Att överföra en sekretessreglerad uppgift till en molntjänst

71  Download (0)

Full text

(1)

Juridiska institutionen

Vårterminen 2020

Examensarbete i offentlig rätt

30 högskolepoäng

Att överföra en sekretessreglerad

uppgift till en molntjänst

To transfer information under the Swedish confidentiality

regulation to a cloud service

Författare: Hanna Storsved

Handledare: Universitetslektor Ingrid Helmius

(2)
(3)

Förord

Mitt intresse för offentlig rätt väcktes under en fördjupningskurs i polisrätt. Ingrid Helmius, som ansvarade för kursen, ställde sedan upp handledare för mitt examensarbete.

Jag vill tacka dig Ingrid både för att du väckte mitt intresse för offentligrättsliga frågor och för din insats som universitetshandledare under författandet av examensarbetet.

Jag vill även rikta ett stort tack till Eva Maria Broberg Lennartsson. Du har genomgående haft ett stort engagemang för mitt examensarbete och uppmuntrat mig att ta tillvara på min kompetens och förmåga.

Jag vill dessutom passa på att tacka mina kollegor på Knowit där jag hade min uppsatspraktik. Jag vill särskilt tacka Adam Björkman från Knowit samt Ludvig Knutsmark och Hampus Bengtsson från Blekinge Tekniska Högskola för all hjälp som ni har gett mig med de tekniska delarna i examensarbetet.

Avslutningsvis vill jag även framföra ett varmt tack till vänner och familj som har stöttat mig under examensarbetes gång.

Uppsala juni 2020 Hanna Storsved

(4)

Sammanfattning

Den svenska it-politiken har som mål att den offentliga sektorn i Sverige ska bli bäst i världen på att ta tillvara på digitaliseringens möjligheter. Flera studier har påvisat att digitaliseringen av den offentliga sektorn kan gynnas genom en användning av molntjänster. När det talas om den offentliga sektorns molntjänstanvändning åsyftas i regel att en extern molntjänstleverantör tillgängliggör en funktion till användaren som denne vanligtvis hanterar på egen hand. Genom att använda molntjänster för informationshantering överförs uppgifter, däribland möjligtvis även sekretessreglerade sådana, till en molntjänstleverantör.

I den här uppsatsen utreds huruvida den offentliga sektorns molntjänstanvändning är förenlig med den svenska sekretesslagstiftningen. Uppsatsen fokuserar på dels röjande av en sekretessreglerad uppgift för en molntjänstleverantör, dels utlämnande av en sekretessreglerad uppgift till en molntjänstleverantör efter en skade- och menprövning. I samband med de ovanstående rättsfrågorna utreds huruvida kryptering av de uppgifter som överförs är en lösning på de rättsliga problem som uppkommer när molntjänster används.

(5)

Innehållsförteckning

Förord ...

Sammanfattning ...

1 Inledning... 1

1.1 Ämne ... 1

1.2 Syfte ... 2

1.3 Avgränsning ... 2

1.4 Metod och material ... 3

1.5 Disposition ... 4

2 Molntjänster ... 5

2.1 Inledning ... 5

2.2 Vad är en molntjänst? ... 5

2.2.1 Inledning ... 5

2.2.2 Definition ... 5

2.2.3 Väsentliga särdrag ... 6

2.2.4 Tjänstemodeller ... 7

2.2.5 Leveransmodeller ... 8

2.3 Den offentliga sektorns molntjänstanvändning ... 9

2.3.1 Tidigare diskussion i molntjänstfrågan... 9

2.3.2 Den offentliga sektorns molntjänstanvändning i dagsläget ... 12

3 Överföring av en sekretessreglerad uppgift till en molntjänst ... 13

3.1 Inledning ... 13

3.2 Offentlighet ... 13

3.3 Sekretess ... 14

3.3.1 Innebörden av sekretess ... 14

3.3.2 Sekretesskretsen ... 15

3.3.3 Sekretesstyper ... 17

3.3.4 Sekretessgenombrott ... 19

4 Att röja... 21

4.1 Inledning ... 21

4.2 Osäkerheten beträffande innebörden av röja ... 22

4.2.1 Inledning ... 22

4.2.2 Den upplevda osäkerheten beträffande innebörden av röja... 22

4.2.3 Befintliga ställningstaganden för en vidsträckt innebörd av röja ... 22

4.2.4 Befintliga ställningstaganden för en begränsad innebörd av röja ... 23

4.3 Innebörden av röja utifrån lagtolkningsmetoder ... 25

4.3.1 Inledning ... 25

(6)

4.3.2 Objektiva lagtolkningsmetoder ... 25

Inledning ... 25

Bokstavstolkning ... 25

Systematisk tolkning ... 26

Objektiv teleologisk tolkning ... 27

Slutsats om innebörden av röja utifrån de objektiva lagtolkningsmetoderna ... 28

4.3.3 Subjektiva lagtolkningsmetoder ... 29

Inledning ... 29

Subjektiv formalistisk tolkning ... 30

Subjektiv teleologisk tolkning ... 30

Slutsats om innebörden av röja utifrån de subjektiva lagtolkningsmetoderna .... 33

4.4 Innebörden av röja utifrån straffrätten ... 33

4.4.1 Inledning ... 33

4.4.2 Innebörden av röja utifrån straffrättslig rättspraxis ... 34

4.4.3 Slutsats om innebörden av röja utifrån straffrätten ... 35

4.5 Slutsats om innebörden av röja ... 36

4.5.1 Inledning ... 36

4.5.2 Sammanfattning av tolkningsresultaten om innebörden av röja ... 36

4.5.3 Relevansen av det straffrättsliga tolkningsresultatet ... 37

4.5.4 Diskussion om det begränsade tolkningsresultatet ... 38

4.5.5 Diskussion om det vidsträckta tolkningsresultatet ... 39

4.5.6 Slutsats om innebörden av röja ... 40

5 Kan kryptering förhindra röjande? ... 41

5.1 Inledning ... 41

5.2 Återblick avseende molntjänster ... 41

5.3 Om kryptering ... 42

5.3.1 Allmänt om kryptering ... 42

5.3.2 Kryptering i molntjänster ... 42

5.4 Kan kryptering förhindra röjande för en molntjänstleverantör? ... 44

5.5 Problem med utländska molntjänstleverantörer... 46

6 Utlämnanden efter en skade- och menprövning ... 47

6.1 Inledning ... 47

6.2 Något om skade- och menprövningen ... 47

6.2.1 Inledning ... 47

6.2.2 Betydelsen av olika skaderekvisit... 48

6.2.3 Sekretess till förmån för den enskildes intressen... 48

6.2.4 Sekretess till förmån för allmänna intressen... 49

6.2.5 Utlämnanden till en molntjänstleverantör ... 50

(7)

6.3 Mottagaren och syftet med utlämnandet ... 51

6.4 Leveransmodell och spridningsrisk ... 52

6.5 Tystnadsplikt och spridningsrisk ... 53

6.6 Kryptering och skaderisk ... 55

7 Avslutande kommentarer ... 58

7.1 Inledning ... 58

7.2 Sammanfattning av uppsatsen... 58

7.2.1 Rättsutredningen beträffande innebörden av röja ... 58

7.2.2 Att förhindra röjande för en molntjänstleverantör genom kryptering ... 59

7.2.3 Utlämnanden till en molntjänstleverantör ... 59

7.3 Framtida molntjänstanvändning i offentlig sektor ... 60

Källförteckning ... 61

(8)

1

1 Inledning

1.1 Ämne

Målsättningen för den svenska it-politiken är att Sverige ska bli bäst i världen på att ta tillvara på digitaliseringens möjligheter.1 Flera utredningar har påvisat att den offentliga sektorn skulle kunna genomföra en säkrare och effektivare digitalisering genom att använda molntjänster.2 En molntjänst innebär att en funktion som annars skulle ha hanterats av användarens egen dator istället tillgängliggörs av en molntjänstleverantör över internet genom leverantörens datorer eller servrar.3 Det är attraktivt för den offentliga sektorn att använda molntjänster då tjänsterna bland annat kan medföra en mer effektiv informationshantering till en rimlig kostnad.4 När det kommer till den offentliga sektorns användning av molntjänstleverantörer finns det många aspekter att beakta, däribland informationssäkerhet och frågor om nationell säkerhet.5 Uppsatsen fokuserar dock på ett av de rättsliga problemen, nämligen att överföra sekretessreglerade uppgifter till en molntjänstleverantör. Det är redan initialt värt att framhålla att den offentliga sektorns molntjänstanvändning inte är ett helt enkelt ämne att begripa då området förutsätter viss kunskap inom såväl juridik som teknik.

