6 Rättslig analys

6.1 Syfte och bakgrund

Digg har sedan februari 2021 haft uppdraget att projektleda utvecklingen av lösningen för att kunna tillhandahålla digitala covidbevis. Utvecklingen har skett i samverkan med en rad myndigheter och organisationer och resulterat i en utfärdartjänst av digitala bevis. Utvecklingen har också omfattat lösningar för att verifiera covidbevis i samband med att det under pandemin lättats på restriktionerna i samhället för de som vaccinerats.

Byggblocket är en del av regeringsuppdraget ”Ändring av uppdraget att vara projektledare för utvecklingen av en digital infrastruktur för vaccinationsintyg” (diarienummer: I2022/00699), hädanefter benämnt regeringsuppdraget, men undersöker nu förutsättningarna för att bli ett byggblock inom den förvaltningsgemensamma infrastrukturen Ena.

Inom ramen för regeringsuppdraget ska Digg projektleda utveckling och anpassning av befintlig lösning för covidbevis så att den kan tillämpas för andra användningsområden eller återanvändas för framtida situationer som har behov av att utfärda bärbara verifierbara intyg. Lösningen ska möjliggöra en kostnadseffektiv återanvändning av infrastrukturella komponenter och en snabb vidareutveckling eller nyutveckling av tillämpningar under framtida pandemier och kriser.

Regeringsuppdraget anger bl.a. att Digg i samverkan med E-hälsomyndigheten ska säkerställa att lösningen för covidbevis blir en kostnadseffektiv, hållbar och generellt användbar del av den förvaltningsgemensamma digitala infrastrukturen i syfte att stödja digital delaktighet. Inom ramen för uppdraget ska Digg projektleda utveckling och anpassning av befintlig lösning så att den kan återanvändas för nya eventuellt kommande behov av vaccinationsbevis eller testbevis eller digitala vaccinationskort.

Vid genomförandet av uppdraget ska Digg enligt regeringsuppdraget skapa lösningar för de personer som i dag inte kan få covidbevis digitalt. Det kan enligt regeringsuppdraget handla om att tekniskt koppla till digitala ombudstjänster, att skapa applikationer som samlar information och tjänster på ett enkelt och tillgängligt sätt eller andra tekniska och processmässiga anpassningar för att identifiera sig, få tillgång till relevanta tjänster och nås av viktig information. Vid behov ska Digg enligt regeringsuppdraget föra dialog med SKR.

Byggblock intygshantering grundar sig alltså i att återanvända det värde man fick fram i och med lösningen för covidbevis. Arbetet har syftat till att undersöka hur lösningen för covidbevis kan återanvändas för andra intygsprocesser, alternativt om det finns andra bättre lämpade lösningar som tillfredsställer samma behov.

Syftet med denna PM är att beskriva de rättsliga frågor och överväganden som kan aktualiseras rörande utvecklandet av ett ramverk och en beredskapsprocess för bevishantering. Fler rättsliga frågor kan komma att dyka upp och behöva utredas ju längre arbetet inom byggblocket fortskrider. Denna rättsliga PM belyser endast rättsliga frågor i förhållande till de två värdeerbjudandena/scenarierna ”Stödja offentlig verksamhet med rekommendationer kring intygshantering” och ”Beredskap för intygsinfrastruktur vid akuta och samhällskritiska händelser”.

I detta kapitel finns en rättslig analys av de respektive delarna – Ramverk för intygshantering och för Beredskap för infrastruktur. Båda dessa delar är under framtagande och det är i dagsläget endast möjligt att översiktligt beskriva de rättsliga förutsättningarna för byggblockets delar. I det fortsatta arbetet med utvecklingen av byggblocket kommer det att krävas juridiskt arbete för att säkerställa att de produkter som tas fram, och hanteringen av produkterna, sker i förenlighet med gällande rätt.

Notera att det är Diggs förutsättningar för att hålla detta byggblock som analyseras i kapitlet. Juridiska förutsättningar för andra myndigheter att använda ramverket samt för att nyttja eller delta i arbetet med beredskapsprocessen behöver utredas av respektive myndighet i tillämpliga delar.

6.2 Rättsliga förutsättningar för ramverket

6.2.1 Vad ska Digg göra

Digg ska ta fram det som följer ovan, i korthet ett ramverk (”Ramverket”) som innehåller

  • terminologi/definitioner,
  • översiktliga beskrivningar, processer och förmågor,
  • datamodeller för intyg,
  • rekommendationer för utfärdande och utställande av intyg,
  • verifieringslösningar - online/offline scenarios,
  • lösningsdrivande krav – egenskaper och ändamål,
  • lrav kopplat till eIDAS 2.0 förslaget samt
  • länkar till referensprojekt.

