ANNONSER

Skyddade IT-miljöer

E-delegationen har gett ut ett betänkande som syftar till att säkerställa att enskilda medborgare får ett bättre skydd för sina uppgifter då de har kontakt med en myndighet. Den snabba tekniska utvecklingen och floran av e-tjänster som myndigheter erbjuder medborgarna innebär stora utmaningar i fråga om skyddet för enskildas integritet. Samtidigt har myndigheternas behov av att kunna samverka ökat. Johan Bålman, jurist från E-delegationen förklarar läget.

– Ett alternativ till E-delegationens betänkande hade varit en helt ny rättslig reglering för området, men det skulle kräva ett mycket omfattande och tidskrävande lagstiftningsarbete, berättar Johan Bålman på E-delegationen.
Betänkandet föreslår därför justeringar i befintlig offentlighets- och sekretesslag som borde kunna erbjuda ett sådant skydd som krävs. Det får inte finnas tveksamhet i fråga om vilket skydd information har. Det i sin tur har direkt bäring på vilka
e-tjänster en myndighet kan erbjuda och hur de ska utformas för att säkerställa detta skydd. Ett säkerställt skydd skulle ha stor betydelse för myndigheternas arbete med e-förvaltning och utveckling av nya e-tjänster och därmed service till medborgarna.
En av kärnpunkterna för delar av förslagen är tolkningen av 2 kap 10 § TF, som innebär att undantaget från allmän handling som finns beskrivet där är tillämpligt på ett elektroniskt förvar. Flera av de föreslagna ändringarna är beroende av denna tolkning.
I samband med den snabba tekniska utvecklingen kan hanteringen av tekniska hjälpmedel i många fall inte ske utan tillgång till specialistkompetens. Utkontraktering av IT-drift har blivit en viktig del i myndigheternas samverkan.

– När utkontrakteringen sker till ett privat företag, löses frågan om tystnadsplikt med avtal. Det är inte möjligt myndigheter emellan. Det finns behov av att säkerställa sekretessen vid utkontraktering till andra myndigheter. Det finns idag luckor i detta skydd. Nuvarande regleringen säger till exempel att sekretess gäller hos en viss myndighet där uppgifterna ingår i kärnverksamheten. Vid utkontraktering av uppgifter till en annan myndighet med en helt annan kärnverksamhet, är ursprungsbestämmelsen kanske inte tillämplig på den nya myndigheten, säger Johan Bålman.
Ändringsförslaget när ”föremålet” för sekretess är så kallade allmänna intressen, går här ut på att när en myndighet tar emot uppgifter för enbart teknisk bearbetning eller teknisk lagring, kommer den ursprungliga sekretessbestämmelsen även att bli tillämplig på uppgiften hos den mottagande myndigheten. Detta kommer enligt förslaget att ge ett vattentätt skydd för uppgifterna.
En viktig ändring gäller utökandet av vilka uppgifter som omfattas av den nya regleringen. Sekretess som gäller i verksamhet för enbart teknisk bearbetning eller teknisk lagring för någon annans räkning utökas till att gälla inte bara som nu, personuppgifter enligt personuppgiftslagen, utan uppgifter om såväl enskilds personliga som ekonomiska förhållanden.
Många myndigheter tillhandahåller idag så kallat eget utrymme, där den som använder en myndighets e-tjänst kan upprätta handlingar för senare inlämning. Praxis är oftast att detta betraktas som ett utrymme dit myndighetens tjänstemän inte har tillträde. Det saknas dock ett fullgott skydd för uppgifterna i ett sådant utrymme.

Tanken med förslaget är att en enskild ska kunna arbeta i det egna utrymmet utan att myndigheten har någon som helst insyn i vad som sker där. Detta kan åstadkommas genom att uppgifterna i det egna utrymmet anses ingå i myndighetens verksamhet för enbart teknisk bearbetning och därmed inte utgör allmänna handlingar.
Användaren ska kunna testa olika uppgifter, till exempel olika summor som i sig skulle kunna vara olagliga om de lämnas in. Uppgifterna som den enskilde skriver i det egna utrymmet ska vara den enskildes egendom. Först när den enskilde signerar och skickar in handlingen är den inkommen till myndigheten, och lämnar därmed det egna utrymmet. Myndigheten som tillhandahåller utrymmet ska skydda miljön utåt och även för den interna personalen.
Myndigheterna måste själva reglera vad som kan göras i det egna utrymmet och bestämma vilket syfte utrymmet har. Ska en enskild kunna skicka in saker som är irrelevanta? Ska det släckas ner när man går ur sessionen? Ska det ligga kvar under en viss tid? Hur hanteras dokument som behöver skrivas under av flera personer? Det egna utrymmets syfte kan skilja sig åt från myndighet till myndighet och det är också myndighetens verksamhet som avgör vad man som enskild kan göra där.