Myndigheter hanterar ofta sekretessreglerade uppgifter. När en myndighet använder en molntjänst blir det i sekretesshänseende bland annat fråga om och hur det är möjligt att överföra en sekretessreglerad uppgift till molntjänsten, utan att det sker ett röjande för molntjänstleverantören i strid med sekretesslagstiftningen. Sekretess definieras i 3 kap. 1 § offentlighets- och sekretesslagen (2009:400, OSL) som ”ett förbud att röja en uppgift, vare sig det sker muntligen, genom utlämnande av en allmän handling eller på något annat sätt.” Rättsläget upplevs bland myndigheterna som oklart avseende innebörden av vad som utgör ett röjande. Det riskerar att ge upphov till ett flertal negativa konsekvenser.6 På vissa håll uppkommer en obefogad ineffektivitet genom att myndigheterna intar ett försiktigt förhållningssätt gentemot molntjänster i avvaktan på att rättsläget klargörs.7 På andra håll väljer myndigheterna istället att tolka den rättsliga oklarheten till förmån för molntjänstanvändning vilket riskerar att medföra en rättsstridig

1 Dir. 2012:61 s. 1, prop. 2011/12:1 utgiftsområde 22, bet. 2011/12:TU1, rskr. 2011/12:87.

2 Försäkringskassan 2019 s. 29, Pensionsmyndigheten 2016, SOU 2016:41 s. 113, Statens servicecenter 2017 s. 17.

3 Försäkringskassan 2019 s. 10, Magnusson Sjöberg s. 441.

4 Försäkringskassan 2019 s. 29.

5 Pensionsmyndigheten 2016 s. 6.

6 Dir. 2019:64 s. 5, SOU 2018:25 s. 106.

7 Försäkringskassan 2019.

(9)

2

rättstillämpning.8 Med det sagt finns det anledning att klargöra innebörden av begreppet röja.

Den offentliga sektorns användning av molntjänster för informationshantering kan leda till att sekretessreglerade uppgifter överförs till molntjänsten. Följaktligen kan sekretessreglerade uppgifter komma att tillgängliggöras för molntjänstleverantören.

Sådant tillgängliggörande har diskuterats flitigt och diskussionen har resulterat i flera potentiella lösningar. eSamverkansprogrammet (eSam) är ett myndighetssamarbete som syftar till att samverka beträffande digital utveckling och är aktiv i debatten om molntjänster.9 eSam menar att tillräcklig kryptering eller andra åtgärder av samma verkan potentiellt kan förhindra att sekretessreglerade uppgifter röjs för molntjänstleverantören och således möjliggöra molntjänstanvändning.10 eSam verkar mena att en överföring av krypterad information inte innebär ett röjande eftersom att molntjänstleverantören aldrig faktiskt får tillgång till innehållet i de sekretessreglerade uppgifterna. Som en del av rättsutredningen är det följaktligen intressant att utreda närmare huruvida eSam:s tes, att kryptering är en lösning för den offentliga sektorns anlitande av molntjänstleverantörer, är förenlig med svensk rätt.

1.2 Syfte

Syftet med uppsatsen är att utreda den offentliga sektorns möjlighet att dels överföra sekretessreglerade uppgifter till en molntjänstleverantör utan att uppgifterna röjs, dels att lämna ut uppgifter till en leverantör efter en skade- och menprövning.För att uppfylla syftet genomförs en djupgående rättsutredning avseende röjandebegreppet i offentlighets- och sekretesslagen. Utifrån resultaten av rättsutredningen undersöks vidare om kryptering kan förhindra att en sekretessreglerad uppgift röjs för en molntjänstleverantör. Vidare utreds även huruvida en sekretessreglerad uppgift kan lämnas ut till en molntjänstleverantör efter en skade- och menprövning.

1.3 Avgränsning

I uppsatsen utreds svensk rätt. Utländsk lagstiftning beaktas i regel inte med undantag för inslag i uppsatsens avslutande kapitel. Undantaget utgörs av utblickar till andra länder i syfte att finna inspiration för hur den svenska offentliga sektorn kan använda molntjänster i framtiden. Det finns många aspekter som bör beaktas vid myndigheters överföring av sekretessreglerad information till en extern molntjänstleverantör, såsom dataskydd och

8 https://dataskydd.net/files/JO-Anmalan_Goteborgs_stad_molntjanster.pdf hämtad 2020-03-27, JO:s beslut Dnr. 551–2020.

9 http://www.esamverka.se/om-esam.html hämtad 2020-06-01.

10 eSam 2018.

(10)

3

lämplighetsövervägningar. Dessa överväganden lämnas dock därhän med hänsyn till uppsatsens relativt begränsade omfång. Slutligen avgränsas en diskussion om utlämnanden av sekretessbelagda uppgifter, så kallat sekretessgenombrott, bort. Detta då jag väljer att prioritera andra rättsfrågor beträffande sekretesslagstiftningen vid den offentliga sektorns molntjänstanvändning.

1.4 Metod och material

I uppsatsen tillämpas en rättsdogmatisk metod för att uppfylla det uppställda syftet. Den rättsdogmatiska metoden innefattar såväl rättskälleläran som den juridiska argumentationsläran.11 Rättsdogmatiken tar avstamp i de etablerade rättskällorna och kan såväl användas för att fastställa gällande rätt de lege lata, som att utreda vad lagstiftaren bör göra med lagstiftningen de lege ferenda. Metoden används både av forskare och av praktiskt verksamma jurister. De senare behöver förutse, påverka eller utforma en domstols bedömning, och inte göra en egen bedömning, varför den praktiska tillämpningen av metoden är mer begränsad.12 En vetenskaplig utredning ska däremot komma med ett resultat som är nytt i förhållande till rådande kunskap.13 Forskaren har därför mer valfrihet när det gäller att tillämpa den rättsdogmatiska metoden.14 Jag intar en tydlig forskarroll i uppsatsen.

Uppsatsens utgångpunkt är de allmänt etablerade rättskällorna. Överföring av sekretessreglerade uppgifter till en extern molntjänstleverantör är en relativt ny företeelse.

Domstolspraxis avseende röjandebegreppet är dessutom begränsad. Det finns därför endast en begränsad mängd rättskällor att tillgå. En noggrann rättsutredning förutsätter följaktligen att stöd hämtas från olika hjälpregler i form av lagtolkningsmetoder.15 För att klargöra rättsläget genom tolkning kan olika tolkningsmetoder tillämpas. De olika lagtolkningsmetoderna används ofta i en kombination med varandra och lagtolkning är därför en kompromiss mellan olika metoder där en dominerande metod inte nödvändigtvis behöver urskiljas.16 I den här uppsatsen appliceras dels objektiva och subjektiva lagstolkningsmetoder, dels förs analogiresonemang med andra rättsområden.

Respektive metod presenteras mer utförligt i samband med att de tillämpas uppsatsens fjärde kapitel. Jag presenterar avslutningsvis även en mer allmän diskussion rörande den offentliga sektorns användning av molntjänster de lege ferenda.

11 Peczenik SvJT 2005 s. 251.

12 Lehrberg s. 31 och s. 201.

13 Sandgren JT 2004/05 s. 300.

14 Lehrberg s. 31.

15 Korling & Zamboni s. 21.

16 Peczenik SvJT 1974 s. 375.

(11)

4

Rättskälleläran kan beskrivas som den allmänna juridiska uppfattningen av vilken det framgår vilket material som ska, bör eller får ingå vid lagtolkning. Enligt rättskälleläran är bland annat lagar, prejudikat och förarbeten rättskällor som ska, alternativt bör, beaktas vid lagtolkningen.17 I uppsatsen beaktas därför etablerade rättskällor såsom lagtext, propositioner, statens offentliga utredningar och prejudikat.

