömning – vara av betydelse vilken sekretess eller tystnadsplikt som gäller hos mot- tagaren av uppgifterna, och vilken styrka den sekretessen eller tyst- nadsplikten har. Vi menar att det finns fog för uppfattningen att det i detta sammanhang kan ha betydelse om det är fråga om en straff- sanktionerad tystnadsplikt enligt OSL eller annan lagstiftning, eller en tystnadsplikt som följer av avtal (jfr JO:s beslut den 9 september 2014 /dnr
299
En sekretessbrytande bestämmelse |
SOU 2021:1 |
brott mot tystnadsplikt om de röjer uppgifter i strid med tystnads- pliktslagen kan alltså vara av betydelse.
Hänsyn till möjligheten att lagföra ett brott mot tystnadsplikt utifrån kravet på dubbel straffbarhet kan emellertid bara tas i för- hållande till länder utanför EU, eftersom sådana hänsyn annars skulle kunna stå i strid med
Dataskyddsregelverket innebär i viss utsträckning en tystnadsplikt för personuppgifter som också kan vara relevant att ta i beaktande i bedömningen. Detsamma gäller förekomsten av avtalsreglerad tyst- nadsplikt samt förekomsten av tekniska säkerhetsåtgärder, som t.ex. kryptering, som gör det svårare för någon obehörig att ta del av upp- gifterna.
10.3.6Bestämmelsen bör inte villkoras med något lämplighetsrekvisit
Digitaliseringsrättsutredningens förslag
Digitaliseringsrättsutredningen föreslog att det skulle införas en sekre- tessbrytande bestämmelse i 10 kap. 2 a § OSL som – i likhet med vad
viföreslår – tar sikte på uppgiftsutlämnande till tjänsteleverantörer och andra myndigheter som utför uppdrag för enbart teknisk be- arbetning eller teknisk lagring för den utlämnande myndighetens räkning.
För att ett utlämnande ska kunna ske enligt Digitaliseringsrätts- utredningen förslag uppställs två villkor. Uppgifter ska inte lämnas ut om övervägande skäl talar för att det intresse som sekretessen ska skydda har företräde framför intresset av att uppgiften lämnas ut eller om det av andra skäl är olämpligt.
När det gäller det föreslagna lämplighetsrekvisitet nämnde Digi- taliseringsrättsutredningen att utkontrakteringar som innebär att flera myndigheters system och information samlas i samma lagrings- medium kan framstå som olämpliga eftersom de kan innebära en ökad riskexponering för känsliga uppgifter. Även en tänkt geogra- fisk lokalisering av uppgifterna kan, enligt den bedömning som utred- ningen gjorde, medföra att en utkontraktering som avser vissa känsliga uppgifter till tjänsteleverantören bedöms vara olämplig.
300
SOU 2021:1 |
En sekretessbrytande bestämmelse |
Våra överväganden
Vi har övervägt frågan om det finns behov av ett lämplighetsrekvisit liknande det som Digitaliseringsrättsutredningen föreslog. Det bör i detta sammanhang – vilket också Digitaliseringsrättsutredningen varit inne på – beaktas att ett sådant villkor bör ta sikte på andra intressekonflikter än den som står mellan intresset av utkontrak- tering och de sekretessintressen som sekretessen avser att skydda. Snarare skulle ett sådant villkor ta sikte på frågan om en utkontrak- tering framstår som lämplig från mera allmänna utgångspunkter. Det står klart att ett sådant villkor – som alltså avser annat än rena sekre- tesshänsyn – inte bör placerar i OSL. Skulle det finnas ett behov av ett lämplighetsrekvisit bör det antingen arbetas in i någon befintlig reglering eller införas i någon ny lag.
Det kan konstateras att den sekretessbrytande bestämmelse vi föreslår inte innebär att myndigheterna måste utkontraktera
OSL är inte det enda regelverk som en myndighet har att beakta vid bedömningen av om en utkontraktering av
En annan sak är att vår kartläggning visar att i synnerhet infor- mationssäkerhetsregleringen inte efterlevs fullt ut bland myndighet- erna. Det framgår av enkätresultaten att bristande informations- klassificering och bristande kompetens är de största hindren mot säker
301
En sekretessbrytande bestämmelse |
SOU 2021:1 |
och funktioner, manipulation eller stöld av känslig information. Samtidigt medför ofta åtgärder som syftar till att förbättra informa- tionssäkerheten direkta eller indirekta kostnader. Sammantaget visar detta, enligt vår uppfattning, på brister i efterlevnaden av befintliga regelverk, snarare än på bristande reglering. Bristerna i efterlevnad avhjälps inte genom ett lämplighetsrekvisit, utan beror snarare bl.a. på avsaknad av tillsyn över efterlevnaden av informationssäkerhets- regleringen. Det är därmed vår slutsats att det saknas behov av att införa något lämplighetsrekvisit.
10.3.7Undantag för försvarssekretess eller
någon annan sekretessbrytande bestämmelse?
En särskild fråga som väckts under arbetets gång är om det finns skäl att från den sekretessbrytande bestämmelsens tillämpningsområde undanta den s.k. försvarssekretessen i 15 kap. 2 § OSL. Som skäl för en sådan ordning skulle kunna anföras att de uppgifter som försvars- sekretessen tar sikte på är så skyddsvärda att de bör bli föremål för utkontraktering i så liten utsträckning som möjligt eller kanske inte alls.
Redan i dag finns en möjlighet att efter en skadeprövning utkon- traktera uppgifter som omfattas av försvarssekretess. Skillnaden mellan en skadeprövning och den intresseavvägning som ska göras enligt den bestämmelse som vi föreslår ligger i att det i det senare fallet finns uttryckligt stöd för att göra en övergripande bedömning. Det skulle därför kunna hävdas att den bestämmelse vi föreslår innebär vidgade möjligheter att utkontraktera
Det finns skäl att framhålla att försvarssekretessen inte intar någon särställning i OSL. De särskilda hänsyn som bör tillmätas uppgifter som rör säkerhetskänslig verksamhet och som därför om- fattas av OSL tillgodoses inom ramen för säkerhetsskyddslag- stiftningen. Det är vidare så att om vi skulle införa en ordning som innebar att försvarssekretessen undantogs, frågan skulle uppkomma om inte även andra sekretessbestämmelser skulle undantas. Detta
302
SOU 2021:1 |
En sekretessbrytande bestämmelse |
gäller särskilt sådana sekretessbestämmelser som till skillnad från försvarssekretessen har omvända skaderekvisit, dvs. där det finns en presumtion för sekretess, eller bestämmelser om absolut sekretess.
Det är mot denna bakgrund vår bedömning att det inte finns skäl att undanta försvarssekretessen från den sekretessbrytande bestäm- melsens tillämpningsområde.
De skäl som nu anförts gör sig även gällande när det gäller övriga sekretessbestämmelser i OSL. Vi bedömer därför att det inte finns anledning att undanta någon sekretessbestämmelse från den sekre- tessbrytande bestämmelsens tillämpningsområde.
10.3.8Säkerhetsskyddsklassificerade uppgifter
Som vi redovisat i avsnitt 6.2.2 ska med säkerhetsskyddsklassificerade uppgifter förstås uppgifter som rör säkerhetskänslig verksamhet och som därför omfattas av sekretess enligt OSL eller som skulle ha omfattats av sekretess enligt den lagen, om den hade varit tillämplig (1 kap. 2 § andra stycket säkerhetsskyddslagen /2018:585/).2 Det finns alltså en koppling mellan säkerhetsskyddslagstiftningen och OSL. Frågan är om den sekretessbrytande bestämmelse vi föreslår på något sätt har betydelse för frågan om en uppgift ska betraktas som säkerhetsskyddsklassificerad. Det är vår utgångspunkt att säkerhets- skyddsklassificerade uppgifter bör undantas från den sekretessbryt- ande bestämmelsens tillämpningsområde om den skulle innebära att skyddet enligt säkerhetsskyddslagstiftningen för dessa uppgifter för- sämras.
Frågan är vad som avses med formuleringen uppgifter som om- fattas av sekretess enligt OSL. I lagmotiven till säkerhetsskyddslagen talas på flera ställen om sekretessbelagda uppgifter (prop. 2017/18:89 s. 49 ff.). Även i lagmotiven till 1996 års säkerhetsskyddslag – som föregick den nuvarande lagen – talas om sekretessbelagda uppgifter (se prop. 1995/96:129 bl.a. s. 41). I det av Utredningen om säker- hetsskyddslagen avlämnade betänkandet (SOU 2015:25) En ny säker- hetsskyddslag talas däremot om uppgifternas natur (s. 288 f.). Inte någonstans i betänkandet förmedlas den uppfattningen att uppgif- terna i fråga måste vara sekretessbelagda.
2För enkelhets skulle talar vi i det följande om uppgifter som omfattas av OSL.
303
En sekretessbrytande bestämmelse |
SOU 2021:1 |
Skrivningarna i lagmotiven skulle kunna tolkas som att det krävs att en uppgift är sekretessbelagd enligt OSL för att den ska kunna betraktas som säkerhetsskyddsklassificerad.
Uttrycket sekretessbelagda uppgifter definieras i 3kap. 1 § OSL som en uppgift för vilken sekretess gäller i ett enskilt fall. Man kan alltså endast i det enskilda fallet – efter en konkret utlämnande- prövning – veta om en uppgift är sekretessbelagd. En tolkning av uttrycket säkerhetsskyddsklassificerad i enlighet med lagmotiven leder därmed dels till att säkerhetsskyddslagens tillämpningsområde blir mycket begränsat, dels till att uppgifter som lämnats ut med stöd av en sekretessbrytande bestämmelse eller efter en skadeprövning inte kan betraktas som säkerhetsskyddsklassificerade eftersom de i så fall inte kan vara sekretessbelagda.
Det står enligt vår bedömning klart att formuleringen omfattas av sekretess enligt OSL i 1 kap. 2 § andra stycket säkerhetsskyddslagen inte rimligen kan uppfattas som att det krävs att uppgifterna är sekre- tessbelagda.
Enligt den tolkning vi gör är det däremot ett nödvändigt men inte tillräckligt villkor att en uppgift är sekretessreglerad enligt OSL för att den ska kunna betraktas som säkerhetsskyddsklassificerad. Här- utöver krävs att uppgiften rör säkerhetskänslig verksamhet.
Sekretessreglerad uppgift definieras som en uppgift för vilken det finns en bestämmelse om sekretess (3 kap. 1 § OSL). En uppgift som är sekretessreglerad upphör inte att vara det endast av det skälet att den träffas av en sekretessbrytande bestämmelse. Detta innebär i sin tur att den sekretessbrytande bestämmelse vi föreslår inte kommer att ha någon inverkan på frågan om uppgifterna ska betraktas som säkerhetsklassificerade eller inte, även om de träffas av den sekre- tessbrytande bestämmelsen. Vi kan inte heller se att uppgifterna på någon annan grund inte längre skulle kunna betraktas som säker- hetsskyddsklassificerade med anledning av den bestämmelse vi före- slår. Vår slutsats är därmed att det inte finns någon anledning att undanta uppgifter som är säkerhetsskyddsklassificerade från den sekre- tessbrytande bestämmelsens tillämpningsområde.
304
11 En inskränkt meddelarfrihet
Utredningens förslag: Den i tryckfrihetsförordningen och ytt- randefrihetsgrundlagen föreskrivna meddelarfriheten bör inskrän- kas för den krets av personer som träffas av lagen (2020:914) om tystnadsplikt vid utkontraktering av teknisk bearbetning eller lagring av uppgifter.
11.1Tystnadsplikten
Regeringens avsikt är att den tystnadsplikt som åläggs tjänsteleve- rantörerna enligt lagen (2020:914) om tystnadsplikt vid utkontrak- tering av teknisk bearbetning eller lagring av uppgifter (tystnadsplikts- lagen) så långt som möjligt ska överensstämma med den tystnadsplikt som gäller enligt offentlighets- och sekretesslagen (2009:400) vid teknisk bearbetning och teknisk lagring hos det allmänna (prop. 2019/20:201 s. 18 och s. 24). Det innebär att tystnadsplikt gäller hos tjänsteleverantören för en uppgift som hos en myndighet skulle ha omfattats av sekretess till skydd för allmänna intressen enligt 11 kap. 4 a § OSL eller till skydd för enskilds personliga och ekonomiska förhållanden enligt 40 kap. 5 § OSL.
11.2Meddelarfrihet
Rätten att meddela och offentliggöra uppgifter (meddelarfrihet) som framgår av 1 kap. 1 § andra stycket och 7 § första stycket tryck- frihetsförordningen (TF) samt 1 kap. 1 § första stycket och 10 § första stycket yttrandefrihetsgrundlagen (YGL) innebär en rätt att lämna uppgifter, även sådana som omfattas av sekretess eller tyst- nadsplikt, för offentliggörande i tryckt skrift, program eller genom
305
En inskränkt meddelarfrihet |
SOU 2021:1 |
tekniska upptagningar. Tanken med denna frihet är att samhälls- debatten inte ska berövas uppgifter som är mycket betydelsefulla från allmän synpunkt av den anledningen att uppgifterna är sekretess- belagda av hänsyn till ett sekretessintresse som just i det aktuella sammanhanget väger mindre tungt. Rätten att meddela eller offent- liggöra uppgifter som följer av TF och YGL har som utgångspunkt företräde framför tystnadsplikten.
Regeringen har uttalat att som grundprincip gäller att stor åter- hållsamhet bör iakttas vid prövningen av om undantag från meddelar- frihet ska göras i ett enskilt fall. Den berörda sekretessbestämmelsens konstruktion kan ge viss vägledning. När det är fråga om bestäm- melser om absolut sekretess kan det finnas större anledning att över- väga undantag från meddelarfriheten än i andra fall. Det bör också beaktas om uppgiften har lämnats av en enskild i en förtroendesitua- tion eller om uppgiften hänför sig till myndighetsutövning. I det förra fallet bör rätten att meddela och offentliggöra uppgifter normalt sett inskränkas, medan denna rätt normalt sett bör ha företräde när det är fråga om uppgifter som hänför sig till myndighetsutövning (se prop. 1979/80:2 del A s. 104 f.).