Ramverket kommer att tillhandahållas på Digg:s hemsida och vara publikt tillgänglig. Det kommer inte att krävas någon anslutning till byggblocket.

6.2.2 Vad användningen av byggblocket innebär för andra myndigheter i rättslig mening

I och med byggblockets införande behöver rättsliga frågor som är av betydelse för andra myndigheter belysas. En förutsättning för ett framgångsrikt ramverk är att andra myndigheter fullt ut, i tillämplig utsträckning, kan nyttja detta. Rättsligt sett blir ramverket inte tvingande för någon myndighet att använda utan utgör snarare en rekommendation. En förväntad effekt är däremot att Ramverket används och kan nyttjas av andra myndigheter i tillämpliga delar. Det är därför viktigt att det tydligt framgår av Ramverket vilka som är förutsättningarna för att använda Ramverket, och i vilka typer av situationer som ett intyg kan lämpa sig för att använda.

Ramverket kommer att innehålla beskrivningar för hur en aktör kan göra för att ta fram ett verifierbart intyg. I princip kommer Ramverkets rekommendationer att vara tillämpliga på sådana intyg som lämpar sig för att bli verifierbara, d.v.s. intyg som innehåller så kallade objektiva identifierare, det vill säga information som visar ett faktum. Konkret innebär ett intyg att ett objektivt konstaterbart faktum återges i ett intyg. Ett intyg lämpar sig inte för att beskriva ett myndighetsbeslut i sin helhet exempelvis, eftersom ett beslut inte sällan behöver tolkas. I stället ska intyg som utgångspunkt användas för att beskriva ett faktum, som exempelvis att en person är vaccinerad eller är berättigad till någon slags förmån. En aktör som ska utfärda ett intyg med stöd av Ramverkets rekommendationer behöver därför ta ställning till om denne har möjlighet att utfärda ett intyg i enlighet med ramverket.

Att Ramverket används innebär inte någon garanti för korrekt utställda intyg, och det åligger respektive aktör att säkerställa att gällande rätt efterlevs vid utfärdande av intyg. Det är viktigt att denna ansvarsbeskrivning framgår tydligt av Ramverket.

6.2.3 Diggs uppdrag enligt instruktion

Enligt 1 § i förordning (2018:1486) med instruktion för Myndigheten för digital förvaltning (hädanefter Diggs instruktion eller instruktionen) ska Digg samordna och stödja den förvaltningsgemensamma digitaliseringen i syfte att göra den offentliga förvaltningen mer effektiv och ändamålsenlig. Med den offentliga förvaltningen avses i instruktionen kommuner, regioner och statliga myndigheter, med undantag för Regeringskansliet, Säkerhetspolisen, Fortifikationsverket, Försvarshögskolan samt myndigheter som hör till Försvarsdepartementet. Digg ska också enligt sista stycket i samma bestämmelse ansvara för den förvaltningsgemensamma digitala infrastrukturen enligt 3–5 §§ i instruktionen. Enligt 4 § punkten 2 i Diggs instruktion ska Digg vidare samordna frågor om gemensamma standarder, format, specifikationer och liknande krav för den offentliga förvaltningens elektroniska informationsutbyte.

Digg har arbetat med verifierbara intyg med grund i regeringsuppdraget för covidbevis och har idag i uppdrag att vidareutveckla lösningen. Digg anser att det ligger väl i linje med det uppdrag som Digg har, och som Digg har utvecklat kompetens inom, att också dela med sig av den kunskapen till andra offentliga aktörer som har behov av intyg. Den verksamhet som bedrivs med att utveckla Ramverket bedrivs med grund i regeringsuppdraget i huvudsak. Efter att regeringsuppdraget har upphört ska myndigheten dock, om verksamhet kvarstår, ha stöd i rättsordningen för sina åtaganden.

Att hålla ett Ramverk för intygshantering inom Ena bidrar i stort till Diggs uppdrag att stödja den offentliga förvaltningens digitalisering (1 § tredje stycket instruktionen). Intygshantering som främjas av Ramverket syftar också till informationsutbyte inom den offentliga förvaltningen, och kan därmed anses ha stöd även i den instruktionsenliga uppgiften att samordna frågor om gemensamma standarder, format, specifikationer och liknande krav för den offentliga förvaltningens elektroniska informationsutbyte. Digg bedömer därmed att Ramverket för intygshantering utgör ett mindre åtagande för myndigheten som har stöd i myndighetens instruktion.

6.2.4 Övriga rättsliga frågor att beakta

6.2.4.1 Informationshantering

Att publicera ett Ramverk innebär inga särskilda rättsliga frågor ur ett informationshanteringsperspektiv. Ramverket bör inte innehålla någon information som är sekretessreglerad eller som i övrigt innebär risker ur ett informationssäkerhetsperspektiv. Inte heller ska personuppgifter förekomma i Ramverket.

