Skrivelse Diarienr 1 (10) 2017-07-07 1704-2017 Justitiedepartementet 103 33 Stockholm Vissa frågor om sekretess med anledning av EU:s dataskyddsreform I enlighet med vad som närmare utvecklas i denna skrivelse hemställer Datainspektionen att vissa frågor om sekretess och tystnadsplikt med anknytning till EU:s dataskyddsreform skyndsamt utreds så att nödvändiga bestämmelser finns på plats i maj 2018. Vad Datainspektionen anser behöver utredas avser - stark sekretess hos Datainspektionen för anmälningar om personuppgiftsincidenter och begäran om förhandssamråd, och - lagstadgad tystnadsplikt för personuppgiftsbiträden som behandlar känsliga personuppgifter inom hälso- och sjukvård och social omsorg. Datainspektionen anser även att en lagreglerad generell tystnadsplikt för privata leverantörer av it-tjänster bör utredas. Datainspektionen anser att det i offentlighets- och sekretesslagen ska införas en bestämmelse som innebär att absolut sekretess alternativt sekretess med omvänt skaderekvisit gäller i Datainspektionens verksamhet för anmälningar av personuppgiftsincidenter som görs i enlighet med artikel 33 dataskyddsförordningen och för begäran om förhandssamråd som görs i enlighet med artikel 36. En sådan sekretessbestämmelse bör även omfatta anmälningar av personuppgiftsincidenter som görs i enlighet med 3 kap. 9 förslaget till brottsdatalag samt begäran om förhandssamråd som görs i enlighet med 3 kap. 7 andra stycket samma förslag till lag. Datainspektionen anser att det är angeläget att det skyndsamt utreds om kravet på rättsligt reglerad tystnadsplikt i artikel 9.3 dataskyddsförordningen innebär att ett personuppgiftsbiträde som behandlar känsliga personuppgifter Postadress: Box 8114, 104 20 Stockholm E-post: datainspektionen@datainspektionen.se Webbplats: www.datainspektionen.se Telefon: 08-657 61 00
Datainspektionen 2017-07-07 Diarienr 1704-2017 2 (10) med stöd av undantaget i artikel 9.2.h dataskyddsförordningen behöver omfattas av en lagstadgad tystnadsplikt. Bakgrund Dataskyddsförordningen Från och med den 25 maj 2018 kommer EU:s dataskyddsförordning (EU) 2016/679 att gälla som lag i alla EU-länder. Dataskyddsförordningen ersätter då personuppgiftslagen (1998:204) (PuL). Med dataskyddsförordningen kommer många nya arbetsuppgifter att ligga på Datainspektionen. Datainspektionen ska bland annat ta hand om anmälningar av personuppgiftsincidenter enligt artikel 33 dataskyddsförordningen och begäran om förhandssamråd enligt artikel 36 som inkommer till myndigheten. Anmälan av personuppgiftsincidenter Av artikel 33 dataskyddsförordningen följer en skyldighet för personuppgiftsansvarig att vid en personuppgiftsincident till Datainspektionen anmäla incidenten inom 72 timmar. I anmälan ska den personuppgiftsansvarige bland annat beskriva personuppgiftsincidentens art, de sannolika konsekvenserna av personuppgiftsincidenten, och de åtgärder som den personuppgiftsansvarige har vidtagit eller föreslagit för att åtgärda personuppgiftsincidenten. Det har ännu inte fastslagits hur pass utförlig en anmälan om en personuppgiftsincident ska vara. Det råder dock ingen tvekan om att många anmälningar av personuppgiftsincidenter kommer att innehålla detaljerad information om tekniska och organisatoriska brister hos företag och myndigheter samt vilka åtgärder den personuppgiftsansvariga vidtagit för att skydda de personuppgifter som behandlas. Det kan handla om uppgifter om behörighetskontroll, inloggning och lösenord, autentisering av mottagare av information, skydd mot skadliga program och kryptering. Det kan även handla om uppgifter om fysisk säkerhet för informationen.
