Offentlighets- och sekretesslagen förhindrar generellt inte användning av molntjänster

I många år har myndigheter, kommuner och andra offentliga organ outsourcat sin IT. Servrar och annan infrastruktur driftas av externa, privata företag som kan göra det med högre kvalitet och till lägre kostnad, vilket frigör skattemedel till lämpligare platser än IT-budgeten. Så kallade molntjänster – infrastruktur, applikationer med mera som tillhandahålls över internet – utgör ett viktigt steg mot att ytterligare tillgodogöra sig informationsteknologins kraft.
Frågan är dock: innebär det inte ett röjande i strid med offentlighets- och sekretesslagen (OSL) när exempelvis en myndighet lägger upphandingar med sekretessbelagda uppgifter på outsourcing- eller molntjänsteleverantörens servrar? Även om IT-leverantören inte kan sägas begära ut handlingar som innehåller sekretessbelagd information så förs väl ändå sådan information över, och är det verkligen tillåtet?
Ur ett perspektiv ser det minst sagt problematiskt ut. Enligt offentlighets- och sekretesslagen råder förbud mot att röja uppgifter som omfattas av sekretess enligt lagen. En molntjänstleverantör är ett privat rättssubjekt som är fristående från myndigheters verksamhet. Molntjänstleverantören själv omfattas inte av OSL så om myndigheten lägger upp information på dennes datacenter utgör det sannolikt ett utlämnande.
Förbehållsundantaget en bra lösning?
Det finns ett antal undantag till röjandeförbudet i OSL. Kan dessa användas för att göra användningen av outsourcing- eller molntjänstleverantörer tillåten? Ett första undantag gäller om utlämnandet av uppgifter är nödvändigt för att en myndighet ska kunna fullgöra sin verksamhet. Ett andra undantag gäller om myndigheten har lämnat ut uppgifterna med förbehåll om sekretess. Men idag använder de flesta myndigheter inte molntjänster så kan användningen av sådana verkligen anses vara nödvändiga? Och förbehåll om sekretess kan inte göras generellt på det sätt som skulle behöva göras gentemot molntjänstleverantören, så förbehållsundantaget är sannolikhet inte någon patentlösning.
Så – användningen av en molntjänst innebär sannolikt ett röjande och och det är svårt att generellt se att något av undantagen mot röjandeförbudet kan användas. Så bryter inte myndigheter mot sekretesslagen hela tiden när sekretessbelagda uppgifter lagras hos en IT-outsourcingleverantör eller i en molntjänst?
Måste granska förutsättningarna
Ja, är förstås svaret. Men bara under förutsättning att uppgifterna verkligen är sekretessbelagda i förhållande till sådana leverantörer. OSLs bestämmelser anger under vilka förutsättningar vissa uppgifter ska anses vara belagda med sekretess och innan man stänger molntjänstbutiken och går hem måste man granska dessa förutsättningar. Och då framkommer en helt annan bild.
Exempelvis OSLs femte avdelning rör sekretess för enskildas personliga och ekonomiska förhållanden. Enligt till exempel 21 kap. 1 § OSL gäller sekretess för uppgift som rör en enskilds hälsa eller sexualliv, om det måste antas att den enskilde eller någon närstående till denne kommer att lida betydande men om uppgiften röjs.
Går det att lagra den här typen av uppgifter hos en molntjänstleverantör?
För att OSL ska förhindra detta krävs att det kan antas att den enskilde skulle lida ”betydande men”, det vill säga att dennes integritet skulle skadas allvarligt. Det går knappast att anta utan vidare. Av förarbetena till OSL framgår att den skada som annars skulle kunna uppstå ofta kan undanröjas genom att mottagare av uppgifterna omfattas av sekretessbestämmelser i avtal. Och om dessutom det mottagande företagets (molntjänstleverantörens) anställda själva omfattas av sekretesskyldigheter så stärks ju den enskildes skydd än mer.
Om man till detta lägger till de regler avseende säkerhet, restriktioner för vilka och hur många hos leverantören som skulle kunna få tillgång till uppgifterna och så vidare som många molntjänstleverantörer följer, så framstår det som mindre och mindre sannolikt att något ”betydande men” skulle uppstå. Och om detta betydande men inte uppstår så är de uppgifter som lagras hos molntjänstleverantören helt enkelt inte sekretessbelagda och molntjänsten kan användas utan hinder av OSL.
Nu gäller dock olika förutsättningar för sekretess enligt olika bestämmelser i OSL. Sekretessen är exempelvis starkare inom sjuk- och hälsovård. Enligt 25 kap. 1 § OSL gäller sekretess inom hälso- och sjukvården för uppgift om en enskilds hälsotillstånd eller andra personliga förhållanden, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider men. Här är sekretess huvudregeln och det måste stå klart att skada inte uppstår om uppgiften röjs för att det ska vara tillåtet.
Det räcker inte med sekretessklausuler
Justitieombudsmannen har i ett beslut nyligen sagt att det i ett sådant fall inte räcker med sekretessklausuler i avtal för att undanröja den potentiella skadan för den enskilde. I det fallet satt anställda – som inte omfattas av straffsanktionerad tystnadsplikt enligt OSL – hos ett privat företag och läste och matade in uppgifter i ett landstings journalsystem. Dessa anställdas uppgift var således helt beroende av att de direkt tog del av information om enskilda individers hälsotillstånd.
Så är det förstås inte hos en outsourcing- eller molntjänstleverantör, vilket är en väsentlig skillnad. Dessa leverantörers anställda måste inte direkt läsa uppgifterna för att kunna utföra sitt arbete. I deras uppgifter ingår i själva verket inte alls att ta del av uppgifterna. För att kunna säga att sekretess gäller inom hälso- och sjukvård i förhållande till exempelvis molntjänstleverantörer måste vidare ett antal andra faktorer vägas in, exempelvis faktorer om kryptering, behörighetssystem och andra restriktioner. När dessa vägs in är det inte alls säkert att det så kallade skaderekvisitet är uppfyllt och att uppgifterna därför är sekretessbelagda i förhållande till molntjänstleverantören.
OSL hindrar alltså ingalunda generellt anlitande av molntjänstleverantörer, lika lite som det hindrar fortsatt anlitande av outsourcingleverantörer som har levererat tjänster till myndigheter och kommuner i tjugo års tid. Men den myndighet eller annan offentlig aktör som överväger att använda en molntjänst måste analysera vilken typ av information som avses att lagras i molntjänsten och därvid bedöma om något av skaderekvisiten i OSL kommer att vara uppfyllda. I den analysen måste faktorer såsom sekretessklausuler, säkerhetsstandarder- och rutiner, regler avseende tillgång till uppgifterna med mera vägas in. Det vill säga samma faktorer som ändå måste vägas in enligt personuppgiftslagen.
Detta betyder sannolikt att sekretess i förhållande till enskilda molntjänstleverantörer kan föreligga. Men det betyder också att många molntjänster utan tvekan kan användas, utan att OSL sätter hinder i vägen. En bedömning måste ske i varje enskild molntjänstaffär.
David Frydlinger, Advokat på Advokatfirman Lindahl

Lämna ett svar

Din e-postadress kommer inte publiceras. Obligatoriska fält är märkta *