23948sdkhjf

Nytt JO-beslut kan begränsa möjligheter för myndigheter att anlita privata företag

| Av Hanna Stenvall | Tipsa redaktionen

Det har blivit allt vanligare att svenska myndigheter lägger ut delar av sin verksamhet till privata företag eller tillfälligt hyr in extern personal för arbete med myndighetens verksamhet, till exempel vid arbetstoppar. I ett färskt beslut avseende inhyrda läkarsekreterare har JO meddelat allvarlig kritik mot ett sådant upplägg, eftersom det innebar ett otillåtet utlämnande av sekretessbelagda uppgifter. Beslutet sätter frågetecken kring i vilken omfattning myndigheter kan anlita privata företag för behandling av sekretesskyddat material, exempelvis inom ramen för molntjänster, IT-driftstjänster och andra tjänster som utförs på distans.

Det har blivit allt vanligare att svenska myndigheter lägger ut delar av sin verksamhet till privata företag eller tillfälligt hyr in extern personal för arbete med myndighetens verksamhet, till exempel vid arbetstoppar. I ett färskt beslut avseende inhyrda läkarsekreterare har JO meddelat allvarlig kritik mot ett sådant upplägg, eftersom det innebar ett otillåtet utlämnande av sekretessbelagda uppgifter. Beslutet sätter frågetecken kring i vilken omfattning myndigheter kan anlita privata företag för behandling av sekretesskyddat material, exempelvis inom ramen för molntjänster, IT-driftstjänster och andra tjänster som utförs på distans.

I Sverige har vi som bekant en stark offentlighetsprincip. Offentlighetsprincipen innebär bland annat att allmänheten har en utbredd rätt att få del av allmänna handlingar som är offentliga, alltså inte belagda med sekretess. Bestämmelser om vilka uppgifter som skyddas av sekretess och hur sådana uppgifter ska hanteras finns framför allt i offentlighets- och sekretesslagen, OSL. Som exempel kan nämnas att OSL innehåller regler om sekretess för uppgifter om enskildas hälsotillstånd (exempelvis uppgifter i en läkarjournal), skatteuppgifter och företagshemligheter. Den 9 september i år meddelade Justitieombudsmannen, JO, allvarlig kritik mot att vissa vårdgivare inom Västra Götalandsregionen och Stockholms läns landsting lämnat ut sekretessbelagd information om patienter till privata aktörer (beslut med dnr 3032-2011). Även om JO:s beslut inte har samma ställning som till exempel en dom från en domstol så väcker det ändå en hel del intressanta frågeställningar.

Bakgrunden till JO:s beslut var att vårdgivare inom Västra Götalandsregionen och Stockholms läns landsting hade ingått ett avtal med ett privat bemanningsföretag inom vårdbranschen om att företaget skulle tillhandahålla läkarsekreterartjänster på distans. Rent konkret innebar detta att läkarsekreterarna lyssnade av inlästa diktat, ofta i sin bostad, och skrev in uppgifter i patientens journal. Hanteringen var helt elektronisk och uppgifter lagrades aldrig utanför vårdgivarnas IT-system.
Att en uppgift är belagd med sekretess innebär att det är förbjudet för den som omfattas av sekretessen att muntligen, genom utlämnande av en allmän handling eller på något annat sätt, röja uppgiften. De som omfattas av sekretess är såväl myndigheterna som dess så kallade funktionärer, se mer om detta begrepp nedan.

Sekretessreglerna i OSL kan vara utformade på olika sätt. I vissa fall - som förundersökningar i brottmål - är sekretessen svag och det finns en presumtion för offentlighet (så kallat rakt skaderekvisit). I andra fall är sekretessen stark, till exempel för journaluppgifter. I sådana fall måste det stå klart att utlämnandet inte kan leda till skada, annars får inte uppgifterna lämnas ut (så kallat omvänt skaderekvisit). Slutligen finns det fall, exempelvis offentlig upphandling, där det råder absolut sekretess. Det är den starkaste formen av sekretess och innebär att uppgifterna är hemliga och att det inte behöver göras någon skadeprövning.