Offentliga funktionärers tystnadsplikt för uppgift om enskilds personliga eller ekonomiska förhållanden som hanteras i verksamhet för endast teknisk bearbetning eller teknisk lagring inskränker med- delarfriheten (40 kap. 5 och 8 §§ OSL). Meddelarfriheten är även inskränkt för uppgift som är sekretessreglerad av hänsyn till ett all- mänt intresse enligt en bestämmelse som har företräde framför med- delarfriheten och som hanteras i verksamhet för endast teknisk be- arbetning eller teknisk lagring för en annan myndighets räkning. Det gäller dock inte om en annan primär sekretessbestämmelse till skydd för samma intresse, som inte har företräde framför meddelarfriheten, är tillämplig hos den uppgiftsmottagande myndigheten (jfr 11 kap. 4 a och 8 §§ OSL).
11.3Meddelarfriheten bör inskränkas för den krets av personer som träffas av tystnadspliktslagen
Det ovan anförda innebär att det – vid samordnad
306
SOU 2021:1 |
En inskränkt meddelarfrihet |
digheten att meddela och offentliggöra uppgifter som omfattas av sekretess till skydd för enskilds personliga eller ekonomiska förhåll- anden för offentliggörande i tryckt skrift, program eller genom tek- niska upptagningar. När det gäller uppgifter som är sekretessreglerade av hänsyn till ett allmänt intresse följer som sagt av 11 kap. 4 a och 8 §§ OSL att meddelarfriheten i vissa situationer är inskränkt och i andra inte.
För den krets av personer som träffas av tystnadspliktslagen före- skrivs däremot ingen inskränkning i meddelarfriheten. Digitaliserings- rättsutredningen analyserade inte frågan närmare. Regeringen ansåg inte att det fanns skäl att föreslå en inskränkning av meddelar- friheten men uteslöt inte att det vid behov kunde finnas anledning att på nytt överväga frågan (prop. 2019/20:201 s. 20).
Det kan ifrågasättas om det är en rimlig ordning att den tystnads- plikt som gäller för de offentliga funktionärerna har företräde fram- för meddelarfriheten samtidigt som meddelarfriheten har företräde framför den tystnadsplikt som följer av tystnadspliktslagen. Det är vidare så att den sekretessbrytande bestämmelse vi föreslår innebär en utvidgning av möjligheten att utkontraktera
Vid en sammantagen bedömning bedömer vi att meddelarfriheten bör inskränkas för den krets av personer som träffas av tystnads- pliktslagen.
307
12 Konsekvensutredning
12.1Inledning
Vi ska enligt våra utredningsdirektiv bedöma förslagens konse- kvenser i enlighet med kommittéförordningen (1998:1474) och för- ordningen (2007:1244) om konsekvensutredning vid regelgivning.
Vi redovisar två förslag i detta delbetänkande. Det första förslaget avser införande av en sekretessbrytande bestämmelse i offentlighets- och sekretesslagen (2009:400) (OSL) om utkontraktering av teknisk bearbetning och teknisk lagring av uppgifter. Det andra förslaget avser en inskränkt meddelarfrihet.
Konsekvensanalysen utgår från de krav som ställs i kommittéför- ordningen och förordningen om konsekvensutredning vid regelgiv- ning. Vi analyserar inte konsekvenser av våra slutsatser om röjande eller överföring till tredje land.
12.2Nuläge och problembild
Som vi beskriver i detta delbetänkande är utkontraktering av
En utkontraktering av
Utkontraktering av
309
Konsekvensutredning |
SOU 2021:1 |
maningar. Kravställningsarbetet som görs i samband med upphand- ling av
Beslut om utkontraktering som grundar sig på ett bristande in- formationssäkerhetsarbete kan innebära säkerhetsrisker. Vår kart- läggning visar att ungefär hälften av de statliga myndigheter som besvarat enkäten behöver etablera och utveckla ett systematiskt in- formationssäkerhetsarbete i sin verksamhet. Informationsklassning ingår här som en viktig del. Även kommunerna och regionerna behöver stärka sitt systematiska informationssäkerhetsarbete. Detta är en förutsättning för att kunna göra en lämplig avvägning mellan säkerhet och kostnadseffektivitet vid beslut om utkontraktering av
Bland statliga myndigheter och i kommunsektorn råder det i dag en viss osäkerhet i fråga om de rättsliga förutsättningarna för utkon- traktering till privata tjänsteleverantörer. Det gäller främst tolkningen av när en uppgift ska anses röjd enligt OSL.
En förutsättning för att statliga myndigheter, kommuner och regioner som är i behov av att utkontraktera sin
12.3Allmän bedömning av förslagets påverkan på aktörernas beteende
En förväntad konsekvens av våra förslag blir en minskad osäkerhet om vad som gäller vid utkontraktering av
310
SOU 2021:1 |
Konsekvensutredning |
kan våra slutsatser om röjande och vårt förslag till sekretessbrytande bestämmelse underlätta beslut om vägval.
Redan i dag måste en statlig myndighet, kommun eller region som överväger utkontraktering av
Vår bedömning är att införandet av en sekretessbrytande bestäm- melse i praktiken innebär en begränsad förändring för statliga myn- digheter, kommuner och regioner när det gäller vilka överväganden som behöver göras inför en utkontraktering av
12.4Påverkan på kostnader eller intäkter för staten, kommuner, regioner, företag eller andra enskilda
En utgångspunkt för förslaget i delbetänkandet är att statliga myn- digheter, kommuner och regioner fortsatt ska ha möjlighet att – med bibehållen säkerhet – utkontraktera
Införandet av en sekretessbrytande bestämmelse med villkor i form av intresseavvägning kan inledningsvis ställa krav på vissa förändringar i rutiner vid genomförande av upphandlingar som kan kräva mer tid och resurser för varje enskild aktör. Det kan därmed antas att den nya administrativa rutinen inledningsvis medför vissa merkostnader för aktörerna. Över tid, i takt med att rutiner etableras och aktörerna får mer erfarenhet, bör arbetssättet i högre grad kunna standardi-
311
Konsekvensutredning |
SOU 2021:1 |
seras och eventuella ökade kostnader för den nya rutinen kunna minska. Kostnaderna kan eventuellt bli lägre än dagens kostnader för skadeprövning i samband med upphandlingar av
Den sekretessbrytande bestämmelsen som vi föreslår innebär att det införs ett uttryckligt stöd för att göra en mer övergripande bedömning, i form av en intresseavvägning, än vad som är fallet vid en skadeprövning. Vår bedömning är därför att den sekretessbry- tande bestämmelsen på sikt kommer att innebära en förenkling vid utlämnande av uppgifter i samband med utkontraktering jämfört med vad som gäller i dag. Bestämmelsen möjliggör dessutom utlämnande av uppgifter som omfattas av absolut sekretess.
Eftersom förslaget bygger på att varje aktör själv ska svara för intresseavvägningen är det svårt att i detta läge bedöma hur bedöm- ningar och praxis kan komma att utvecklas. Utifrån vår kartläggning vet vi att statliga myndigheter ser kompetensbrist som den största riskfaktorn för säker
viatt den sekretessbrytande bestämmelsen med intresseavvägning bör kompletteras med central vägledning och stöd till statliga myn- digheter, kommuner och regioner. Vi avser att återkomma med för- slag om detta i vårt slutbetänkande.
Sammantaget bedöms kostnadseffekterna av förslaget bli begrän- sade för berörda aktörer. Förslagen bedöms inte heller leda till några mer betydande konsekvenser för samhällsekonomin i övrigt.
Förslaget om inskränkt meddelarfrihet bedöms inte ha någon på- verkan på kostnader eller intäkter för staten, kommuner, regioner, företag eller andra enskilda.
312
SOU 2021:1 |
Konsekvensutredning |
12.5Effekter av betydelse för företags arbetsförutsättningar, konkurrensförmåga eller villkor i övrigt
12.5.1Berörda företag, branscher m.m.
De företag som berörs av vårt förslag finns i första hand inom it- sektorn. För att illustrera sektorns storlek kan nämnas att IT- och Telekomföretagen, som är bransch- och arbetsgivarorganisation på området, har cirka 1 300 medlemsföretag, vilka sammantaget har när- mare 100 000 medarbetare i Sverige. Alla branschens företag är dock inte medlemmar i IT- och Telekomföretagen. Statistik på organisa- tionens hemsida visar att den svenska it- och telekombranschen 2017 totalt sysselsatte nästan 210 000 personer, fördelat på cirka 50 000 företag. De flesta företagen i branschen är små – statistiken på IT- och Telekomföretagens hemsida visar att 97 procent av företagen har färre än 20 anställda och 0,5 procent har fler än 100 anställda.
Flertalet av de företag som nämns ovan arbetar dock med annat än
313
Konsekvensutredning |
SOU 2021:1 |
med sitt ursprung i andra länder. Några av ramavtalsleverantörerna har fusionerat med varandra sedan nuvarande ramavtal tecknades.
12.5.2Tidsåtgång och administrativa kostnader för företagen
Vårt förslag till sekretessbrytande bestämmelse kan leda till att stat- liga myndigheter, kommuner och regioner ställer hårdare krav på de privata tjänsteleverantörerna. Det är dock svårt att bedöma hur krav- nivån generellt kommer att utvecklas eftersom förslaget innebär att varje enskild aktör själva ska svara för intresseavvägningen och dess kriterier.
Om vårt förslag i förlängningen leder till förändrade och even- tuellt hårdare krav på de privata tjänsteleverantörerna, så kan detta medföra att anbudsgivarna behöver ägna mer tid och resurser åt att utforma anbuden. Det får dock anses ligga i rollen som anbudsgivare att förhålla sig till de krav som ställs av de aktörer som upphandlar
Det ska i sammanhanget också framhållas att vår bedömning är att förslaget snarare innebär en förenkling för de aktörer som vill utkontraktera
12.5.3Andra kostnader och förändringar i företagens verksamhet
Utöver de kostnads- och konkurrenskonsekvenser som tidigare be- skrivits bedöms vårt förslag inte ha några mer betydande konse- kvenser i dessa hänseenden.
12.5.4Påverkan på konkurrensförhållandena för företagen
Som vi beskrivit ovan kan vårt förslag eventuellt leda till att statliga myndigheter, kommuner och regioner ställer hårdare krav på de privata tjänsteleverantörerna än i dag. Det kan möjligen medföra att antalet tänkbara tjänsteleverantörer minskar i antal, med försämrad konkurrens och högre priser som följd. Eftersom vi föreslår att varje
314
SOU 2021:1 |
Konsekvensutredning |
enskild aktör själv ska svara för intresseavvägningen är det dock svårt att bedöma hur kravnivån generellt kommer att utvecklas och där- med hur stor denna effekt kan få för företagen.
12.5.5Påverkan i andra avseenden på företagen
Utöver vad som tidigare redogjorts för bedöms förslaget inte ha någon betydande påverkan i andra avseenden på företagen.
12.5.6Särskilda hänsyn till små företag
Om små privat tjänsteleverantörer verkligen kommer att påverkas negativt jämfört med stora företag beror dock mycket på hur den genomsnittliga kravnivån på tjänsteleverantörer vid utkontraktering av
12.5.7Förslaget om inskränkt meddelarfrihet
Förslaget om inskränkt meddelarfrihet bedöms inte få några effekter av betydelse för företags arbetsförutsättningar, konkurrensförmåga eller villkor i övrigt.
315
Konsekvensutredning |
SOU 2021:1 |
12.6Överensstämmelse med skyldigheter som följer av Sveriges anslutning till EU
Enligt vår bedömning är våra förslag till författningsändringar för- slag i linje med de skyldigheter som följer av
Vårt förslag på en sekretessbrytande bestämmelse med en intresse- avvägning är inte utformat på ett sådant sätt att det exkluderar euro- peiska aktörer.
12.7Särskilda hänsyn avseende tidpunkten för ikraftträdande och om behov av speciella informationsinsatser
Vi har förslagit tidpunkt för ikraftträdande med beaktande av dels behovet av beredningstid, dels utifrån ett uttalat behov om ett så snabbt införande som möjligt
Vi bedömer att det kan finnas behov av vägledning och informa- tionsinsatser om en sekretessbrytande bestämmelse med intresse- avvägning införs i OSL. Vi avser att återkomma till detta i vårt slut- betänkande.
12.8Övriga konsekvenser av förslaget
12.8.1Konsekvenser för den kommunala självstyrelsen
Vår intention är att förslaget ska ge fortsatt möjlighet för statliga myndigheter, kommuner och regioner att med bibehållen säkerhet utkontraktera sin
Förslaget innebär inte en inskränkning i den kommunala självsty- relsen. Att kommuner och regioner enligt förslaget själva ska svara för intresseavvägningen bör ge visst utrymme för dem att anpassa kraven till en för dem lämplig nivå.
316
SOU 2021:1 |
Konsekvensutredning |
Förslaget om inskränkt meddelarfrihet bedöms inte få några kon- sekvenser för den kommunala självstyrelsen.
12.8.2Konsekvenser för brottsligheten och det brottsförebyggande arbetet
Förslaget om en sekretessbrytande bestämmelse bedöms ha liten betydelse för brottsligheten och det brottsförebyggande arbetet. Möjligen kan sägas att om kravet på intresseavvägning leder till att statliga myndigheter, kommuner och regioner ställer hårdare krav på de privata tjänsteleverantörerna i samband med upphandling av it- driftstjänster, så bör det minska risken för att tjänsteleverantörer med brottsliga intentioner ges möjlighet att komma i fråga för upp- drag på området. Med hänsyn till marknadens struktur och nuvarande upphandlingars karaktär (vad gäller inriktning, omfattning m.m.) kan det dock antas att riskerna i detta hänseende är små redan med nu- varande regelverk.