Datainspektionen 2017-07-07 Diarienr 1704-2017 3 (10) Anmälningar om personuppgiftsincidenter kommer att utgöra allmänna handlingar hos Datainspektionen. Det innebär att uppgifter om incidenter ska lämnas ut såvida uppgifterna inte omfattas av sekretess. Sekretess gäller hos Datainspektionen enligt 32 kap. 1 offentlighets- och sekretesslagen (2009:400) (OSL) i ärende om tillstånd eller tillsyn för uppgift om en enskilds personliga eller ekonomiska förhållanden, om det kan antas att den enskilde eller någon närstående till denne lider skada eller men om uppgiften röjs. Det rör sig således om ett rakt skaderekvisit med presumtion för offentlighet. Uppgifter om incidentrapportering avseende säkerhetsbrister i it-system till Datainspektionen omfattas av sekretessen i 18 kap. 8 OSL till skydd för säkerhets- och bevakningsåtgärder avseende system för automatiserad behandling av information. Sekretess gäller för uppgift som lämnar eller kan bidra till upplysning om säkerhets- eller bevakningsåtgärd, om det kan antas att syftet med åtgärden motverkas om uppgiften röjs och åtgärden avser bland annat telekommunikation eller system för automatiserad behandling av information och behörighet att få tillgång till upptagning för automatiserad behandling eller annan handling. Det rör sig även i detta fall om ett rakt skaderekvisit med presumtion för offentlighet. Datainspektionen konstaterar att syftet med dataskyddsförordningens bestämmelser om anmälan av personuppgiftsincidenter är att förmå den personuppgiftsansvarige att vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig för de aktuella personuppgifterna. Den incidentrapportering som förutsätts ske kan dock i praktiken innebära en upplysning om att ingivarens it-system är sårbart för attacker. Datainspektionen befarar att risken för angrepp utifrån ökar om det genom incidentrapportering avslöjas att den personuppgiftsansvariges itsystem har brister. Redan en uppgift om hos vem en incident har inträffat kan leda till säkerhetsattacker. Av detta följer att anmälningsskyldigheten av säkerhetsincidenter som syftar till att höja säkerheten för personuppgifterna kan få motsatt verkan om rapporteringen inte omgärdas av tillräcklig konfidentialitet. Datainspektionen befarar även att den omständigheten att uppgifter som lämnas i incidentrapporter omfattas av svag sekretess kommer att påverka den personuppgiftsansvariges vilja att anmäla och/eller beskriva
Datainspektionen 2017-07-07 Diarienr 1704-2017 4 (10) personuppgiftsincidenter i den omfattning som dataskyddsförordningen föreskriver. Risken är stor att den personuppgiftsansvarige underlåter att rapportera incidenter eller rapporterar endast övergripande eller bristfällig information. Till detta kommer att samtliga europeiska länder som omfattas av dataskyddsförordningen inte nödvändigtvis har motsvarande offentlighetsprincip och sekretesslagstiftning som Sverige. I den mån Sverige har ett svagare skydd för känslig företagsinformation kommer företag som står under tillsyn av den svenska dataskyddsmyndigheten att riskera hamna i en sämre situation ur konkurrenssynpunkt än företag som står under tillsyn av annat lands dataskyddsmyndighet. Detta kan få till följd att ett företag som förekommer i personuppgiftsincidentrapporter i Sverige kan förlora såväl befintliga som presumtiva kunder. En konsekvens av detta kan bli att företag som inte vill riskera att personuppgiftsincidenter blir allmänt kända kan komma att förlägga sin verksamhet till ett land med starkare sekretesskydd. Begäran om förhandssamråd Den personuppgiftsansvarige är under vissa omständigheter skyldig att göra en konsekvensbedömning avseende dataskydd enligt artikel 35 dataskyddsförordningen. Om en sådan konsekvensbedömning visar att personuppgiftsbehandlingen skulle leda till hög risk om inte den personuppgiftsansvarige vidtar åtgärder för att minska risken ska den personuppgiftsansvarige enligt artikel 36 samråda med tillsynsmyndigheten före behandlingen. Den personuppgiftsansvarige ska till Datainspektionen lämna uppgift om bland annat de åtgärder som vidtas och de garantier som lämnas för att skydda de registrerades rättigheter och friheter enligt dataskyddsförordningen. Datainspektionen är sedan skyldig att inom åtta veckor ge skriftliga råd om den planerade behandlingen skulle strida mot förordningen. Datainspektionen förutsätter att förhandssamråd i många fall kommer att innefatta mycket känslig och ingående information om en viss personuppgiftsansvarigs verksamhet. En konsekvensbedömning, som alltid ska bifogas förhandssamrådet, ska bland annat innehålla information om de åtgärder som planeras för att minska personuppgiftsbehandlingens risker. Sådan information kan antas avslöja viktiga säkerhetsrutiner hos den personuppgiftsansvariga och torde i många fall omfatta företagshemligheter.