Det kan bli fråga om viss behandling av personuppgifter med anledning av planering, framtagande, genomförande och förvaltning av byggblocket. Sådan personuppgiftsbehandling avser då sådana personuppgifter som normalt behandlas inom ramen för myndighetens löpande verksamhet, som Digg är personuppgiftsansvarig för, som kontaktuppgifter och dylikt till personer som deltar i arbetet. Sådan behandling av personuppgifter kräver därför ingen ytterligare analys.

6.2.4.2 Marknadsrättsliga förutsättningar

Som utgångspunkt bedömer Digg inte att Ramverket kommer att innebära någon konkurrensbegränsande verksamhet från myndigheten. Inte heller kommer Ramverket utgöra en produkt som behöver upphandlas av de myndigheter som använder sig av Ramverket.

Ytterligare en aspekt av konkurrens är att Digg inte i Ramverket får rekommendera särskilda format eller tekniska tjänster, om en sådan rekommendation skulle innebära någon form av gynnande av särskilda privata aktörer.

6.2.4.3 Tekniska regler

Vi har inte utrett hur tillhandahållande av Ramverk för intygshantering förhåller sig till förordning (1994:2029) om tekniska regler. Det kan behöva göras i det fortsatta arbetet.

6.3 Rättsliga förutsättningar för intygsinfrastruktur

6.3.1 Vad Digg ska göra

Byggblocket avser att i samverkan ta fram en beredskapsprocess som tydligt visar vilket ansvar respektive myndighet har samt vilka aktiviteter de behöver göra för att snabbt och effektivt kunna ta fram en intygsinfrastruktur. Det handlar i grunden om att beskriva ett arbetssätt och en ordning som beskriver hur intygsinfrastrukturen skapas ”från ax till limpa”, ett recept för en intygsinfrastruktur om man så vill. För respektive sektor ser byggblocket att följande förberedelser behövs:

  1. Ta fram en beredskapsprocess tillsammans med ansvarig myndighet för sektorn.
  2. Ta fram en checklista för vilka aktiviteter som krävs för att starta igång en intygsinfrastruktur.
  3. Simulera en kritisk händelse och ta fram infrastrukturen som krävs utifrån checklista.

Processen beskriver de nödvändiga stegen, från första möten där beslut tas om att aktivera beredskapsprocessen, via identifiering av och kontakter med de intressenter som behöver ha en intygsinfrastruktur, konsekvensbedömning enligt dataskyddsförordningen, riskanalyser, framtagande av referensprojekt och realiserandet av de olika funktioner som behöver finnas i en intygsinfrastruktur.

Det kan enligt byggblocket inte uteslutas att viss teknisk infrastruktur behöver ingå i det ovanstående, bland annat en verifieringsapplikation samt en modell för att säkert kunna distribuera intygsinfrastrukturen i ett scenario där risken för störningar i nationell digital infrastruktur bedöms som hög, men tillgång till internet fortfarande finns via satellit och andra reservnät. Den distributionskanalen kan vara i form av en publik molntjänst.

6.3.2 Vad användning av byggblocket innebär för andra myndigheter i rättslig mening

De myndigheter som kan komma att beröras av framtagandet av beredskapsprocessen är, förutom Digg i sin egenskap av projektledare enligt regeringsuppdraget, också E-Hälsomyndigheten i enlighet med regeringsuppdraget. En ytterligare naturlig samverkansaktör är den sektorsansvariga myndigheten inom den berörda beredskapssektorn, Socialstyrelsen. Samverkan kan också behöva ske med Myndigheten för samhällsskydd och beredskap, MSB.

Byggblockets arbete innebär en utvecklad samverkan inom framförallt beredskapssektorn Hälsa, vård och omsorg. Det är frivilligt att nyttja den färdiga processen och intygsinfrastrukturen som utgångspunkt. Det kan dock inte uteslutas att det t.ex. i ett läge av höjd beredskap kan komma att bli mer av ett påbud att använda den beroende på t.ex. vilka beslut som regeringen fattar i ett sådant läge.

6.3.3 Diggs uppdrag enligt instruktion

Enligt 1 § i förordning (2018:1486) med instruktion för Myndigheten för digital förvaltning (hädanefter Diggs instruktion eller instruktionen) ska Digg samordna och stödja den förvaltningsgemensamma digitaliseringen i syfte att göra den offentliga förvaltningen mer effektiv och ändamålsenlig. Med den offentliga förvaltningen avses i instruktionen kommuner, regioner och statliga myndigheter, med undantag för Regeringskansliet, Säkerhetspolisen, Fortifikationsverket, Försvarshögskolan samt myndigheter som hör till Försvarsdepartementet. Digg ska också enligt sista stycket i samma bestämmelse ansvara för den förvaltningsgemensamma digitala infrastrukturen enligt 3-5 §§ i instruktionen.