Förslaget om inskränkt meddelarfrihet innebär att det blir straff- bart att lämna ut uppgifter till grundlagsskyddad media för den som omfattas av lagen (2020:914) om tystnadsplikt vid utkontraktering av teknisk bearbetning eller lagring av uppgifter. Förslaget innebär på så vis en utvidgning av det straffbara området. Vi ser dock inga skäl att tro att det skulle ske straffbara gärningar i någon större omfatt- ning till följd av den nya kriminaliseringen, eller att det skulle bli fråga om en stor mängd nya åtal. Vi bedömer därför att förslaget om inskränkt meddelarfrihet får begränsade konsekvenser för brottslig- heten och det brottsförebyggande arbetet.
12.8.3Konsekvenser för sysselsättning och offentlig service i olika delar av landet
Vi bedömer det som mindre sannolikt att förslaget kommer att få någon direkt betydelse för utbudet av offentlig service i olika delar av landet.
Förslagets konsekvenser på sysselsättningen i Sverige generellt och i olika delar av landet mer specifikt beror mycket på hur den genomsnittliga kravnivån på privata tjänsteleverantörer vid utkon- traktering av
317
Konsekvensutredning |
SOU 2021:1 |
tänkas att om kraven på tjänsteleverantörerna utvecklas mot att vissa svenska tjänsteleverantörer inte längre kan komma i fråga för it- driftsuppdrag åt statliga myndigheter, kommuner och regioner, så kan behovet av personal hos dessa tjänsteleverantörer komma att minska. Om utvecklingen å andra sidan skulle bli sådan att intresseavvägning- arna tenderar att gynna inhemska tjänsteleverantörer före utländska, så skulle det kunna skapa möjligheter att etablera en större marknad för svenska tjänsteleverantörer. Sannolikt skulle det samlade behovet av personal hos svenska tjänsteleverantörer då öka. Det är dock svårt att bedöma hur stora dessa eventuella effekter kan bli, liksom om storleken på dem skulle variera mellan olika delar av landet.
I sammanhanget bör också upprepas att hur den genomsnittliga kravnivån vid upphandling av
Förslaget om inskränkt meddelarfrihet bedöms inte få några konse- kvenser för sysselsättning och offentlig service i olika delar av landet.
12.8.4Konsekvenser för små företags arbetsförutsättningar, konkurrensförmåga eller villkor i övrigt i förhållande till större företag
318
SOU 2021:1 |
Konsekvensutredning |
Om små tjänsteleverantörer av
Förslaget om inskränkt meddelarfrihet bedöms inte få några kon- sekvenser för små företags arbetsförutsättningar, konkurrensförmåga eller villkor i övrigt i förhållande till större företag.
12.8.5Jämställdheten mellan kvinnor och män
Inget av de två förslagen bedöms ha betydelse för jämställdheten mellan kvinnor och män.
12.8.6Möjligheterna att nå de integrationspolitiska målen
Inget av de två förslagen bedöms ha betydelse för möjligheterna att nå de integrationspolitiska målen.
12.9Alternativa lösningar och effekter om någon reglering inte kommer till stånd
Vår analys av dagens förhållanden vad gäller statliga myndigheters, kommuner och regioners utkontraktering av
Vår slutsats att utkontraktering av
319
Konsekvensutredning |
SOU 2021:1 |
leda till att statliga myndigheter, kommuner och regioner ser över och förändrar sitt beteende. Som vi påpekat är dock utkontraktering av
320
13 Vårt fortsatta arbete
Enligt direktiven ska vi i vår delredovisning redogöra för förslag till inriktning för det fortsatta utredningsarbetet när det gäller samord- nad
Som framgår av avsnitt 2.3.1 ska vi i slutbetänkandet redovisa följande delar:
–en utvärdering av Försäkringskassans uppdrag om samordnad it- drift samt erfarenheter av andra exempel på samordnad
–en analys av de säkerhetsmässiga och rättsliga förutsättningarna för samordnad statlig
–förslag om samordnad, säker och kostnadseffektiv statlig
–en konsekvensutredning.
I detta kapitel beskriver vi inriktningen för det fortsatta utrednings- arbetet inför vårt slutbetänkande.
13.1Våra samlade bedömningar i delbetänkandet
Utöver vad som framgår av direktiven är delbetänkandet en självklar utgångspunkt för det fortsatta arbetet och för utformningen av för- slag om samordnad statlig
321
Vårt fortsatta arbete |
SOU 2021:1 |
I kapitel
Vår kartläggning av statliga myndigheters
I vår konsekvensutredning i kapitel 12 gör vi bedömningen att den sekretessbrytande bestämmelsen med intresseavvägning bör kom- pletteras med central vägledning och stöd till statliga myndigheter, kommuner och regioner för att säkerställa utkontraktering med bibehållen säkerhet.
Mot bakgrund av våra samlade bedömningar i delbetänkandet ser
vianledning att i vårt arbete med slutbetänkandet återkomma med fortsatt analys på bl.a. informationssäkerhetsområdet. Detta som underlag för förslag på lämpliga åtgärder för att åstadkomma en säker
322
SOU 2021:1 |
Vårt fortsatta arbete |
Vår samlade bedömning i delbetänkandet är dock att de befintliga regelverk som statliga myndigheter, kommuner och regioner har att beakta vid utkontraktering av
13.2Utgångspunkter för det fortsatta arbetet
För att ta ställning till förutsättningarna för en säker och kostnads- effektiv samordnad statlig
–organisering (befintlig myndighet, samverkan mellan myndig- heter, ny myndighet)
–tjänsteutbud (standardiserade lösningar eller anpassning utifrån kundbehov och säkerhetskrav)
–målgrupp (verksamhet, myndighetsstorlek, behov, säkerhetskrav, myndigheter och information som inte bör omfattas av samordnad
–anslutning (frivilligt eller obligatoriskt, prioriteringsmodeller för anslutning)
–finansiering (avgiftsfinansiering eller anslagsfinansiering)
–införande (nära kopplat till anslutningsmodell)
–privata tjänsteleverantörer (kommersiella
Ett antal aspekter är viktiga att analysera i samband med de förslag som vi ska lämna om en samordnad statlig
323
Vårt fortsatta arbete |
SOU 2021:1 |
än om en myndighet ges ett permanent uppdrag att koncentrera och sköta andra myndigheters
13.3Arbetssätt
Öppenhet och dialog med dem som berörs av våra eventuella förslag är viktigt även i vårt fortsatta arbete. Utöver avstämning och för- ankring i expertgrupp och referensgrupp kommer vi även fortsätt- ningsvis att stämma av och kvalitetssäkra vårt arbete inom de arbets- grupper inom juridik och säkerhet som vi etablerat. Det kan också vara aktuellt att etablera ytterligare en arbetsgrupp med inriktning på mer tekniska
Även om merparten av arbetet med utformning av förslag kom- mer att grunda sig på de analyser vi genomför i utredningsarbetet ser
viockså ett behov av att involvera myndigheter och andra relevanta aktörer för att få synpunkter på förslagen. Vår ambition är att under våren 2021 genomföra en uppföljande workshop med myndigheter med fördjupade frågeställningar om samordnad
13.4Erfarenheter av samordnad
Det finns flera exempel på samordnad
324
SOU 2021:1 |
Vårt fortsatta arbete |
13.4.1Utvärdering av Försäkringskassans uppdrag om samordnad och säker
Försäkringskassan har sedan år 2017 ett regeringsuppdrag att er- bjuda samordnad och säker
Enligt våra direktiv ska vi utvärdera Försäkringskassans uppdrag att tillhandahålla samordnad och säker statlig
Utvärderingen kommer att genomföras genom dokumentstudier, intervjuer med företrädare för olika delar av Försäkringskassan samt med företrädare för kundmyndigheter, myndigheter som överväger att gå in i en samordning med Försäkringskassan samt samverkans- myndigheter. Försäkringskassan lät genomföra en extern utvärdering av uppdraget år 2019 och det är naturligt att följa upp delar av denna utvärdering och komplettera med de specifika frågeställningar som framgår av utredningsdirektiven.
Den närmare planeringen av utvärderingen kommer att läggas fast i början av 2021. I korthet kommer vi att inleda med dokument- studier och intervjuer med dem som arbetat närmast uppdraget inom
325
Vårt fortsatta arbete |
SOU 2021:1 |
Försäkringskassan (projektledare, kundansvariga samt ansvariga chefer inom
När det gäller nyttor med samordnad
Vi har under våren tagit fram en kravställning gentemot För- säkringskassan där det bl.a. framgår vilka roller och funktioner vi vill intervjua i organisationen samt vad vi i övrigt behöver för att kunna genomföra utvärderingen. Kravställningen har efter dialog godkänts av Försäkringskassan och kommer utgöra grund för samarbetet oss emellan.
13.4.2Andra exempel på samordnad
Av direktiven framgår att vi ska dra lärdomar även av andra exempel på samordnad
I denna del kommer vi att arbeta huvudsakligen med intervjuer för att fånga positiva och negativa erfarenheter av samordnad
326
SOU 2021:1 |
Vårt fortsatta arbete |
13.4.3Erfarenheter av Statens servicecenter
I vår kartläggning av statliga myndigheters
13.5Säkerhetsmässiga och rättsliga förutsättningar för samordnad statlig
13.5.1Inledning
Detta delbetänkande innehåller en kartläggning och analys av de rätts- liga förutsättningarna för att utkontraktera
Enligt våra direktiv ingår det även i vårt uppdrag att analysera de säkerhetsmässiga förutsättningarna för samordnad statlig
I slutbetänkandet avser vi även återkomma till de säkerhets- mässiga för- och nackdelarna för statliga myndigheter att ansluta sig till samordnad
327
Vårt fortsatta arbete |
SOU 2021:1 |
innehålla fördjupade resonemang om hur regelverken om säkerhets- skydd, informationssäkerhet, offentlighet och sekretess samt skyddet för den personliga integriteten kan upprätthållas och utvecklas.
I detta avsnitt redogör vi översiktligt för de principiella frågeställ- ningar som vi bedömer behöver analyseras i slutbetänkandet. Upp- räkningen är inte uttömmande, utan fler frågor kan tillkomma.
13.5.2Avtal mellan myndigheter
En allmän utgångspunkt för statliga myndigheters möjligheter att ingå avtal, som innehåller ekonomiska förpliktelser för staten, är att myndigheterna inte utgör några självständiga juridiska enheter (rätts- subjekt). De utgör endast delar av rättssubjektet staten. En konse- kvens av detta är att de inte kan ingå bindande avtal med varandra; ett avtal förutsätter att det sluts av två självständiga parter. De överenskommelser mellan statliga myndigheter som förekommer är alltså en särskild från avtalet skild rättsfigur som inte regleras i lagstiftningen. Det medför också att de sedvanliga tvistelösnings- mekanismerna, rättegång enligt rättegångsbalken och förfarande enligt lagen (1929:145) om skiljemän, inte står till förfogande om det uppkommer någon tvist om tillämpningen av en överenskommelse mellan de myndigheter som träffat överenskommelsen.
En viktig fråga i det fortsatta utredningsarbetet blir därför hur myndigheters inbördes förhållanden kan och bör regleras vid sam- ordnad
13.5.3Upphandling
En central fråga i förhållande till samordnad statlig
328
SOU 2021:1 |
Vårt fortsatta arbete |
lingsplikten, bl.a. för intern upphandling, för upphandling mellan upphandlande myndigheter och vid tilldelning av tjänstekontrakt på grund av ensamrätt.
Vid upphandling på försvars- och säkerhetsområdet gäller sär- skilda regler.
Det är nödvändigt att i det fortsatta utredningarbetet analysera vilka konsekvenser regelverket om offentlig upphandling får för till- handahållandet av samordnad
13.5.4Konkurrensrätt
I våra direktiv anges det att det behöver utredas om det finns kon- kurrens- och marknadsrättsliga förutsättningar för samordnad it- drift och om det är nödvändigt att författningsreglera anslutning till sådan
I 3 kap. 27 § konkurrenslagen (2008:579) finns en konfliktslös- ningsregel som kan tillämpas vid konkurrensbegränsande offentlig säljverksamhet i kommunal eller statlig regi. Regeln innebär, för stat- lig verksamhets del, att staten får förbjudas att i sådan säljverksamhet som omfattas av konkurrenslagen tillämpa ett visst förfarande om förfarandet snedvrider, eller är ägnat att snedvrida, förutsättningarna för en effektiv konkurrens på marknaden, eller hämmar, eller är ägnat att hämma, förekomsten eller utvecklingen av en sådan konkurrens.
Enligt bestämmelsen får dock förbud inte meddelas för förfar- anden som är försvarbara från allmän synpunkt. I specialmotiveringen till bestämmelsen anges att vid prövningen om ett förfarande från allmän synpunkt ska särskilt beaktas om förfarandet strider mot en lag, en annan författning eller något annat för staten bindande direk- tiv. Vidare anges att det kan vidare vara fråga om t.ex. ett regerings- beslut utan samband med normgivning. Den principiella utgångs- punkten är att ett förfarande som strider mot lag etc. saknar försvar- barhet från allmän synpunkt (prop. 2008/09:231, s. 58 f.).
En konkurrensrättslig fråga som vi behöver utreda är därför vilka förfaranden i fråga om samordnad
329
Vårt fortsatta arbete |
SOU 2021:1 |
och tydliggöra att en samordnad statlig
13.5.5Dataskydd
En grundläggande utgångspunkt för upprätthållandet av dataskydds- regelverket är att det är klarlagt och tydligt vem som är personupp- giftsansvarig för behandlingen av personuppgifter. Myndigheter är vanligen personuppgiftsansvariga för den behandling av personupp- gifter som de utför, antingen på grund av att personuppgiftsansvaret är författningsreglerat eller utifrån bedömningen att det är myndig- heten som bestämmer ändamål och medel för behandlingen av person- uppgifter.