Datainspektionen 2017-07-07 Diarienr 1704-2017 5 (10) Datainspektionen ser även i detta fall en risk att personuppgiftsansvariga på grund av oro för att affärskritiska uppgifter ska bli offentliga väljer att utelämna viktiga delar i en konsekvensbedömning, eller helt underlåter att begära förhandssamråd. Tidigare utredningar Datainspektionen är medveten om att frågan om sekretess för uppgifter som hämtas in via incidentrapporter till Myndigheten för samhällsskydd och beredskap (MSB) har behandlats i Betänkandet av Utredningen om genomförande av NIS-direktivet (SOU 2017:36 s. 243 263) och uppgifter som hämtas in via incidentrapporter till Datainspektionen i Betänkande av dataskyddsutredningen (SOU 2017: 39 s. 253-259). Dessa utredningar fann inte anledning att föreslå ett stärkt sekretesskydd för incidentrapporter. NIS-utredningen synes grunda sin uppfattning på att MSB:s inställning att i princip all specifik information i en incidentrapport kan sekretessbeläggas med stöd av den svaga sekretessen i 18 kap. 8 OSL vann gillande i tre domar från Kammarrätten i Göteborg (mål nr 2972-16, 5858-16 och 5032-16 (överklagad till Högsta förvaltningsdomstolen som inte meddelade prövningstillstånd). Sekretess gällde även för namnet på ingivaren. Det saknas dock prejudicerande domar från Högsta förvaltningsdomstolen som slutgiltigt slår fast att den svaga sekretess som gäller enligt 18 kap. 8 faktiskt skyddar i princip all specifik information i en incidentrapport. Kammarrätten i Stockholm har i dom den 20 april 2017 (Mål nr 835-17) beslutat att sekretess enligt 18 kap. 8 inte gäller hos Livsmedelsverket för förekomsten av rapportering av it-incidenter från Livsmedelsverket till MSB. Kammarrättens i Göteborg bedömning av vad som enligt 18 kap. 8 är sekretessbelagt i incidentrapporter hos MSB ger dessutom inte fullt ut vägledning till vad som ska bedömas vara sekretessbelagt i incidentrapporter hos Datainspektionen. Enligt 20 förordningen (2015:1052) om krisberedskap och bevakningsansvariga myndigheters åtgärder vid höjd beredskap ska incidenter som allvarligt kan påverka säkerheten i den informationsbehandling som myndigheten ansvarar för rapporteras till MSB. När det gäller incidentrapportering enligt dataskyddsförordningens artikel 33 p. 1 ska den personuppgiftsansvarige anmäla personuppgiftsincidenten såvida det inte är osannolikt att personuppgiftsincidenten medför risk för fysiska personers rättigheter och friheter. Av detta följer att incidenter som ska rapporteras till
Datainspektionen 2017-07-07 Diarienr 1704-2017 6 (10) Datainspektionen kan vara av mindre allvarlig natur än incidenter som måste rapporteras till MSB. Det är osäkert i vilken omfattning ett rakt skaderekvisit skyddar information som anmälts i samband med att en mindre allvarlig incident inträffat. Dataskyddsutredningen å sin sida nöjde sig med att konstatera att i ett tidigare lagstiftningsärende (prop. 2003/04:93 Några frågor om sekretess, m.m.) har uppgifter om ingivare av incidentrapportering till Post- och telestyrelsen avseende säkerhetsbrister i it-system, liksom uppgifter om innehållet i rapporterna, ansetts omfattas av sekretessen till skydd för säkerhets- och bevakningsåtgärder i 18 kap. 8 OSL. Utredningen gick inte närmare in på frågan i vad mån sekretessen i 18 kap. 8 ger uppgifter om incidentrapportring hos Datainspektionen tillräckligt skydd eller inte. Datainspektionen anser att den tidigare nämnda Kammarrättens i Stockholm dom rörande Livsmedelsverket innebär att denna tolkning av den svaga sekretessens omfattning inte längre kan tas för given. Med hänsyn till att incidentrapportering och begäran om förhandssamråd enligt dataskyddsförordningen är helt nya företeelser finns det av naturliga skäl inte några exempel på uppgifter 0m incidenter m.m. som skulle innebära skada om de röjs men som i dag inte omfattas av någon sekretessbestämmelse. Särskilt om brottsdatalagen Det nya dataskyddsdirektivet på området för brottsbekämpning, lagföring och straffverkställighet ska enligt förslaget (SOU 2017:29) implementeras i svensk rätt genom den s.k. brottsdatalagen. Skyldigheten att anmäla personuppgiftsincidenter till tillsynsmyndigheten