Som vi visat ovan ska Digg enligt sin instruktion bland annat samordna och stödja den förvaltningsgemensamma digitaliseringen i syfte att göra den offentliga förvaltningen mer effektiv och ändamålsenlig och också samordna frågor om gemensamma standarder, format, specifikationer och liknande krav för den offentliga förvaltningens elektroniska informationsutbyte. Redan av det skälet bedömer vi att det som byggblocket skissar på att göra ryms inom Diggs kompetens. Till detta kommer också regeringsuppdraget vilket också ger Digg arbetsuppgifter som enligt vår bedömning rymmer det byggblocket skissar på att göra.

6.3.4 Rättsliga frågor att beakta

6.3.4.1 Frågor relaterade till krisberedskapsområdet

Samverkan, arbetsuppgifter och roller

I förordning (2022:524) om statliga myndigheters beredskap (hädanefter beredskapsförordningen) finns bestämmelser om uppgifter som statliga myndigheter under regeringen har inför och vid fredstida krissituationer och höjd beredskap. Syftet med förordningen är att statliga myndigheter under regeringen genom sin verksamhet ska minska sårbarheten i samhället och utveckla en god förmåga att hantera sina uppgifter vid fredstida krissituationer och höjd beredskap (1 §).

I 6 § första punkten beredskapsförordningen definieras fredstida krissituationer som situationer som

  • avviker från det normala,
  • drabbar många människor, stora delar av samhället eller hotar grundläggande värden,
  • innebär en allvarlig störning eller en överhängande risk för en allvarlig störning av viktiga samhällsfunktioner, och
  • kräver samordnade och skyndsamma åtgärder från flera aktörer.

Det ”beredskapsscenario” som byggblocket skissat kan anses vara en fredstida krissituation.

I samma bestämmelses punkt 2 definieras samhällsviktig verksamhet som verksamhet, tjänst eller infrastruktur som upprätthåller eller säkerställer samhällsfunktioner som är nödvändiga för samhällets grundläggande behov, värden eller säkerhet. Det kan enligt vår mening inte uteslutas att intygsinfrastrukturen, kanske även hela eller delar av arbetet med att ta fram den, ska ses som samhällsviktig verksamhet.

Enligt 20 § i beredskapsförordningen ska beredskapsmyndigheterna ha god förmåga att motstå hot och risker, förebygga sårbarheter, hantera fredstida krissituationer och genomföra sina uppgifter vid höjd beredskap. De ska även verka för att de övriga statliga myndigheter, kommuner, regioner, sammanslutningar och näringsidkare som är berörda utvecklar sin förmåga i dessa avseenden.

Beredskapsmyndigheterna ska då särskilt bl.a.

1. samverka med varandra,

[…]

3. samverka med de övriga statliga myndigheter, kommuner, regioner, sammanslutningar och näringsidkare som är berörda,

[…]

7. beakta behovet av säkerhet och kompatibilitet i de tekniska system som är nödvändiga för att myndigheterna ska kunna utföra sitt arbete.

24 § i beredskapsförordningen anger att en sektorsansvarig myndighet (till exempel Socialstyrelsen och MSB i de sektorer som byggblocket identifierat i sitt scenario) inom sin beredskapssektor ska leda arbetet med att samordna åtgärder inför och vid fredstida krissituationer och höjd beredskap. Den ska också driva på arbetet inom beredskapssektorn, stödja beredskapsmyndigheterna samt verka för att uppgifter och roller inom beredskapssektorn tydliggörs.

En sektorsansvarig myndighet ska därutöver verka för att de åtgärder som beredskapsmyndigheterna inom beredskapssektorn vidtar är samordnade med de åtgärder som andra

beredskapsmyndigheter, inklusive länsstyrelser och civilområdesansvariga länsstyrelser, samt Försvarsmakten vidtar. Den ska vidare verka för att samverkan med näringslivet sker i den utsträckning det behövs.

Gällande arbetsuppgifter och rollfördelning för och mellan beredskapsmyndigheter och sektorsansvariga myndigheter uttalas i SOU 2021:25 bl.a. följande.

”Utredningens utgångspunkt när det gäller de sektorsansvariga myndigheterna är att dessa myndigheter, när inte annat anges i speciallagstiftning, ska ges ett mandat att samordna verksamheten inom beredskapssektorn, såväl i fred som under höjd beredskap. De sektorsansvariga myndigheterna ska inte ta över ansvar från andra myndigheter. De sektorsansvariga myndigheterna ska ha en pådrivande roll och ansvar för att ta de initiativ som krävs för att hålla samman planering och förberedelser i fred. Ansvaret omfattar myndigheternas beredskapsuppgifter inom den aktuella beredskapssektorns verksamhet.

