Undantag

24

Genom den reglering som finns avseende den europeiska standarden får ett krav på fakturering i enlighet med denna standard anses uppfylla dessa krav. I de fall en upphandlande myndighet eller enhet ställer krav på en annan standard än den europeiska standarden har leverantörerna ändå möjlighet att välja att skicka fakturor enligt den europeiska standarden.

Översändandet av elektroniska fakturor

Den europeiska standarden innefattar informationsinnehåll och tekniskt format (syntax) för elektroniska fakturor. Standarden reglerar emellertid inte översändandet av elektroniska fakturor. Det finns olika sätt att överföra elektroniska fakturor mellan avsändare och mottagare. I Sverige och i stora delar av Europa dominerar den s.k. fyrahörnsmodeller, dvs. att avsändare och mottagare använder operatörstjänster för översändande av elektroniska fakturor och andra affärsmeddelanden. Leverantörer som normalt använder sig av en annan standard för elektronisk fakturering måste säkerställa att fakturan konverteras och valideras innan den skickas till en upphandlande myndighet eller enhet så att den överensstämmer med den nya europeiska standarden. I praktiken kommer den faktiska hanteringen i många fall att skötas av operatörerna som används för översändande av elektroniska fakturor. Format som hanteras innan sändning respektive efter mottagandet hanteras på det sätt som respektive organisation önskar. Avsändaren har möjlighet att använda en tredje parts tjänster för översättning mellan den egna syntaxen och en syntax i förteckningen utan att detta uttryckligen anges i lagtexten, vilket Svenskt Näringsliv uttryckt behov av.

Närmare föreskrifter om det strukturerade elektroniska format i vilket fakturor ska översändas föreslås få meddelas av regeringen eller den myndighet som regeringen bestämmer.

7.3 Undantag

Regeringens förslag: Bestämmelserna i den nya lagen ska inte tillämpas i de fall användande av elektronisk faktura skulle innebära risk för röjande av uppgifter som omfattas av sekretess eller skada i övrigt för säkerhetskänslig verksamhet.

Promemorians förslag överensstämmer med regeringens.

Remissinstanserna: Endast ett fåtal av remissinstanserna yttrar sig över förslaget.

Försvarets materielverk tillstyrker förslaget.

Statens servicecenter och Swedish medtech tillstyrker att fakturor kan hanteras i annan form än elektronisk när det finns sekretess- eller säkerhetsskäl som talar emot en sådan hantering. Dessa remissinstanser bedömer att det inte finns något generellt hinder för att hantera fakturor eller andra handlingar med sekretessreglerade eller sekretessbelagda uppgifter elektroniskt.

Försvarets radioanstalt och Säkerhetspolisen konstaterar att myndig-heternas verksamhet i stor utsträckning omfattas av sekretess och är säkerhetskänslig, varför undantaget bedöms komma att tillämpas på

25 merparten av myndigheternas fakturor. Myndigheterna förespråkar att de

ska få ett generellt undantag från lagens tillämpningsområde.

Skälen för regeringens förslag: Den föreslagna regleringen innebär att fakturor som utfärdas till en upphandlande myndighet eller enhet som huvudregel ska vara elektroniska. Det kan dock förekomma att fakturor som utfärdas av en leverantör till en upphandlande myndighet eller enhet är olämpliga att hantera elektroniskt av sekretesskäl eller säkerhetsskäl.

Av den anledningen har olika alternativ för utformning av undantag övervägts.

Enligt artikel 1 första stycket i e-faktureringsdirektivet ska direktivet tillämpas på elektroniska fakturor som utfärdas till följd av utförda kontrakt på vilka något av upphandlingsdirektiven är tillämpliga.

Bestämmelserna i e-faktureringsdirektivet är således inte tillämpliga på fakturor till följd av kontrakt som har undantagits i upphandlings-direktiven. Enligt artikel 15.3 i Europaparlamentets och rådets direktiv 2014/24/EU om offentlig upphandling och om upphävande av direktiv 2004/18/EG (LOU-direktivet) respektive artikel 24.3 i Europa-parlamentets och rådets direktiv 2014/25/EU om upphandling av enheter som är verksamma på områdena vatten, energi, transporter och posttjänster och om upphävande av direktiv 2004/17/EG (LUF-direktivet) ska direktiven inte tillämpas om upphandlingen och fullgörandet av det offentliga kontraktet eller projekttävlingen omfattas av sekretess eller måste åtföljas av särskilda säkerhetsåtgärder i enlighet med lagar och andra författningar som gäller i en medlemsstat, förutsatt att medlems-staten har fastslagit att de berörda väsentliga intressena inte kan garanteras genom mindre ingripande åtgärder.

