12 nov Ny lag om tystnadsplikt för IT-leverantörer till offentlig sektor antogs igår.
Från och med 1 januari 2021 kommer leverantörer av IT-tjänster som tekniskt bearbetar eller lagrar uppgifter på uppdrag av myndigheter att omfattas av en ny lag som syftar till att öka sekretesskyddet för sekretessbelagda eller integritetskänsliga uppgifter. Uppgifter som en myndighet lämnar till en leverantör av IT-tjänster kommer nu att omfattas av lagstadgad tystnadsplikt. För IT-leverantörer innebär detta att deras anställda nu kommer omfattas av en författningsreglerad tystnadsplikt förenad med straffansvar enligt 20 kap 3 § brottsbalken (brott mot tystnadsplikt).
Bakgrund
Den IT-drift och de IT-baserade funktioner som statliga eller kommunala myndigheter använder idag måste både vara effektiva och samtidigt uppfylla säkerhetskrav på grund av sekretessbelagda eller integritetskänsliga uppgifter. Dessa krav innebär ett behov av en specialistkompetens för förvaltning och utveckling av tjänsterna – något som inte alla myndigheter själva besitter. Det är därför inte ovanligt att myndigheter genom utkontraktering, eller outsourcing som det mer vardagligt kallas, låter en privat tjänsteleverantör utföra dessa uppgifter. Oavsett vem som hanterar informationen är det dock alltid myndigheten själv som står ytterst ansvarig för att informationen får ett ändamålsenligt skydd och i övrigt hanteras i enlighet med gällande rätt.
I den så kallade Digitaliseringsutredningen, SOU 2018:25, Juridik som stöd för förvaltningens digitalisering, utreddes om det fanns lagstiftning som i onödan försvårade digital utveckling och samverkan inom den offentliga förvaltningen. Som en åtgärd för att motverka de upplevda problemen gällande samverkan i förhållande med privata leverantörer av IT-drift och andra IT-baserade funktioner föreslogs införandet av lag om tystnadsplikt vid utkontraktering av teknisk bearbetning eller lagring av uppgifter. Lagen som träder i kraft den 1 januari 2021 syftar till att styrka skyddet för sekretessbelagda eller integritetskänsliga uppgifter då det i nuläget inte finns författningsreglerad tystnadsplikt vid utkontraktering av uppdrag till en privat tjänsteleverantör att tekniskt bearbeta eller tekniskt lagra uppgifter.
Nuvarande problematik
Enligt 40 kap. 5 § offentlighets- och sekretesslagen (2009:400) (OSL) gäller sekretess i verksamhet för enbart teknisk bearbetning eller teknisk lagring för någon annans räkning för uppgift om en enskilds personliga eller ekonomiska förhållanden. Sekretessen innebär inte bara en begränsning av utlämnande av handlingar, utan också ett förbud att röja en uppgift. Men eftersom handlingar som förvaras hos en myndighet endast som ett led i en teknisk bearbetning eller teknisk lagring inte är allmänna enligt 2 kap. 13 § första stycket tryckfrihetsförordningen, reglerar i praktiken 40 kap. 5 § OSL bara tystnadsplikt i det allmännas verksamhet.
Tystnadsplikt för funktionärer inom den privata sektorn finns i allmänhet i de författningar som reglerar den verksamhet där tystnadsplikten gäller. Sådana föreskrifter om tystnadsplikt är i regel förenad med straffansvar enligt 20 kap. 3 § brottsbalken, om det inte i författningen eller på annat håll finns en särskild straffbestämmelse som reglerar brott mot tystnadsplikten. I flera författningar regleras tystnadsplikt specifikt för privata utförare av offentligt finansierade tjänster, till exempel inom förskoleverksamhet och privat hälso- och sjukvård.
Syftet med tystnadspliktsbestämmelserna är bland annat att uppgifter som behandlas inte ska få ett sämre skydd när de hanteras i enskild verksamhet än när motsvarande hantering sker hos en myndighet. Man har inte ansett att det finns anledning att göra skillnad på tystnadspliktsförhållandena för privatanställda och offentliganställda (prop. 2017/18:89 s. 120).