Uppgifter och handlingar i utrymmet är enligt förslaget i betänkandet inte allmänna handlingar. De kan därmed rensas. Myndigheten måste bara upplysa användaren om när det sker.
I det fall då man som enskild får problem i sitt enskilda förvar kan man behöva vända sig till en hjälptjänst (helpdesk). Det är viktigt att skyddet, som gäller för det enskilda förvaret, inte tappas när det når hjälptjänsten. Med nuvarande regelverk innebär en risk för att uppgifterna, i vissa situationer, kan bli allmänna handlingar i systemet för hjälptjänst hos myndigheten.
Förslaget syftar till att säkerställa skyddet även då det når myndighetens hjälptjänst, innan användare bestämmer sig för att skriva under och lämna in handlingen.
En myndighet som har till uppgift att samla in och presentera sammanställd information för enskilda erbjuder en presentationstjänst. Ett exempel på en sådan är Min pension.
Den sammanställda informationen om en viss enskild i en presentationstjänst hos en myndighet blir en allmän handling, allra senast när den visas för användaren. Om dessa allmänna handlingar saknar sekretessreglering, kan de komma att lämnas ut med stöd av offentlighetsprincipen. Just sammanställningar av information anses ofta som känsliga från ett integritetsskyddsperspektiv.
– E-delegationens förslag i denna del är en sekretessbestämmelse med svag sekretess. Man måste göra en sekretessprövning. I betänkandet finns också ett alternativ för att skydda uppgifterna. Om uppgifterna gallras omedelbart efter det att de har presenterats för användaren minskas också integritetsrisken, säger Johan Bålman.
Vid denna tidskrifts pressläggning har någon remissammanställning inte ännu gjorts. Remissvaren finns dock på regeringen.se och kan läsas där. I stort sett är remissinstanserna positiva till föreslagna ändringar. Främst gäller det förstås de myndigheter som erbjuder e-tjänster.
Flera instanser framhåller nyttan med ändringarna och vad de kan innebära för servicen till medborgarna och den framtida utvecklingen av e-tjänster.
Det framhålls också som angeläget och välkommet att en myndighet ska kunna välja om man ska utkontraktera till en privat aktör eller till en annan myndighet och att skyddet ska vara detsamma i vilket fall.

– Flera myndigheter efterlyser faktiskt ännu mer långtgående skydd för framför allt presentationstjänster och föreslår stark, eller till och med absolut, sekretess för dessa istället för den föreslagna svaga sekretessen, säger Johan Bålman.
En myndighet har framfört en avvikande uppfattning än förlaget avseende förslaget om eget utrymme. Myndigheten har i ett 15 sidor långt remissvar framfört allvarlig kritik mot förslaget som man menar inte vilar på solid grund. Framför allt anses att det i betänkandet görs en för extensiv tolkning av bestämmelserna och att man inte kan ha ett sådant eget utrymme inom ramen för myndigheters IT-system. Istället ser de hela flödet som en process, där information i eget förvar är allmän handling från första bokstaven.

Datainspektionen (DI) framhåller att rättsläget är något oklart men välkomnar det ökade skyddet som förslaget innebär. Som flera andra remissinstanser efterlyser DI stärkt skydd för presentationstjänsten.
Vad gäller förslaget om omedelbar gallring av handlingar i en presentationstjänst, anser Arbetsförmedlingen ”att det kan finnas behov av att bevara sådana handlingar för att i efterhand, till exempel i samband med påstådda felaktigheter, kunna kontrollera vilka uppgifter som har visats vid ett specifikt tillfälle”. Arbetsförmedlingen framför också att synen på handlingar i ett elektroniskt förvar som icke allmänna, ställer höga krav på de myndigheter som tillhandahåller elektroniskt förvar. Om tjänsterna inte utformas korrekt finns en risk att handlingar i det elektroniska förvaret ändå blir att anse som allmänna.
Arbetsförmedlingen framhåller slutligen att vad det gäller utkontraktering av IT-drift och den föreslagna bestämmelsen om överföring av sekretess, att bestämmelsen kan vara svår att tillämpa, då en tillhandahållande myndighet behöver känna till vilka sekretessbestämmelser som gäller hos myndighet som kontrakterar information. 

”Ett alternativ till E-delegationens betänkande hade varit en helt ny rättslig reglering för området, men det skulle kräva ett mycket omfattande och tidskrävande lagstiftning­sarbete”

Text Viveka Carlsson viveka.carlsson@bredband2.com

ANNONSER