[…]

Av den nuvarande krisberedskapsförordningen, precis som av förslaget till ny beredskapsförordning, framgår att varje myndighet, vars ansvarsområde berörs av en krissituation, ska vidta de åtgärder som behövs för att hantera den uppkomna situationen och konsekvenserna av denna. Myndigheterna ska samverka och stödja varandra vid en sådan krissituation.

En krissituation som berör en beredskapssektor innebär således ett ansvar att vidta åtgärder, men också att samverka och stödja varandra. Den sektorsansvariga myndigheten ska därför se till att det finns en kapacitet inom sektorn att operativt hantera uppkomna krissituationer.

[…]

Utgångspunkten vid en vid fredstida krissituation är att då kan i stor utsträckning, till skillnad mot vid höjd beredskap, ordinarie rutiner för samordning, beslut och prioriteringar användas (SOU 2021:25, sid. 318).”

Det medför i fråga om den beredskapsprocess som byggblocket skissar på, enligt vår bedömning, att processen ska kunna tas om hand och användas av den myndighet som så behöver.

Vår bedömning är att de beredskapsregleringar som finns inte hindrar att Digg genomför det arbete som planeras. Däremot rekommenderar vi att samverkansöverenskommelser upprättas med Socialstyrelsen och Myndigheten för samhällsskydd och beredskap som reglerar hur arbetet ska bedrivas aktörerna emellan vid framtagandet av beredskapsprocessen. Även med E-hälsomyndigheten kan en samverkansöverenskommelse upprättas. Eftersom regeringsuppdraget har sin utgångspunkt i covidbevishanteringen är den naturliga beredskapssektorn att ta arbetets utgångspunkt i sektorn Hälsa, vård och omsorg där Socialstyrelsen är sektorsansvarig myndighet. Inom sektorn ingår Folkhälsomyndigheten och Läkemedelsverket och E-hälsomyndigheten, som Digg enligt regeringsuppdraget ska samverka med.

Förvaltning av en intygsinfrastruktur

Grunden i svensk krisberedskap är den så kallade ansvarsprincipen. Den betyder att alla som har ansvar för en viss verksamhet under normala förhållanden, exempelvis kommunen som har ansvar för renhållning och äldreomsorg, också har ett ansvar för att verksamheten fungerar under en kris. I ansvaret ligger också att samordna sitt arbete med andra, just för att samhällets samlade resurser ska kunna tas tillvara och användas effektivt vid en samhällskris.

Med närhetsprincipen menas att en kris ska hanteras där den inträffar och av de som är närmast berörda och ansvariga. Det är alltså i första hand den drabbade kommunen (kommunal nivå) där krisen uppstått som blir ansvarig. Om det behövs ska länsstyrelsen (regional nivå) kunna gå in och stödja kommunerna. Först när de lokala och regionala resurserna inte räcker till kan det bli aktuellt med att myndigheter på nationell nivå går in och stöttar. Exempel på när detta har inträffat i Sverige var i samband med de svåra skogsbränderna 2014 och 2018 samt under covid 19-pandemin.

24 § i beredskapsförordningen anger att en sektorsansvarig myndighet inom sin beredskapssektor ska leda arbetet med att samordna åtgärder inför och vid fredstida krissituationer och höjd beredskap.

Med utgångspunkt i den behovsinventering av digitala intyg som byggblocket gjort och redovisat drar vi slutsatsen att många, om inte samtliga, beredskapssektorer kan komma att bli aktuella för att eventuellt nyttja intygsinfrastrukturen. Det framstår som naturligt, från vårt perspektiv, att varje beredskapssektor har tillgång till ”varsitt exemplar” av intygsinfrastrukturen givet hur ansvars- samt närhetsprinciperna funkar. Till det kommer att det är de sektorsansvariga myndigheternas ansvar att bl.a. samordna åtgärder inför och vid fredstida kriser och höjd beredskap. En färdig intygsinfrastruktur skulle kanske kunna förvaltas av respektive sektorsansvarig myndighet, beroende på vilket beredskapsscenario som blir aktuellt. Givetvis behöver de informationssäkerhetsmässiga aspekter av ett sådant förvaltande alltid utredas noggrant.

6.3.4.2 Distribution/deployment via publik molntjänst

En viktig aspekt av intygshanteringen är förvaringen av lösningen för att den ska kunna användas. Detta innebär informationshantering där rättsliga förutsättningar utifrån dataskydd, sekretess och informationssäkerhet ska beaktas.