regleras enligt förslaget i 3 kap. 9 brottsdatalagen. Skyldigheten att på förhand begära samråd med tillsynsmyndigheten regleras enligt förslaget i 3 kap. 7 andra stycket samma lag. Datainspektionen konstaterar att det på det brottsbekämpande området i stor utsträckning behandlas integritetskänsliga och känsliga uppgifter. Det föreligger även i regel sekretess kring de uppgifter som behandlas. Enligt Datainspektionen skulle det kunna få svåra konsekvenser för myndigheterna på det brottsbekämpande området om inte uppgifter som förekommer i anmälningar av personuppgiftsincidenter och förhandssamråd omfattas av absolut sekretess alternativt sekretess med omvänt skaderekvisit i
Datainspektionen 2017-07-07 Diarienr 1704-2017 7 (10) Datainspektionens verksamhet. Datainspektionen anser därför att behovet av en sådan sekretessbestämmelse i Datainspektionens verksamhet gör sig starkt gällande även på brottsdatalagens område. Tystnadsplikt inom hälso- och sjukvård och social omsorg I artikel 9.3 dataskyddsförordningen anges följande. Personuppgifter som avses i punkt 1 får behandlas för de ändamål som avses i punkt 2 h, när uppgifterna behandlas av eller under ansvar av en yrkesutövare som omfattas av tystnadsplikt enligt unionsrätten eller medlemsstaternas nationella rätt eller bestämmelser som fastställs av nationella behöriga organ eller av en annan person som också omfattas av tystnadsplikt enligt unionsrätten eller medlemsstaternas nationella rätt eller bestämmelser som fastställs av nationella behöriga organ. Punkt 2 h i artikel 9 dataskyddsförordningen anger att känsliga personuppgifter får behandlas om det är nödvändigt av skäl som hör samman med bland annat hälso- och sjukvård och social omsorg under förutsättning att de villkor och skyddsåtgärder som avses i punkt 3 är uppfyllda. I betänkandet som innehåller den föreslagna lagen med kompletterande bestämmelser till EU:s dataskyddsförordning föreslås en bestämmelse som i princip överensstämmer med lydelsen i artikel 9.2.h (3 kap 5 i den föreslagna kompletteringslagen i SOU 2017:39). Att en generell bestämmelse införs motiveras i betänkandet med att Det är av stor vikt att förutsättningarna för att behandla känsliga personuppgifter för hälso- och sjukvårdsändamål är reglerade på ett så tydligt sätt som möjligt (s. 185). Beträffande kravet på tystnadsplikt anges i betänkandet att Eftersom artikel 9.3 i förordningen är direkt tillämplig får den närmare innebörden av kravet på tystnadsplikt ytterst uttolkas av EU-domstolen. I Sverige regleras tystnadsplikt inom de områden som täcks av artikeln i bland annat 25 och 26 kap. OSL och 6 kap. 12 16 patientsäkerhetslagen (s. 186 ). Kravet på lagreglerad tystnadsplikt är nytt i förhållande till personuppgiftslagen (jfr 18 personuppgiftslagen). Det uppges emellertid bero på en felöversättning av dataskyddsdirektivet och inte på en egentlig
Datainspektionen 2017-07-07 Diarienr 1704-2017 8 (10) förändring av unionsrätten, SOU 2017:39 s. 183, SOU 2006:82 s. 175 och Rynning, Förvaltningsrättslig tidskrift 2003 s. 112. Datainspektionen ifrågasätter det rimliga i att avvakta avgöranden från EUdomstolen för att få en uttolkning av artikel 9.3. Det är dels, såsom det anges i betänkandet SOU 2017:39, av stor vikt att förutsättningarna för att behandla personuppgifter är reglerade så tydligt som möjligt på detta område, dels regleras inte den aktuella tystnadsplikten i unionsrätten utan det ställs i dataskyddsförordningen krav på att det finns en rättsligt reglerad nationell tystnadsplikt. Att det finns en i nationell rätt reglerad tystnadsplikt som uppfyller kravet i artikel 9.3 måste därför vara en fråga för lagstiftaren. Formuleringen i artikel 9.3 att uppgifterna ska behandlas av eller under ansvar av en yrkesutövare som omfattas av tystnadsplikt skulle kunna tolkas så att det är tillräckligt att den personuppgiftsansvarige omfattas av en lagreglerad tystnadsplikt. Gränsen för personuppgiftsansvaret och ansvaret för sekretessen skiljer sig emellertid åt, vilket bland annat framgår i JO:s beslut från den 9 september 2014, dnr 3032-2011. JO konstaterar i beslutet att utlämnande av journaluppgifter till ett