Under teknisk bearbetning eller teknisk lagring är det inte ovanligt att personal tar del av uppgifterna som hanteras för myndighetens räkning. Det är något som kan vara nödvändigt för att personalen ska kunna utföra sina arbetsuppgifter på ett korrekt sätt och rör sig i normalfallet om drift- och säkerhetsreglerad information, så som lösenord och loggar och användarkonton men kan också röra sig om uppgifter i läsbar form.
I praktiken upprättas vanligen ett civilrättsligt avtal om tystnadsplikt vid en situation som denna. Den avtalsreglerade tystnadsplikten är däremot inte förenad med straffansvar enligt 20 kap. 3 § brottsbalken (BrB) på samma sätt som den författningsreglerade, och skyddet blir således svagare om personal hos en privat tjänsteleverantör hanterar uppgifterna.
Genom Digitaliseringsutredningen framkom att det finns en osäkerhet från myndigheternas håll gällande de rättsliga förutsättningarna för att lämna ut sekretessreglerade uppgifter till en privat tjänst, och att ytterligare komplexitet följer av att en tjänsteleverantörs affärsmodell kan vara svår att överblicka. Myndigheten kan dessutom i sin prövning av om utkontraktering kan ske även behöva beakta möjligheten att en eller flera underleverantörer kan komma att ges tillgång till myndighetens uppgifter.
Lagförslaget
I skälen till regeringens förslag framhölls att det finns ett behov av att genom en ny lag öka sekretesskyddet för uppgifter som hanteras av en tjänsteleverantör i samband med utkontraktering av IT-drifttjänster och andra IT-baserade funktioner och att ett sådant sekretesskydd så långt som möjligt bör överensstämma med vad som gäller om en myndighet tillhandahåller motsvarande tjänster till en annan myndighet.
Lagen kommer att tillämpas när en myndighet uppdrar åt ett företag eller en annan enskild (tjänsteleverantör) att endast tekniskt bearbeta eller tekniskt lagra uppgifter. Den som på grund av anställning eller på något annat sätt deltar i, eller har deltagit i, en tjänsteleverantörs verksamhet att på uppdrag av en myndighet endast tekniskt bearbeta eller tekniskt lagra uppgifter får inte obehörigen röja eller utnyttja dessa uppgifter. I framtiden kommer således även privata tjänsteleverantörer att omfattas av en tystnadsplikt förenad med straffansvar enligt 20 kap 3 § BrB.
Begreppet tjänsteleverantör ska jämställas med en underleverantör som medverkar till att fullgöra tjänsteleverantörens uppdrag. Begreppet myndighet ska jämställas med bland annat ett antal aktörer där kommuner, regioner eller kommunalförbund utövar ett rättslig bestämmande inflytande, och yrkesmässigt bedrivna enskilda verksamheter som till någon del är offentligt finansierade och tillhör vissa områden.
Kommentarer kring lagförslaget
Förhållandevis många leverantörer av IT-drifttjänster och andra IT-baserade funktioner lär träffas av de nya bestämmelserna eftersom utkontraktering idag är vanligt förkommande inom offentlig sektor. Lagförslaget innebär att IT-leverantör behöver informera sin anställda om den nya straffsanktionerade tystnadsplikten och innebörden av det nya ansvaret. Vidare bör IT-leverantörerna säkerställa att processer, rutiner och individuella sekretessåtaganden uppdateras och finns på plats till ikraftträdandet.
Trots införandet av en lagreglerad tystnadsplikt innebär det inte, som också flera remissinstanser påpekat, att riskerna med utkontraktering alltid elimineras eller minimeras. Myndigheterna kommer fortsatt att behöva göra en bedömning om det är lämpligt att tillämpa utkontraktering i varje enskilt fall. Myndigheternas upphandlingsunderlag och avtalsdokument behöver uppdateras och anpassas till den nya lagstiftningen. Den lagstadgade tystnadsplikten innebär att sekretessfrågorna även ut ett avtalsrättsligt perspektiv får en starkare ställning eftersom ett brott mot avtalssekretess också kan innebära ett lagbrott då den anställde röjer sekretessreglerade uppgifter.
Läs propositionen i sin helhet:
https://data.riksdagen.se/fil/CB2FBF0D-3E3C-40B3-8688-82886B0FEE98
Har du frågor om den nya lagstiftningen? Kontakt gärna,
Christina Wikström
Advokat & Managing Partner
christina@wikstrompartners.se
+46 70 691 6800