Frågan om sekretess för uppgifter och röjande av information

Möjligheten att utkontraktera hela eller delar av t.ex. it-drift eller de it-baserade funktioner till en privat tjänsteleverantör kan vara en förutsättning för att en myndighets verksamhet ska kunna bedrivas ändamålsenligt och kostnadseffektivt. Grundläggande vid sådan utkontraktering är att myndigheten alltid är ytterst ansvarig för att den information som lämnas ut får ett effektivt och ändamålsenligt skydd och i övrigt hanteras i enlighet med gällande rätt. Det innebär bl.a. att uppgifter som lämnas ut till en tjänsteleverantör inte får vara belagda med sekretess enligt offentlighets- och sekretesslagen (OSL) eller omfattas av tystnadsplikt enligt någon annan reglering. En myndighet som står inför en utkontraktering har inte alltid exakt kännedom om vilka uppgifter som kan komma att lämnas ut till den uppgiftsmottagande leverantören. Vid utlämnande av en omfattande uppgiftsmängd kan det också vara svårt att bilda sig en uppfattning om huruvida det finns enskilda uppgifter som är förknippade med särskild skaderisk i sekretesshänseende (jfr prop. 1979/80:2 Del A s. 81).

Rättsläget är oklart när det gäller de rättsliga förutsättningarna för att lämna ut sekretessreglerade uppgifter till en privat tjänsteleverantör i samband med utkontraktering. Ytterligare komplexitet följer av att en tjänsteleverantörs affärsmodell kan vara svår att överblicka. Det är exempelvis inte ovanligt att en tjänsteleverantör anlitar en eller flera underleverantörer som har i uppdrag att bidra till att leverantören uppfyller sina förpliktelser gentemot den uppdragsgivande myndigheten. Myndigheten måste alltså i sin prövning av om utkontraktering kan ske även beakta att en eller flera underleverantörer kan komma att ges tillgång till myndighetens uppgifter (jfr. Prop. 2019/20:201). 

I syfte att klargöra rättsläget togs lag (2020:914) om tystnadsplikt vid utkontraktering av teknisk bearbetning eller lagring av uppgifter fram. Den trädde i kraft den 1 januari 2021 och anger i 4 § att den som på grund av anställning eller på något annat sätt deltar i eller har deltagit i en tjänsteleverantörs verksamhet att på uppdrag av en myndighet endast tekniskt bearbeta eller tekniskt lagra uppgifter inte obehörigen får röja eller utnyttja dessa uppgifter.

Lagens tillämpningsområde är – sett i förhållande till hur publika molntjänster är uppbyggda och funkar – förmodligen begränsat för att skydda information som skulle kunna bli aktuell att distribuera. I den typ av publika molntjänster som större leverantörer tillhandahåller blir det sällan bara fråga om teknisk bearbetning eller lagring.

Det finns också en ståndpunkt framförd av IT-driftsutredningen (i dess delbetänkande ”Säker och kostnadseffektiv it-drift – rättsliga förutsättningar för utkontraktering, se sid. 237 ff.) att sådan information som placeras hos en tjänsteleverantör alltid ska ses som röjd. Huruvida så är fallet är inte prövat i domstol. Det framstår dock enligt vår bedömning som sannolikt att information i något skede skulle komma att röjas för en leverantör av en publik molntjänst. Beroende på vilken typ av information som skulle distribueras i en publik molntjänst, så finns risk att skadan som följer av ett sådant röjande bli stor för enskilda och kanske för nationen Sverige. Det bör i det vidare arbetet bland annat utredas om frågan om att eventuellt nyttja en publik molntjänst endast får fattas under t.ex. vissa beredskapsförutsättningar.

Dataskyddsfrågor kopplade till publika molntjänster

Sedan den s.k. Schrems II-domen (EU-domstolens dom i mål C-311/18 – Data Protection Commissioner mot Facebook Ireland och Maximillian Schrems) är det mycket svårt, om ens möjligt alls, att lagligt genomföra överföringar av personuppgifter till tredje länder, dvs. länder utanför GDPR:s tillämpningsområde och skydd (länder utanför EU/EES). Den typ av publika molntjänster som större molntjänstleverantörer (t.ex. Microsoft eller Amazon Web Services) tillhandahåller är av en komplicerad sort, som – även om en kund valt t.ex. lagringsregion ”Europa” eller ”EU” – kan medföra att vissa personuppgifter alltid överförs till tredjeländer, helt enkelt av det skälet att tjänsterna annars inte kan nyttjas. Eftersom Schrems II-domen rättsligt ”underkände” överföringar av personuppgifter till USA så är det mycket svårt att med full lagenlighet använda den sortens tjänster.

Den Europeiska dataskyddsstyrelsen (EDPB) tog efter Schrems II-domen fram ”Rekommendationer 01/2020 om åtgärder som komplement till överföringsverktyg för att säkerställa överensstämmelsen med EU-nivån för skydd av personuppgifter, antagna den 10 november 2020” (EDPB-rekommendationerna). För att ett nyttjande av molntjänster som medger tredjelandsöverföringar ska ha en chans att ske lagligt behöver dessa rekommendationer följas. Men det förtjänar också att lyftas fram att it-driftsutredningen i sitt delbetänkande inte såg att det finns några ytterligare skyddsåtgärder som kan vidtas som läker de brister som EU-domstolen i Schrems II-domen bedömer finns i amerikansk lagstiftning (jfr sid. 229).

