Offentlighets- och sekretesslagen – generellt sett inget hinder mot molntjänster
David Frydlinger har i en artikel i Offentliga Affärer (den 17 november 2014) dragit slutsatsen att offentlighets- och sekretesslagen (OSL) inte generellt hindrar att en myndighet lägger ut sekretessbelagd information på molntjänstleverantörens servrar. Därmed gör han rakt motsatt bedömning i förhållande till min egen, där jag gör gällande att sekretessen utgör ett generellt hinder mot myndigheternas användande av molntjänster. Detta kan bl.a. bero på att vi bedömer sekretessbestämmelserna och deras betydelse olika, men även att vi kanske lägger olika innebörd i ordet ”generellt”.
David väcker inledningsvis frågan om huruvida sekretess gäller i förhållande till molntjänstleverantören. Detta är givetvis en mycket relevant fråga, men den bör först ställas utifrån bestämmelsen i 2 kap. 1 § OSL. Enligt detta lagrum skulle en extern part som anlitas för myndighetens informationshantering i vissa fall kunna anses ingå i eller vara knuten till myndigheten på ett sådant sätt att det inte ens kommer att anses vara fråga om ett utlämnande av uppgift. Men de aktörer som erbjuder molntjänster och tjänsternas utformning kan inte anses vara av sådant slag att de kan anses ingå i eller vara knutna till myndighetens verksamhet.
En fråga som måste ställas är vad som ligger i begreppet utlämnande. David gör här gällande att molntjänstleverantör och dess anställda sällan har anledning att ta direkt del av uppgifterna. Detta kan i och för sig vara riktigt, men har ingen betydelse för frågan om utlämnande föreligger. Att molntjänstleverantören faktiskt tar del av uppgifterna och dess innehåll krävs inte för att utlämnande ska föreligga. Ett utlämnande föreligger redan genom att molntjänstleverantören och dess personal har fått tillgång till uppgifterna. Därtill ligger det i tjänstens natur att molntjänstleverantören ska få tillgång till uppgifterna och även ta del av dem. Molntjänstleverantören ska ju utföra den hantering av uppgifterna som myndigheten själv skötte innan tjänsten anlitades och det är ytterst sällan endast fråga om en ren förvaring av uppgifter med tekniska begränsningar som omöjliggör för leverantören att få del av uppgifterna eller deras innehåll.
Därmed kommer det generellt sett att vara fråga om ett utlämnande av uppgifter när myndigheten anlitar molntjänstleverantörerna.
En ytterligare fråga som ska ställas är om det kan anses nödvändigt för myndighetens verksamhet att anlita molntjänstleverantören och lämna ut uppgifterna till denne. Enligt 10 kap. 2 § OSL får myndigheter i så fall lämna ut uppgifterna trots att sekretess föreligger. David har helt säkert rätt i att molntjänsterna både sparar kostnader och ökar effektiviteten. Detta är bra men inte tillräckligt för att det ska anses ”nödvändigt” att använda molntjänster i OSL:s mening. Myndigheten kan ju fortfarande sköta sin uppgiftshantering själv.
David uppmärksammar helt korrekt om att OSL innehåller olika skaderekvisit för olika slags uppgifter. Generellt gäller enligt OSL ett rakt skaderekvisit som innebär att offentlighet är utgångspunkten som innebär att uppgiften ska utlämnas om det inte finns skäl att anta att utlämnandet skulle leda till skada eller men för det intresse som sekretessen ska skydda. I vissa fall gäller ett omvänt skaderekvisit, där sekretess är utgångspunkt och där ett utlämnande kan ske endast i undantagsfall där det konstateras att ett utlämnande kan ske utan risk för skada eller men. Därutöver gäller i vissa sammanhang absolut sekretess där uppgifter överhuvudtaget inte får lämnas ut, oberoende av risken för skada eller men.
När David hänvisar till sekretessavtal med molntjänstleverantören eller andra sekretessbestämmelser, olika slags restriktioner för anställdas tillgång till uppgifterna, säkerhetsåtgärder m.m. så gör han detta i akt och mening att göra en generell skade- och menbedömning för att få lämna ut uppgifterna till molntjänstleverantörerna. Därmed hoppar David över en obligatorisk del i skade- eller menbedömningen, nämligen att denna ska ske med utgångspunkt det enskilda intresse som den aktuella sekretessbestämmelsen avser att skydda. Härigenom behandlar han alla uppgifterna likadant och drar dem över en kam. Som ett exempel skulle uppgifter inom hälso- och sjukvården om en person som lider av HIV vid en sådan generell skade- eller menbedömning behandlas på samma sätt som uppgifter om en annan persons förkylning. Bedömningen enligt OSL kan därmed av lätt insedda skäl inte enbart ske utifrån förhållandena hos den som ska ta emot uppgifterna, utan måste ske utifrån förhållandena i de enskilda fall som sekretessbestämmelserna är till för att skydda.
En annan viktigt aspekt som inte framkommer i Davids artikel gäller vem den aktuella molntjänstleverantören är. Anlitas en molntjänstleverantör i ett annat land så gäller det landets lagar för denne leverantör och denne skulle i enlighet med sådana lagar kunna tvingas utlämna uppgifterna till olika aktörer där det skulle strida mot OSL om ett utlämnande sker (se t.ex. 8 kap. 3 § OSL). Det är t.o.m. så att en utländsk leverantör som bedriver sin verksamhet här i Sverige enligt hemlandets lagar skulle kunna vara tvungen att genom sin ägare i det andra landet inhämta uppgifter hos leverantören för att därefter utlämna dem vidare i hemlandet. Inga regler i OSL, sekretessavtal, säkerhetsåtgärder eller andra mått och steg som David nämner hjälper mot detta.
Med denna artikel vill jag inte utesluta att molntjänster kan användas också beträffande sekretessbelagda uppgifter. Men det krävs bedömningar och åtgärder av sådan art och omfattning att tjänsterna endast i undantagsfall kan användas för att lägga ut uppgiftshanteringen på externa aktörer. Det är därför jag anser OSL utgöra ett ”generellt” hinder. Jag delar naturligtvis Davids positiva inställning till molntjänsternas förtjänster vad gäller kostnader och effektivitet, men också vad gäller själva tekniken. Oberoende av vem av oss som gör en korrekt analys av OSL, så behövs diskussionen för att vi inta ska trampa fel i regelfloran. Oavsett om OSL nu hindrar molntjänster på ett sätt som inte är avsett eller lämpligt, så bör vi överväga regelrändringar som förtydligar vad som ska gälla.
Jag ser fram emot en fortsatt spännande debatt i ämnet.
Conny Larsson, Advokat med specialområde IT-rätt hos Advokatfirman Gärde & Partners AB