I fredags publicerade infrastrukturdepartementet det första delbetänkandet av it-driftsutredningen (SOU 2021:1, Säker och kostnadseffektiv it-drift). Syftet med utredningen är att skapa bättre förutsättningar för den offentliga förvaltningen att få tillgång till säker och kostnadseffektiv it-drift genom antingen samordnad statlig it-drift eller tydligare rättsliga förutsättningar för att kunna anlita privata leverantörer av it-drift.
Sekretessbelagda uppgifter röjs vid utlämnande
I kapitel 8 i delbetänkandet analyseras röjandebegreppet som är avgörande vid bedömningen om sekretessbelagda uppgifter har röjts i strid med sekretessbestämmelserna i offentlighets- och sekretesslagen (“OSL”). Enligt utredningens bedömning följer det av lagtexten i OSL att ett utlämnande är en form av röjande. Vidare anser utredningen att uttrycket röja är ett neutralt begrepp i den meningen att det kan vara såväl tillåtet som otillåtet, och att det inte krävs att mottagaren av uppgiften ska ha tagit del av uppgifter för att den ska betraktas som röjd. Med andra ord innebär utlämnandet av en uppgift att den har röjts. Påståendet att en uppgift skulle kunna betraktas som utlämnad men inte som röjd kan enligt utredningen inte vara riktig.
Utredningens tydliga bedömning i röjandefrågan underkänner tveksamma resonemang som tidigare anförts i diskussionen som till exempel att det är möjligt för en myndighet att lämna ut sekretessbelagda uppgifter till en molntjänstleverantör utan att uppgifterna röjs, då molntjänstleverantören inte tar del av uppgifterna utan endast utför teknisk bearbetning eller teknisk lagring (se här för exempel på diskussionen som förts).
Förslag på en ny sekretessbrytande bestämmelse
För att tillgodose myndigheternas behov av att utkontraktera it-drift föreslår utredningen att en sekretessbrytande bestämmelse som tar sikte på utkontraktering av it-drift införs (se kapitel 10 i delbetänkandet). Utredningen föreslår att den sekretessbrytande bestämmelsen ska placeras i 10:e kapitlet i OSL och ta sikte på fall då uppgifter lämnas ut till privata tjänsteleverantör eller andra myndigheter som har i uppdrag att endast utföra teknisk bearbetning eller teknisk lagring för den utlämnande myndighetens räkning (utkontraktering). Ett utlämnande ska inte ske om det intresse som sekretessen ska skydda har företräde framför intresset av utkontrakteringen.
Enligt utredningen ska bestämmelsen inte villkoras med något lämplighetsrekvisit. Vidare konstaterar utredningen att det inte finns inte skäl att undanta vissa sekretessbestämmelser eller uppgifter från bestämmelsens tillämpningsområde som är säkerhetsskyddsklassificerade enligt säkerhetsskyddslagstiftningen.
Restriktiv tolkning av teknisk bearbetning eller lagring
Bestämmelsen som föreslås av utredningen avser enbart teknisk bearbetning eller teknisk lagring. Avgränsningen innebär att tjänster som visserligen innefattar moment av teknisk bearbetning eller teknisk lagring, men som inte enbart avser sådan bearbetning eller lagring, inte omfattas av bestämmelsen. Utkontraktering av arbetsuppgifter som är hänförliga till vård- och omsorgssektorns behandling av personuppgifter vid journalföring, bedömning av röntgenbilder eller patientrådgivning utgör exempel på utkontraktering som faller utanför tillämpningsområdet.
Myndigheter bör se över sina molntjänster
Med anledning av delbetänkandets restriktiva tolkning av röjandebegreppet bör myndigheter se över sin användning av molntjänster och säkerställa att sekretessbelagda uppgifter inte röjs i strid med OSL.
Läs hela delbetänkandet här.