Något om skade- och menprövningen

6.2.1 Inledning

Offentlighets- och sekretesslagen innefattar dels ett rakt, dels ett omvänt skaderekvisit. Dessa skaderekvisit syftar till att på ett ändamålsenligt sätt begränsa räckvidden av sekretessen.¹⁵⁸ Förekomsten av ett skaderekvisit medför att myndigheten måste göra en skade- och menprövning i det enskilda fallet innan ett utlämnande av uppgiften kan ske.

48

Detta för att avgöra om sekretess föreligger för uppgiften. Vid prövningen beaktas vilken potentiell skada alternativt men som kan tillfogas sekretessens föremål vid ett utlämnande.¹⁵⁹ Vilken skada eller men som kan uppkomma kan utläsas av respektive sekretessbestämmelse varför bedömningen skiljer sig åt från fall till fall.

6.2.2 Betydelsen av olika skaderekvisit

I förevarande avsnitt presenteras hur de olika skaderekvisiten ska prövas då en sekretessreglerad uppgift utlämnas till en molntjänstleverantör. Uppgifter som regleras med ett rakt skaderekvisit presumeras att vara offentliga. Här behöver tjänstemannen inte nödvändigtvis genomföra en skade- och menprövning i varje enskilt fall, utan kan istället bedöma om uppgiften är av sådan art att det typiskt sett kan uppstå en skada på sekretessintresset vid ett utlämnande. Uppgifter som typiskt sett är harmlösa omfattas inte av sekretess och kan därmed lämnas ut. En individuell sekretessprövning av uppgifter som regleras med detta skaderekvisit behöver endast vidtas om det föreligger särskilda skäl.¹⁶⁰ För uppgifter som istället regleras med ett omvänt skaderekvisit presumeras sekretess varför skade- och menprövningen är mer begränsad. Ett utlämnande förutsätter att det står klart att utlämnandet inte medför skada för sekretessens föremål. Det förutsätter i sin tur oftast att tjänstemannen som utför sekretessprövningen har information om mottagarens identitet och dennes avsikt med begäran.¹⁶¹ I min mening kan således uppgifter som regleras med ett rakt skaderekvisit potentiellt lämnas ut till en molntjänstleverantör, medan uppgifter som däremot regleras med ett omvänt skaderekvisit svårligen kan lämnas ut.

6.2.3 Sekretess till förmån för den enskildes intressen

En sekretessprövning av en uppgift om en enskild förutsätter att det finns en koppling mellan personen och uppgiften. Avidentifierade uppgifter kan enligt sekretesslagens proposition i regel inte medföra skada eller men för den enskilde, vilket öppnar upp för utlämnanden.¹⁶² I förevarande avsnitt presenteras därför utlämnanden av avidentifierade uppgifter.

I ett JO-ärende från 2019 utreddes en regions beslut att lämna ut personuppgifter till tredje land. Uppgifterna hade hämtats från patientjournaler och lämnats ut utan patienternas namn och personnummer. Istället pseudonymiserades uppgifterna med ett löpnummer för respektive patient. JO uttalade i ärendet att det saknas ett förtydligande i

159 Holstad & Holstad s. 26. 160 Holstad & Holstad s. 27.

161 Holstad & Holstad s. 30, prop. 1979/80:2 Del A s. 81 f. 162 Prop. 1979/80:2 Del A s. 79 och s. 84.

49

sekretesslagens proposition över vad som menas med en avidentifierad uppgift. Enligt JO hade begreppet kommit att tillämpas mer restriktivt på senare tid. Det som benämns avidentifierad uppgift i propositionen har utvecklats till att närmast motsvara en pseudonymiserad uppgift.¹⁶³ Med en pseudonymiserad uppgift avses information som saknar direktidentifierande uppgifter.¹⁶⁴

Tanken är att pseudonymiserade uppgifter ska kunna lämnas ut eftersom att det saknas risk för att den enskilde ska lida skada eller men vid ett utlämnande. Redan i propositionen till sekretesslagen nämndes att det undantagsvis förekommer situationer då en avidentifierad uppgift likväl kan kopplas till en individ. Risken för den händelsen får bedömas i varje enskilt fall beroende av omständigheterna.165 I 2019 års JO-ärende betonade JO vikten av att den utlämnande myndigheten vidtar en noggrann sekretessprövning inför varje enskilt utlämnande. JO menade att sekretessprövningen beträffande pseudonymiserade uppgifter ska klargöra vilka uppgifter som kan lämnas ut och hur utlämnandet bör ske för att inte röja enskilda individer, med andra ord ska uppgiften inte kunna kopplas till den enskilde. Vid bedömningen bör bland annat typen av uppgift, karaktären hos mottagaren, potentiell spridning av uppgifterna, framtida hantering av uppgifterna, tillgång till referensuppgifter och eventuell risk för ytterligare spridning beaktas.¹⁶⁶

I ovan det refererade JO-ärendet hade pseudonymiserade uppgifter lämnats ut, men mottagaren saknade tillgång till referensfilen. JO ansåg att flera omständigheter borde ha manat till försiktighet å regionens sida. Utlämnandet innefattade uppgifter av mycket integritetskänsligt slag som dessutom rent generellt var av en karaktär som kunde underlätta identifiering av enskilda individer. I utredningen var det inte klarlagt huruvida det, trots pseudonymisering, varit möjligt att identifiera en enskild utifrån de utlämnade uppgifterna. JO menade att dock det i vissa fall inte hade varit osannolikt med så kallad bakvägsidentifiering. Regionen fick därmed kritik för utlämnandet, särskilt beträffande avsaknaden av egentlig prövning beträffande risken för att enskilda skulle lida men.167

6.2.4 Sekretess till förmån för allmänna intressen

Jag vill erinra om att propositionsuttalandet i avsnitt 6.2.3 beträffande utlämnanden av avidentifierade uppgifter rör sekretessbestämmelser till förmån för den enskildes

163 JO:s beslut Dnr. 6794–2017.

164 Jämför med definitionen i artikel 4.5 Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG.

165 Prop. 1979/80:2 Del A s. 79 och s. 84 166 JO:s beslut Dnr. 6794–2017. 167 JO:s beslut Dnr. 6794–2017.

50

intressen.¹⁶⁸ I offentlighets- och sekretesslagen finns därutöver sekretessbestämmelser till förmån för allmänna intressen. Propositionsuttalandet om avidentifierade, således pseudonymiserade, uppgifter är därmed inte direkt tillämpligt vid sekretess till förmån för allmänna intressen. Jag anser emellertid att viss ledning kan dras från förarbetsuttalandet för ett resonemang avseende utlämnanden av uppgifter som har sekretessreglerats med beaktande av allmänna intressen. Syftet med förevarande avsnitt är således att presentera den tanken.

Syftet med pseudonymisering är att den enskilde då i regel inte lider skada eller men vid ett utlämnande eftersom det saknas koppling mellan den utlämnande uppgiften och den enskilde. Min tanke beträffande utlämnanden av sekretessreglerade uppgifter till förmån för allmänna intressen är följande. För det fall att mottagaren inte kan tillgodogöra sig den utlämnade uppgiften torde ett utlämnande inte kunna medföra skada på det allmänna intresset. Följaktligen skulle sådana, vad jag benämner oskadliggjorda uppgifter, vara möjliga att lämna ut.

6.2.5 Utlämnanden till en molntjänstleverantör

Situationen som utreds i uppsatsen, nämligen att en myndighet överför sekretessreglerade uppgifter till en molntjänst och således lämnar ut dessa uppgifter till en molntjänstleverantör, skiljer sig från typfallet för en sekretessprövning. En skillnad är att det i förevarande fall är myndigheten själv som initierar ett utlämnande till en molntjänstleverantör, och inte en utomstående som begär att myndigheten ska lämna ut en uppgift. Att det saknas en begäran om ett utlämnande medför att sekretessprövningen blir något annorlunda eftersom utlämnandet inte initieras av en extern part. En annan skillnad är att en större mängd uppgifter omfattas av myndigheters molntjänstanvändning än vad som är fallet vid en genomsnittlig begäran om utlämnande. I förevarande avsnitt utreds följaktligen hur dessa olikheter ska tas i beaktande.

Ledning för hur en prövning av ett utlämnande av en större mängd sekretessreglerade uppgifter vid molntjänstanvändning ska göras kan hämtas från sekretesslagens proposition beträffande begäran av massuttag. Massuttag innebär att en stor mängd uppgifter begärs ut på en och samma gång. Den stora arbetsomfattningen gör det svårt för tjänstemannen att bedöma risken för skada och men avseende respektive uppgift i begäran. Det framgår av sekretesslagens proposition att det är möjligt att fatta beslut avseende en begäran om massuttag under förutsättning att det finns kännedom om mottagaren, avsikten med begäran och den typiska skaderisken hos uppgifterna.¹⁶⁹ eSam

168 Prop. 1979/80:2 Del A s. 79 och s. 84. 169 Prop. 1979/80:2 Del A s. 79 och s. 82 ff.

51

intar en liknande inställning nämligen att ett utlämnande av en större mängd liknande uppgifter kan prövas med en schabloniserad prövningsmodell. eSam menar att det vid en prövning av en molntjänstsituation finns kunskap hos myndigheten beträffande vem som är utförare således mottagare, hur mottagaren kommer att hantera uppgifterna och förevarande risk för eventuell spridning av uppgifterna. Dessa kriterier, tillsammans med den skaderisk som typiskt sett finns för uppgifterna i fråga, kan enligt eSam ge ett tillräckligt omfattande underlag för en prövning huruvida sekretess gäller gentemot mottagaren i fråga. eSam anser att särskild betydelse bör fästas vid uppgifternas art och känslighet samt hur uppgifterna skyddas från ytterligare spridning hos mottagaren.170

En sekretessprövning vid myndighetens molntjänstanvändning kan därmed enligt mig sammanfattas i tre delar. Inledningsvis beaktas vem som är mottagaren av uppgifterna och syftet med utlämnandet. Vidare utreds vilken ytterligare spridningsrisk som uppgifterna kan utsättas för efter utlämnandet. Slutligen granskas den typiska risken för skada eller men hos uppgifterna. I resterande avsnitt i kapitel sex diskuteras hur en skade- och menprövning kan genomföras i molntjänstsammanhang.