Kommentar till kritisk rapport om molntjänster i offentlig sektor

I rapporten kritiseras att eSam och Försäkringskassan lyfter frågor om att skydda Sveriges digitala suveränitet och sekretessreglerade uppgifter i svensk förvaltning.

Ur flera perspektiv är det viktigt att göra konsekvensanalyser och riskbedömningar av ny teknik. Digitaliseringen fortgår och den kommer, rätt använd, att kunna ge stor samhällsnytta. De här bedömningarna är vi som myndigheter skyldiga att göra och ha en uppfattning om.

Var för sig, och oberoende av varandra, har våra analyser visat på samma sak - att det är oförenligt med svensk rätt att lämna ut uppgifter till en extern leverantör, om det inte är osannolikt att leverantören tar del av uppgifterna eller lämnar ut dem till någon annan.

Rapportförfattarna förefaller egentligen eniga med oss om den rättsliga analysen, men gör en diametralt annan värdering av risken. De menar att det i princip är uteslutet att andra länders myndigheter skulle utnyttja sina lagliga möjligheter till informationsinhämtning.

En riskvärdering ändrar dock ingenting i sak. För att i det här läget ge oss anledning att ompröva våra analyser, krävs en prövning i en prejudicerande domstol, eller åtminstone någon typ av ny information. Någon sådan finns inte i Cirios rapport.

Det är också viktigt att komma ihåg att en svensk myndighet inte får avstå skyldigheten att själv pröva varje utlämnandefråga. Att avstå en sådan prövning är oförenligt med svensk rätt.[1] Detta gäller även när molntjänstleverantören får en begäran från en myndighet i annat land.

Vår bedömning är alltså att det strider mot lag att teckna ett outsourcingkontrakt där denna regel inte kan upprätthållas och att därefter lämna ut uppgifter till tjänsteleverantören. Uppgifterna måste anses vara röjda redan genom att ha lämnats till tjänsteleverantören eftersom denna juridiska brist kring utlämnandeprövningen föreligger. Tecknar en myndighet ändå kontrakt med en aktör som omfattas av en skyldighet att lämna ut uppgifter till myndighet i tredjeland, kringgås det skydd som offentlighets- och sekretesslagen ska ge.

Liksom rapportförfattarna inser vi att detta kan begränsa det offentligas möjligheter att använda vissa molntjänster och att det också kan försvåra arbetet med teknikutveckling. Lösningen på dessa problem är dock inte att bryta mot lagen utan måste vara att utveckla tjänsterna och avtalen så att de är förenliga med svensk lag.

eSam och Försäkringskassan står fast vid uppfattningen om det rimliga i, att tillsammans med andra aktörer sträva efter en fortsatt teknikutveckling av svenska myndigheters verksamhet. Vi står också fast vid uppfattningen om det rimliga i att värna Sveriges digitala suveränitet och tillgodogöra oss nyttan av molntjänster samtidigt som vi följer gällande svensk rätt och värnar om enskildas integritet.

Katrin Westling Palm, ordförande eSam och Generaldirektör Skatteverket
Nils Öberg, Generaldirektör Försäkringskassan

[1] Att en sekretessprövning av det här slaget inte kan göras på förhand, följer redan av ordalydelsen i 8 kap. 3 § OSL.