Material som därutöver får beaktas är bland annat doktrin, förarbeten och prejudikat från angränsande rättsområden samt värderingar som bedöms vara härskande i relevanta samhällsgrupper.18 I uppsatsen redogörs därför för olika publikationer där ämnet diskuteras. Det är emellertid framförallt eSam:s och Kammarkollegiets uttalanden som beaktas. Särskild vikt läggs vid deras uttalanden eftersom dessa aktörer har genomfört omfattande utredningar av den offentliga sektorns molntjänstanvändning och deras ställningstaganden är därför särskilt intressanta att beakta. Vidare görs även analogier från straffrätten beträffande sekretessfrågor. Då det endast finns knapphändig rättspraxis på området är även Justitieombudsmannens (JO) beslut relevanta att beakta för att utröna rättsläget. Slutligen beaktas även källor som saknar direkt rättslig relevans. Dels används tekniska källor för att ge viss klarhet avseende den teknik som diskuteras i uppsatsen, dels beaktas ordlistor i samband med lagtolkningen för att påvisa vad gängse mening är av olika begrepp.

1.5 Disposition

För att underlätta för förståelsen av resonemangen som förs i uppsatsen klargörs i kapitel två vad en molntjänst är. I kapitel tre presenteras problemet beträffande myndigheters molntjänstanvändning, nämligen att en sekretessreglerad uppgift överförs till en molntjänst. I uppsatsens fjärde kapitel genomförs en fördjupad rättsutredning av sekretessdefinitionen i offentlighets- och sekretesslagen, mer precist beträffande begreppet röja. I kapitel fem tillämpas rättsutredningens resultat för att undersöka om kryptering kan användas för att förhindra att en sekretessreglerad uppgift röjs för en molntjänstleverantör. I uppsatsens sjätte kapitel undersöks huruvida det är möjligt att lämna ut sekretessreglerade uppgifter till en molntjänstleverantör efter en skade- och menprövning. Uppsatsen rundas av i kapitel sju med en sammanfattning över uppsatsens utredning och en framåtblick över den offentliga sektorns molntjänstanvändning.

17 Peczenik SvJT 1974 s. 373 f.

18 Peczenik SvJT 1974 s. 374.

(12)

5

2 Molntjänster

2.1 Inledning

Det är nödvändigt att ha en grundläggande förståelse för molntjänster för att begripa resonemangen som förs i uppsatsen beträffande den offentliga sektorns molntjänstanvändning. Syftet med kapitel två är således att presentera vad en molntjänst är och hur dessa tjänster används i den svenska offentliga sektorn. Inledningsvis presenteras vad en molntjänst är. Vidare görs en sammanfattning av diskussionen som har förts om den offentliga sektorns molntjänstanvändning. Avslutningsvis presenteras hur den offentliga sektorns molntjänstanvändning ser ut i dagsläget.

2.2 Vad är en molntjänst?

2.2.1 Inledning

Molntjänster är inte ett juridiskt begrepp utan betecknar en affärsmodell för användning av informationsteknik (it)19. Tanken med molntjänster är att leverera it-resurser enligt användarens behov över internet. Användaren behöver således inte investera i egen infrastruktur. Molntjänstleverantören kan erbjuda den fysiska hårdvarans kapacitet till användaren på distans, vilket exempelvis kan vara mjukvara för dokumenthantering eller datalagring.20 Molntjänster levereras oftast som en färdigt sammanställd produkt.

Användaren kan sällan förhandla sig till individuella lösningar eller avtal. Det är sedan upp till användaren att acceptera den erbjudna molntjänsten och de föreliggande standardavtalen, eller välja att avstå från att använda tjänsten.21

2.2.2 Definition

Det saknas en legaldefinition av molntjänster, men i övrigt förekommer det många definitioner av tjänsterna.22 Den definition som har fått störst genomslag på marknaden är den så kallade NIST-definitionen som har skapats av National Institute of Standards and Technology (NIST).23 NIST-definitionen lyder “Cloud computing is a model for enabling ubiquitous, convenient, on-demand network access to a shared pool of configurable computing resources (e.g., networks, servers, storage, applications, and services) that can be rapidly provisioned and released with minimal management effort

19 It är ett samlingsbegrepp som beskriver de olika tekniska möjligheter som skapas genom framsteg inom datateknik och telekommunikation se

https://www.ne.se/uppslagsverk/encyklopedi/l%C3%A5ng/it hämtad 2020-06-01.

20 Magnusson Sjöberg s. 149, s. 201 och s. 440.

21 SOU 2016:41 s. 111.

22 Magnusson Sjöberg s. 441.

23 Edvardsson & Frydlinger s. 21 f., Magnusson Sjöberg s. 441, Pensionsmyndigheten 2016 s. 10.

(13)

6

or service provider interaction.”24 Magnusson Sjöberg har sammanfattat NIST- definitionen, och därmed en molntjänst, som en ”vid behov, allmänt tillgänglig it-tjänst som levereras till kunden som en enhet via internet”.25 NIST-definitionen består av fem väsentliga särdrag för molntjänster, tre tjänstemodeller och slutligen fem leveransmodeller.26 Dessa kännetecken och modeller presenteras som följer.

2.2.3 Väsentliga särdrag

Det första särdraget är att molntjänsten är tillgänglig vid behov genom självbetjäning.

Molntjänstanvändaren kan själv välja att aktivera eller att avaktivera molntjänsten och tillgängliggöra exakt önskad mängd datorresurser utan direkt personlig interaktion med molntjänstleverantören. Den begränsade kontakten med molntjänstleverantören medför att möjligheterna för avtalsförhandling för molntjänsten inskränks.27

Det andra särdraget är att molntjänsten har en bred tillgänglighet via nätverk.

Tjänsten ska vara tillgänglig genom ett stort nätverk, som exempelvis internet. Dessutom nås tjänsten genom standardiserade mekanismer som främjar användning av olika plattformar hos användaren såsom mobiltelefoner, surfplattor och bärbara datorer.28

Det tredje särdraget är att molntjänstleverantören konsoliderar resurser såsom lagring, bearbetning och minne. Genom att samla datorresurser kan molntjänstleverantören betjäna flera användare samtidigt samt omfördela de fysiska och virtuella resurserna dynamiskt beroende på användarnas efterfrågan. Användaren har i regel inte kännedom om systemets infrastruktur, utan molntjänsten framstår som ett enda system gentemot denna. Ur ett rent tekniskt perspektiv behöver användaren inte ha vetskap över var servrarna är placerade eller hur många de är för att kunna nyttja molntjänsten. Ovissheten kan dock medföra problem ur ett juridiskt perspektiv med krav från dataskyddsregleringen och liknande.29

Det fjärde särdraget är att molntjänsten har en omedelbar elasticitet som beror av det faktiska nyttjandet. Kapaciteten hos molntjänsten kan tillhandahållas och frigöras efter den rådande användningen, i vissa fall även automatiskt. Utifrån ett användarperspektiv sker förändringen i stort sett omärkbart och den tillgängliga kapaciteten framstår ofta som obegränsad och möjlig att anslå i önskad mängd när som helst.30

24 NIST 2011 s. 2.

25 Magnusson Sjöberg s. 441.

26 Edvardsson & Frydlinger s. 22.

27 Edvardsson & Frydlinger s. 23, Magnusson Sjöberg s. 442.

28 Magnusson Sjöberg s. 442.

29 Magnusson Sjöberg s. 443.

30 Magnusson Sjöberg s. 443.

(14)

7

Det femte särdraget är kontrollerad tjänsteleverans vilket inbegriper att molntjänstleverantören mäter tjänsten på ett tillförlitligt sätt utifrån faktiskt nyttjande.

Mätningen varierar men kan exempelvis beakta lagringskapacitet eller antalet aktiva användarkonton.31

2.2.4 Tjänstemodeller

För att anpassa en molntjänst till en användare kan tjänsterna huvudsakligen delas in i tre olika tjänstemodeller. Dessa är Software as a Service (SaaS), Platform as a Service (PaaS) och Infrastructure as a Service (IaaS). Den främsta skillnaden mellan tjänstemodellerna är att de erbjuder användaren olika grad av kontroll över molntjänsten. Val av tjänstemodell har betydelse i uppsatsens femte och sjätte kapitel där kryptering i molntjänster diskuteras mer utförligt.

IaaS-tjänster opererar genom att molntjänstleverantören tillhandahåller grundläggande infrastrukturtjänster såsom bearbetning, lagring, nätverk och andra grundläggande datorresurser till användaren. Microsoft Azure är ett exempel på en IaaS- tjänst. IaaS är den tjänstemodell som är mest lik en traditionell datorhallslösning.

