Nytt JO-beslut kan begränsa möjligheter för myndigheter att anlita privata företag

| Av Hanna Stenvall | Tipsa redaktionen

Det har blivit allt vanligare att svenska myndigheter lägger ut delar av sin verksamhet till privata företag eller tillfälligt hyr in extern personal för arbete med myndighetens verksamhet, till exempel vid arbetstoppar. I ett färskt beslut avseende inhyrda läkarsekreterare har JO meddelat allvarlig kritik mot ett sådant upplägg, eftersom det innebar ett otillåtet utlämnande av sekretessbelagda uppgifter. Beslutet sätter frågetecken kring i vilken omfattning myndigheter kan anlita privata företag för behandling av sekretesskyddat material, exempelvis inom ramen för molntjänster, IT-driftstjänster och andra tjänster som utförs på distans.

Det har blivit allt vanligare att svenska myndigheter lägger ut delar av sin verksamhet till privata företag eller tillfälligt hyr in extern personal för arbete med myndighetens verksamhet, till exempel vid arbetstoppar. I ett färskt beslut avseende inhyrda läkarsekreterare har JO meddelat allvarlig kritik mot ett sådant upplägg, eftersom det innebar ett otillåtet utlämnande av sekretessbelagda uppgifter. Beslutet sätter frågetecken kring i vilken omfattning myndigheter kan anlita privata företag för behandling av sekretesskyddat material, exempelvis inom ramen för molntjänster, IT-driftstjänster och andra tjänster som utförs på distans.

I Sverige har vi som bekant en stark offentlighetsprincip. Offentlighetsprincipen innebär bland annat att allmänheten har en utbredd rätt att få del av allmänna handlingar som är offentliga, alltså inte belagda med sekretess. Bestämmelser om vilka uppgifter som skyddas av sekretess och hur sådana uppgifter ska hanteras finns framför allt i offentlighets- och sekretesslagen, OSL. Som exempel kan nämnas att OSL innehåller regler om sekretess för uppgifter om enskildas hälsotillstånd (exempelvis uppgifter i en läkarjournal), skatteuppgifter och företagshemligheter. Den 9 september i år meddelade Justitieombudsmannen, JO, allvarlig kritik mot att vissa vårdgivare inom Västra Götalandsregionen och Stockholms läns landsting lämnat ut sekretessbelagd information om patienter till privata aktörer (beslut med dnr 3032-2011). Även om JO:s beslut inte har samma ställning som till exempel en dom från en domstol så väcker det ändå en hel del intressanta frågeställningar.

Bakgrunden till JO:s beslut var att vårdgivare inom Västra Götalandsregionen och Stockholms läns landsting hade ingått ett avtal med ett privat bemanningsföretag inom vårdbranschen om att företaget skulle tillhandahålla läkarsekreterartjänster på distans. Rent konkret innebar detta att läkarsekreterarna lyssnade av inlästa diktat, ofta i sin bostad, och skrev in uppgifter i patientens journal. Hanteringen var helt elektronisk och uppgifter lagrades aldrig utanför vårdgivarnas IT-system.
Att en uppgift är belagd med sekretess innebär att det är förbjudet för den som omfattas av sekretessen att muntligen, genom utlämnande av en allmän handling eller på något annat sätt, röja uppgiften. De som omfattas av sekretess är såväl myndigheterna som dess så kallade funktionärer, se mer om detta begrepp nedan.

Sekretessreglerna i OSL kan vara utformade på olika sätt. I vissa fall - som förundersökningar i brottmål - är sekretessen svag och det finns en presumtion för offentlighet (så kallat rakt skaderekvisit). I andra fall är sekretessen stark, till exempel för journaluppgifter. I sådana fall måste det stå klart att utlämnandet inte kan leda till skada, annars får inte uppgifterna lämnas ut (så kallat omvänt skaderekvisit). Slutligen finns det fall, exempelvis offentlig upphandling, där det råder absolut sekretess. Det är den starkaste formen av sekretess och innebär att uppgifterna är hemliga och att det inte behöver göras någon skadeprövning.

Utöver myndigheterna så omfattas som sagt även ”myndigheternas funktionärer” av tystnadsplikt. Med myndigheternas funktionärer avses personer som fått kännedom om en uppgift genom att för det allmännas räkning delta i en myndighets verksamhet på grund av

* anställning eller uppdrag hos myndigheten
* tjänsteplikt eller
* på grund av någon annan liknande grund (2 kap. 1 § OSL).

Att tystnadsplikt gäller anställda hos en myndighet och de som utför tjänsteplikt är naturligt och behöver nog ingen mer ingående förklaring. Vilka som omfattas av tystnadsplikt på grund av ”uppdrag hos myndigheten” eller ”annan liknande grund” är dock mer problematiskt och här ger det aktuella JO-beslutet viss vägledning men öppnar också upp för en hel del gränsdragningsproblematik.

Till att börja med är det enbart fysiska personer som kan omfattas av tystnadsplikt på grund av ”uppdrag hos myndigheten”. Privata företag kan således inte omfattas av tystnadsplikt på denna grund. I många branscher är det vanligt att myndigheter ingår avtal med bemanningsföretag, alltså inte direkt med den uthyrda personalen.
Det innebär att bemanningsföretagets anställda i regel inte kan omfattas av tystnadsplikt på grund av ”uppdrag hos myndigheten”. Av förarbetena till lagstiftningen framgår dock att bemanningsföretagens anställda ofta omfattas av tystnadsplikt på ”annan liknande grund”. Detta då anställda hos bemanningsföretag vanligtvis ställs till myndighetens förfogande och deltar i myndighetens verksamhet på ett sätt som motsvarar att myndigheten ingått avtal direkt med arbetstagaren.

Av domstolspraxis framgår också att bland annat ordningsvakter kan ha en sådan anknytning till en myndighet att de omfattas av tystnadsplikt (jmf RÅ 1998 ref. 11). I sådana fall är det viktigt att upplysa dessa om vad tystnadsplikten innebär, särskilt då det i vissa fall är straffbelagt att röja en sekretessbelagd uppgift (brott mot tystnadsplikt, se 20 kap. 3 § brottsbalken).
I det aktuella JO-fallet ansåg JO dock att läkarsekreterarna inte omfattades av tystnadsplikt enligt OSL, varken på grund av ”uppdrag hos myndigheten” eller ”på annan liknande grund”. Sin bedömning grundade JO huvudsakligen på att de enskilda läkarsekreterarna i praktiken inte ställts till vårdgivarnas förfogande samt att vårdgivarna inte bestämde vem hos företaget som skulle utföra arbetet, behandla en viss uppgift och inte heller i övrigt hade något direkt inflytande över läkarsekreterarnas arbete. Konsekvensen av detta blev att sekretessbelagda uppgifter hade lämnats ut till personer som inte omfattas av tystnadsplikt. En lärdom i denna del är att exempelvis anställda hos bemanningsföretag - för att omfattas av tystnadsplikt på grund av ”annan liknande grund” - måste ”inkorporeras” i myndighetens verksamhet på ett sätt som motsvarar att myndigheten ingått avtal direkt med den anställde. Detta lär bli särskilt svårtillämpat vid arbete på distans.

Även om en uppgift omfattas av sekretess kan det finnas vissa så kallade sekretessbrytande bestämmelser som gör att uppgiften ändå får lämnas ut under vissa förutsättningar. En av dessa bestämmelser är att sekretessbelagda uppgifter får lämnas ut om det är ”nödvändigt” för att myndigheten ska kunna klara sin verksamhet (se 10 kap. 2 § OSL). JO har tidigare bedömt att det skulle kunna anses nödvändigt för skattemyndigheterna att lämnade ut sekretessbelagda deklarationer till privata dataföretag för registrering - och detta trots att absolut sekretess gäller för sådana uppgifter (dnr 149-1980). I det nu aktuella fallet gjorde dock JO en mer restriktiv bedömning och menade att det enbart kan vara ”nödvändigt” att lämna ut sekretessbelagda uppgifter om sekretessen annars gör det omöjligt för myndigheten och dess personal att sköta de uppgifter som myndigheten ansvarar för.

Med tanke på att vårdgivarna till exempel hade kunnat omfördela befintlig personal eller till och med anställa ny personal ansåg inte JO att utlämnandet var ”nödvändigt” i OSL:s mening. Detta får, enligt vår uppfattning, anses som en relativt strikt bedömning och tillämpning av JO. Slutsatsen i JO:s beslut var att läkarsekreterarna inte omfattades av en straffsanktionerad tystnadsplikt.
Detta innebar, enligt JO:s uppfattning, att de sekretessbelagda uppgifterna inte kunde lämnas ut till läkarsekreterarna utan risk för att patienterna led skada (omvänt skaderekvisit). Beslutet medför en hel del frågetecken kring hur privata företag ska inrätta sin avtalsrelation med myndigheter för att utlämnande av sekretessbelagda uppgifter ska vara förenligt med OSL. Beslutet ställer också flera tillämpnings- och gränsdragningsfrågor, inte minst avseende andra typer av tjänster där sekretessbelagd information behandlas av privata företag utom myndighetens faktiska kontroll, som IT-driftstjänster och molntjänster. Det finns säkerligen anledning för oss att återkomma till dessa frågor framöver.

Daniel Lundqvist och Fredrik Gustafsson, Delphi Advokatbyrå


Håll dig uppdaterad med Skydd & Säkerhet
Är du prenumerant? Bli prenumerant

Med en prenumeration får du obegränsad tillgång till webbtidningen. Läs webbtidningen online.


Skriv din kommentar
Startsidan just nu

Så nystades IT-härvan upp

Nyligen startade rättegången mot huvudmannen i det malmöbaserade kriminella gäng som misstänks ligga bakom den största IT-härvan i Sverige.

Öppet hus hos Försvarsmakten

Igår, söndag, var det försvarsfokus på Gärdet i Stockholm när Försvarsmakten ordnade en försvarsdag för allmänheten.

Finalisterna redo för Security Awards

Säkerhetsbranschens egna pris delas ut i oktober.

Han avgår som vd

Microsoft automatiserar säkerheten för Windows 10

Assa Abloy köper amerikanskt bolag

Coop i Kristianstad anställer vakter

Arkiv

50 appar sprider skadlig kod

Dataintrångsliga sprängd

Synlig polis minskar oron

Enligt Brottförebyggande rådet, Brå, oroar sig allt fler svenskar för att bli utsatta för överfall eller misshandel. I en undersökning listas de motåtgärder som svenskarna tror på.

Kameror och robotar kan vara hackade

Svenskarna gillar säkerhetskameror

Ingen går säker för skadlig kod

Massiva attacker av skadlig kod, ransomware, har blivit högsta mode bland cyberkriminella.

Militärkrubb till 19 000

Fazer är huvudleverantör av lisvmedel och måltider till Sveriges största militäröving på 20 år- Aurora 17.

Aurora 17 kommer att märkas

Nu vill säkerhetsbranschen kliva in på arenan

Ransomware- årets affärssuccé

På CPX Sweden, säkerhetsföretaget Checkpoints seminarium om cybersäkerhet som hölls i Stockholm nyligen, talade Magnus Sköld, säkerhetsingenjör, om den senaste tidens ransomware-attacker ur ett lite annorlunda perspektiv.

Svenskar slarvar trots riskmedvetenet

Cykelhjälmsanvändningen står still

Forskning kan hejda våldspiral

Kupp mot modebutiker

Nu utreds våld mot närstående

PCI-DSS skyddar väl mot datastöld

IT-och telekomföretaget Verizon publicerade på måndagen sin årliga rapport om betalkortsäkerhet, kallad Verizon 2017 Payment Security Report. Den visar att säkerhetsstandarden PCI DSS verkligen ger ett gott skydd mot stöld av kortinnehavares data ur betalsystemen.

Ny chefsekonom på Svensk Handel

Släpp reglerna – se till sammanhanget!

Statsministern polisanmäld

Krafttag mot falska nyheter

Brist på insikt om GDPR

Ljusteknikföretag till börsen

Amerikansk certifiering säkrar dataflöden

Stockholm har valt säkerhetsleverantör

Cyberkriminella utbildar on-line

Svensk styrka till Somalia

Nätskurk hittad

Securitas-vd utsedd

Sänd till en kollega

0.14