Skatteverkets remissvar m.m.

Sammanfattning

Skatteverket tillstyrker delvis författningsförslagen i betänkandet.

Skatteverket avstyrker den intresseavvägning som föreslås i betänkandet och föreslår att den sekretessbrytande bestämmelsen utformas på ett annat sätt.

Skatteverket anser att röjandebegreppet ska vara generellt tillämpligt och avse avslöjande av innehållet i information utanför sekretesskretsen.

Skatteverket menar att det finns en risk för att myndigheternas behov av utkontraktering av it-drift inte tillgodoses genom den av utredningen valda avgränsningen till teknisk bearbetning eller teknisk lagring, i den föreslagna sekretessbrytande regeln.

Enligt Skatteverket har utredningen underskattat betydelsen av tredjelands lagstiftning och behovet av att beakta existensen av sådan lagstiftning vid tillämpningen av en sekretessbrytande regel för utkontraktering av it-drift.

Skatteverket vill belysa risken med uppgiftskoncentrationer vid utkontraktering som inte på ett tillfredsställande sätt omfattas av författningsreglering.

2. Skatteverkets synpunkter

Skatteverket har ett omfattande och varierat behov av lösningar inom it-området. För att tillgodose dessa behov har myndigheten primärt en omfattande egen it-verksamhet. Samtliga av myndighetens behov inom it-området kan dock inte med ett rimligt ekonomiskt utfall och tillfredsställande kompetensnivå tillgodoses inom ramen för den egna verksamheten. Myndigheten har därför utkontrakterat delar av it-driften och vissa tjänster. Skatteverkets bedömning är att myndighetens behov av utkontraktering inom it-området kommer att öka. Det är en utveckling som drivs av såväl teknisk innovation som krav på rationell drift och ekonomiskt fördelaktiga lösningar inom it-området.

När Skatteverket överväger utkontraktering föregås åtgärden av en analys huruvida den är rättsenlig och lämplig. Det är bitvis ett omfattande arbete som läggs ned på att säkerställa att planerade utkontrakteringar är rättsenliga. Med den lagstiftning som för närvarande gäller har Skatteverket i vissa fall haft svårt att hitta rättsligt säkerställda lösningar för önskade utkontrakteringar.

Skatteverket är positivt inställt till att utkontraktera it-drift när det är rättsligt möjligt och myndigheten bedömer det som lämpligt. Skatteverket välkomnar därför ytterligare initiativ inom lagstiftningsområdet för att möjliggöra en säker, rättsenlig och lämplig utkontraktering.

2.1 Röjandebegreppet

Uttrycket röja definieras inte i lagtexten. Enligt 3 kap. 1 § offentlighets- och sekretesslagen (2009:400) (OSL) innebär sekretess ett förbud att röja en uppgift, vare sig det sker muntligen, genom utlämnande av en allmän handling eller på något annat sätt. Skatteverket uppfattar att systematiskt sett utgör sekretess ett undantag från grundläggande friheter som yttrandefrihet och rätten att ta del av allmänna handlingar. Det sekretessen ska förhindra är att innehållet i en informationsmängd avslöjas för enskilda eller andra. Det är därför tydligt att begreppet röja i OSL ska uppfattas som synonymt med ordet avslöja. Det är först när innehållet i t.ex. en upptagning görs tillgängligt, dvs. avslöjas, för någon utanför sekretesskretsen, till exempel en extern part, som det kan bli aktuellt att tala om ett röjande. Ett sådant betraktelsesätt innebär också att kryptering är ett verkningsfullt sätt att möjliggöra ett utlämnande från en myndighet men förhindra ett röjande. Skatteverket bedömer därutöver att röjandebegreppet är generellt tillämpligt och att det inte kan avgränsas såsom gällande endast i förhållande till vissa aktörer.

2.2 Intresseavvägningen i författningsförslaget

Utredningen föreslår i betänkandet att det ska införas en sekretessbrytande bestämmelse i 10 kap. 2a § OSL. Den intresseavvägning som finns i den föreslagna bestämmelsen mellan å ena sidan sekretessintresset och å andra sidan, primärt, myndigheternas intresse av att ha en rationell och kostnadseffektiv it-drift är problematisk. Utredningen vill med intresseavvägningen säkerställa att myndigheter inte får en ovillkorad möjlighet att utkontraktera it-drift utan att den måste föregås av i varje fall en övergripande prövning med beaktande av sekretessintresset. Det är dock två väsensskilda intressen som utredningen ställer mot varandra i den föreslagna intresseavvägningen. Å ena sidan ett rättsligt formulerat skyddsintresse och å andra sidan myndighetens ekonomiska och driftsmässiga skäl för utkontraktering. En sådan intresseavvägning närmast garanterar en svårtillämpad bestämmelse där skyddet för såväl enskilda uppgifter som uppgiftssamlingar riskerar att urholkas.

Utredningens bedömning att den sekretessbrytande regeln inte bör vara ovillkorlig är enligt Skatteverkets mening rimlig. Frågan är dock vad som ska villkora möjligheten till utkontraktering. Eftersom tillämpningen av den sekretessbrytande bestämmelsen förutsätter att det finns skyddsvärda uppgifter som är sekretessbelagda, bör en utkontraktering istället villkoras av att den utkontrakterande myndigheten tagit ställning till hur skyddsbehovet hos uppgifterna kan tillgodoses även efter att de lämnats ut till tjänsteleverantören. Vid en sådan bedömning behöver inte skyddsintresset ställas mot ekonomiska intressen samtidigt som myndigheten tvingas säkerställa ett skydd för informationen även efter att den lämnats ut till tjänsteleverantören. Härigenom menar Skatteverket att med en sådan utformning av den sekretessbrytande bestämmelsen kan skyddsbehovet för såväl enskildas personuppgifter som uppgifter gällande t.ex. det svenska totalförsvaret beaktas på ett ändamålsenligt sätt.

Oavsett om en sekretessbrytande bestämmelse för att möjliggöra utkontraktering av vissa it-tjänster bygger på en intresseavvägning eller, såsom Skatteverket föreslår, bygger på att skyddsbehovet hos utkontrakterade uppgifter ska upprätthållas, är tillämpligheten i lagen (2020:914) om tystnadsplikt vid utkontraktering av teknisk bearbetning eller lagring av uppgifter (tystnadspliktslagen) central. Upphandling inför utkontraktering sker inte sällan på en internationell marknad. Utredningen lämnar dock frågan öppen hur myndigheterna ska hantera begränsningar i jurisdiktionen för tystnadspliktslagen. Att tystnadsplikt enligt den lagen gäller vid utkontraktering bör i många fall vara en central aspekt för att tillämpa den sekretessbrytande bestämmelsen.

Utredningen ger en del vägledning kring de faktorer som en myndighet ska ta hänsyn till när den vid tillämpningen av den sekretessbrytande bestämmelsen väger sekretessintressen mot intresset av att uppgiften lämnas ut. Utredningen uttrycker därvid att möjligheten att lagföra ett brott mot tystnadsplikt bara kan tas i förhållande till länder utanför EU, detta eftersom det annars finns risk för konflikt med EU-rättens likabehandlingsprincip. Skatteverket anser att utredningen närmare skulle ha undersökt vilka risker detta öppnar vid användandet av den föreslagna sekretessbrytande bestämmelsen. Om alla former av sekretesskyddade uppgifter kan lämnas till utländska molntjänstleverantörer utan att det finns någon straffsanktionerad tystnadsplikt för dessa leverantörer finns en risk för vidarespridning av uppgifter som utredningen borde ha adresserat.

2.3 Teknisk bearbetning eller teknisk lagring

Den föreslagna sekretessbrytande bestämmelsen har begränsats till utkontraktering som avser teknisk bearbetning och teknisk lagring. Det innebär att förslaget, såsom utredningen har avgränsat det, inte tillgodoser myndigheternas behov av en sekretessbrytande regel som medger utkontraktering av it-drift. Därmed finns det en risk att uttrycket kommer tolkas utifrån myndighetens behov vilket kan medföra en varierad och oförutsägbar rättstillämpning. Genom att välja en avgränsning som, såvitt Skatteverket förstått, dessutom inte innefattar vanligt förekommande delar av en utkontraktering, t.ex. support och analys, kommer den tänkta nyttan av bestämmelsen att begränsas. Skatteverket menar att det hade varit mer ändamålsenligt att välja ett vidare uttryck som i högre utsträckning svarar mot myndigheternas behov.

Om uttrycket teknisk bearbetning eller lagring ska användas för att avgränsa den sekretessbrytande regeln, så anser Skatteverket att uttrycket behöver tydliggöras med utgångspunkt i behovet av utkontraktering av modern it-drift. Det finns i annat fall en uppenbar risk att tillämpningen av den sekretessbrytande regeln kommer att variera från myndighet till myndighet.

Utredningen menar att uttrycket teknisk bearbetning eller teknisk lagring är väl inarbetat och påpekar att uttrycket förekommer i OSL, tryckfrihetsförordningen (1949:105) och tystnadspliktslagen. Det finns ingen legaldefinition av uttrycket och Skatteverket menar att även om uttrycket förekommer i annan lagstiftning är själva meningsinnehållet inte tydligt. Det gäller särskilt i en utkontrakteringssituation.

Någon beskrivning över vilka it-tjänster som utredningen anser omfattas av uttrycket lämnas inte. Däremot ger utredningen tre exempel på situationer då teknisk bearbetning eller teknisk lagring inte är för handen; journalföring inom vård- och omsorgssektorn, bedömning av röntgenbilder och patientrådgivning.

Utredningen menar att journalföring inte är teknisk bearbetning. Exemplet som utredningen ger är olyckligt. Journalföring innebär att uppgifter sammanställs och bedömningar nedtecknas, ofta i en elektronisk journalhandling. Skatteverket menar att en sådan omarbetning och sammanställning av uppgifter från ett medium till ett annat är typsituationen av teknisk bearbetning. Bearbeta betyder i dagligt språkbruk att något omformas, t.ex. från digitalt medium till tryckt skrift.

Den föreslagna bestämmelsen tillämpas på uppgifter som lämnas endast för teknisk bearbetning och teknisk lagring. Skatteverket menar att den föreslagna bestämmelsen kan tillämpas vid utkontraktering där leverantörens personal har tillgång till uppgifterna i läsbart skick utan administrativa eller tekniska begränsningar. Bestämmelsens tillämpningsområde inbegriper således situationer där leverantörens personal utför vissa manuella åtgärder som inte utesluter tillgång till läsbara uppgifter, exempelvis utskrift och manuell kuvertering.

2.4 Bristen på överväganden kring tredjelands lagstiftning

I och med utredningens syn på röjandebegreppet har betydelsen av tredjelands lagstiftning, t.ex. Foreign Intelligence Surveillance Act section 702 (FISA 702) och Clarifying Lawful Overseas Use of Data Act (CLOUD Act), för möjligheten att utkontraktera it-drift förbisetts så gott som helt. Utredningen påpekar att tredjelands lagstiftning kan tillmätas betydelse när utkontrakteringen prövas mot dataskyddslagstiftningen. Från ett OSL-perspektiv förefaller dock utredningen anse att tredjelands lagstiftning inte är relevant.

Skatteverket anser att det är en brist i utredningen att tredjelands lagstiftning och dess påverkan på förutsättningarna för utkontraktering av it-drift inte berörts mer ingående. Frågan om tillämplig tredjelands lagstiftning är inte endast en fråga för dataskyddslagstiftningen utan också en fråga att ta ställning till inom ramen för OSL.

Skatteverkets utgångspunkt är att uppgifter som lämnas till leverantörer som är verksamma i EU/EES, och som omfattas av ett tredjelands jurisdiktion, är utsatta för risken att överlämnas till myndigheter utanför EU/EES som bedriver övervakning och underrättelseinhämtning. Utredningen har tolkat 8 kap. 3 § OSL, om sekretess gentemot utländska myndigheter, som att den bara gäller vid direkta utlämnanden. Enligt utredningen skulle bestämmelsen därför inte utgöra något hinder mot att lämna uppgifter till exempelvis en molntjänstleverantör som kan behöva lämna uppgifterna vidare till utländska myndigheter efter begäran från dessa. Mot detta talar att uppgifter som är tillgängliga för en myndighet i en molntjänst, som tillhandahålls av ett biträde till myndigheten, ska anses förvarade hos myndigheten även fortsättningsvis och tas fram av myndigheten om utomstående begär ut dem. Skatteverket delar därför inte synen att myndigheternas ansvar inskränker sig till det utlämnande som sker till molntjänstleverantören. Myndigheterna måste också ta hänsyn till och ansvara för vad som sker med uppgifterna i ett senare skede.

Även om utredningens tolkning av 8 kap. 3 § OSL skulle vara juridiskt korrekt kan det inte anses acceptabelt att en myndighet ska kunna lämna ut uppgifter inom ramen för en utkontraktering och därigenom, utan att behöva ta något ansvar för det, medverka till att sekretesskyddade uppgifter lämnas vidare till utländska myndigheter. Enligt Skatteverkets mening borde förekomsten av tredjelands lagstiftning som gör att ett sådant utlämnande riskerar att ske därför vara en viktig aspekt vid tillämpningen av den föreslagna sekretessbrytande regeln.

Jämfört med CLOUD Act är FISA 702 extra problematisk bl.a. för att den har ett mer omfattande syfte, genomförs med stöd av mer omfattande principer samt att andra länders myndigheter uttryckligen inkluderas som målgrupp inom ramen för lagens tillämpningsområde. Skatteverket anser att en god förståelse för FISA 702 och annan likvärdig tredjelands lagstiftning är av avgörande betydelse för att en myndighet ska kunna bedöma lagligheten och lämpligheten i överföringen av sekretessreglerade uppgifter och/eller personuppgifter till en leverantör bunden av sådan lagstiftning.

2.5 Problematiska uppgiftskoncentrationer

Det allmännas utkontraktering av it-drift bör ske med målet att skapa säkra och robusta lösningar som tillgodoser myndigheternas behov av it-lösningar. Genom att införa en sekretessbrytande regel möjliggör lagstiftaren för myndigheterna att utifrån OSL självständigt pröva utkontraktering av it-drift utifrån sina egna förutsättningar. Det är bra och Skatteverket instämmer här i utredningens slutsatser. Trots detta kan varken Skatteverket eller någon annan myndighet bortse från potentiella problem som redan finns, och som riskerar att accentueras genom en successivt mer omfattande utkontraktering. Ett problem som Skatteverket anser behöver adresseras är förekomsten av uppgiftskoncentrationer hos privata tjänsteleverantörer. Tjänsteleverantörer som inte sällan omfattas av främmande lands rättsordning som ställer krav på uppgiftsutlämnande.

Kravställningsarbetet för myndigheterna inför upphandling av it-drift är viktigt och lämpliga avvägningar behöver göras utifrån verksamhetens krav och förutsättningar. Ska en privat tjänsteleverantör anlitas för att utföra it-tjänster måste de krav som ställs på informationssäkerhet, säkerhetsskydd, sekretess och dataskydd alltid upprätthållas. Skatteverket tar detta kravställningsarbete på stort allvar och myndigheten utgår ifrån att andra myndigheter, kommuner m.fl. gör samma bedömning. Skatteverkets arbete med kravställning kan dock endast utgå från myndighetens egna förutsättningar. Någon reell möjlighet att ta hänsyn till riskerna med aggregering eller ackumulering av uppgifter från andra myndigheter finns inte.

En myndighet är i samband med en utkontraktering skyldig att beakta mängden uppgifter och konsekvenserna av att dessa sammanställs. Det innebär att förändringen i skyddsbehov hos enstaka uppgifter eller enstaka uppgiftssamlingar som uppkommer genom att de tillförs andra uppgifter eller andra uppgiftssamlingar måste beaktas av myndigheten. Myndigheten är dock endast skyldig att beakta de egna uppgiftssamlingarna och vad t.ex. en koncentration av dessa får för betydelse i informationssäkerhetshänseende. Myndigheten är dock inte skyldig att bedöma hur skyddsvärdet hos myndighetens uppgifter påverkas av att andra myndigheters uppgifter hanteras av samma tjänsteleverantör. Här faller istället ett ansvar på tjänsteleverantören.

Beslut om utkontraktering som grundar sig på bristande informationssäkerhetsarbete kan innebära säkerhetsrisker. Det problem som Skatteverket vill belysa kan uppkomma trots att några sådana brister inte finns. Även med en klanderfri upphandlingsprocess där varje tänkbart skyddsbehov bejakats kan uppgiftskoncentrationer uppkomma som innebär säkerhetsrisker. Enligt Skatteverkets uppfattning är detta otillfredsställande och frågan om hur myndigheterna själva ska kunna beakta risken för att nationella sårbarheter uppkommer genom uppgiftskoncentrationer behöver adresseras till lagstiftaren.

3. Konsekvenser för Skatteverket

Med den föreslagna sekretessbrytande regeln kommer Skatteverket, såväl som andra myndigheter, att få tillgång till ytterligare ett verktyg som möjliggör utkontraktering av it-drift.