personuppgiftsbiträde eller personal hos biträdet ska prövas på vanligt sätt enligt offentlighets- och sekretesslagen (2009:400). JO:s bedömning i ärendet var att vårdgivaren i det fallet inte hade rättsligt stöd för att lämna ut sekretessbelagda uppgifter om patienter då mottagaren endast omfattades av en avtalsreglerad tystnadsplikt. Efter JO:s beslut uppstod en debatt om myndigheters möjlighet att anlita personuppgiftsbiträde om det innebär att sekretessbelagda uppgifter lämnas ut. Frågan har utretts av Pensionsmyndigheten i regeringsuppdraget Molntjänster i staten En ny generation av outsourcing, avsnitt 11.5 och bilaga 1 Juridisk analys av myndigheters informationshantering i molnet. Pensionsmyndigheten konstaterar i rapporten, på samma sätt som JO, att offentlighets- och sekretesslagens bestämmelser kan hindra myndigheter från att lämna ut vissa typer av sekretessbelagda uppgifter till privata itleverantörer eftersom det saknas straffrättsligt sanktionerade tystnadsplikter för anställda hos sådana aktörer. Det handlar t.ex. om uppgifter av särskilt integritetskänsligt slag som rör enskilda och som inte bedöms kunna lämnas ut ens om leverantören och dess anställda ingår en avtalsrättslig tystnadspliktsförbindelse. Bland Pensionsmyndighetens åtta förslag till regeringen finns förslaget att regeringen låter utreda närmare om det är
Datainspektionen 2017-07-07 Diarienr 1704-2017 9 (10) lämpligt och ändamålsenligt att införa en lagreglerad och straffsanktionerad tystnadsplikt för privata leverantörer av it-tjänster. Datainspektionen delar Pensionsmyndighetens uppfattning att en lagreglerad tystnadsplikt för privata leverantörer av it-tjänster bör utredas. I nuvarande läge är det dock särskilt angeläget att tillse att kravet på lagstadgad tystnadsplikt enligt artikel 9.3 dataskyddsförordningen kommer att vara uppfyllt för alla aktörer som lagstiftaren anser bör kunna behandla känsliga personuppgifter med stöd av undantaget i artikel 9.2.h. Slutsatser Datainspektionen behöver i egenskap av tillsynsmyndighet ha tillgång till den stora mängd känsliga uppgifter som måste lämnas i samband med anmälan av en personuppgiftsincident och begäran om förhandssamråd. Det kan dock innebära stora problem för den personuppgiftsansvarige om uppgifter om dennes säkerhetsbrister och säkerhetsåtgärder blir kända av andra. Redan uppgift om vem som lämnat in en anmälan om en personuppgiftsincident kan vara till skada för det enskilda företaget. Datainspektionen anser därför att det är mycket angeläget att uppgifter i anmälningar av personuppgiftsincidenter och i begäran om förhandssamråd omfattas av absolut sekretess alternativt sekretess med omvänt skaderekvisit. Datainspektionen anser inte att ett införande av absolut sekretess alternativt sekretess med omvänt skaderekvisit för anmälningar av personuppgiftsincidenter eller begäran om samråd skulle innebära någon otillbörlig inskränkning av de syften som offentlighetsprincipen är tänkt att värna. Insynsintresset vid anmälningar av personuppgiftsincidenter är tillgodosett genom att den personuppgiftsansvarige är skyldig att informera den registrerade om personuppgiftsincidenten enligt artikel 34 dataskyddsförordningen. När det gäller insynsintresset vid samråd blir det tillgodosett genom det yttrande som Datainspektionen har att besluta i sådana ärenden. Datainspektionen konstaterar att informationshanteringen är central inom hälso- och sjukvård och social omsorg. Behandling av känsliga personuppgifter är nödvändig för att dessa verksamheter ska fungera. Det är av stor vikt att det skyndsamt utreds huruvida den behandling av personuppgifter som sker idag inom dessa verksamheter, med omfattande
Datainspektionen 2017-07-07 Diarienr 1704-2017 10(10) outsourcing, är förenlig med artikel 9.2.h och 9.3 dataskyddsförordningen, eller om det behöver införas en lagstadgad tystnadsplikt för dessa aktörer. Denna skrivelse har beslutats av generaldirektören Kristina Svahn Starrsjö efter föredragning av avdelningsdirektören Hans Kärnlöf. Vid den slutliga handläggningen har även chefsjuristen Hans-Olof Lindblom och enhetschefen Catharina Fernquist deltagit. Kristina Svahn Starrsjö Hans Kärnlöf