6.1 Tredjepartsavtal
Enligt allmänna villkor som gäller i Licensförsörjning kan parterna i kontrakt hänvisa till tredje parts särskilda bestämmelser vad gäller nyttjande av avropade programvaror. När en hänvisning till tredje part skett har det ibland uppstått problem om vilket avtal som gäller i första hand, kontraktet med allmänna villkor eller tredjepartsavtalet.
Oklarheterna har särskilt gällt nyttjanderätt och licensrevision men också ansvarsfördelningen mellan ramavtalsleverantören och tredje part.
Dessa problem skulle delvis kunna lösas om allmänna villkor i
kommande ramavtal förtydligar avtalens inbördes ordning i kontraktet.
En sådan lösning är gjord för Kontorsstöd som molntjänst där allmänna villkor stämdes av mot molntjänstleverantörernas villkor för tjänsterna och det tydligt framgår vad som gäller, Statens inköpscentrals allmänna villkor eller molntjänstleverantörens särskilda villkor för tjänsten.
Problem med support och underhåll har uppstått inom andra ramavtal, t.ex. Server, lagring samt närliggande produkter och tjänster när ramavtalsleverantörens ansvar för tredje parts proprietära programvaror sträcker sig över lång tid. Detta beroende på att ramavtalsleverantören har ansvar för tredje parts proprietära
programvara som ramavtalsleverantören inte kontrollerar. Det gäller därför att framtida avtalskonstruktioner hittar en balans mellan allmänna villkor och tredje parts bestämmelser.
6.2 Personuppgiftslagen
Hur en kund, för att uppfylla kraven i personuppgiftslagen (PuL), ska hantera att en leverantör är dess personuppgiftsbiträde är olika hanterat i E-förvaltningsstödjande tjänster, IT-Driftstjänster Hosting och
Kontorsstöd som molntjänst.
I IT-Driftstjänster Hosting anges ”Kunden ansvarar för att behandlingen av personuppgifter i driftmiljön sker i enlighet med gällande lagstiftning.
Leverantören förbinder sig att endast behandla personuppgifter i enlighet med kundens uttryckliga instruktioner eller i övrigt i enlighet med gällande lagstiftning. Leverantören ska vidta de tekniska och organisatoriska åtgärder som överenskommits.”
I E-förvaltningsstödjande tjänster anges ”I de fall personuppgifter behandlas i de tjänster som leverantören tillhandahåller för kundens räkning, kan leverantören och dess underleverantörer bli
personuppgiftsbiträde för kunden enligt personuppgiftslag (1998:204).
Kunden är personuppgiftsansvarig och ansvarig för att personuppgifter som behandlas i levererad tjänst behandlas i enlighet med gällande lagstiftning. Leverantören och eventuella underleverantörer skall i dessa fall följa de säkerhetsföreskrifter som kunden tillhandahåller från tid till annan samt se till att berörd personal och eventuell anlitad
underleverantör iakttar dessa föreskrifter.”
I Kontorsstöd som molntjänst är allmänna villkor, mallen för
personuppgiftsbiträdesavtal samt de tekniska kraven genomtänkta för att skapa en helhet för att kund relativt enkelt ska kunna uppfylla PuL.
Vid flertalet tillfällen har flera europeiska datainspektioner haft synpunkter på hur offentliga organisationer använder publika molntjänster. Som en konsekvens av detta har många kunder väntat med att köpa molntjänster samt att flera molntjänstleverantörer delvis anpassat sina tjänster och villkor. Projektgruppen har noterat att det pågår ett intensivt arbete med att hitta en för alla parter legal och framkomlig väg.
Publika molntjänster löser oftast frågan om personuppgiftsbiträdesavtal med ett standardavtal som är icke-förhandlingsbart. Den lösningen är givetvis storskalig och enkel för molntjänstleverantören men är problematisk med hur PuL fungerar då kunden, den
personuppgiftsansvarige, ska lämna tydliga instruktioner till sitt personuppgiftsbiträde om vad som gäller för just sin
personuppgiftsbehandling.
När en kund låter någon annan behandla sina personuppgifter måste detta alltid föregås av en risk- och sårbarhetsanalys. Innan en kund kan använda sig av en publik molntjänst måste molntjänstleverantörens standardavtal för personuppgiftsbehandling jämföras med risk- och sårbarhetsanalysen. Endast om kund inte ställer högre krav än vad molntjänstleverantören kan utlova går det att använda molntjänsten.
Projektgruppen anser att det i kommande ramavtal behövs en konstruktion för hur personuppgiftsbiträdesavtal kan upprättas och
Statens inköpscentral
Sid 41 (65)
ingås, då publika molntjänster eller andra externa driftformer allt oftare ingår som åtminstone delar av en leverans.
6.3 Säkerhetsskyddsklassificerade uppgifter
2011-11-01 trädde lagen (2011:1029) om upphandling på försvars- och säkerhetsskyddsområdet (LUFS) i kraft. LUFS ersätter det undantag vid upphandling som rör rikets säkerhet som fanns i 15 kap. 22 § LOU.
LUFS är bland annat tillämpligt vid upphandling som innefattar
hantering av uppgifter som är säkerhetsskyddsklassificerade. Om LUFS är bättre att tillämpa vid Statens inköpscentrals
ramavtals-upphandlingar än LOU avgörs från upphandling till upphandling.
Uppgifter som är säkerhetsskyddsklassificerade lyder under
säkerhetsskyddslag (1996:627) och säkerhetsskyddsförordningen SFS 1996:633 som ger bestämmelser till säkerhetsskyddslagen samt vissa myndigheters föreskrifter t.ex. Försvarsmaktens föreskrifter om säkerhetsskydd FFS 2003:7.
Om säkerhetsskyddsklassificerade uppgifter ska kunna hanteras inom framtida ramavtal för programvaror och tjänster måste
säkerhetsskyddsavtal kunna tecknas med leverantörerna som får ramavtal. Ett säkerhetsskyddsavtal innebär både förberedelser,
avtalstecknande och uppföljning. Det innebär också att leverantörer som ska hantera säkerhetsskyddsklassificerade uppgifter åt kund bland annat ska ha vidtagit en rad säkerhetsåtgärder, ha en säkerhetsansvarig person och ha rutiner för kontroll att säkerhetsskyddsavtalet efterlevs.
Det bör därför tydligt framgå av kommande upphandlingar att säkerhetsskyddsavtal kan komma att behöva tecknas vid avrop.
Det är projektgruppens bedömning att avrop av publika molntjänster från kommande ramavtal inte kan innefatta hantering av
säkerhetsklassificerade uppgifter då denna typ av uppgifter inte får lagras utanför Sveriges gränser vilket inte kan garanteras i en molntjänst enligt den definition av molntjänst som används i
Kontorsstöd som molntjänst. Vid kundunik tjänsteleverans, då plats för fysisk lagring av uppgifter kan bestämmas, kan däremot
säkerhetsskyddsavtal tecknas.