Om beslut om ändamål och medel fattas av flera myndigheter gemensamt så kan ett gemensamt personuppgiftsansvar uppstå. En myndighet som behandlar personuppgifter för en annan myndighets räkning kan också vara personuppgiftsbiträde åt den uppdragsgiv- ande (och personuppgiftsansvariga) myndigheten.
Det finns behov av att analysera och klarlägga hur personupp- giftsansvaret förhåller sig vid samordnad
Administrationen av personuppgiftsbiträdesavtal upplevs ofta som betungande. Det finns därför anledning att ta ställning till om hanteringen av personuppgifter vid tillhandahållande av samordnad
Bortsett från dessa två mer specifika frågor så behöver givetvis en genomlysning av hur samtliga krav som dataskyddsregelverket ställer kan uppfyllas vid samordnad
330
SOU 2021:1 |
Vårt fortsatta arbete |
13.5.6Sekretess
I våra direktiv ingår att analysera hur regelverket om sekretess kan upp- rätthållas och utvecklas vid samordnad
Om den samordnade
Vi föreslår i detta delbetänkande en sekretessbrytande bestäm- melse för utlämnande av uppgifter för teknisk bearbetning och lag- ring. Den bestämmelse som vi föreslår gäller för utlämnanden av sekretessreglerade uppgifter till såväl en privat tjänsteleverantör som till annan myndighet. Eftersom bestämmelsen är begränsad till tek- nisk bearbetning och teknisk lagring s kan det finnas anledning att överväga att införa en bredare sekretessbrytande bestämmelse för utlämnanden till andra myndigheter, beroende på hur den samord- nade
13.5.7Säkerhetsskydd och informationssäkerhet
Vi ska enligt utredningsdirektiven analysera de säkerhetsmässiga förut- sättningarna för samordnad statlig
331
Vårt fortsatta arbete |
SOU 2021:1 |
13.5.8Allmänna handlingar och arkivering
Handlingar, det vill säga framställningar i skrift eller bild och upp- tagningar som endast med tekniska hjälpmedel kan läsas, avlyssnas eller uppfattas på annat sätt (2 kap. 3 § TF, tryckfrihetsförordningen), är allmänna om de förvaras hos en myndighet och är att anse som inkommen till eller upprättad hos en myndighet (2 kap. 4 § TF).
En handling som förvaras hos en myndighet endast som ett led i en teknisk bearbetning eller teknisk lagring för någon annans räk- ning anses dock inte som allmän handling hos den myndigheten (2 kap. 13 § TF).
Enligt 3 § arkivlagen bildas en myndighets arkiv av de allmänna handlingarna från myndighetens verksamhet. Utgångspunkten i 4 § arkivlagen är att varje myndighet själv svarar för vården av sitt arkiv, vilket innebär att myndigheten har ansvaret för att uppfylla de krav som ställs på arkivvården enligt arkivlagen.
I den mån som en myndighet vid tillhandahållande av samordnad
13.5.9Behov av författningsreglering och förslag till sådan reglering
Förvaltningslagens legalitetsprincip innebär att det ska finnas någon form av normmässig förankring för all typ av verksamhet som en myndighet bedriver (prop. 2016/17:180 s. 59). Det finns därför anled- ning att överväga vilken typ av övergripande styrning som krävs för att en eller flera myndigheter ska tillhandahålla samordnad
Det kan också finnas skäl utifrån utfallet av analyserna av kon- kurrens- och upphandlingsregelverken som talar för en författnings- reglering av exempelvis anslutning till den samordnade
Det finns även andra skäl än strikt juridiska som gör en tydlig styrning önskvärd. Vi återkommer till detta i vårt slutbetänkande.
332
SOU 2021:1 |
Vårt fortsatta arbete |
13.6Förslag om samordnad, säker
och kostnadseffektiv statlig
Enligt utredningsdirektiven ska vi, utifrån resultatet av övriga delar i utredningsarbetet, överväga vilka behov som finns av att inrätta mer varaktiga former av samordnad
Vid utformningen av förslagen utgår vi från de utgångspunkter som vi presenterar i avsnitt 13.2 samt de slutsatser som vi dragit i delbetänkandet och i våra analyser av erfarenheterna av samordnad
Vid sidan av de rangordnade förslagen ska vi även föreslå hur generella och myndighetsspecifika krav på informationssäkerhet och säkerhetsskydd kan tillgodoses. Vi ser, utöver detta, att det kan finnas anledning att lämna även andra förslag om styrning och ansvarsför- delning på aktörs- och samhällsnivå vad gäller säker och kostnads- effektiv
13.7Konsekvensutredning
Vi ska enligt utredningsdirektiven analysera förslagens konsekvenser i enlighet med kommittéförordningen (1998:1474) och förordningen om konsekvensutredning vid regelgivning (2007:1244). Vi ska ana-
333
Vårt fortsatta arbete |
SOU 2021:1 |
lysera de samhällsekonomiska effekterna och även redogöra för kon- sekvenserna av status quo, dvs. att inte samordna myndigheternas it- drift. Ekonomiska konsekvenser för enskilda myndigheter som direkt berörs av förslagen ska redovisas. Om vi lämnar förslag som innebär en verksamhetsövergång eller avveckling av verksamhet ska de budgetära och verksamhetsmässiga konsekvenserna för detta särskilt analyseras. Vidare ska vi redogöra för eventuella marknadseffekter och konkurrenspåverkan för det privata näringslivet i förhållande till de potentiella samordningsvinster som kan uppnås av samordnad it- drift för hela eller delar av den statliga förvaltningen.
334
14 Ikraftträdande
14.1Ikraftträdande
Utredningens förslag: Ändringarna i offentlighets- och sekre- tesslagen ska träda i kraft den 1 januari 2022.
Skälen för vårt förslag: Vi bedömer att det är angeläget att den sek- retessbrytande bestämmelsen som vi föreslår träder i kraft så snart som möjligt, för att underlätta statliga myndigheters, kommuners och regioners utkontraktering av
Vi bedömer också att det är angeläget att den föreslagna inskränk- ningen i meddelarfriheten träder i kraft så fort som möjligt, för att göra lagen (2020:914) om tystnadsplikt vid utkontraktering av tek- nisk bearbetning eller lagring av uppgifter så verkningsfull som möj- ligt.
Med hänsyn till den tid som kan beräknas gå åt för remissför- farande, fortsatt beredning inom Regeringskansliet och riksdagsbe- handling bör de lagbestämmelser utredningen föreslår tidigast kunna träda i kraft den 1 januari 2022. Förslagen är inte av den arten att de kräver några särskilda övergångsregler.
335
15 Författningskommentar
15.1Förslaget till lag om ändring i offentlighets- och sekretesslagen (2009:400)
10 kap.
2 a §
Sekretess hindrar inte att en uppgift lämnas ut till ett företag eller en annan enskild eller till en annan myndighet som har i uppdrag att utföra endast teknisk bearbetning eller teknisk lagring för den utlämnande myndighetens räkning.
En uppgift ska inte lämnas ut om det intresse som sekretessen ska skydda har företräde framför intresset av att uppgiften lämnas ut.
Paragrafen är ny.
Genom bestämmelsen införs en sekretessbrytande bestämmelse som kan tillämpas när en myndighet lämnar ut uppgifter till någon som ska utföra teknisk bearbetning eller teknisk lagring för myndig- hetens räkning. De överväganden som ligger till grund för bestäm- melsen finns i avsnitt
Bestämmelsen är tillämplig när en myndighet lämnar ut uppgifter till såväl privata tjänsteleverantörer som till andra myndigheter.
Den sekretessbrytande bestämmelsen är avgränsad till utläm- nanden för uppdrag som innebär endast teknisk bearbetning eller teknisk lagring för myndighetens räkning. Innebörden av teknisk bearbetning eller teknisk lagring är densamma som i 2 kap. 9 § tredje stycket tryckfrihetsförordningen (jfr 2 kap. 13 § första stycket tryck- frihetsförordningen).
Att bestämmelsen är tillämplig när en tjänsteleverantörs uppdrag är att endast tekniskt bearbeta eller tekniskt lagra uppgifter innebär att ett uppdrag som innehåller annat än enbart sådana tekniska mo-
337
Författningskommentar |
SOU 2021:1 |
ment faller utanför tillämpningsområdet. I situationer där en myn- dighet rörande uppgifter utkontrakterar uppdrag av olika karaktär till samma tjänsteleverantör, t.ex. ett uppdrag som innebär att leve- rantören endast tekniskt bearbetar eller tekniskt lagrar uppgifter och ett annat uppdrag som omfattar åtgärder rörande uppgifterna som går utöver detta, är lagen bara tillämplig i det förstnämnda fallet och bara på sådana uppgifter som inte dessutom hanteras inom ramen för det andra uppdraget (jfr prop. 2019/20:201, s. 22).
Bestämmelsens avgränsning innebär att den endast träffar han- tering av uppgifter som tjänsteleverantören utför för myndighetens räkning. Sådan hantering av uppgifter som en tjänsteleverantör utför för egna ändamål faller utanför bestämmelsens tillämpningsområde.
Ett villkor för att utlämnande ska få ske är att de skäl som talar för att det intresse som sekretessen ska skydda har företräde framför intresset av att uppgiften lämnas ut. Detta innebär att den utläm- nande myndigheten måste bedöma om intresset av sekretess för uppgifterna överväger intresset av att uppgiften lämnas ut. Vilka intressen som föranlett sekretessen, liksom med vilken styrka som sekretessen är reglerad, bör tas i beaktande i denna bedömning. Även uppgifternas art och omfattning är av relevans.
Det kan också vara av relevans vilken sekretess eller tystnadsplikt som gäller hos mottagaren för uppgifterna, och vilken styrka den sekretessen eller tystnadsplikten har. Det kan därvid ha betydelse om det är fråga om en straffsanktionerad tystnadsplikt enligt offent- lighets- och sekretesslagen (2009:400) eller annan lagstiftning, eller en tystnadsplikt som följer av avtal. Det bör i sammanhanget även beaktas att det inte alltid kommer att vara möjligt att lagföra vissa utländska tjänsteleverantörer för brott mot tystnadsplikt om de röjer uppgifter i strid med lagreglerad tystnadsplikt. Detta beror på att det i enlighet med reglerna om dubbel straffbarhet i 2 kap. brottsbalken krävs att gärningen även är straffbar på gärningsorten för att svensk domstol ska vara behörig.
Hänsyn till möjligheten att lagföra ett brott mot tystnadsplikt utifrån kravet på dubbel straffbarhet kan dock bara tas i förhållande till länder utanför EU, eftersom sådana hänsyn annars skulle kunna stå i strid med
Dataskyddsregelverket innebär i viss utsträckning en tystnads- plikt för personuppgifter som också kan vara relevant att beakta i bedömningen. Detsamma gäller förekomsten av tekniska säkerhets-
338
SOU 2021:1 |
Författningskommentar |
åtgärder som gör det svårare för någon obehörig att ta del av upp- gifterna i klartext, som t.ex. kryptering.
44 kap.
5 §
Rätten enligt 1 kap. 1 och 7 §§ tryckfrihetsförordningen och 1 kap. 1 och 10 §§ yttrandefrihetsgrundlagen att meddela och offentliggöra uppgifter inskränks av den tystnadsplikt som följer
1.av beslut som har meddelats med stöd av 7 § lagen (1999:988) om förhör m.m. hos kommissionen för granskning av de svenska säker- hetstjänsternas författningsskyddande verksamhet,
2.av 7 kap. 1 § 1 lagen (2006:544) om kommuners och regioners åtgärder inför och vid extraordinära händelser i fredstid och höjd bered- skap,
3.av 4 kap. 16 § försäkringsrörelselagen (2010:2043),
4.av 5 kap. 15 § lagen (1998:293) om utländska försäkringsgivares och tjänstepensionsinstituts verksamhet i Sverige,
5.av 32 § lagen (2020:62) om hemlig dataavläsning, och
6.av 4 § lagen (2020:914) om tystnadsplikt vid utkontraktering av teknisk bearbetning eller lagring av uppgifter.
Paragrafen är ändrad genom att en hänvisning till lagen om tystnads- plikt vid utkontraktering av teknisk bearbetning eller lagring av upp- gifter lagts till.
I paragrafen föreskrivs inskränkningar i rätten att meddela och offentliggöra uppgifter. Den tystnadsplikt som följer av lagen om tyst- nadsplikt vid utkontraktering av teknisk bearbetning eller lagring av uppgifter har företräde framför rätten att meddela och offentliggöra uppgifter. Övervägandena finns i avsnitt 11.3.
339
Referenser
Offentligt tryck
Propositioner
Regeringens proposition 1975/76:160 Om nya grundlagsbestäm- melser om allmänna handlingars offentlighet.
Regeringens proposition 1975/76:204 om ändringar i grundlags- regleringen av tryckfriheten.
Regeringens proposition 1979/80:2, Del A med förslag till sekretess- lag m.m.
Regeringens proposition prop. 1981/82:186 Om ändringar i sekre- tesslagen (1980:100), m.m.
Regeringens proposition 1995/96:129 Säkerhetsskydd. Regeringens proposition 1997/98:44 Personuppgiftslag. Regeringens proposition 2008/09:150 Offentlighets- och sekretesslag.
Regeringens proposition prop. 2016/17:198 Utökat sekretesskydd i verksamhet för teknisk bearbetning och lagring.
Regeringens proposition 2017/18:89 Ett modernt och stärkt skydd för Sveriges säkerhet – ny säkerhetsskyddslag.
Regeringens proposition 2019/20:201 Tystnadsplikt vid utkontrak-
tering av teknisk lagring eller teknisk bearbetning av uppgifter.