Jurisdiktionsrisken

Till det ovanstående kan också läggas risken ytterligare en aspekt på röjande av (person)uppgifter. I Schrems II-domen pekar EU-domstolen på två amerikanska regleringar som problematiska; avsnitt 702 i Foreign Intelligence Surveillance Act, Fisa, och Executive Order (EO) 12333. Mycket förenklat kan dessa regleringar medge att amerikanska myndigheter samlar in uppgifter om icke amerikanska medborgare och organisationer från amerikanska molntjänstleverantörer, oavsett var dessa leverantörers hårdvara finns geografiskt placerad. Denna s.k. jurisdiktionsrisk är något som noggrant behöver beaktas och riskanalyseras innan ett eventuellt nyttjande av molntjänster kan genomföras. Det är i detta sammanhang viktigt att veta att molntjänstleverantörer som omfattas av Fisa 702 har en direkt skyldighet att bevilja åtkomst till eller överlämna införda personuppgifter i deras ägo, förvar eller kontroll. Denna skyldighet kan utökas till eventuella krypteringsnycklar som behövs för att göra uppgifterna läsbara (jfr EDPB-rekommendationerna, punkt 76, sid. 24).

Det sagda innebär en inte obetydlig risk med nyttjandet av amerikanska molntjänster. Detta är något som också behöver sättas i relation till hur och när (t.ex. i vilken typ av beredskapsläge) intygsinfrastrukturen ska användas, vilken typ av information den ska omfatta och medge hantering av. Om det via intygsinfrastrukturen går att komma åt information som är känslig ur t.ex. ett sekretess-, personuppgifts- och/eller säkerhetsperspektiv, så kan det betyda juridiska risker som måste beaktas. I en kris som drabbat Sverige men som också har globala implikationer skulle man kunna tänka sig en högre aktivitet hos andra länders myndigheter och kanske därmed ett större insamlande av information.

Det blir mycket viktigt för aktörer som vill nyttja intygsinfrastrukturen att säkerställa att gällande rätt följs, bland annat i fråga om tredjelandsöverföringar.

6.3.4.3 Allmänna förvaltningsrättsliga frågor

Det är viktigt att det framgår att användning av såväl ramverket som beredskapsprocessen är frivillig och att Digg inte formulerar förutsättningar för användande på ett tvingande sätt. Formuleringar som tvingar andra aktörer kan ses som myndighetsutövning, vilket kräver tydliga rättsliga mandat.

Informationshanteringsfrågor

Varje aktör som behandlar personuppgifter i ett intygsflöde behöver säkerställa att den har en rättslig grund för sin behandling, t.ex. för att kunna hämta in personuppgifter från vissa källor (artikel 6.1 i GDPR samt annan för aktören relevant dataskyddsreglering) och att endast de adekvata och relevanta personuppgifter som behövs är de som hanteras (artikel 5.1 i GDPR samt annan för aktören relevant dataskyddsreglering). Som byggblocksbeskrivningen anger i avsnitt 7.2 så kan frågan om ytterligare persondata kommer behandlas bero på ett intygs natur och hur intygets informationsmodell kommer se ut, exempelvis behövs vaccinationsstatus för covidbevis som intygar att personen är vaccinerad samt hur många doser. Detta utgör i sådana fall känsliga personuppgifter enligt dataskyddsregleringarna (jfr. artikel 9.2 samt 3 kap. 1 § i lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning, dataskyddslagen). För behandling av känsliga personuppgifter krävs ytterligare rättslig grund samt också starkare säkerhetsåtgärder som utgångspunkt.

Principerna för inbyggt dataskydd och dataskydd som standard kan främja dataskyddet i en intygsinfrastruktur (jfr artikel 25 i GDPR) t.ex. genom att personuppgifter pseudonymiseras. Givetvis behöver lämpliga organisatoriska och tekniska säkerhetsåtgärder vidtas omkring den personuppgiftshantering som sker. Säkerhetsåtgärderna kommer att behöva vidtas med beaktande av hur olika informationsmängder informationsklassas av respektive aktör och också om det rör sig om t.ex. känsliga eller integritetskänsliga personuppgifter.

Aktörer i en intygsinfrastruktur kommer behöva göra en analys av hur roll- och därmed ansvarsfördelningen i dataskyddshänseende kan se ut. Beroende på vad en sådan roll- och ansvarsfördelning kommer att visa så kan det inte uteslutas att juridiska kompletteringar av t.ex. regler för rättslig grund kommer att behöva göras. Skulle Digg t.ex. ha en roll i en intygsinfrastruktur som innebär att myndigheten behöver lagra personuppgifter så kan Digg komma att behöva begära justeringar i regleringar som styr myndighetens verksamhet, för att säkerställa en korrekt rättslig grund för personuppgiftsbehandling. Det kan inte heller uteslutas att vissa förhållanden mellan aktörer i en intygsinfrastruktur kan behöva regleras genom t.ex. personuppgiftsbiträdesavtal.