Utöver myndigheterna så omfattas som sagt även ”myndigheternas funktionärer” av tystnadsplikt. Med myndigheternas funktionärer avses personer som fått kännedom om en uppgift genom att för det allmännas räkning delta i en myndighets verksamhet på grund av

* anställning eller uppdrag hos myndigheten
* tjänsteplikt eller
* på grund av någon annan liknande grund (2 kap. 1 § OSL).

Att tystnadsplikt gäller anställda hos en myndighet och de som utför tjänsteplikt är naturligt och behöver nog ingen mer ingående förklaring. Vilka som omfattas av tystnadsplikt på grund av ”uppdrag hos myndigheten” eller ”annan liknande grund” är dock mer problematiskt och här ger det aktuella JO-beslutet viss vägledning men öppnar också upp för en hel del gränsdragningsproblematik.

Till att börja med är det enbart fysiska personer som kan omfattas av tystnadsplikt på grund av ”uppdrag hos myndigheten”. Privata företag kan således inte omfattas av tystnadsplikt på denna grund. I många branscher är det vanligt att myndigheter ingår avtal med bemanningsföretag, alltså inte direkt med den uthyrda personalen.
Det innebär att bemanningsföretagets anställda i regel inte kan omfattas av tystnadsplikt på grund av ”uppdrag hos myndigheten”. Av förarbetena till lagstiftningen framgår dock att bemanningsföretagens anställda ofta omfattas av tystnadsplikt på ”annan liknande grund”. Detta då anställda hos bemanningsföretag vanligtvis ställs till myndighetens förfogande och deltar i myndighetens verksamhet på ett sätt som motsvarar att myndigheten ingått avtal direkt med arbetstagaren.

Av domstolspraxis framgår också att bland annat ordningsvakter kan ha en sådan anknytning till en myndighet att de omfattas av tystnadsplikt (jmf RÅ 1998 ref. 11). I sådana fall är det viktigt att upplysa dessa om vad tystnadsplikten innebär, särskilt då det i vissa fall är straffbelagt att röja en sekretessbelagd uppgift (brott mot tystnadsplikt, se 20 kap. 3 § brottsbalken).
I det aktuella JO-fallet ansåg JO dock att läkarsekreterarna inte omfattades av tystnadsplikt enligt OSL, varken på grund av ”uppdrag hos myndigheten” eller ”på annan liknande grund”. Sin bedömning grundade JO huvudsakligen på att de enskilda läkarsekreterarna i praktiken inte ställts till vårdgivarnas förfogande samt att vårdgivarna inte bestämde vem hos företaget som skulle utföra arbetet, behandla en viss uppgift och inte heller i övrigt hade något direkt inflytande över läkarsekreterarnas arbete. Konsekvensen av detta blev att sekretessbelagda uppgifter hade lämnats ut till personer som inte omfattas av tystnadsplikt. En lärdom i denna del är att exempelvis anställda hos bemanningsföretag - för att omfattas av tystnadsplikt på grund av ”annan liknande grund” - måste ”inkorporeras” i myndighetens verksamhet på ett sätt som motsvarar att myndigheten ingått avtal direkt med den anställde. Detta lär bli särskilt svårtillämpat vid arbete på distans.

Även om en uppgift omfattas av sekretess kan det finnas vissa så kallade sekretessbrytande bestämmelser som gör att uppgiften ändå får lämnas ut under vissa förutsättningar. En av dessa bestämmelser är att sekretessbelagda uppgifter får lämnas ut om det är ”nödvändigt” för att myndigheten ska kunna klara sin verksamhet (se 10 kap. 2 § OSL). JO har tidigare bedömt att det skulle kunna anses nödvändigt för skattemyndigheterna att lämnade ut sekretessbelagda deklarationer till privata dataföretag för registrering - och detta trots att absolut sekretess gäller för sådana uppgifter (dnr 149-1980). I det nu aktuella fallet gjorde dock JO en mer restriktiv bedömning och menade att det enbart kan vara ”nödvändigt” att lämna ut sekretessbelagda uppgifter om sekretessen annars gör det omöjligt för myndigheten och dess personal att sköta de uppgifter som myndigheten ansvarar för.

