ES2023-06 Vägledning Utkontraktering - sekretess och dataskydd

Utkontraktering (eller outsourcing), dvs. att låta externa tjänsteleverantörer utföra funktioner som annars skulle skötas i egen regi, är en viktig del i myndigheternas strategi för att utveckla den digitala förvaltningen. Utkontraktering som utförs av annan myndighet benämns ibland samordning. I denna vägledning används begreppet utkontraktering både för utkontraktering som utförs av enskild leverantör och utkontraktering som utförs av en annan myndighet.

Utkontraktering kan avse olika typer av it-tjänster, t.ex. infrastrukturtjänster, molntjänster, systemleveranstjänster, it-konsulttjänster, it-projekt och liknande. Många myndigheter har utkontrakterat drift och förvaltning av informationssystem, tekniskt stöd såsom it-support samt teknisk bearbetning såsom skanning, tryck och postbefordran av dokument och liknande funktioner.

Komplexiteten i kravställningen som en upphandlande myndighet behöver göra vid utkontraktering, har med åren ökat markant, bl.a. genom tillkomsten av EU:s dataskyddsförordning (dataskyddsförordningen), NIS2-direktivet, U.S CLOUD Act, sektion 702 av Foreign Intelligence Surveillance Act (FISA 702) och liknande regelverk i andra länders lagstiftning. Därtill har ändringar skett av säkerhetskyddslagstiftningen och lagen (2020:914) om tystnadsplikt vid utkontraktering av teknisk bearbetning eller lagring av uppgifter (tystnadspliktslagen) har tillkommit.