Oklart molnbesked
Anders Ygeman (S), energi- och digitaliseringsminister.
It-driftsutredningen vill se en ändring i Offentlighets- och sekretesslagen för att underlätta outsourcing och användande av molntjänster. Men ansvaret ska fortsatt ligga på myndigheterna själva. Det står klart efter att ett delbetänkande nu lämnats in till digitaliseringsminister Anders Ygeman.
– Förslaget ska nu analyseras och sedan skickas på remiss. Det är väldigt angeläget att klargöra lagstiftningen på området så att myndigheter och kommuner vet vilka regler som ska gälla framöver, säger Anders Ygeman.
It-driftsutredningen har lämnat in sitt delbetänkande kring rättsliga förutsättningar för utkontraktering av it-drift till privata leverantörer, bland annat vad gäller molntjänster.
I det menar utredarna att myndigheter som outsourcar it-drift har lämnat ut dessa uppgifter till tjänsteleverantören, och att uppgifterna enligt offentlighets- och sekretesslagen, OSL, därmed är röjda då ett utlämnande är en form av röjande. Det gäller oavsett om datan är krypterad eller om någon annan teknisk säkerhetsåtgärd gör att leverantören inte kan ta del av uppgifterna.
Sekretessbrytande bestämmelse
Därför föreslår utredningen en lagändring i OSL för att göra det möjligt att lämna ut sekretesskyddade uppgifter till en extern it-driftleverantör. Det handlar om en sekretessbrytande bestämmelse som tar sikte på fall då uppgifter lämnas ut till företag eller tjänsteleverantör som har i uppdrag att endast utföra teknisk bearbetning eller lagring av uppgifterna som lämnats ut.
För myndigheter ska det säkerställa möjligheten att, utifrån ett offentlighets- och sekretessperspektiv, outsourca sin it-drift. Därmed kommer det vara upp till varje myndighet att bedöma om behovet av utkontraktering är större än hänsynen till sekretess. Ansvaret hamnar alltså fortsatt hos den enskilda myndigheten.
Liknande problem i många länder
Utredningen innehåller även en omvärldsanalys där många länder lyfter en liknande problematik med osäkerhet avseende de rättsliga förutsättningarna för outsourcing av it-drift. Enligt Anders Ygeman beror det på ett antal domar i EU-domstolen, exempelvis Schrems II-målet, där man kommit fram till att Privacy Shield-avtalet mellan EU och USA inte ger ett tillräckligt skydd för personuppgifter när dessa förs över till USA.
– EU-kommissionen har försökt lösa den här problematiken men utan att lyckas. Länder som vill vara framträdande på området måste se till att ha en lagstiftning som skyddar på ett bra sätt. Det är svårt att se en väg för utkontrakteringar innehållandes känsliga personuppgifter till tredje land, om det inte har samma personuppgiftsskydd som EU har.
– Det kan vara bra att förtydliga att det är EU-domstolen som tagit fram den här domen, så man inte tror att det är svensk domstol som stoppar all kontraktering, säger Anders Ygeman.
Statligt moln
I utredningen undersöks även möjligheterna med en samordnad statlig it-drift, det vill säga ett statligt moln. Av Sveriges myndigheter säger sig 57 procent vara intresserade av ett sådant. Förutsättningarna för ett statligt moln kommer utredningen att återkomma till i sitt slutbetänkande 15 oktober 2021.
Vad gäller den föreslagna ändringen i Offentlighets- och Sekretesslagen, vill utredningen att den ska genomföras så att den kan börja gälla 1 januari 2022.
Läs mer om ämnet: