I mitten av augusti lämnade regeringen in en lagrådsremiss med rubriken ”Tystnadsplikt vid utkontraktering av teknisk bearbetning eller lagring av uppgifter” som en del av Digitaliseringsrättsutredningen som påbörjades 2016.
Det är en gedigen remiss med potential att delvis förändra hur myndigheter prioriterar sina resurser och vilken roll it-tjänsteleverantören får framöver.
Lagrådsremissen innebär att en ny lag föreslås om tystnadsplikt när en extern leverantör endast tekniskt bearbetar eller lagrar uppgifter. Som lagen är konstruerad i dag råder inte privata aktörer under någon lagstiftad sekretess för dessa uppgifter och det skapar en stor osäkerhet på området.
Det är helt enkelt på tiden att vi får en modern sekretesslagstiftning att förhålla oss till och en som rent krasst kommit ifatt verkligheten.
Många myndigheter ser det som nödvändigt att lagra data externt utanför den egna organisationen för att kunna bedriva verksamhet utifrån bästa möjliga förutsättningar. Men det gör det även svårt för myndigheter att få en god överblick gällande om den externa parten i sin tur behöver anlita underleverantörer.
It-tjänsteleverantörer likställs med myndigheter
För att kringgå nuvarande problematik har myndigheter visserligen kunnat skriva privata sekretessavtal med externa leverantörer. Faran med ett sådant tillvägagångssätt är att det inte haft lika mycket styrka som den sekretess som finns om uppgifterna i stället lagras på plats hos myndighet.
Parterna kan avtala om vite om uppgifterna röjs men det har varit något tandlöst eftersom det inte är brottsligt att bryta mot dessa om uppgiften som sådan inte lagmässigt lyder under någon sekretess.
Att det existerar en stor tvekan kring just sekretesskydd har förmodligen alla it-tjänsteleverantörer som arbetat med upphandlingar blivit varse om. Att lägga ut data externt är vanligt förekommande men på grund av osäkerheten som råder med nuvarande lagstiftning har en del myndigheter valt att utveckla egna tjänster eller kontraktera kostsamma konsulter för att kunna drifta lösningar internt.
Just därför är det otroligt viktigt att det här området nu utreds. Om lagrådsremissen blir verklighet innebär det att en it-tjänsteleverantör framöver likställs med en myndighet sett till sekretesskydd och därmed får samma rättsliga påföljder vid bruten tystnadsplikt.
Understrykas bör att förslaget inte leder till minskad risk för att uppgifter läcker ut – något vi under de senaste åren sett flera exempel på. Oavsett om data hanteras internt på myndigheten eller någon annanstans måste säkerhetskraven naturligtvis vara höga.
Bättre möjligheter att värna om skattepengarna
Effekten lär inte bli omedelbar – myndigheter som satsat stora resurser på interna lösningar kommer inte att över en natt styra om. Men långsiktigt, för att ytterligare stärka samspelet mellan myndigheter och it-tjänsteleverantörer, är lagrådsremissen mycket välkommen. Återigen: Nu får vi en mer modern lagstiftning som kommit ikapp verkligheten.
Framför allt öppnar den för nya möjligheter framöver, där myndigheter ges mer valfrihet och mer effektivt kan se över resursfördelningen. Man behöver helt enkelt inte ägna sig åt saker som ligger en bra bit utanför kärnverksamheten när externa parter samtidigt lyder under samma lag.
Som ett led i att skapa ett samhälle där våra myndigheter bättre värnar om våra skattepengar – och inte minst för att bibehålla Sveriges position som ett föregångsland inom digitalisering – är det här ett nödvändigt steg i rätt riktning.
Lucas Pattenden
Anbudschef på Dell Technologies Sverige
Vill du fördjupa dig i kravarbete, utvärdering och förhandling i IT-upphandlingar, i syfte att göra bättre IT-affärer? Gå kursen som Upphandling24 arrangerar “Fortsättningskurs IT-upphandling” Läs mer här!
Kommentatorerna ansvarar för sina egna kommentarer