Statens offentliga utredningar
SOU 2014:39 Så enkelt så möjligt för så många som möjligt. Betänkande av
SOU 2015:25 En ny säkerhetsskyddslag. Betänkande av utredningen om en ny säkerhetsskyddslag.
341
Referenser |
SOU 2021:1 |
SOU 2015:66 En förvaltning som håller ihop. Betänkande av
SOU 2018:25 Juridik som stöd för förvaltningens digitalisering. Betänkande av Digitaliseringsrättsutredningen.
SOU 2018:82 Kompletteringar till den nya säkerhetsskyddslagen. Betänkande av Utredningen om vissa säkerhetsskyddsfrågor.
Departementsserien
Ds Ju 1977:1 och 11 Handlingssekretess och tystnadsplikt.
Rapporter, vägledningar, strategier, m.m.
Ahlström K., Offentlighets- och sekretesslag, Lexino, JUNO.
Artikel
Beckman m.fl., Kommentar till brottsbalken II, 4 uppl. 1978.
Cirio Advokatbyrå AB, Molntjänster, offentlighet- och sekretess i offentlig sektor. Utredning om och förslag till lagstiftning rörande offentlig sektors möjligheter att använda publika molntjänster (2020),
Computer Sweden, Varför bemöter inte Esam och försäkringskassan huvudpunkterna i vår kritik? (2020), https://computersweden.idg.se/2.2683/1.735508/esam-
Computer Weekly (2016) The Problem With
Computer Weekly (2019a) Government
342
SOU 2021:1 |
Referenser |
Computer Weekly (2019b)
Computer Weekly (2019c) Competitive threats: What the growth in new public sector cloud frameworks means for
Corell H. m.fl. Sekretesslagen, Kommentar till 1980 års lag med ändringar, Norstedts juridik, tredje uppl., Stockholm, 1991.
Digg (2019) Myndigheters digitala mognad och
Difi (2018) Innkjøpsordning/markedsplass for skytjenester (2018:6), https://www.difi.no/sites/difino/files/innkjopsordning-
Digitaliseringsstyrelsen (2016) Den fællesoffentlige digitaliserings- strategi
Digitaliseringsstyrelsen (2017) Strategi for
Digitaliseringsstyrelsen (2018) National strategi for cyber- og informationssikkerhed
Digitaliseringsstyrelsen (2019) Vejledning til anvendelse af cloud,
eSam (2020), Kommentar till kritisk rapport om molntjänster i offentlig sektor,
343
Referenser |
SOU 2021:1 |
eSam (2018), Rättsligt utlåtande om röjande och molntjänster, (VER 2018:57), https://www.esamverka.se/download/18.1d126bc174ad1e6c39c 4db/1576749838091/Outsoursing 2.0 sekretess och dataskydd 2019.pdf
eSam (2015), Röjandebegreppet enligt offentlighets- och sekretesslagen, VER
eSam (2019), Outsourcing 2.0 En vägledning om sekretess och dataskydd.
EDPB (2020), Guidelines 2/2020 on articles 46 (2) (a) and 46 (3) (b) of Regulation 2016/679 for transfers of personal data between EEA and
18 januari 2020.
EDPB (2020), Recommendations 01/2020 on measures that supple- ment transfer tools to ensure compliance with the EU level of protection of personal data, antagna den 10 november 2020.
EDPB (2020), Recommendations 02/2020 on the European Essential Guarantees for surveillance measures, antagna den 10 november 2020.
ESV (2015) Fördjupat
ESV (2017) Myndigheters strategiska
ESV (2018a) Myndigheters strategiska
ESV (2018b) Pilotprojekt om ramverk för
Finlands finansutskott (2012) betänkande FiUB 12/2012 rd, https://www.eduskunta.fi/SV/vaski/Mietinto/Documents/fiub_ 12+2012.pdf.
344
SOU 2021:1 |
Referenser |
Finlands regering (2011a) regeringsprogram, https://vnk.fi/julkaisu?pubid=3605.
Finlands regering (2011b) Ett produktivt och nyskapande Finland –
Digital agenda för åren
Finlands regering (2016) Projektet för att koncentrera statsförvalt- ningens branschoberoende informations- och kommunikations- tekniska (IKT) uppgifter (TORI), https://web.archive.org/web/20160911022733/https://vm.fi/sv/
Finlands regering (2019a) regeringsprogram, https://valtioneuvosto.fi/sv/marin/regeringsprogrammet/varldens
Finlands regering (2019b) Pressmeddelande: Halvtidsrapport om den externa utvärderingen av Palkeet och Valtori färdig,
Finland’s Cyber Security Strategy (2019)
Försäkringskassan (2019), Vitbok Molntjänster i samhällsbärande verksamhet – risker, lämplighet och vägen framåt, Dnr 013428- 2019.
Government Digital Services (2019a) Cloud First is here to stay,
Government Digital Services (2019b) Cloud guide for the public sector, https://www.gov.uk/government/publications/cloud-
Johansson S. m.fl. Brottsbalken m.m., Norstedts Juridik, JUNO.
345
Referenser |
SOU 2021:1 |
Kammarkollegiet (2019), Förstudierapport webbaserat kontorsstöd, Dnr
Lenberg E. m.fl., Offentlighets- och sekretesslag, Nordstedts Juridik, JUNO.
Livsmedelsverkets remissyttrande över
McKinsey & Company (2019) Defining a
Microsoft, Molntjänster och säkerhet (2018),
MSB (2014) Outsourcing av
MSB (2015) Informationssäkerhet trender 2015, MSB779 – januari 2015.
MSB och Örebro universitet (2018) Säkerhet vid molnlösningar, MSB1196 – maj 2018.
MSB (2018) Upphandla informationssäkert: en vägledning,
MSB1177 – november 2018.
MSB (2019) Vägledning för identifiering av samhällsviktig verk- samhet, MSB1408 – juni 2019.Nederländernas regering (2011a) brev från Inrikesdepartementet till parlamentet,
Nederländernas regering (2011b) The Central Government Reform Programme,
Nederländernas regering (2016) Strategische
Nederländernas regering (2018a) Digital Government Agenda,
346
SOU 2021:1 |
Referenser |
Nederländernas regering (2018b) National Cybersecurity Agenda,
Nederländernas regeringen (2018c) Brev från Inrikesdepartementet till representanthuset om att utarbeta åtgärder för att öka informa- tionssäkerheten i statsförvaltningen,
Nederländernas regering (2018d) Konsekvensbedömning av Micro- soft Office (Data Protection Impact Assessment op Microsoft Office), https://www.rijksoverheid.nl/documenten/rapporten/2018/11/
Nederländernas regering (2019a) Data Agenda Government,
Nederländernas regeringen (2019b) Säkerhetstjänstens undersökning av molntjänsters säkerhet och förslag till vägledning (Verkenning Cloudbeleid voor de Nederlandse Rijksdienst).
Nexia Management Consulting (2015) Kartlegging og analyse av landskapet for offentlige datasenter i Norge.
Norska regeringen (2016a) Digital agenda for Norge — IKT for en enklere hverdag og økt produktivitet, Meld. St. 27
Norska regeringen (2016b) Nasjonal strategi for bruk av skytenester,
Norska regeringen (2016c) En digital offentlig sektor: Digitali- seringsstrategi for offentlig sektor
Norska regeringen (2016d) Nasjonal strategi for digital sikkerhet,
347
Referenser |
SOU 2021:1 |
NOU 2015:13 Digital sårbarhet – sikkert samfunn — Beskytte enkelt- mennesker og samfunn i en digitalisert verden,
OECD (2005) Government Review of Norway.
OECD (2017) Government Review of Norway.
Open Source Observatory (2017) Open source makes Dutch govern- ment cloud a reality,
Paagman A. m.fl. (2015). An integrative literature review and empirical validation of motives for introducing shared services in government organizations, i International Journal of Information Management, 35(1), s.
Pensionsmyndigheten (2015) Molntjänster i staten. En ny generation av outsourcing, Dnr VER
Public Technology (2018) Crown Hosting CEO: We have taken away all the cloud excuses, https://www.publictechnology.net/articles/features/crown-
Riksrevisionen i Nederländerna (2019) Staat van de rijks- verantwoording 2019, https://www.rekenkamer.nl/publicaties/rapporten/2020/05/20/
Roos
SSC (2015), En förvaltningsgemensam tjänst för
SSC (2017) En gemensam statlig molntjänst för myndigheternas
Statens Revisionsverk (2019) Centraliserade
348
SOU 2021:1 |
Referenser |
Storbritanniens regering (2011) Policy paper från Cabitnet Office, “Data Centre Consolidation”,
Storbritanniens regering (2011a) Government ICT Strategy,
Storbritanniens regering (2011b) Government Cloud Strategy: A sub strategy of the Government ICT Strategy, https://assets.publishing.service.gov.uk/government/uploads/ system/uploads/attachment_data/file/266214/government-
Storbritanniens regering (2012) Government Digital Strategy, https://www.gov.uk/government/publications/government-
Storbritanniens regering (2013a) Presentation från Cabinet Office om
Storbritanniens regering (2013b) Government Cloud First Policy,
Storbritanniens regering (2016) National Cyber Security Strategy, https://www.gov.uk/government/publications/government-
Storbritanniens regering (2017a) Government Transformation Strategy, https://www.gov.uk/government/publications/government-
Storbritanniens regering (2017b) UK Digital Strategy,
Storbritanniens regering (2019a) Technology Code of Practice, https://www.gov.uk/government/publications/technology-
Storbritanniens regering (2019b)
349
Referenser |
SOU 2021:1 |
Storbritanniens regering (2019c)
Storbritanniens regering (2019d) The Crown Hosting Data Centres framework on the Digital Marketplace,
Storbritanniens regering (2019e) How the Home Office’s Immi- gration Technology department reduced its cloud costs by 40 %,
Säkerhetspolisen (2019), Vägledning i säkerhetsskydd Introduktion om säkerhetsskydd – juni 2019.
Säkerhetspolisen (2019), Vägledning i säkerhetsskydd Säkerhets- skyddad upphandling – juni 2019.
Säkerhetspolisen (2020), Vägledning i säkerhetsskydd Informations- säkerhet – september 2020.
Transportstyrelsen (2018), Kartlägga hanteringen av vissa uppgifter Till regeringen,
Transportstyrelsens remissyttrande över
Voister, Esam om Cloud Act kritik (2019),
Rättsfall
Europadomstolen
Airey mot Irland, nr 6289/73, dom meddelad den 9 oktober 1979.
X och Y mot Nederländerna, nr 8978/80, dom meddelad den 26 mars 1985.
350
SOU 2021:1 |
Referenser |
K.U. mot Finland, nr 2872/02, dom meddelad den 2 december 2008.
Söderman mot Sverige, nr 5786/08, dom meddelad den 12 november 2013.
Dom av den 20 maj 2003, Österreichischer Rundfunk m.fl., C- 465/00,
Dom av den 6 november 2003, Lindqvist, C‑101/01, EU:C:2003:596.
Dom av den 16 december 2008, Satakunnan Markkinapörssi och Satamedia,
Dom av den 9 november 2010, Volker und Markus Schecke och Eifert,
Dom av den 8 april 2014, Digital Rights Ireland och Seitlinger m.fl.,
Dom av den 13 maj 2014, Google Spain och Google,
Dom av den 6 oktober 2015, Schrems, C‑362/14, EU:C:2015:650.
Dom av den 21 december 2016, Tele2 Sverige,
Dom av den 5 juni 2018, Wirtschaftsakademie
Dom av den 16 juli 2020, Facebook Ireland och Schrems,
Svenska domstolar
NJA 1953 s. 654.
NJA 1991 s. 103.
NJA 2015 s. 180.
NJA 2015 s. 624.
HFD 2014 ref. 66.
HFD 2019 ref. 24.
351
Referenser |
SOU 2021:1 |
RÅ 2002 ref. 54.
Arbetsdomstolens dom nr 15/19, mål nr AD 152/17, meddelad den 6 mars 2019.
Beslut från Riksdagens ombudsmän
JO 1982/83:JO1 s. 138, dnr
JO 1984/85:JO1 s. 265, dnr
JO 1992/93:JO1 s. 197, dnr
JO 1994/95:JO1 s. 574, dnr
JO 2009/10:JO1 s. 194, dnr
JO:s beslut den 9 september 2014, dnr
352
Bilaga 1
Kommittédirektiv 2019:64
Säker och kostnadseffektiv
Beslut vid regeringssammanträde den 26 september 2019
Sammanfattning
En särskild utredare ska kartlägga och analysera statliga myndigheters behov av säker och kostnadseffektiv
Uppdragen att kartlägga och analysera statliga myndigheters it- drift och den offentliga förvaltningens rättsliga förutsättningar för utkontraktering med bibehållen säkerhet, inklusive eventuella för- fattningsförslag, ska redovisas senast den 31 augusti 2020. Uppdraget att föreslå mer varaktiga former för samordnad statlig
353
Bilaga 1 |
SOU 2021:1 |
Bakgrund
Begreppet
Motiven för en myndighet att hantera sin
Samordnad
Ett alternativ till utkontraktering är att en myndighet får i uppdrag att helt eller delvis hantera
354
SOU 2021:1 |
Bilaga 1 |
Ett annat exempel på samordnad
Vid samordnad
Utkontrakterad
Begreppet utkontraktering används ofta för att beskriva när en verk- samhetsutövare lägger ut drift, underhåll, skötsel eller liknande av en viss del av verksamheten till en utomstående leverantör. Utkontrakter- ing har ingen legal definition och innebär inte heller någon tydlig avgränsning mellan olika organisatoriska enheter. Med utkontrak- tering av
Det kan finnas flera bakomliggande motiv till utkontraktering av
355
Bilaga 1 |
SOU 2021:1 |
rantörer anlitas eller byts ut, att uppgiftsmängder hanteras utanför Sveriges gränser och att avtalsförhållandena är komplicerade. I sam- manhanget är det viktigt att poängtera att en myndighet aldrig genom utkontraktering kan undandra sig sitt ansvar utan är ytterst ansvarig för att den information som lämnas ut får ett effektivt och ändamåls- enligt skydd och i övrigt hanteras i enlighet med gällande rätt.