Användaren kan fritt administrera och hantera infrastrukturen genom att exempelvis köra sin egen programvara. En IaaS-tjänst ger användaren mer kontroll över molntjänsten än vad som är fallet för övriga tjänstemodeller. Användaren har här kontroll över operativsystem, lagring och applikationer. Däremot har användaren varken kontroll över eller möjlighet att hantera själva infrastrukturen i molntjänsten. Användaren får inte direkttillgång till hårdvaran, utan det som erbjuds är en tillgång till viss infrastruktur i en virtuell miljö.32 Den sammantagna användarupplevelsen är dock en känsla av tillgång till egna servrar.33

PaaS levererar resurser i form av en plattform som gör det möjligt för användaren att utveckla, testa och driftsätta sin egen mjukvara i en säker miljö. Utöver själva utvecklingsplattformen erbjuds ofta en utvecklingsmiljö som ger användaren verktyg att programmera systemen innan de tas i drift. Användaren har inte kontroll över den underliggande infrastrukturen, utan har bara möjlighet att använda infrastrukturen för att hantera mjukvara.34 De som använder PaaS är oftast utvecklare. För situationen som utreds i uppsatsen, nämligen offentlig sektors möjlighet att överföra sekretessreglerade

31 Magnusson Sjöberg s. 443.

32 Magnusson Sjöberg s. 444.

33 Edvardsson & Frydlinger s. 25.

34 Edvardsson & Frydlinger s. 26.

(15)

8

uppgifter till en molntjänst, är PaaS-tjänster är inte relevanta att utreda närmare. Denna tjänstemodell lämnas därför därhän.

SaaS-tjänster innebär att molntjänstleverantören utöver infrastruktur även tillhandahåller mjukvara som tjänst till användaren. Användaren erbjuds färdiga applikationer över nätverk, exempelvis över en webbläsare. Outlook, Gmail och Dropbox är exempel på SaaS-tjänster. Leverantören ansvarar för såväl underhåll som administration av mjukvaran. Användaren intar således uteslutande en roll som användare av mjukvaran och har ingen kontroll över den plattform eller infrastruktur som programmen körs på. När SaaS används är det flera användare som samtidigt nyttjar samma systemversion. Fördelen med samkörningen är att användarna kan erbjudas uppdateringar snabbare än vad som är fallet vid en traditionell leverans av datorprogram.

Användarna har ofta möjlighet att integrera SaaS-tjänsterna med sina egna system och andra externa system. Detta har gett upphov till så kallade mash-ups vilket är kombinationer av flera olika molntjänstleverantörers tjänster.35

2.2.5 Leveransmodeller

En molntjänst består dels av en tjänstemodell, dels av en leveransmodell. Dessa modeller kan kombineras på olika sätt beroende på önskad ansvarsfördelning mellan molntjänstanvändare och leverantör. En leveransmodell beskriver hur molntjänsten ska tillgängliggöras och det finns fyra olika modeller.36 Val av leveransmodell kan vara av betydelse beträffande framgången för den offentliga sektorns molntjänstanvändning.

Detta diskuteras närmare i uppsatsens sjätte kapitel i samband med utredningen avseende utlämnanden av sekretessreglerade uppgifter.

Privata molntjänster levereras till en enskild användare. Infrastrukturen både administreras och tillhandahålls av användaren eller av en extern part på uppdrag av användaren.37 Nackdelen med privata moln är att det blir kostsamt för användaren att upprätthålla nödvändigt underhåll och kompetens.38

Publika molntjänster är den vanligaste leveransmodellen. Molntjänstleverantören av publika molntjänster tillgängliggör då resurser såsom lagring eller program till allmänheten över internet. Att tjänsten levereras genom internet gör att molntjänstleverantören och dess datorresurser intar en extern ställning gentemot

35 Edvardsson & Frydlinger s. 27, Magnusson Sjöberg s. 444 f.

36 Magnusson Sjöberg s. 445.

37 Edvardsson & Frydlinger s. 28, Magnusson Sjöberg s. 445, Myndigheten för samhällsskydd och beredskap & Örebro Universitet 2018 s. 14, Pensionsmyndigheten 2016 s. 17

38 Dir. 2019:64 s. 4, Pensionsmyndigheten 2016 s. 32.

(16)

9

användaren. Detta skiljer sig markant från privata molntjänster som istället har en internt simulerad resursuppsättning hos användaren själv.39

Gemensamma molntjänster eller partnermolntjänster påminner om publika tjänster men erbjuder molntjänster över organisationsgränser. Flera organisationer går då samman och skapar en molntjänst. Detta förutsätter att det finns gemensamma intressen hos organisationerna såsom liknande mål eller krav gällande säkerhet. Molntjänsten kan antingen ägas och drivas av organisationerna själva alternativt av en anlitad extern part.40

Slutligen finns hybrider som är kombinationer av två eller alla ovanstående leveransmodeller. När olika leveransmodeller kombineras fortsätter likväl varje enskild molntjänst att vara en separat enhet. Det som sker är att leveransmodellerna knyts samman genom teknik som öppnar upp för överflyttning av data eller datorprogram mellan molntjänsterna. Organisationen kan exempelvis välja att hantera en del uppgifter i en privat molntjänst och uppgifter i en publik tjänst. Hybridmodellen drar således nytta av de olika fördelar som finns hos de andra modellerna.41

2.3 Den offentliga sektorns molntjänstanvändning

2.3.1 Tidigare diskussion i molntjänstfrågan

På initiativ av regeringen genomförs en statlig utredning beträffande den offentliga sektorns behov av en säker och kostnadseffektiv it-drift. Utredningen ska bland annat se över myndigheternas anlitande av molntjänstleverantörer. Utredningen ska redovisas den 31 augusti 2020.42 För att bättre förstå regeringsinitiativet är diskussionen som har förts beträffande den offentliga sektorns användning av molntjänster av intresse.

Pensionsmyndigheten redovisade år 2016 en rapport om statens molntjänstanvändning. En generell slutsats var att det är enklare att utkontraktera information till en molntjänstleverantör ju mindre känslig informationen är. Kryptering och anonymisering nämndes som potentiella verktyg som kan vara av nytta för att minska riskerna vid molntjänstanvändning. Pensionsmyndigheten påpekade dock att det är svårt för myndigheter att använda molntjänster, framförallt publika sådana, för hantering av sekretessreglerade uppgifter som inte får lämnas ut. I rapporten lyftes även gemensamma statliga molntjänster som en attraktiv lösning.43

39 Edvardsson & Frydlinger s. 29, Myndigheten för samhällsskydd och beredskap & Örebro Universitet 2018 s. 14.

40 Magnusson Sjöberg s. 445, Myndigheten för samhällsskydd och beredskap & Örebro Universitet 2018 s. 14, Pensionsmyndigheten 2016 s. 17.

41 Myndigheten för samhällsskydd och beredskap & Örebro Universitet 2018 s. 14.

42 Dir. 2019:64.

43 Pensionsmyndigheten 2016 s. 58 ff. och 70 ff.

(17)

10

Statens servicecenter publicerade år 2017 en rapport om en gemensam statlig molntjänst för myndigheternas it-drift. Utifrån utredningen i rapporten föreslogs att den största delen av den offentliga it-driften skulle samordnas i en statlig molntjänst.44

Digitaliseringsrättsutredningen överlämnade år 2018 betänkandet Juridik som stöd för förvaltningens digitalisering. I betänkandet framkommer bland annat förslag för en uppdaterad reglering beträffande offentlighet och sekretess vid teknisk bearbetning och teknisk lagring vid utkontraktering.45 I dagsläget har Digitaliseringsrättsutredningens förslag dock inte gett upphov till några lagstiftningsåtgärder.46

Kammarkollegiet publicerade i början av 2019 en förstudie om webbaserat kontorsstöd. Av förstudien framkom att myndigheterna har ett behov av molntjänster som uppfyller alla rättsliga krav. Kammarkollegiet menade att en sådan lösning inte fanns tillgänglig vid studiens författande, men påpekade att en rättsligt gångbar webbaserad kontorslösning kunde vara möjlig framöver. En sådan utveckling förutsätter dock att den offentliga sektorn och marknaden tillsammans driver en utveckling mot en sådan lösning.47