Enligt artikel 1 andra stycket i e-faktureringsdirektivet ska direktivet inte heller tillämpas på elektroniska fakturor som har utfärdats till följd av utförda kontrakt som omfattas av Europaparlamentets och rådets direktiv 2009/81/EG om samordning av förfarandena vid tilldelning av vissa kontrakt för byggentreprenader, varor och tjänster av upphandlande myndigheter och enheter på försvars- och säkerhetsområdet och om ändring av direktiven 2004/17/EG och 2004/18/EG (LUFS-direktivet), om upphandlingen och utförandet av kontraktet har sekretessbelagts eller inte får ske utan särskilda säkerhetsåtgärder i enlighet med gällande lagar och andra författningar i en medlemsstat, under förutsättning att medlems-staten har fastställt att de väsentliga intressena i fråga inte kan garanteras genom mindre inkräktande åtgärder. LUFS-direktivet har i svensk rätt genomförts genom regleringen i LUFS. Lagen gäller, med vissa undantag, för upphandling på försvars- och säkerhetsområdet av militär utrustning, utrustning av känslig karaktär, byggentreprenader, varor och tjänster som direkt hänför sig till militär utrusning eller utrustning av känslig karaktär samt byggentreprenader och tjänster särskilt avsedda för militära syften eller av känslig karaktär. Närmare definitioner av vissa av dessa begrepp finns i LUFS.

Enligt 7 kap. 12 § LUFS får en upphandlande myndighet eller enhet ställa särskilda villkor för hur ett kontrakt ska fullgöras, t.ex. beträffande informationssäkerhet. Enligt 7 kap. 13 § samma lag får en upphandlande myndighet eller enhet kräva att en leverantör uppfyller vissa krav för att skydda säkerhetsskyddsklassificerade uppgifter, som myndigheten eller enheten överlämnar under upphandlingsförfarandet. I 7 kap. 15 § samma

26

lag regleras vidare vilka krav som en upphandlande myndighet eller enhet får ställa på anbuden när det gäller utfästelser och information från leverantören om hur denne ska skydda information som denne har tillgång till innan, under utförandet av och efter det att kontraktet har genomförts eller upphört att gälla.

Vid utformningen av ett undantag från huvudregeln om elektronisk fakturering är även skäl 16 i e-faktureringsdirektivet av betydelse. Där anges att e-faktureringsdirektivet gäller med förbehåll för artikel 346 i fördraget om Europeiska unionens funktionssätt och att direktivet inte är tillämpligt på fakturor som utfärdas till följd av utförda kontrakt som är sekretessbelagda eller förenade med särskilda säkerhetsåtgärder, men som inte omfattas av artiklarna 10.6, 15.3 respektive 24.3 i upphandlings-direktiven. Av artikel 346 i fördraget följer att ingen medlemsstat är förpliktad att lämna sådan information vars avslöjande den anser strida mot sina väsentliga säkerhetsintressen och att varje medlemsstat får vidta åtgärder, som den anser nödvändiga för att skydda sina väsentliga säkerhetsintressen i fråga om tillverkning av eller handel med vapen, ammunition och krigsmateriel.

E-faktureringsdirektivet ger således medlemsstaterna ett visst utrymme att reglera undantag från kravet på myndigheter och enheter att ta emot elektroniska fakturor. Skyldigheten att hantera utgående beställningar av varor och tjänster elektroniskt, enligt förordningen (2003:770) om statliga myndigheters elektroniska informationsutbyte, gäller inte för beställningar som görs av Regeringskansliet, Försvarsmakten, Försvarets materielverk, Försvarets radioanstalt, Totalförsvarets forskningsinstitut eller Säkerhets-polisen eller beställningar som är olämpliga att hantera elektroniskt av sekretesskäl eller säkerhetsskyddsskäl. Eftersom det inte på förhand kan fastslås att en viss myndighets samtliga inkommande fakturor uppfyller kriterierna för undantag enligt direktivet bedöms det vara mindre lämpligt att utforma ett undantag i författningstext som, på samma sätt som i den nämnda förordningen, undantar specifika myndigheter från lagens tillämpning som Försvarets radioanstalt och Säkerhetspolisen förespråkar. Det står dock klart att det finns ett behov av undantag för vissa fakturor som är olämpliga att hantera elektroniskt. Detta gäller för det första för fakturor där användningen av elektronisk fakturering skulle innebära risk för röjande av uppgifter som omfattas av sekretess. Även om direktivets undantagsbestämmelse, enligt sin ordalydelse utgår från formerna för upphandlingen och inte faktureringen framstår det vid utformningen av bestämmelsen som mest ändamålsenligt att låta bedömningen grundas på om elektronisk fakturering är olämpligt i det enskilda fallet, oavsett vad som gäller för den aktuella upphandlingen.

Det framstår som ändamålsenligt att en undantagsregel utgår från att uppgifter som omfattas av sekretess enligt offentlighets- och sekretess-lagen (2009:400), förkortad OSL, eller annan lag till vilken det finns en hänvisning i OSL inte behöver hanteras elektroniskt, om detta skulle innebära en risk för att uppgifterna skulle röjas. En bedömning av om det finns en sådan risk måste grundas på omständigheterna i det enskilda fallet, t.ex. att sättet för överföring av fakturorna inte bedöms vara tillräckligt säkert.

Det finns också behov av undantag i de fall elektronisk fakturering skulle innebära risk för skada i övrigt för säkerhetskänslig verksamhet.

27 Bestämmelser om sådan verksamhet finns i säkerhetsskyddslagen

(1996:627). Säkerhetsskyddsförordningen (1996:633) innehåller bestämmelser om skydd av säkerhetskänslig verksamhet. Med sådan verksamhet avses enligt 4 § säkerhetsskyddsförordningen verksamhet av betydelse för rikets säkerhet. Begreppet rikets säkerhet är inte definierat i lag, men regeringen har i förarbetena till säkerhetsskyddslagen anfört att begreppet omfattar såväl den yttre säkerheten till skydd för Sveriges försvarsförmåga, politiska oberoende och territoriella suveränitet som den inre säkerheten till skydd för Sveriges demokratiska statsskick. I det sammanhanget anförde regeringen att skyddet för den yttre säkerheten i första hand tar sikte på totalförsvaret, dvs. den verksamhet som behövs för att förbereda Sverige för krig. Ett hot mot rikets yttre säkerhet anses dock kunna förekomma, även om det inte hotar totalförsvaret. Skyddet av rikets yttre säkerhet anses omfatta uppgifter och förhållanden av rent militär betydelse eller av betydelse för totalförsvaret i övrigt och andra uppgifter som har betydelse för rikets nationella oberoende. Också rikets inre säkerhet kan vara hotad utan att totalförsvaret berörs (se prop. 1995/96:129 s. 22 f.).

Det pågår för närvarande en översyn av säkerhetsskyddslagstiftningen som bl.a. syftar till att utvidga lagens tillämpningsområde för att uppnå ett bättre skydd för Sveriges säkerhet och förslag har lämnats i lagrådsremissen Ett modernt och stärkt skydd för Sveriges säkerhet – ny säkerhetsskyddslag.

Säkerhetsskyddslagen gäller för alla verksamhetsutövare som bedriver säkerhetskänslig verksamhet. I verksamhet där lagen gäller ska det säkerhetsskydd finnas som behövs med hänsyn till verksamhetens art, omfattning och övriga omständigheter. Myndigheter och andra som bestämmelserna om säkerhetsskydd gäller för ska bl.a. undersöka vilka uppgifter i verksamheten som ska hållas hemliga med hänsyn till rikets säkerhet. Resultatet ska dokumenteras i en säkerhetsanalys.

Det aktuella undantaget kan mot denna bakgrund bli tillämpligt när behovet av säkerhetsskydd medför att elektronisk fakturering inte är lämpligt över huvud taget. Det kan röra sig om känslig information som framgår av fakturan, men även andra förhållanden, såsom att förekomsten av ett avtalsförhållande i sig kan utgöra sådan information som behöver skyddas av säkerhetsskäl. Vissa myndigheters verksamhet kan vara av sådan beskaffenhet att undantaget kan bli tillämpligt på samtliga fakturor som utfärdas till myndigheten. Som Statens servicecenter påpekar kräver hantering av sekretessbelagda uppgifter att system och rutiner utformas så att ett tillräckligt skydd upprätthålls. Hantering av fakturor skiljer sig i det avseendet inte från hantering av andra typer av handlingar.

Utgångspunkten för bedömningen av om undantaget är tillämpligt eller inte är om användningen av elektronisk fakturering skulle innebära risk för röjande av uppgifter som omfattas av sekretess eller risk för skada i övrigt för säkerhetskänslig verksamhet. Denna bedömning ansvarar myndig-heterna för att göra i det enskilda fallet. I de flesta fall bör det stå klart för en leverantör redan vid upphandlingstillfället att fakturorna till följd av det aktuella kontraktet omfattas av undantaget från denna lag. I vissa fall kan det, som Statens servicecenter och Swedish Medtech framhåller, emellertid vara svårt för leverantören att bedöma om undantaget är tillämpligt eller inte. Denna osäkerhet kan undanröjas genom att den upphandlande

28

myndigheten eller enheten tydligt anger i förfrågningsunderlaget och efterföljande avtal hur fakturering ska ske. Krav på fakturering i upphandlingsunderlaget ska som ovan anförts vara tydliga, transparanta och icke-diskriminerande.

Det är viktigt att skyddet för känsliga uppgifter säkerställs vid elektronisk överföring. Regeringen har gett en särskild utredare i uppdrag att bl.a. kartlägga behovet av att förebygga att säkerhetsskydds-klassificerade uppgifter eller i övrigt säkerhetskänslig verksamhet utsätts för risker i samband med bl.a. utkontraktering och föreslå olika förebyggande åtgärder, t.ex. tillståndsprövning (Ju 2017:32).