Offentlighets- och sekretesslagen förhindrar generellt inte användning av molntjänster
Att molntjänster har potential att spara kostnader och öka myndigheters och andra offentliga aktörers effektivitet står utom allt tvivel. På senare tid har dock en viktig fråga uppkommit: Står det inte i strid med offentlighets- och sekretesslagen (OSL) när en myndighet lägger ut sekretessbelagd information på molntjänstleverantörens servrar?
Svaret på denna fråga är att den är delvis felställd. Först och främst måste nämligen uppgifterna vara sekretessbelagda i förhållande till molntjänstleverantören. OSLs bestämmelser anger under vilka förutsättningar vissa uppgifter ska anses vara belagda med sekretess. Enligt t.ex. 21 kap. 1 § OSL gäller sekretess för uppgift som rör en enskilds hälsa eller sexualliv, om det måste antas att den enskilde eller någon närstående till denne kommer att lida betydande men om uppgiften röjs.
Det går knappast att anta utan vidare att ett sådant betydande men skulle uppkomma om man lägger ut denna typ av uppgifter hos en molntjänstleverantör. Av förarbetena till OSL framgår att den skada som annars skulle kunna uppstå ofta kan undanröjas genom att mottagare av uppgifterna omfattas av sekretessbestämmelser i avtal. Och om dessutom det mottagande företagets (molntjänstleverantörens) anställda själva omfattas av sekretesskyldigheter så stärks ju den enskildes skydd än mer. Om man till detta lägger till de regler avseende säkerhet, restriktioner för vilka och hur många hos leverantören som skulle kunna få tillgång till uppgifterna och så vidare som många molntjänstleverantörer följer, så framstår det som mindre och mindre sannolikt att något ”betydande men” skulle uppstå. Och om detta betydande men inte uppstår så är de uppgifter som lagras hos molntjänstleverantören helt enkelt inte sekretessbelagda och molntjänsten kan användas utan hinder av OSL.
Olika förutsättningar för sekretess gäller dock enligt olika bestämmelser i OSL. Sekretessen är exempelvis starkare inom sjuk- och hälsovård. Här är sekretess huvudregeln och det måste stå klart att skada inte uppstår om uppgiften röjs för att det ska vara tillåtet. En molntjänstleverantör och dess anställda har dock sällan anledning att ta direkt del av uppgifterna som lagras i tjänsten och om molntjänst vidtagit de extra säkerhetsåtgärder som ändå krävs enligt personuppgiftslagen avseende hantering av känsliga personuppgifter är det ingalunda självklart att sekretess skulle gälla i förhållande till molntjänstleverantören ens för dessa uppgifter.
OSL hindrar därför inte generellt användning av molntjänster. Men den myndighet eller annan offentlig aktör som överväger att använda en molntjänst måste analysera vilken typ av information som avses att lagras i molntjänsten – nu och i framtiden – och därvid bedöma om något av skaderekvisiten i OSL kommer att vara uppfyllda. I den analysen måste faktorer såsom sekretessklausuler, säkerhetsstandarder- och rutiner, regler avseende tillgång till uppgifterna med mera vägas in.
Detta betyder sannolikt att sekretess i förhållande till enskilda molntjänstleverantörer kan föreligga. Men det betyder också att många molntjänster utan tvekan kan användas, utan att OSL sätter hinder i vägen. En bedömning måste ske i varje enskild molntjänstaffär.
David Frydlinger
Advokat på Advokatfirman Lindahl, ansvarig för Lindahls TMT-grupp