Sveriges Kommuner och Landsting, numera benämnt Sveriges Kommuner och Regioner (SKR), uttalade i april 2019 att privata molntjänstleverantörer som står under utländsk jurisdiktion är en nödvändig del av digitaliseringen. SKR betonade att digitaliseringsutvecklingen bromsas upp på grund av rådande rättsliga osäkerheter och lyfte även sin oro för de investeringar som redan gjorts av den offentliga sektorn i publika, utländska molntjänster.48

Även Försäkringskassan uttalade sig i slutet av 2019 genom en vitbok om molntjänster i samhällsbärande verksamhet. Av vitboken framgick att Försäkringskassan inte kommer att överlåta it-drift för verksamhetskritiska system till privata företag som står under utländsk jurisdiktion. Myndigheten var istället intresserad av en it-drift i statlig regi.49 Vitboken följdes upp av ett debattinlägg med rubriken ”Sveriges digitala suveränitet hotas av IT-tjänster i molnet” som undertecknades av myndighetens generaldirektör.50 Inlägget gav upphov till debatt med flera efterföljande uttalanden.51

44 Statens servicecenter 2017 s. 51.

45 SOU 2018:25.

46 https://www.regeringen.se/rattsliga-dokument/statens-offentliga-utredningar/2018/03/sou-201825/

hämtad 2020-06-01.

47 Kammarkollegiet 2019.

48 Sveriges Kommuner och Landsting 2019 s. 1.

49 Försäkringskassan 2019 s. 6 och s. 34.

50Öberg Dagens Nyheter 22/11 2019.

51Borggreen Dagens Nyheter 29/11 2019, Brändt Öfverholm Dagens Nyheter 28/11 2019, Dahlen Dagens Nyheter 29/11 2019, Waher Dagens Nyheter 27/11 2019, Öberg Dagens Nyheter 2/12 2019.

(18)

11

Även JO har i viss mån involverats i molntjänstfrågan. Under 2019 beslutade Göteborgs Stad att utvidga sin molntjänstanvändning från att tidigare endast omfatta delar av kommunens verksamhet till att omfatta hela verksamheten. Beslutet att utveckla molntjänstanvändningen mötte motstånd i början av 2020 genom en anmälan till JO av dataskydd.net52.53 JO ansåg att frågorna i anmälan är intressanta för en tillsyn, men beslutade att inte vidta några åtgärder. Beslutet motiverades av att de frågor som aktualiserades i anmälan redan är föremål för utredning i annan ordning genom en regeringstillsatt utredare.54

eSam har yttrat sig vid ett flertal tillfällen beträffande sekretesslagstiftningen i förhållande till den offentliga sektorns molntjänstanvändning.55 I en vägledning från 2015 var slutsatsen att en sekretessreglerad uppgift inte röjs för en molntjänstleverantör om det föreligger ett avtal som hindrar leverantören från att ta del av och vidarebefordra uppgiften.56 I ett rättsligt uttalande från 2018 presenterade eSam en strängare inställning gentemot molntjänstanvändningen. eSam menade då att vägledningen från 2015 inte lämpade sig för förhållanden där molntjänstleverantören träffas av utländsk lagstiftning som kan kräva utlämnande av uppgift från leverantören till en utländsk statsmakt. I det rättsliga uttalandet från 2018 öppnade eSam emellertid upp för att kryptering av viss styrka potentiellt kan förhindra att en sekretessreglerad uppgift röjs för molntjänstleverantören, vilket skulle möjliggöra molntjänstanvändning för den offentliga sektorn.57 eSam fortsatte att precisera sin ståndpunkt i molntjänstfrågan genom en promemoria i september 2019 med kommenterar om det rättsliga uttalandet från 2018.

eSam menade då att en uppgift inte röjs om det finns en juridiskt bindande och sanktionerad avtalssekretess samt att molntjänstleverantören inte är bunden av utländsk jurisdiktion som kan påtvinga ett utlämnande utan en föregående sekretessprövning.58 eSam:s senaste uttalande publicerades i form av ytterligare en vägledning i slutet av 2019.

eSam menade i den vägledningen att röjandebegreppet borde kunna tolkas så att en uppgift röjs först om mottagaren faktiskt tar del av uppgiften, men påpekar att rättsläget är oklart gällande innebörden av röjandebegreppet. Vidare kommenterade eSam sitt

52 Dataskydd.net är en partipolitiskt oberoende ideell förening som syftar till att verka för informerade beslut om lagstiftning och teknologi i enlighet med de grundläggande rättigheterna till dataskydd och personlig integritet se https://dataskydd.net/om-oss/ hämtad 2020-06-01.

53 https://dataskydd.net/files/JO-Anmalan_Goteborgs_stad_molntjanster.pdf hämtad 2020-06-01.

54 JO:s beslut Dnr. 551–2020.

55 eSam2019-12, eSam 2019-09, eSam 2018, eSam 2015.

56 eSam 2015 s. 16.

57 eSam 2018.

58 eSam 2019-09.

(19)

12

uttalande om kryptering från 2018. Kryptering är enligt eSam en potentiell lösning, men möter dessvärre begränsningar i praktiken avseende skyddet som kan åstadkommas.59 2.3.2 Den offentliga sektorns molntjänstanvändning i dagsläget

Osäkerheten beträffande sekretessregleringen har medfört att myndigheterna hanterar utkontraktering av sekretessreglerade uppgifter till privata molntjänstleverantörer på vitt skilda sätt. Somliga avstår tills vidare helt från att nyttja externa leverantörer för informationshantering. Andra sköter sekretessreglerade uppgifter genom manuella rutiner och låter övriga uppgifter hanteras digitalt av en leverantör. Slutligen tolkar en del myndigheter sekretesslagstiftningen på ett sätt som öppnar för molntjänstanvändning.

Bland myndigheterna råder det emellertid generellt sett en tveksamhet gentemot att anlita molntjänstleverantörer för hantering av sekretessreglerade uppgifter om det inte står klart att offentlighets- och sekretesslagen inte hindrar en sådan användning.60

Svenska myndigheter använder molntjänster i en ökande utsträckning. Utifrån en studie som genomfördes år 2018 på uppdrag av Myndigheten för samhällsskydd och beredskap framgick att 75 % av de tillfrågade kommunerna och myndigheterna använde molntjänster. 80 % av de tillfrågade myndigheterna använde dessutom minst en publik molntjänst.61 Enligt en undersökning från Pensionsmyndigheten år 2016 är SaaS-tjänster, som exempelvis erbjuder mjukvara för e-post och dokumenthantering, den vanligaste tjänstemodellen bland svenska myndigheter.62 Försäkringskassan menade i slutet av 2019 att det inte finns något som tyder på att bilden för SaaS-tjänsternas popularitet skulle ha förändrats.63

59 eSam 2019-12 s. 43 f. och s. 65 f.

60 SOU 2018:25 s. 106 f.

61 Myndigheten för samhällsskydd och beredskap & Örebro Universitet 2018 s. 25.

62 Pensionsmyndigheten 2016 s. 60 f.

63 Försäkringskassan 2019 s. 53.

(20)

13

3 Överföring av en sekretessreglerad uppgift till

en molntjänst

3.1 Inledning

Jag vill inledningsvis erinra att kommande resonemang inte är aktuella vid överföranden där den berörda uppgiften inte omfattas av en tillämplig sekretessbestämmelse. En uppgift som inte omfattas av en tillämplig sekretessbestämmelse kan aldrig omfattas av sekretess.

Följaktligen är det inte aktuellt med ytterligare sekretessöverväganden för dessa uppgifter. Myndigheter hanterar emellertid sekretessreglerade uppgifter i stor utsträckning. Om en myndighet väljer att använda en molntjänst kan följaktligen sekretessreglerade uppgifter komma att överföras till tjänsten. Av det följer att en sekretessreglerad uppgift kan komma att tillgängliggöras för en molntjänstleverantör.

Således behövs viss förståelse för den svenska sekretessregleringen.

Generellt kan sägas att insynsintresset i den offentliga sektorn tillmäts stor vikt i den svenska rättsordningen. Situationen som är för handen i uppsatsen rör emellertid myndigheters frivilliga överföring av sekretessreglerade uppgifter till en extern part.

Eftersom de svenska myndigheterna är beroende av medborgarnas förtroende för att upprätthålla sin verksamhet måste medborgarnas förtroende följaktligen förvaltas omsorgsfullt för att den offentliga sektorn ska vara välfungerande.64 För den förevarande situationen är det centrala intresset i min mening således främst att bibehålla integriteten hos de sekretessreglerade uppgifterna, och inte att värna om insynsintresset i den offentliga sektorn. I uppsatsens tredje kapitel beskrivs inledningsvis offentlighetsprincipen, men kapitlet syftar huvudsakligen till att ge relevant grundkunskap om offentlighets- och sekretesslagen.

3.2 Offentlighet

I Sverige möjliggör offentlighetsprincipen insyn i den offentliga sektorns verksamhet.

Syftet med principen är bland annat att garantera en rättssäker och effektiv förvaltning.65 Offentlighetsprincipen framkommer i olika sammanhang men handlingsoffentligheten i 2 kap. 1 § tryckfrihetsförordningen intar en central roll. Bestämmelsen ger både svenska och utländska medborgare en rätt att ta del av allmänna handlingar. Enligt 2 kap. 2 § tryckfrihetsförordningen får begränsningar av denna rätt ske med hänsyn till vissa

64 Holmberg & Weibull s. 127–145.

65 Prop. 2008/09:150 s. 272.

(21)

14

intressen genom särskild lag eller i annan lag som den särskilda lagen hänvisar till. Den särskilda lagen som åsyftas är offentlighets- och sekretesslagen. Handlingsoffentligheten förutsätter att det rör sig om en allmän handling. Vad som utgör en handling definieras i 2 kap. 3 § tryckfrihetsförordningen. En handling är allmän enligt 2 kap. 4 § om den förvaras i enlighet med 2 kap. 6 – 8 §§ eller är inkommen till eller upprättad hos en myndighet enligt 2 kap. 9–10 §§. Vidare undantas genom 2 kap. 13–14 §§ vissa handlingar från att vara allmänna. En begäran om utlämnande av en allmän handling görs enligt 2 kap. 17 § hos den myndighet som förvarar handlingen. Av 2 kap. 18 § framgår att utgångspunkten är efterforskningsförbud gentemot den som lämnar begäran.

3.3 Sekretess

3.3.1 Innebörden av sekretess

Utgångspunkten i svensk rätt är handlingsoffentlighet. Begränsningar får ske genom offentlighets- och sekretesslagen, vilket är lagstiftarens avvägning mellan de två motstående intressena offentlighet och sekretess.66 Handlingar kan inte vara föremål för sekretess, utan det är uppgifter i handlingar som kan vara det. I sammanhanget är det viktigt att påpeka att sekretessregleringen alltid gäller och inte enbart aktualiseras till följd av en begäran om utlämnande av en allmän handling. I 3 kap. 1 § offentlighets- och sekretesslagen definieras sekretess som ett ”förbud att röja en uppgift, vare sig det sker muntligen, genom utlämnande av en allmän handling eller på något annat sätt.” Sekretess har därmed en legaldefinition, men begreppet röja definieras inte i lag. För att förstå sekretessdefinitionen i offentlighets- och sekretesslagen måste därför innebörden av röja utrönas. En fördjupad rättsutredning av röja genomförs i uppsatsens fjärde kapitel. Vidare är det användbart med kännedom om ytterligare två begrepp som definieras i 3 kap. 1 §, nämligen sekretessreglerad respektive sekretessbelagd uppgift. Med sekretessreglerad uppgift åsyftas en uppgift för vilken det finns en bestämmelse om sekretess. För en uppgift som är sekretessbelagd gäller däremot sekretess i det enskilda fallet.

Sekretess omfattar dels en handlingssekretess, dels en tystnadsplikt.67 Den senare begränsar yttrandefriheten i regeringsformen. Tystnadsplikt kan följa såväl av offentlighets- och sekretesslagen som av annan lag. En lagstadgad tystnadsplikt är straffsanktionerad i 20 kap. 3 § brottsbalken med såväl böter som fängelse i högst ett år i straffskalan. Ringa fall är emellertid ansvarsfria. Det finns huvudsakligen två typer av tystnadsplikt. Den första är den straffsanktionerade tystnadsplikten som beskrevs ovan.

66 Hed s. 10.

67 Prop. 1979/80:2 Del A s. 119.

(22)

15

Det finns även tystnadsplikt som inte är straffrättsligt sanktionerad, utan istället kan resultera i skadeståndssanktioner eller arbetsrättsliga påföljder. Den senare tystnadsplikten kan införas civilrättsligt genom avtal.

3.3.2 Sekretesskretsen

Syftet med förevarande avsnitt är att närmare precisera innebörden av 2 kap. 1 § offentlighets- och sekretesslagen som reglerar vad jag benämner sekretesskretsen. I det följande utreds dels vem som är underställd sekretessregleringen, dels mot vem som sekretessen gäller. Avsnittet är relevant då det vid en diskussion om överföring av en sekretessreglerad uppgift är av betydelse om överföringen sker till en helt extern aktör eller om mottagaren omfattas av sekretesskretsen. Detta då det endast är i det förra fallet som ytterligare sekretessöverväganden aktualiseras.

Av 2 kap. 1 § 1 st. offentlighets- och sekretesslagen framgår vilka organ som ska följa regleringen. Av det följer vilka personer, som till följd av att de är knutna till organen är underkastade sekretessbestämmelserna.68 Organ som förvarar allmänna handlingar omfattas av offentlighets- och sekretesslagen. Detta kan utläsas av att bestämmelsen refererar till myndigheter. Med myndighet avses organ som ingår i den offentligrättsliga statliga och kommunala organisationen. Andra organ, exempelvis offentligrättsliga juridiska eller fysiska personer eller fristående uppdragstagare, är inte myndigheter i offentlighets- och sekretesslagens mening även om de utför vissa uppgifter som utgör myndighetsutövning.69 Tanken är att det ska råda full överensstämmelse mellan tillämpningen av reglerna om offentlighetsprincipen, inbegripet rätten att ta del av allmänna handlingar, och tillämpningen av sekretessbestämmelserna.70 Avsikten uppfylls genom 2 kap. 2–5 §§ offentlighets- och sekretesslagen vilka reglerar fall där andra organ är att jämställa med myndigheter. Organ som varken är myndigheter, eller som jämställs med myndigheter på annan angiven grund enligt 2 kap. 2–5 §§, faller därmed utanför offentlighets- och sekretesslagens tillämpningsområde.71

I 2 kap. 1 § 2 st. offentlighets- och sekretesslagen definieras personkretsen som är bunden av sekretessbestämmelserna. Hit hör personer som får kännedom om uppgiften genom att delta i myndighetens verksamhet genom en anställning eller ett uppdrag hos myndigheten, på grund av tjänsteplikt eller på annan liknande grund. Att anställda vid myndigheten ingår i personkretsen behöver knappast kommenteras ytterligare.

68 Prop. 1979/89:2 Del A s. 124.

69 Holstad & Holstad s. 22, prop. 1979/80:2 Del A s. 125, prop. 1973:90 s. 232 f.

70 Prop. 1979/80:2 Del A s. 126.

71 Prop. 1979/80:2 Del A s. 126.

(23)

16

Uppdragstagare omfattas av sekretess i den mån de anses ha sådan anknytning till myndigheten att uppdragstagaren anses delta i myndighetens verksamhet. Vad som är myndighetens egentliga verksamhet framgår av myndighetens instruktion eller annan författning. Om det framgår av föreskrifter att en uppdragstagare ska inneha en viss befattning följer det att sekretessen omfattar uppdragstagaren. I annat fall krävs det att uppgiften som ankommer uppdragstagaren annars handhålls av en tjänsteman alternativt att det är rimligt att en sådan befattningshavare skulle kunna ha den uppgiften. Den som är anställd hos ett privat rättssubjekt omfattas i regel inte av offentlighets- och sekretesslagens bestämmelser, men det finns undantag. Undantagsfallen är situationer där arbetstagaren ställs till myndighetens förfogande och deltar i verksamheten på ett sätt som kan liknas med en uppdragssituation.72 För det fall att arbetstagaren inte omfattas av sekretessbestämmelserna kan eventuella olägenheter oftast lösas med exempelvis ett avtal mellan företaget och arbetstagaren om tystnadsplikt.73

Beträffande inkluderandet av personer på ”annan liknande grund” i 2 kap. 1 § 2 st.

offentlighets- och sekretesslagen kan detta vara fall där myndigheten har avtalat med ett enskilt bemanningsföretag i syfte att underlätta vid arbetsanhopning eller personalbrist i myndighetens verksamhet. Arbetstagarna hos det enskilda företaget kan då sägas ha ställts till myndighetens förfogande på ett sätt som motsvarar ett direkt uppdragsavtal mellan myndigheten och arbetstagaren. Under sådana omständigheter ingår exempelvis bemanningsföretagets anställda i myndighetens verksamhet ”på annan liknande grund”

och omfattas därmed av personkretsen.74

Förevarande redogörelse visar att offentlighets- och sekretesslagens tillämpningsområde är relativt stramt avgränsat. Att det förekommer gränsfall beträffande personer som inte omfattas av personkretsen, men där det likväl finns ett intresse att upprätthålla sekretess, motiverade enligt lagstiftaren inte en generell sekretessregel.