Säkerhetspolisen har framhållit att utkontraktering kan leda till att den mängd information som samlas hos en leverantör medför att leverantörens verksamhet sammantaget är av stor betydelse för Sveriges säkerhet. Säkerhetspolisen har också konstaterat att leverantören riskerar att bli ett attraktivt mål för bl.a. andra länders underrättelse- inhämtning (Säkerhetspolisens årsbok 2017). Sådan centralisering, där flera myndigheters information samlas hos en leverantör, inne- bär en ökad riskexponering bl.a. för känsliga uppgifter. Samtidigt kan utkontraktering innebära att en myndighets informationstillgångar får ett bättre tekniskt och administrativt skydd än vad som skulle varit fallet om myndigheten hanterat sin
Rättsliga förutsättningar och säkerhet
Oavsett hur en myndighet väljer att anordna sin
Upphandling och avtal
Rätt använt är offentlig upphandling och avtalsförvaltning nyckel- faktorer som ger en myndighet goda förutsättningar att ta del av marknadens
356
SOU 2021:1 |
Bilaga 1 |
villkor. Det ställs således höga krav på en myndighets verksamhets- och beställarkompetens samt förmåga att formulera ändamålsenliga avtalsvillkor och följa upp leverantörens hantering av de utkontrak- terade tjänsterna. Upphandlingsmyndigheten tillhandahåller stöd och vägledning för upphandling och avtalsförvaltning (se bl.a. Avtalsför- valtning, vägledning nr 2, 2016). MSB har tagit fram en vägledning för att upphandla informationssäkert (MSB1177, november 2018).
Sekretess och dataskydd
En förutsättning för att en myndighet ska kunna samordna sin
Bland myndigheterna råder i dag en viss osäkerhet i fråga om de rättsliga förutsättningarna för utkontraktering. Det gäller främst tolkningen av när en uppgift ska anses röjd enligt sekretesslagstift- ningen, något som bl.a. kommit till uttryck i eSamverkansprogrammets rättsliga uttalanden om röjande och molntjänster och om röjande- begreppet enligt offentlighets- och sekretesslagen (VER 2018:57 och VER 2015:90). I Digitaliseringsrättsutredningens slutbetänkande uttrycks att det finns en oro över att uppgifter som lämnas ut till en privat leverantör kan komma att röjas i strid med sekretesslagstift- ningen (SOU 2018:25 s. 106). Denna oro har förstärkts det senaste året till följ av att den amerikanska rättsakten The Clarifying Lawful Overseas Use of Data Act (CLOUD Act) trädde i kraft under våren 2018. CLOUD Act syftar bl.a. till att förenkla för amerikanska rätts- vårdande myndigheter att få tillgång till vissa uppgifter som finns lagrade hos leverantörer som omfattas av den amerikanska jurisdik- tionen, oavsett var uppgifterna finns rent geografiskt.
Om ett uppgiftsutlämnande inkluderar personuppgifter, behöver den utkontrakterande myndigheten också säkerställa att den behand- ling av personuppgifter som kommer att utföras är förenlig med dataskyddsregleringen. Här avses främst Europaparlamentets och rådets förordning (EU) 2016 / 679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direk- tiv 95/46/EG (allmän dataskyddsförordning) samt lagen (2018:218)
357
Bilaga 1 |
SOU 2021:1 |
med kompletterande bestämmelser till EU:s dataskyddsförordning. Även myndighets- eller sektorsspecifika registerförfattningar kan aktualiseras.
En särskild utmaning för en utkontrakterande myndighet kan vara att bedöma om leverantören kan ge tillräckliga garantier om att genom- föra lämpliga tekniska och organisatoriska åtgärder så att behand- lingen uppfyller kraven i dataskyddsförordningen, att den registrerades rättigheter skyddas och att uppgifter inte olovligen förs över till ett tredjeland, dvs. ett land utanför EU- och
Säkerhetsskydd
Den som till någon del bedriver verksamhet som är av betydelse för Sveriges säkerhet eller omfattas av ett för Sverige förpliktande inter- nationellt åtagande om säkerhetsskydd (säkerhetskänslig verksamhet) omfattas av säkerhetsskyddslagen (2018:585) och de bestämmelser i förordning och föreskrifter som kompletterar lagen. Med säkerhets- skydd avses skydd av säkerhetskänslig verksamhet mot spioneri, sabo- tage, terroristbrott och andra brott som kan hota verksamheten samt skydd i andra fall av säkerhetsskyddsklassificerade uppgifter. Enligt säkerhetsskyddslagstiftningen gäller särskilda krav om en statlig myndighet avser att ge en leverantör tillgång till eller möjlighet att förvara säkerhetsskyddsklassificerade uppgifter av visst slag utanför myndighetens lokaler eller om leverantören kan få tillgång till vissa typer av säkerhetskänsliga informationssystem utanför myndighe- tens lokaler. En myndighet som t.ex. avser att utkontraktera hela eller delar av sin
358
SOU 2021:1 |
Bilaga 1 |
Informations- och cybersäkerhet
Det finns stora mängder information och
En myndighet som står inför valet att samordna sin
Trots riskbilden kan samordnad
359
Bilaga 1 |
SOU 2021:1 |
Uppdraget att kartlägga och analysera statliga myndigheters
Statliga myndigheters behov av säker och kostnadseffektiv
Det saknas en heltäckande bild av statliga myndigheters behov av säker och kostnadseffektiv
I syfte att klarlägga statliga myndigheters behov och hantering av säker och kostnadseffektiv
Det behöver också kartläggas i vilken utsträckning
360
SOU 2021:1 |
Bilaga 1 |
som ska ställas på
Den efterföljande analysen ska svara på vilka huvudsakliga behov olika typer av myndigheter har av samordning eller utkontraktering av sin
Vidare ska analysen belysa eventuella skillnader samt för- och nackdelar vid
Utredaren ska därför
•kartlägga och analysera statliga myndigheters behov av säker och kostnadseffektiv
•kartlägga och analysera i vilken utsträckning olika
– i egen regi, samordning respektive utkontraktering – kan svara mot statliga myndigheters behov av och krav på
361
Bilaga 1 |
SOU 2021:1 |
•analysera vilka behov av
Samordnad
Det finns mycket att lära både av hur man nationellt och i andra länder har valt att hantera frågor om samordnad statlig
ISverige finns flera exempel på samordnad statlig
Utredaren ska därför
•kartlägga och analysera relevanta modeller för myndigheters it- drift såväl nationellt som i ett urval av särskilt intressanta länder med såväl samordnad statlig
362
SOU 2021:1 |
Bilaga 1 |
Uppdraget att föreslå mer varaktiga former för samordnad statlig
Försäkringskassans uppdrag om samordnad och säker statlig
De erfarenheter och den kompetens Försäkringskassan har byggt upp inom ramen för sitt uppdrag att tillhandahålla samordnad och säker statlig
Utredaren ska därför
•utvärdera Försäkringskassans uppdrag att tillhandahålla samordnad och säker statlig
•analysera vilka lärdomar, erfarenheter och investeringar som är relevanta att vidareutveckla inom ramen för förslag till mer varak- tiga former för samordnad statlig
Säkerhetsmässiga och rättsliga förutsättningar för samordnad statlig
Samordning av statlig
363
Bilaga 1 |
SOU 2021:1 |
statliga myndigheter bedriver verksamhet som till någon del är av betydelse för Sveriges säkerhet och träffas därigenom av säkerhets- skyddslagen. I dessa fall är det säkerhetsskyddslagstiftningen som sätter ramarna för om det över huvud taget är möjligt för en myn- dighet att samordna eller utkontraktera sin
De säkerhetsmässiga för- och nackdelarna för statliga myndig- heter att ansluta sig till samordnad
Även de rättsliga förutsättningarna för samordnad
Utredaren ska därför
•analysera de säkerhetsmässiga förutsättningarna för samordnad statlig
364
SOU 2021:1 |
Bilaga 1 |
•analysera de rättsliga förutsättningarna för samordnad statlig it- drift, särskilt när det gäller avtals- och upphandlingsfrågor samt konkurrens- och marknadsrättsliga frågor, och
•vid behov lämna författningsförslag som möjliggör att inrätta sam- ordnad statlig
Eventuella författningsförslag ska utformas med hänsyn tagen till kraven på säkerhetsskydd och informationssäkerhet, offentlighet och sekretess samt skyddet för den personliga integriteten. Om ändringar i offentlighets- och sekretesslagen föreslås ska de inte innebära någon förändring av lagens struktur och begreppsapparat. Inte heller ska sådana förslag innefatta ändring av, eller tillägg till, lagens bestäm- melser om beslutsordning eller sekretessprövningens metodik. I upp- draget ingår inte heller att föreslå ändringar i grundlag eller i säker- hetsskyddslagstiftningen.
Samordnad, säker och kostnadseffektiv statlig
Utifrån resultatet av övriga delar av utredningen ska utredaren över- väga vilka behov som finns av att inrätta mer varaktiga former av samordnad
Vidare ska utredaren analysera och ta ställning till vilka myndig- heters
Utredaren ska vidare lämna förslag på hur samordnad
365
Bilaga 1 |
SOU 2021:1 |
förslag på organisationsmodeller, och med utgångspunkt i dessa även lämna förslag på en eller flera alternativa införandeplaner. Eventuella förslag som har övervägts men avfärdats ska redovisas och motiveras.
Utredaren ska också överväga om det bör vara obligatoriskt för delar av den statliga förvaltningen att ansluta sig till samordnad it- drift eller om anslutning ska grunda sig på frivillighet. Utredaren ska i denna del särskilt analysera konsekvenserna av obligatorium res- pektive frivillighet på inledande och avbrytande av
Utredaren ska vid utformningen av förslagen beakta möjligheterna att använda privata leverantörer vid tillhandahållandet av samordnad
Utredarens förslag ska i samtliga delar grunda sig på en analys av säkerhetsmässiga, samhällsekonomiska och budgetära konsekvenser av att inrätta samordnad
366
SOU 2021:1 |
Bilaga 1 |
rskr. 2014/15:251). Utredaren ska också ta hänsyn till eventuella risker med centralisering av statsförvaltningens
Utredaren ska därför
•analysera och lämna alternativa och rangordnade förslag på ut- formning och organisering av samordnad
•föreslå vilket tjänsteutbud som ska tillhandahållas inom ramen för samordnad
•föreslå hur generella och myndighetsspecifika krav på informations- säkerhet och säkerhetsskydd kan tillgodoses,
•redogöra för om det finns vissa myndigheter eller typer av myn- digheter, utöver försvarsmyndigheterna och Säkerhetspolisen, eller viss särskilt känslig information som inte bör hanteras inom ramen för samordnad
•analysera om och föreslå hur privata leverantörer kan användas vid tillhandahållande av samordnad
•analysera och redogöra för budgetära, samhällsekonomiska och säkerhetsmässiga konsekvenser av de förslag som redovisas samt lämna förslag till finansiering.
Utredaren kan vid behov behandla sådana närliggande frågor som har samband med de frågeställningar som ska utredas, under förut- sättning att uppdraget ändå bedöms kunna redovisas i tid samt att de eventuella förslag som läggs fram är finansierade.
Uppdraget att utreda rättsliga förutsättningar för utkontraktering till privata leverantörer
Utgångspunkten inom EU är att data ska kunna flöda fritt, vilket bl.a. kommer till uttryck i Europaparlamentets och rådets förord- ning (EU) 2018/1807 av den 14 november 2018 om en ram för det fria flödet av andra data än personuppgifter i Europeiska unionen
367
Bilaga 1 |
SOU 2021:1 |
(dataflödesförordningen). En statlig myndighet, en kommun eller ett landsting som avser att utkontraktera
Vid utkontraktering kan de rättsliga bedömningarna försvåras som en följd av t.ex. leverantörers komplexa affärsmodeller och en allt mer globaliserad marknad. Det gäller inte minst i fråga om kraven på hanteringen av sekretesskyddade uppgifter och bedömningen av när en uppgift ska anses röjd i offentlighets- och sekretesslagens mening. Samma sak gäller för hur det kan säkerställas att regelverket om dataskydd följs. I syfte att klargöra statliga myndigheters, kom- muners och landstings möjligheter att anlita privata leverantörer behöver de rättsliga förutsättningarna för sådan utkontraktering kart- läggas och analyseras.
Analysen ska bl.a. innehålla fördjupade resonemang kring kraven på hantering av sekretesskyddade uppgifter och risk för röjande av sekretessbelagda uppgifter. Här bör särskild vikt läggas vid frågan om huruvida avtalsreglerad tystnadsplikt och tekniska säkerhetsåt- gärder, t.ex. kryptering eller pseudonymisering, kan påverka möjlig- heten att lämna ut uppgifter. Utredaren ska också särskilt analysera eventuella konsekvenser av att uppgifter som lämnas ut till en privat leverantör kan komma att exponeras för andra staters rättsordningar. Särskilt fokus ska ligga på betydelsen av rättsakter från tredjeland, t.ex. amerikanska CLOUD Act.
I uppdraget ingår också att analysera hur regelverket kring data- skydd kan uppfyllas, i synnerhet vid behandling av känsliga person- uppgifter. I denna del ska särskild uppmärksamhet ägnas åt frågor som rör det organisatoriska och avtalsmässiga förhållandet mellan per- sonuppgiftsansvarig och personuppgiftsbiträde, överföring av person- uppgifter till tredjeland och skydd för den registrerades rättigheter.