Informationsklassning blir en naturlig och nödvändig del av arbetet med att realisera en färdig intygsinfrastruktur. Det är upp till varje aktör som hanterar information att se till att den omgärdas av tillräckliga säkerhetsåtgärder samt att allmänna handlingar hanteras i enlighet med reglerna i Tryckfrihetsförordningen (TF), Offentlighets- och sekretesslagen (OSL) samt Arkivlagen. Precis som byggblocksbeskrivningen anger i avsnitt 7.2 så går det inte att klassa informationsgrupper utifrån ansvarigs myndighets klassningsmodell i denna fas av arbetet det måste göras i det fortsatta arbetet. Och precis som byggblocksbeskrivningen antyder i samma avsnitt går det inte att utesluta att säkerhetskänslig information kan bli aktuell att hantera. Som noterats ovan under avsnittet ”2.4.1 Frågor relaterade till krisberedskapsområdet” kan det inte uteslutas att intygsinfrastrukturen, kanske även hela eller delar av arbetet med att ta fram den, ska ses som samhällsviktig verksamhet. Digg behöver analysera detta i det fortsatta arbetet tillsammans med de myndigheter som ska delta i arbetet inom ramen för regeringsuppdraget.

6.3.4.4 Konkurrens och upphandlingsfrågor

Konkurrensbegränsande offentlig säljverksamhet

Om Digg som ett resultat av arbetet inom byggblocket skulle komma att tillhandahålla t.ex. tekniska tjänster av olika slag, kan det inte uteslutas att det skulle ses som konkurrensbegränsande offentlig säljverksamhet. Konkurrenslagens (2008:579, KonkL) 3 kap. 27–32 §§ reglerar konkurrensbegränsande offentlig säljverksamhet.

3 kap. 27 § i konkurrenslagen (den s.k. konfliktlösningsregeln) riktar sig mot varje offentlig aktör som agerar på ett sätt som äventyrar intresset av en effektiv konkurrens, oavsett om det sker i ett avtalsförhållande eller genom ett ensidigt handlande. Med förfarande avses såväl ett faktiskt handlande som en underlåtenhet att vidta en viss åtgärd. Exempel på förfaranden av den offentlige aktören som kan omfattas av konfliktlösningsregeln är enligt förarbetena (prop. 2008/09:231 s. 36) förfaranden som innebär underprissättning, diskriminering, vägran att ge tillträde till viss infrastruktur eller ge tillträde på selektiva villkor.

Konfliktlösningsregeln anger att bl.a. staten får förbjudas att i viss typ av säljverksamhet tillämpa ett visst förfarande, om förfarandet snedvrider, eller är ägnat att snedvrida, förutsättningarna för en effektiv konkurrens på marknaden. På samma sätt får staten förbjudas om samma typ av säljverksamhet hämmar, eller är ägnat att hämma, förekomsten eller utvecklingen av en sådan effektiv konkurrens. Förbud får inte meddelas för förfaranden som är försvarbara från allmän synpunkt. Om ett tillhandahållande av t.ex. en teknisk tjänst kan anses försvarbart från allmän synpunkt, så kan det alltså vara godtagbart att en myndighet tillhandahåller den. Om t.ex. ett förfarande av en myndighet är en direkt och avsedd effekt av en specialreglering eller en ofrånkomlig följd av denna bör det inte omfattas av konfliktlösningsregeln (jfr. prop. 2008/09:231 s. 37–38, 58 f.).

Observera att ingen utredning har gjorts om hur det sagda förhåller sig till förordning (1994:2029) om tekniska regler. Det kan behöva göras i det fortsatta arbetet.

Upphandling

Om Digg som ett resultat av arbetet inom byggblocket skulle komma att tillhandahålla t.ex. tekniska tjänster av olika slag, kan det inte uteslutas att regler om undantag från upphandlingsplikt behöver utredas, för att t.ex. kommuner ska kunna effektivt använda tjänsterna. Vad gäller upphandling så är det inte aktuellt att upphandla för en statlig myndighet som nyttjar en eventuell förvaltningsgemensam auktorisationsfederationstjänst (jfr HFD 2018 ref. 67). Det kan däremot förhålla sig annorlunda gällande kommuners användning av förvaltningsgemensamma tjänster som tillhandahålls av Digg.

Hjälpte denna information dig?

Ditt svar hjälper oss att förbättra sidan

Senast uppdaterad: