Kan sekretessen upprätthållas i molnet?

Fler och fler myndigheter och offentligt ägda bolag vill lägga ut data i molnet. En kostnadseffektiv åtgärd som förenklar tillgång till gemensam information och frigör resurser tycker vissa. Alldeles för riskabelt påstår andra och hänvisar till att sekretessbelagd information lagras i okända servrar runt om i världen långt ifrån myndighetens kontroll.
En myndighet får inte lämna ut allmänna handlingar som omfattas av sekretess enligt offentlighets- och sekretesslagen (OSL).
En konsult som i sitt uppdrag för myndigheten förvarar sådana allmänna handlingar omfattas emellertid inte – som utgångspunkt – av OSL och kan därför lämna ut handlingarna utan att drabbas av sanktioner. Av detta skäl är det viktigt att konsulten tecknar ett avtal med myndigheten, enligt vilket konsulten åtar sig att upprätthålla sekretess i samma utsträckning som myndigheten är skyldig enligt OSL.
Om ett sådant avtal inte tecknas kan det med fog ifrågasättas om myndigheten får anses ha röjt sekretessbelagda uppgifter i strid med OSL redan genom att lämna ut handlingarna till konsulten. Den uppfattningen stödjer sig på att en handling kan anses vara utlämnad i det ögonblick den befinner sig i mottagarens besittning. En sekretessbelagd uppgift skulle därmed kunna anses röjd av myndigheten vid ett sådant utlämnande, dvs. även utan att mottagaren tillgodogjort sig uppgiften.
Sekretessprövning ska genomföras
Frågan är emellertid komplicerad. En uppgift är inte sekretessbelagd av sig själv. Myndigheten ska göra en sekretessprövning vid varje tillfälle. En uppgift som får lämnas ut idag kan mycket väl vara sekretessbelagd imorgon. Dessa förhållanden talar emot att sekretessbelagda uppgifter generellt sett alltid får anses röjda så fort någon har en praktisk möjlighet att ta del av uppgifterna, till exempel genom att de finns på en server som personen ifråga har tillgång till.
När det gäller molntjänster får konsultproblemet ytterligare en dimension genom att molntjänstleverantören typiskt sett använder underkonsulter som är stationerade över hela världen för lagring av kundens information. Hur ska myndigheten under sådana förhållanden kunna säkerställa att sekretessen upprätthålls i tillräcklig utsträckning?
Dessutom finns det inga möjligheter att genom avtal förhindra vissa länders myndigheter att med stöd av nationell lagstiftning begära ut information som lagras i servrar som är lokaliserade i det egna landet.
Granskning av användandet av molntjänst
Vid Datainspektionens granskning av Ale kommuns användande av molntjänsten Office 365 ansågs kommunen uppfylla kraven i personuppgiftslagen med ett undantag. Listan över Microsofts underleverantörer för Office 365 skulle kompletteras med information om i vilka länder respektive underleverantörer var lokaliserad. Risken för ett otillåtet röjande av sekretessbelagda uppgifter enligt OSL aktualiserades aldrig av Datainspektionen. Detta eftersom granskningen gjordes utifrån personuppgiftslagen. Tjänsten – som skulle användas för vissa skolrelaterade ändamål – skulle inte heller behandla några sekretessbelagda eller i övrigt känsliga uppgifter.
Vi använder molntjänster dagligen utan att inse det
Många av oss använder molntjänster dagligen utan att ens inse det. Webbaserad e-post, Facebook och Spotify – alla finns de i molnet och lagrar bilder, videor och textfiler utan att vi har en aning om var dessa data befinner sig i världen.
När det gäller ämnet för denna artikel kommer frågan med största säkerhet att aktualiseras inom kort. Av intresse blir då molnbaserade IT-tjänster som innebär lagring av mer känsliga uppgifter såsom diarieföringssystem inom sjukvården och liknande. Många ser fram emot ett klargörande i frågan från justitieombudsmannen som ju är tillsynsmyndighet över myndigheternas efterföljande av offentlighetsprincipen.
Lars Arrhed,
Advokat och Delägare
Advokatfirman Lindahl