Övrigt behov av tystnadsplikt fick enligt lagstiftaren lämnas att tillgodoses i annan lag eller genom civilrättsliga konstruktioner såsom avtal om tystnadsplikt.75

Av 8 kap. 1 § offentlighets- och sekretesslagen framgår mot vem som sekretess gäller. Huvudregeln är att en uppgift som är sekretessbelagd inte får röjas för enskilda eller för andra myndigheter. Sekretessen gäller enligt 8 kap. 2 § i vissa fall även mellan olika verksamhetsgrenar inom en myndighet. Tanken är att information inte ska spridas längre än vad som är nödvändigt. Bedömningen av myndighet och verksamhetsgren får

72 Prop. 1979/80:2 Del A s. 127 f.

73 Holstad & Holstad s. 25.

74 Geijer m.fl. Offentlighets- och sekretesslagen kommentaren till 2 kap. 1 §.

75 Prop. 1979/80:2 Del A s. 128.

(24)

17

göras från fall till fall utifrån exempelvis organisatorisk indelning och funktion.76 Sekretess gäller vidare mot enskilda vilket omfattar såväl fysiska som juridiska personer utanför den offentliga sektorn.77 Slutligen stadgar 8 kap. 3 § sekretess i förhållande till utländska myndigheter och mellanfolkliga organisationer.

Sammanfattningsvis bedömer jag att en molntjänstleverantör inte omfattas av sekretesskretsen i 2 kap. 1 § offentlighets- och sekretesslagen. Detta dels då leverantören inte har en uppgift som annars tillfaller på en anställd vid myndigheten, dels kan dess anställda heller inte anses delta i myndighetens verksamhet på annan liknande grund. Då en molntjänstleverantör inte omfattas av sekretesskretsen aktualiseras olika sekretessöverväganden vid myndigheternas molntjänstanvändning. Frågor beträffande röjande av sekretessreglerade uppgifter samt godtagbara utlämnanden utreds därför närmare i uppsatsens fjärde, femte och sjätte kapitel.

3.3.3 Sekretesstyper

Syftet med förevarande avsnitt är introducera gällande rätt beträffande utlämnanden av sekretessreglerade uppgifter. Detta är motiverat då utlämnanden av sekretessreglerade uppgifter till en molntjänstleverantör utreds i uppsatsens sjätte kapitel.

Den information som ska hemlighållas genom en sekretessbestämmelse kallas för sekretessens föremål. Utgångspunkten är att inte åstadkomma mer sekretess än vad som är nödvändigt för att skydda sekretessbestämmelsens föremål. För att begränsa sekretessens räckvidd till en ändamålsenlig avgränsning innefattar de flesta sekretessbestämmelser vad som benämns skaderekvisit.78 Syftet är att genom det värna om offentlighet och insyn.79

Offentlighets- och sekretesslagen rymmer två typer av skaderekvisit dels ett rakt, dels ett omvänt. Rakt skaderekvisit innebär en presumtion för offentlighet. Sekretess gäller i dessa fall endast i den utsträckning som det föreligger viss skaderisk.

Offentlighetsintresset kan variera, varför styrkan i presumtionen för offentlighet kan skifta. Ett rakt skaderekvisit kan exempelvis formuleras som att sekretess föreligger om det ”kan antas” att viss skada uppkommer vid ett utlämnande, alternativt som att sekretess föreligger om det är av ”synnerlig vikt” att uppgiften inte röjs. Det senare exemplet har en starkare presumtion för offentlighet.80 Ett omvänt skaderekvisit innebär en presumtion för sekretess. Sekretessen viker endast om det står klart att ett utlämnande inte medför

76 Höök s. 32 f., prop. 1979/80:2 Del A s. 120 f.

77 Lenberg m.fl. Offentlighets- och sekretesslagen kommentaren till 8 kap. 1 §.

78 Prop. 1979/80:2 Del A s. 78 f.

79 Ekroth FT 2008 s. 449.

80 Holstad & Holstad s. 27, Höök s. 15, prop. 1979/80:2 Del A s. 79.

(25)

18

skada eller men på sekretessbestämmelsens föremål.81 Det bör i sammanhanget nämnas att det finns bestämmelser som saknar skaderekvisit vilket innebär att det råder absolut sekretess. Dessa uppgifter ska alltid hemlighållas och är därmed sekretessbelagda utan någon föregående skade- och menprövning.

Föreligger ett skaderekvisit i sekretessbestämmelsen är förekomsten av sekretess i det enskilda fallet beroende av en sekretessprövning från myndighetens sida. Prövningen tar sikte på den skada som kan tillfogas sekretessens föremål vid ett utlämnande.82 När bestämmelsen avser allmänna intressen beskrivs skadan som åsyftas tämligen konkret i bestämmelsen. När bestämmelsen rör enskildas förhållanden används vanligtvis ”skada”

som då åsyftar ekonomisk skada, och ”men” som har en vid innebörd och som främst avser integritetskränkningar. Vid en bedömning av men bör utgångspunkten vara den berörda personens egen upplevelse. Klart är att gängse samhällsvärderingar kan inverka på vad som slutligen anses utgöra ett men. Även helt rättsenliga åtgärder, såsom indrivningsåtgärder eller intagning till sluten psykiatrisk vård, kan i vissa fall anses utgöra men. Vidare är en grundläggande förutsättning för att ett utlämnande ska anses kunna medföra skada eller men för en enskild att det finns en koppling mellan personen och uppgiften. Avidentifierade uppgifter kan därför i regel inte medföra skada eller men, även om det undantagsvis kan vara fallet.83

Vid prövning av ett rakt skaderekvisit behöver tjänstemannen vanligtvis inte vidta en individuell bedömning för varje enskilt fall utan prövningen kan göras inom ganska vida ramar. Det centrala är om uppgiften är av sådan art att ett utlämnande genomsnittligt sett kan vara till skada för sekretessens föremål. En uppgift som anses harmlös, vilket i sekretesslagens proposition exemplifieras med uppgift om en utlännings adress eller civiltillstånd, omfattas i regel inte av sekretess. Det förekommer emellertid enskilda situationer där en harmlös uppgift likväl bör anses omfattas av sekretess. Så kan vara fallet om tjänstemannen har fått kännedom om att uppgifter i ett visst sammanhang samlas in i illegitimt syfte. Det kan således motivera en sekretessprövning för det enskilda fallet som följaktligen kan aktualisera sekretess för den annars typiskt sett harmlösa uppgiften i fråga. Här kan dock poängteras att tjänstemannen i regel inte bör försöka utröna om det föreligger sådana särskilda omständigheter vid en begäran om typiskt sett harmlösa uppgifter. En uppgift som däremot lätt kan komma att missbrukas, vilket i propositionen

81 Prop. 1979/80:2 Del A s. 79 f.

82 Holstad & Holstad s. 26.

83 Prop. 1979/80:2 Del A s. 79 och s. 82 ff.

(26)

19

exemplifieras med en mer betydelsefull omständighet om försvaret, bör emellertid i regel omfattas av sekretess.84