Med tanke på att vårdgivarna till exempel hade kunnat omfördela befintlig personal eller till och med anställa ny personal ansåg inte JO att utlämnandet var ”nödvändigt” i OSL:s mening. Detta får, enligt vår uppfattning, anses som en relativt strikt bedömning och tillämpning av JO. Slutsatsen i JO:s beslut var att läkarsekreterarna inte omfattades av en straffsanktionerad tystnadsplikt.
Detta innebar, enligt JO:s uppfattning, att de sekretessbelagda uppgifterna inte kunde lämnas ut till läkarsekreterarna utan risk för att patienterna led skada (omvänt skaderekvisit). Beslutet medför en hel del frågetecken kring hur privata företag ska inrätta sin avtalsrelation med myndigheter för att utlämnande av sekretessbelagda uppgifter ska vara förenligt med OSL. Beslutet ställer också flera tillämpnings- och gränsdragningsfrågor, inte minst avseende andra typer av tjänster där sekretessbelagd information behandlas av privata företag utom myndighetens faktiska kontroll, som IT-driftstjänster och molntjänster. Det finns säkerligen anledning för oss att återkomma till dessa frågor framöver.

Daniel Lundqvist och Fredrik Gustafsson, Delphi Advokatbyrå


Håll dig uppdaterad med Skydd & Säkerhet
Är du prenumerant? Bli prenumerant

Med en prenumeration får du obegränsad tillgång till webbtidningen. Läs webbtidningen online.


Skriv din kommentar
Inläggen nedan modereras inte i förväg och omfattas därmed inte av webbplatsens utgivningsbevis.
Startsidan just nu

Fortsatt irritation mot Securitas

Migrationsverket: "Vi hamnar kring 80 miljoner"

”Summan har ingen verklighetsförankring”

Securitas vd Joachim Källsholm menar att Migrationsverkets summa inte stämmer.

Twitter öppnar upp trollfarmsarkiv

Nu inleder Datainspektionen GDPR-granskning

Fokus på samtycke som rättslig grund.

PÅ NYTT JOBB
Hon ska hjälpa handeln mot bedrägerier

Svensk Handel rekryterar expert från Polisen.

Väktare stal för över 100 000 från kund

Nyhetsbrev

”Vi är aggressiva på marknaden”

Henie Wang om: konkurrensen med Securitas, höstens affärer och en börsintroduktion.

Arkiv

Kan du lösa FRA:s kryptotweet?

Behöver anställa tusentals

"Stor klientökning inom kriminalvården"

Ilskan mot Securitas

"En form av utpressning"

Tar klivet in på superlistan

Framgångsrika hösten fortsätter

Nytt avtal klart – nu med bygghandelsjätte

Ingen växtvärk för Tempest

Utsett till Gasellföretag – igen

Klädkedja DNA-sprejar kosmetika

Vad innebär brottsdatalagen?

Skriver avtal med stor dagligvarukedja

Värde: en halv miljon om året.

Polisen varnar för mobilskalet

"Någon kommer att bli skjuten"

10-i-topp-lista: Framtidssäkra städer

Stockholm bland världens mest framtidssäkra urbana miljöer.

PÅ NYTT JOBB
Hon får nyinrättad säkerhetstjänst

Från stad till kommun.

Tryckte sedlar i hemkopiatorn

Gick på shoppingtur i Mall of Scandinavia.

Ska leverera säker webb till Finland

Ny drönare ska hitta gruvsprickor

Vid Luleå tekniska universitet finns en drönare, utrustad med kamera och magnetometer. Betydelsen för gruvindustrin är odiskutabel.

Spionläkare avslöjad efter Salisbury

Ska skydda larmsystem mot IoT-attacker

Extronic och AddSecure i samarbete.

PÅ NYTT JOBB
Ny marknadschef på Akamai

Bedragare stal bonuspoäng på Coop

Ska samarbeta med Lidingöloppet

PÅ NYTT JOBB
Internrekryteras på Stanley Security

PÅ NYTT JOBB
Då larmoperatör – nu försäljningschef

Brandskyddet brister i Kaknästornet

Låsjätten investerar i biometri

Nytt högtflygande avtal klart

VALET 2018
Falska nyheter sprids efter valet

IT-SÄKERHET
Växer snabbast på marknaden

VALET 2018
Långsiktig risk för dagens valsedlar

PÅ NYTT JOBB
AddSecure satsar på HR – tillsätter CHRO

Se alla Företagens egna nyheter

Sänd till en kollega

0.134