Om utredaren finner att det finns lagstiftning som hindrar eller försvårar för statliga myndigheter, kommuner och landsting att ut- kontraktera
368
SOU 2021:1 |
Bilaga 1 |
detta redogöras för. Det kan också gälla omotiverade datalokaliser- ingskrav som ska upphävas enligt dataflödesförordningen.
Utredaren ska därför
•kartlägga i vilken utsträckning det förekommer lagstiftning som hindrar eller försvårar för statliga myndigheter, kommuner och landsting att, med bibehållen säkerhet, utkontraktera
•analysera de rättsliga förutsättningarna för utkontraktering, och
•vid behov lämna författningsförslag som tydliggör förutsättningarna för sådan utkontraktering.
Eventuella författningsförslag ska utformas med hänsyn tagen till kraven på säkerhetsskydd, informationssäkerhet, offentlighet och sekretess samt skyddet för den personliga integriteten. Om änd- ringar i offentlighets- och sekretesslagen föreslås ska de inte inne- bära någon förändring av lagens struktur och begreppsapparat. Inte heller ska sådana förslag innefatta ändring av, eller tillägg till, lagens bestämmelser om beslutsordning eller sekretessprövningens meto- dik. I uppdraget ingår inte heller att föreslå ändringar i grundlag eller i säkerhetsskyddslagstiftningen.
Konsekvensbeskrivningar
Utredaren ska analysera de samhällsekonomiska effekterna i utred- ningsarbetets alla delar, från problembeskrivning och syfte till analys av alternativ och motiv till förslag. I den samhällsekonomiska analy- sen ska det även redogöras för konsekvenserna av status quo, dvs. att inte samordna myndigheternas
369
Bilaga 1 |
SOU 2021:1 |
tuella marknadseffekter och konkurrenspåverkan för det privata näringslivet i förhållande till de potentiella samordningsvinster som kan uppnås av samordnad
Kontakter och redovisning av uppdraget
Utredaren ska hålla Regeringskansliet (Infrastrukturdepartementet) informerat om det löpande arbetet.
Uppdraget ska utföras i nära dialog med Försäkringskassan och Myndigheten för digital förvaltning. Utredaren ska samråda med Myn- digheten för samhällsskydd och beredskap, Försvarsmakten/MUST, Försvarets radioanstalt och Säkerhetspolisen när det gäller infor- mationssäkerhetsfrågor och med Säkerhetspolisen, Försvarsmakten och Fortifikationsverket beträffande säkerhetsskydd och andra säker- hetsaspekter som t.ex. kan följa av centralisering av statliga myndig- heters
Utredaren ska under arbetets gång ta hänsyn och förhålla sig till det fortsatta arbetet med betänkandena Kompletteringar till den nya säkerhetsskyddslagen (SOU 2018:82) och Juridik som stöd för för- valtningens digitalisering (SOU 2018:25). Vidare ska utredaren särskilt beakta det arbete som bedrivs inom Utredningen om näringslivets roll inom totalförsvaret samt försörjningstrygghet i fråga om försvars- materiel (dir. 2018:64) och inom Utredningen om samordning av statliga utbetalningar från välfärdssystemen (dir. 2018:50).
370
SOU 2021:1 |
Bilaga 1 |
Uppdragen att kartlägga och analysera statliga myndigheters behov av
(Infrastrukturdepartementet)
371
Bilaga 2
Kommittédirektiv 2020:73
Tilläggsdirektiv till
Beslut vid regeringssammanträde den 2 juli 2020
Förlängd tid för uppdraget
Regeringen beslutade den 26 september 2019 kommittédirektiv om att ge en särskild utredare i uppdrag att utreda förutsättningarna för den offentliga förvaltningen att få tillgång till säker och kostnads- effektiv
Utredningstiden förlängs. Uppdragen att kartlägga och analysera statliga myndigheters
15januari 2021. Uppdraget att föreslå mer varaktiga former för sam- ordnad statlig
(Infrastrukturdepartementet)
373
Bilaga 3
Utredningen om säker och kostnadseffektiv
I 2019:03
Enkät om säker och kostnadseffektiv
Den 29 september 2019 fattade regeringen beslut om att ge en särskild utredare i uppdrag att utreda förutsättningarna för den offentliga förvaltningen att få tillgång till säker och kostnadseffektiv
En viktig del i utredningens uppdrag är att kartlägga och analysera statliga myndigheters behov av säker och kostnadseffektiv
Enkäten är indelad i sex delar
Kapitel 1 berör säkerhet på myndigheten och i vilken utsträckning myndigheten är i behov av säkerhetsskydd utifrån myndighetens verksamhet och den information som myndigheten hanterar.
Kapitel 2 handlar om hur myndigheten hanterar sin
375
Bilaga 3 |
SOU 2021:1 |
Kapitel 3 handlar om uppskattade kostnader för myndighetens egna datacenter, för molntjänster samt för samordnad
Kapitel 4 syftar till att identifiera hinder mot och bristande förut- sättningar för säker och kostnadseffektiv
Kapitel 5 syftar till att kartlägga framtida intresse för och behov av samordnad
Kapitel 6 ges myndigheten möjlighet att förtydliga vissa svar eller ge andra medskick till utredningen.
Enkäten kräver att flera kompetenser involveras
Frågorna i enkäten behöver besvaras av flera personer med olika kom- petens inom er myndighet, till exempel juridisk och teknisk kompe- tens. Vi rekommenderar därför att ni hittar ett lämpligt tillvägagångs- sätt för att säkerställa att ni kan lämna ett så väl förankrat svar för myndigheten som möjligt.
Enkätsvaren skyddas
Eftersom myndighetens enkätsvar kan innehålla känslig information bör den ifyllda enkäten kommuniceras till utredningen på ett säkert sätt. Responderande myndighet ska
ibl.a. säkerhetsskyddslagen (2018:585) och offentlighets- och sekre- tesslagen (2009:400).
376
SOU 2021:1 |
Bilaga 3 |
Vänligen tänk på att inte i fritextsvar ange uppgifter som rör speci- fika leverantörer eller detaljerad information om eventuella säker- hetsbrister på myndigheten.
Svarstid
Vi önskar få era svar senast den 31 mars 2020.
Vid frågor om enkäten
Ni är välkomna att kontakta sekretariatet vid eventuella frågor.
Tina J Nilsson |
Sofia Allansson |
tina.nilsson@regeringskansliet.se |
sofia.allansson@regeringskansliet.se |
377
Bilaga 3 |
SOU 2021:1 |
Kapitel 1 Säkerhet på myndigheten
Detta kapitel berör säkerhet på myndigheten och i vilken utsträckning myndigheten är i behov av säkerhetsskydd utifrån myndighetens verk- samhet och den information som myndigheten hanterar.
Fråga 1a. Bedriver myndigheten verksamhet som kan bedömas vara samhällsviktig?
Samhällsviktig verksamhet är ett samlingsbegrepp som omfattar de verk- samheter, anläggningar, noder, infrastrukturer och tjänster som är av avgörande betydelse för att upprätthålla viktiga samhällsfunktioner inom en samhällssektor. Med samhällsviktig verksamhet menas dels verksamhet som måste fungera för att inte dess bortfall ska leda till en samhälls- störning, dels verksamhet som måste finnas för att hantera en samhälls- störning när den väl inträffar.
Myndigheten för samhällsskydd och beredskap (MSB) har tagit fram en vägledning som ett stöd i arbetet med att identifiera samhällsviktig verksamhet: https://www.msb.se/contentassets/
[Välj ett svarsalternativ]
☐Ja, gå vidare till fråga 1b
☐Nej, gå vidare till fråga 2a
☐Vet ej
Om ja, Fråga 1b. Inom vilka av följande samhällssektorer ingår den samhällsviktiga verksamheten?
Myndigheten för samhällsskydd och beredskap (MSB) har tagit fram en vägledningen som ett stöd i arbetet med att identifiera samhällsviktig verksamhet: https://www.msb.se/contentassets/
378
SOU 2021:1 |
Bilaga 3 |
[Flervalsalternativ]
☐Energiförsörjning
Exempel: Produktion och distribution el, produktion och distribution av fjärrvärme, produktion och distribution av bränslen och drivmedel.
☐Finansiella tjänster
Exempel: Betalningar, tillgång till kontanter, centrala betalningssystemet, värdepappershandel.
☐Handel och industri
Exempel: Bygg- och entreprenadverksamhet, detaljhandel, tillverknings- industri.
☐Hälso- och sjukvård samt omsorg
Exempel: Akutsjukvård, läkemedels- och materielförsörjning, omsorg om barn, funktionshindrade och äldre, primärvård, psykiatri, socialtjänst, smittskydd för djur och människor.
☐Information och kommunikation
Exempel: Telefoni (mobil och fast), internet, radiokommunikation, distri- bution av post, produktion och distribution av dagstidningar, webbaserad information, sociala medier.
☐Kommunalteknisk försörjning
Exempel: Dricksvattenförsörjning, avloppshantering, renhållning, väghåll- ning.
☐Livsmedel
Exempel: Distribution av livsmedel, primärproduktion av livsmedel, kontroll av livsmedel, tillverkning av livsmedel.
☐Offentlig förvaltning
Exempel: Lokal ledning, regional ledning, nationell ledning, begrav- ningsverksamhet, diplomatisk och konsulär verksamhet.
379
Bilaga 3 |
SOU 2021:1 |
☐Skydd och säkerhet
Exempel: Domstolsväsendet, åklagarverksamhet, militärt försvar, krimi- nalvård, kustbevakning, polis, räddningstjänst, alarmeringstjänst, tullkon- troll, gränsskydd och immigrationskontroll, bevaknings- och säkerhetsverk- samhet.
☐Socialförsäkringar
Exempel: Allmänna pensionssystemet, sjuk- och arbetslöshetsförsäkringen.
☐Transporter
Exempel: Flygtransport, järnvägstransport, sjötransport, vägtransport, kollektivtrafik.
☐Annan; ange vad
☐Vet ej
Fråga 2a. Hanterar myndigheten säkerhetsskyddsklassificerade uppgifter?
I säkerhetsskydd ingår att skydda uppgifter som rör säkerhetskänslig verksamhet och som därför omfattas av sekretess enligt offentlighets- och sekretesslagen, eller som skulle ha omfattats av den lagen om den varit tillämplig. De kallas säkerhetsskyddsklassificerade uppgifter och delas in i fyra säkerhetsskyddsklasser utifrån vilken skada för Sveriges säkerhet som kan uppstå om de röjs: kvalificerat hemlig, hemlig, konfidentiell, begränsat hemlig. För mer information om säkerhetsskyddsklassificerade uppgifter se Säkerhetspolisens vägledning: https://www.sakerhetspolisen.se/ download/18.7acd465e16b4e0e54c64d/1560777315837/Vagledning-
[Välj ett svarsalternativ]
☐Ja, gå vidare till fråga 2b
☐Nej, gå vidare till fråga 3
☐Vet ej
380
SOU 2021:1 |
Bilaga 3 |
Om ja, Fråga 2b. Vilken/vilka säkerhetsskyddsklasser ingår uppgifterna inom?
[Du kan välja flera svarsalternativ]
☐Kvalificerat hemlig
☐Hemlig
☐Konfidentiell
☐Begränsat hemlig
☐Vet ej
Fråga 3. Hanterar myndigheten i sin kärnverksamhet uppgifter som är sekretessreglerade enligt offentlighets- och sekretesslagen?
Med kärnverksamhet avses myndighetens instruktionsenliga uppgifter.
När en sekretessbestämmelse inte ställer upp några särskilda villkor för sekretess, är sekretessen för en uppgift absolut. De flesta sekretessbestäm- melser innehåller däremot som krav för att sekretess ska gälla att något speciellt villkor är uppfyllt, ett så kallat skaderekvisit. Det finns två huvudtyper av skaderekvisit, raka och omvända. För mer information om skaderekvisit se s. 29 i följande dokument: https://www.regeringen.se/ 4adad2/contentassets/e9c8b1b5a6224a26a0add9ae62db9413/offentlig
[Du kan välja flera svarsalternativ]
☐Ja, uppgifter med rakt skaderekvisit (presumtion för offentlighet)
☐Ja, uppgifter med omvänt skaderekvisit (presumtion för sekretess)
☐Ja, uppgifter med absolut sekretess
☐Nej
☐Vet ej
381
Bilaga 3 |
SOU 2021:1 |
Fråga 4. Hanterar myndigheten i sin kärnverksamhet känsliga person- uppgifter?
Med kärnverksamhet avses myndighetens instruktionsenliga uppgifter.
Enligt dataskyddsförordningen är följande kategorier av personuppgifter känsliga:
•etniskt ursprung
•politiska åsikter
•religiös eller filosofisk övertygelse
•medlemskap i en fackförening
•hälsa (inkluderar även uppgifter om sexualliv eller sexuell läggning och genetiska uppgifter)
•biometriska uppgifter som entydigt identifierar en fysisk person.
För mer information om känsliga personuppgifter se Datainspektionens hemsida:
[Välj ett svarsalternativ]
☐Ja
☐Nej
☐Vet ej
Fråga 5. Hur långt har myndigheten kommit i arbetet med informa- tionssäkerhet?
Enligt MSB:s föreskrifter (MSBFS) 2016:1 ska myndigheter ha kontroll över all den information som organisationen ansvarar för och se till att:
•Endast behöriga personer kan ta del av den (konfidentialitet)
•Vi kan lita på att den är korrekt och inte manipulerad (riktighet)
•Den alltid finns när vi behöver den (tillgänglighet)
382
SOU 2021:1 |
Bilaga 3 |
Du kan läsa mer i MSBFS 2016:1: https://www.msb.se/siteassets/
[Välj ett svarsalternativ]
☐Vi har inte påbörjat ett systematiskt informationssäker- hetsarbete enligt MSBFS 2016:1.
☐Vi har påbörjat arbetet genom att ha utsett en ansvarig att leda arbetet och börja analysera hur föreskrifterna MSBFS 2016:1 ska införas i myndigheten.