Vidare till skade- och menprövningen för ett omvänt skaderekvisit. För ett omvänt skaderekvisit föreligger en presumtion för sekretess och sekretessen upphör endast om det står klart att uppgiften kan utlämnas utan skada eller men för sekretessintresset. Av den anledningen är tjänstemannens bedömning för tillåtna utlämnanden relativt begränsad. Ett utlämnande där uppgiften omfattas av ett omvänt skaderekvisit förutsätter ofta att såväl identiteten hos den som framför begäran, som dennes avsikt med begäran behöver vara kända för att ett utlämnande ska kunna prövas och potentiellt godtas.85

Slutligen kan så kallade massuttag förutsätta ett annat angreppssätt i skade- och menprövningen. Massuttag är en begäran om ett utlämnande av en stor mängd uppgifter, såsom automatiserade register av uppgifter om en stor mängd individer. Den stora omfattningen medför svårigheter för tjänstemannen att bilda sig en uppfattning om vilken skaderisk som finns i förhållande till respektive uppgift. Vid massuttag kan det emellertid i regel förutsättas att tjänstemannen har kännedom om identiteten hos mottagaren och dennes avsikt med uttaget. I förening med den typiska skaderisken som finns hos uppgifterna bör det vara tillräcklig information för att det ska vara möjligt att fatta ett beslut om utlämnandet.86

3.3.4 Sekretessgenombrott

Syftet med förevarande avsnitt är att nämna något om i vilken mån som det är möjligt att lämna ut en sekretessbelagd uppgift till en molntjänstleverantör. I offentlighets- och sekretesslagen finns bestämmelser om så kallat sekretessgenombrott. Det är relevant att ha kännedom om dessa undantagsbestämmelser för en bättre förståelse av den svenska sekretessregleringen. Jag lämnar emellertid en mer djupgående utredning av undantagsbestämmelserna därhän, men sekretessgenombrott diskuteras i viss mån i kapitel sju beträffande den offentliga sektorns framtida molntjänstanvändning.

Det är framförallt 10 kap. offentlighets- och sekretesslagen som öppnar upp för ett utlämnande av en sekretessbelagd uppgift, men beträffande myndigheters molntjänstanvändning är det endast 10 kap. 2 § som är relevant att diskutera.

Bestämmelsen möjliggör sekretessgenombrott till enskild eller till annan myndighet då ett utlämnande är nödvändigt för att den utlämnande myndigheten ska kunna fullgöra sitt

84 Holstad & Holstad s. 27, prop. 1979/80:2 Del A s. 80 f.

85 Holstad & Holstad s. 30, prop. 1979/80:2 Del A s. 81 f.

86 Holstad & Holstad s. 29, prop. 1979/80:2 Del A s. 81.

(27)

20

uppdrag.87 Enligt förarbetena ska bestämmelsen tillämpas restriktivt. Ett utlämnande får bara ske om det är nödvändigt för att den utlämnande myndigheten ska kunna fullgöra ett visst åliggande som åvilar densamma. Att myndighetens effektivitet försämras motiverar inte att sekretessen åsidosätts enligt bestämmelsen.88 Även av JO-praxis framgår en liknande inställning, nämligen att bestämmelsen är tillämplig i situationer av undantagskaraktär.89 Vidare krävs en tydlig koppling mellan behovet att lämna ut viss information och myndighetens egen verksamhet. Med myndighetens verksamhet avses inte endast den författningsreglerade verksamheten som sådan, utan även upphandling och andra stödfunktioner kan omfattas.90

Det råder osäkerhet bland myndigheterna hur ett nödvändigt utlämnande enligt 10 kap. 2 § offentlighets- och sekretesslagen ska tolkas i förhållande till ett utlämnande av sekretessbelagda uppgifter till en molntjänstleverantör.91 Aktörer som menar att bestämmelsen är tillämplig vid molntjänstanvändning anser att ett röjande som inträffar för att dra nytta av expertkompetens eller teknisk utrustning i särskilda fall ska ses som ett nödvändigt utlämnande som kan ske utan hinder för sekretessen.92 Det förekommer att myndigheter tillämpar bestämmelsen på det sättet för sin molntjänstanvändning.93 Ställningstagandet grundar sig på ett uttalande i sekretesslagens proposition. Där skrivs att det kan finnas särskilda fall då det är nödvändigt för en tjänsteman att vända sig till en utomstående expert och genom det upplysa denne om hemliga omständigheter.94 Av förarbetet framgår i övrigt en restriktiv syn beträffande bestämmelsens tillämpning. Den restriktiva inställningen i förarbetet avseende bestämmelsens tillämpning antyder att den endast ska användas i avsaknad av en annan realistisk utväg för myndigheten. Vidare anser jag att det är långtgående att läsa förarbetsuttalandet beträffande expertkompetensen som ett allmänt godkännande av utlämnanden av sekretessbelagda uppgifter till en molntjänstleverantör. Även Digitaliseringsrättsutredningen intar den ståndpunkten.95 Med mindre än ett tydliggörande från lagstiftarens sida anser jag därmed att 10 kap. 2 § svårligen kan utgöra en lösning för utlämnade av sekretessbelagda uppgifter till en molntjänstleverantör.

87 Prop. 1979/89:2 Del A s. 122.

88 Prop. 1979/89:2 Del A s. 465 och s. 494.

89 SOU 2018:25 s. 353, se t.ex. JO:s beslut Dnr 3032-2011, JO 1984/85:JO1 s. 265 och JO 1982/83:JO1 s.

238.

90 Höök s. 73 ff.

91 SOU 2018:25 s. 107 och s. 374.

92 eSam 2019-12 s. 55.

93 SOU 2018:25 s. 107.

94 Prop. 1979:80:2 Del A s. 122.

95 SOU 2018:25 s. 353 f.

(28)

21

4 Att röja

4.1 Inledning

Den offentliga sektorns molntjänstanvändning medför att uppgifter, däribland sekretessreglerade sådana, överförs till en molntjänst och därmed till en molntjänstleverantör. För att utreda huruvida en sådan överföring är godtagbar enligt svensk rätt krävs en god förståelse av sekretessdefinitionen. Sekretess definieras i 3 kap.

1 § offentlighets- och sekretesslagen som ”ett förbud att röja en uppgift, vare sig det sker muntligen, genom utlämnande av en allmän handling eller på något annat sätt.” Inför en rättsutredning bör det kritiska rekvisitet identifieras. Beträffande sekretessdefinitionen är det kritiska rekvisitet röja, varför det är föremål för en djupgående rättsutredning i kapitel fyra.96 Sekretessdefinitionen uppställer egentligen endast ett förbud mot att röja en sekretessbelagd uppgift. Vid en diskussion om den offentliga sektorns utkontraktering till en molntjänstleverantör är det dock motiverat att initialt klargöra innebörden av röjandebegreppet. Detta då ett konstaterande att sekretessreglerade uppgifter inte röjs för molntjänstleverantören medför att vidare sekretessbedömningar, såsom huruvida sekretess gäller i ett enskilt fall, inte längre aktualiseras.

I det fjärde kapitlet presenteras inledningsvis den upplevda osäkerheten gällande innebörden av röjandebegreppet och befintliga ställningstaganden hos olika aktörer beträffande begreppet. Efter det genomförs en djupgående rättsutredning av röjandebegreppet. Utredningen tillämpar inledningsvis lagtolkningsmetoder avseende begreppet röja i offentlighets- och sekretesslagen. Olika tolkningsmetoder tillämpas och kombineras för att, i den mån som det är möjligt, finna en tydlig definition av röja.97 Vidare utreds den straffrättsliga synen på begreppet röja med syfte att göra en analogisk tolkning. Avslutningsvis görs en sammanvägning av de olika tolkningsresultaten som har framkommit och jag tar ställning till innebörden av röjandebegreppet.

Innan jag påbörjar rättsutredningen vill jag introducera de begrepp som jag använder för att beskriva tolkningsresultaten av röjandebegreppet. Jag nyttjar ”vidsträckt”

och ”begränsad” som attribut. Då jag beskriver ett tolkningsresultat som vidsträckt menas att det är lätt att fullborda ett röjande. Det innebär att många förfaranden kan utgöra ett röjande. För ett tolkningsresultat som beskrivs som begränsat är det däremot svårt att uppfylla rekvisiten för ett röjande. Där förutsätts ett mer kvalificerat förlopp varför få förfaranden utgör ett röjande.

96 Samuelsson & Melander s. 118.

97 Peczenik SvJT 1974 s. 375, Samuelsson & Melander s. 51.

Figure

Updating...

References

Related subjects :