☐Vi har tagit fram informationssäkerhetspolicy och påbörjat arbetet med styrande interna regelverk. Ledningen har be- slutat om informationssäkerhetspolicyn och vi har beslutade styrande interna regelverk för allt informationssäkerhets- arbete enligt MSBFS 2016:1.
☐Vi har förutom av ledningen beslutad informationssäker- hetspolicy och styrande interna regelverk, arbetssätt i delar av organisationen som säkerställer att vi genomför informa- tionsklassning och riskbedömning samt inför säkerhets- åtgärder utifrån dessa underlag.
☐Vi har förutom av ledningen beslutad informationssäker- hetspolicy och styrande interna regelverk, arbetssätt i hela organisationen som säkerställer att vi genomför informa- tionsklassning och riskbedömning samt inför säkerhetsåtgär- der utifrån dessa underlag.
☐Allt informationssäkerhetsarbete i hela organisationen sker systematiskt enligt framtaget arbetssätt dokumenterat i interna regler och stöd. Arbetet och de interna regelverken och stöden utvärderas och vidareutvecklas regelbundet.
383
Bilaga 3 |
SOU 2021:1 |
Fråga 6. Utgår myndigheten från en standard/modell som stöd för ett systematiskt informationssäkerhetsarbete?
[Välj ett svarsalternativ]
☐Ja, ISO 27001
☐Ja, BITS (Basnivå för informationssäkerhet, KBM 2006:1)
☐Ja, COSO
☐Ja, COBIT
☐Ja, NIST (FISMA)
☐Ja, ange vilken:
☐Nej
☐Vet ej
Fråga 7. Har myndigheten en kravkatalog med säkerhetskrav vid
[Välj ett svarsalternativ]
☐Vi har inte reflekterat över frågan på myndigheten.
☐Vi har påbörjat diskussion om att vi behöver en kravkatalog med säkerhetskrav att utgå ifrån.
☐Vi har en säkerhetskravkatalog som vi använder oss av vid upphandling.
Fråga 8. Har myndigheten ett etablerat arbetssätt för att verifiera säkerhetskrav i anbudssvar vid
[Välj ett svarsalternativ]
☐Vi har inte reflekterat över frågan på myndigheten
☐Vi har ett påbörjat arbetssätt att verifiera säkerhetskraven
ianbudssvar
☐Vi har ett etablerat arbetssätt att verifiera säkerhetskraven
ianbudssvar
384
SOU 2021:1 |
Bilaga 3 |
Fråga 9. Har myndigheten ett etablerat arbetssätt att verifiera säker- hetskraven i leverans/acceptanstest/driftsättning (eller motsvarande)?
[Välj ett svarsalternativ]
☐Vi har inte reflekterat över frågan på myndigheten
☐Vi har ett påbörjat arbetssätt att verifiera säkerhetskraven
ileverans/acceptanstest/driftsättning (eller motsvarande)
☐Vi har ett etablerat arbetssätt att verifiera säkerhetskraven
ileverans/acceptanstest/driftsättning (eller motsvarande)
Fråga 10. Har myndigheten ett etablerat arbetssätt att verifiera säker- hetskraven under avtalets/kontraktets giltighetstid?
[Välj ett svarsalternativ]
☐Vi har inte reflekterat över frågan på myndigheten
☐Vi har ett påbörjat arbetssätt att verifiera säkerhetskraven under avtalets/kontraktets giltighetstid
☐Vi har ett etablerat arbetssätt att verifiera säkerhetskraven under avtalets/kontraktets giltighetstid
Kapitel 2 Myndighetens nuvarande hantering av
Detta kapitel handlar om hur myndigheten hanterar sin
385
Bilaga 3 |
SOU 2021:1 |
Datacenter i egen regi
Fråga 11. Har er myndighet egna datacenter i egna lokaler där ni äger utrustningen?
Med datacenter avses ett fysiskt utrymme där hela eller merparten av er utrustning för servrar, lagring- och kommunikationsutrustning finns. Utrymmet kan vara anpassat med avseende på t.ex. kylsystem, elför- sörjning, brand- och skalskydd.
☐Ja. Om flera, hur många?
☐Nej
Fråga 12. Hur många fysiska servrar äger myndigheten?
Med servrar avses datorsystem med anpassad hårdvara som syftar till att betjäna andra system.
Antal
☐Inga
☐Vet ej
Fråga 13. Hur många virtuella servrar använder myndigheten?
Med virtuell server avses en virtuell instans av ett operativsystem som kan köras isolerat från och parallellt med liknande instanser på samma fysiska server.
Antal
☐Inga
☐Vet ej
386
SOU 2021:1 |
Bilaga 3 |
Användning av molntjänster från privata leverantörer
Fråga 14. Använder myndigheten molntjänster som tillhandahålls av privata leverantörer?
En vanligt förekommande kategorisering av
|
Ja |
Nej |
Vet |
|
|
|
ej |
IaaS |
☐ |
☐ |
☐ |
kan beskrivas som tjänster där användaren får till- |
|
|
|
gång till processorkapacitet, lagring, nätverk, servrar |
|
|
|
och andra fundamentala resurser och som möjliggör |
|
|
|
för användaren att köra godtycklig mjukvara inklu- |
|
|
|
sive operativsystem och applikationer. |
|
|
|
PaaS |
☐ |
☐ |
☐ |
kan beskrivas som tjänster där användaren får till- |
|
|
|
gång till utvecklingsmiljöer, bibliotek och verktyg som |
|
|
|
möjliggör driftsättning av applikationer. Användaren |
|
|
|
kontrollerar inte underliggande nätverk, servrar, ope- |
|
|
|
rativsystem eller lagring men applikationer som driftas |
|
|
|
i miljön. |
|
|
|
SaaS |
☐ |
☐ |
☐ |
kan beskrivas som tjänster där användaren genom |
|
|
|
en klient får tillgång till en viss applikation utan att |
|
|
|
kontrollera underliggande infrastruktur såsom nät- |
|
|
|
verk, servrar, lagring, operativsystem. |
|
|
|
1Definitionen av de tre kategorierna är baserade på National Institute of Standards and Technology (NIST) SP
387
Bilaga 3 |
SOU 2021:1 |
Fråga 15. Om myndigheten använder
[Du kan välja flera svarsalternativ]
☐HR/lön
☐Kontorsstöd
☐Diarium
☐Ärendehanteringssystem
☐Webbplats
☐Enkätverktyg
☐Ekonomisystem
☐Andra, ange vilka:
Fråga 16. Hyr myndigheten in sig i en privat leverantörs datacenter (så kallade samlokaliserings- eller
☐Ja
☐Nej
Samordnad
Flera myndigheter samordnar i dag sin
388
SOU 2021:1 |
Bilaga 3 |
Fråga 17a. Har myndigheten samordnat sin
Ja, en annan myndighet hanterar vår |
☐ |
Vilken myndighet? |
|
|
|
Ja, myndigheten hanterar en |
☐ |
Vilken/vilka |
annan/andra myndigheters |
|
myndigheter? |
gå vidare till fråga 17c |
|
|
Nej, gå vidare till fråga 18 |
☐ |
|
Fråga 17b. Om myndighetens
Ange vad:
Fråga 17c. Om myndigheten hanterar
Ange vad:
Närliggande tjänster
Fråga 18. Tillhandahåller privata leverantörer eller en annan myndig- het följande närliggande
|
Utkontrakterad |
Tillhandahålls |
Ej aktuell |
|
till privat leve- |
av annan |
|
|
rantör |
myndighet |
|
☐ |
☐ |
☐ |
|
Administration, |
|
|
|
underhåll och |
|
|
|
leverans av |
|
|
|
paketerad |
|
|
|
stationära eller |
|
|
|
bärbara arbets- |
|
|
|
datorer med |
|
|
|
tillbehör och |
|
|
|
programvara. |
|
|
|
389
Bilaga 3SOU 2021:1
Stödtjänster |
☐ |
☐ |
☐ |
Helpdesk, stöd |
|
|
|
och support till |
|
|
|
myndighetens |
|
|
|
personal. |
|
|
|
Kapitel 3 Kostnader för
Detta kapitel handlar om uppskattade kostnader för myndighetens egna datacenter, för molntjänster samt för samordnad
Kostnader för datacenter
Fråga 19. Om myndigheten har egna datacenter, vad är de genom- snittliga årliga platsbundna kostnaderna, i tusentals kronor, för myn- dighetens samtliga datacenter?
Med platsbundna kostnader för datacentret avses summan av kostnader för lokaler, el, kylsystem, larm, skal- och brandskydd. Dvs. kostnaden för alla tillgångar som är knutna till den fysiska platsen för datacentret. Som exempel skulle dessa platsbundna kostnader kunna sparas in om innehållet i datacentret (servrar, nätverksutrustning etc.) flyttades till ett annat externt datacenter. Däremot ingår inte icke platsbundna kost- nader, se nästa fråga.
Ange belopp: |
(i tusentals kronor) |
390
SOU 2021:1 |
Bilaga 3 |
Fråga 20. Om myndigheten har egna datacenter, vad är den genom- snittliga årliga icke platsbundna kostnaderna, i tusentals kronor, för myndighetens datacenter?
Med icke platsbundna kostnader avses summan av kostnader för servrar, nätverksutrustning, lagring kringutrustning etc. som potentiellt kan flyttas till ett nytt datacenter.
Ange belopp: |
(i tusentals kronor) |
Fråga 21. Hur många årsarbetskrafter arbetar uppskattningsvis med att drifta myndighetens datacenter på myndigheten?
Med årsarbetskrafter avses summan av arbetstid för anställd och inhyrd personal som inte varit nödvändig om
Ange antal årsarbetskrafter:
Kostnader för molntjänster från privata leverantörer
Fråga 22. Om myndigheten använder
Ange belopp: |
(i tusentals kronor) |
Fråga 23. Om myndigheten använder
Ange belopp: |
(i tusentals kronor) |
391
Bilaga 3 |
SOU 2021:1 |
Fråga 24. Om myndigheten använder
Ange belopp: |
(i tusentals kronor) |
Kostnader för samordnad
Fråga 25. Om er
Ange belopp: |
(i tusentals kronor) |
Kapitel 4 Hinder mot säker och kostnadseffektiv
Detta kapitel syftar till att identifiera hinder mot och bristande förut- sättningar för säker och kostnadseffektiv
Fråga 26. Vilka hinder ser myndigheten att upprätthålla en säker
Med säker
[Du kan välja flera svarsalternativ]
☐Avsaknad av relevant kompetens inom verksamheten Ange varför:
☐Svårigheter att tolka lagstiftning (t.ex. upphandling, avtal, sekretess, dataskydd, säkerhetsskydd, arkivering)
Ange varför:
392
SOU 2021:1 |
Bilaga 3 |
☐Bristande informationsklassificering Ange varför:
☐Hög kostnad för de lösningar som verksamheten kräver Ange varför:
☐Svårigheter att hitta lösningar som möter verksamhetens krav Ange varför:
☐Annat
Ange vilka och varför:
Fråga 27. Vilka hinder ser myndigheten att upprätthålla en kostnads- effektiv
Med kostnadseffektivitet avses att myndigheten utifrån sitt uppdrag har tillgång till en ändamålsenlig
[Du kan välja flera svarsalternativ]
☐Avsaknad av relevant kompetens inom verksamheten Ange varför:
☐Låg kostnadskontroll
Ange varför:
☐Svårigheter att formulera ändamålsenliga krav på
Ange varför:
393
Bilaga 3 |
SOU 2021:1 |
☐Leverantörsberoende eller andra inlåsningseffekter Ange varför:
☐Höga krav på säkerhet
Ange varför:
☐Annat
Ange vilka och varför:
Kapitel 5 Myndighetens framtida behov och intresse av samordnad
Utredningen har i uppgift att utvärdera Försäkringskassans uppdrag att tillhandahålla säker och samordnad
Fråga 28. Beskriv hur myndighetens behov av
Vänligen tänk på att inte ange uppgifter som rör specifika leverantörer eller detaljerad information om eventuella säkerhetsbrister på myndigheten.
Beskriv:
Fråga 29a. Har myndigheten intresse/behov av att i framtiden ansluta sig till en samordnad statlig
[Välj ett svarsalternativ]
☐Ja, gå vidare till fråga 29b
☐Nej, gå vidare till fråga 30a
☐Vet ej
394
SOU 2021:1 |
Bilaga 3 |
Fråga 29b. Om myndigheten har intresse/behov av att ansluta sig till en samordnad statlig
Ange vad:
Fråga 29c. Om myndigheten har intresse/behov av att ansluta sig till en samordnad statlig
[Du kan välja flera svarsalternativ]
☐Kostnadsbesparingar
☐Förbättrad säkerhet
☐Förenklad digital samverkan mellan myndigheter
☐Annat, beskriv:
Fråga 30a. Har myndigheten intresse av att i framtiden erbjuda
[Välj ett svarsalternativ]
☐Ja, gå vidare till fråga 30b
☐Nej, gå vidare till fråga 31
☐Vet ej
Fråga 30b. Om myndigheten har intresse av att i framtiden erbjuda
Ange vad:
Fråga 30c. Vilka förutsättningar behöver myndigheten för att kunna erbjuda
Ange vad:
395
Bilaga 3 |
SOU 2021:1 |
Kapitel 6 Avslut
Fråga 31. Finns det något ytterligare ni skulle vilja tillägga eller för- tydliga när det gäller era svar?
Beskriv:
Tack för er medverkan!
396
Statens offentliga utredningar 2021
Kronologisk förteckning
1.Säker och kostnadseffektiv
– rättsliga förutsättningar för utkontraktering. I.
Statens offentliga utredningar 2021
Systematisk förteckning
Infrastrukturdepartementet
Säker och kostnadseffektiv
–rättsliga förutsättningar för utkontraktering. [1]