PM med vissa synpunkter gällande avtal avseende etjänsteplattform huvudsakligen med utgångspunkt från sekretess/tystnadsplikt- och integritetsrättsliga aspekter Förutsättningar och avgränsningar 1. Vi har från Gävle kommun, genom dess revisionschef Gunilla Beckman Ljung, fått i uppdrag att dels gå igenom vissa avtal, dels upprätta en PM med synpunkter på dessa avtal, och dels föreslå förändringar i avtalen. 2. Inom ramen för uppdraget har vi först och främst tagit del av ett avtal avseende etjänsteplattform till Gemensam nämnd för verksamhetsstöd, IE2014/27 ( Huvudavtalet ). Huvudavtalet är ingånget den 26 maj 2015 mellan Gemensamma nämnden för verksamhetsstöd, Gävle kommun, org. nr. 212000-2336, och Nordic Peak AB, org. nr. 556815-1889. 3. Vi har även tagit del av följande bilagor, som hör till Huvudavtalet: A. Underhållsavtal IT-tjänst ( Underhållsavtalet ). B. Definitioner Support. C. Avtal 90 Allmänna bestämmelser 1990 ( Avtal 90 ). 4. Därutöver har vi tagit del av ett personuppgiftsbiträdesavtal ingånget den 15 oktober 2015 mellan Gävle kommun, 212000-2338, och Nordic Peak AB/Leverantören ( Biträdesavtalet ). Vi har också tagit del av motsvarande personuppgiftsbiträdesavtal mellan å ena sidan Sandvikens kommun, 212000-2346 (ingånget den 22 oktober 2015), Hofors kommun, 212000-2296 (ingånget den 21 oktober 2015), respektive Ockelbo kommun, 212000-2288 (ingånget den 23 oktober 2015), och å andra sidan Nordic Peak AB. Vid genomgång av Biträdesavtalet och övriga ovan nämnda personuppgiftsbiträdesavtal har det konstaterats att de i princip överensstämmer med varandra, i vart fall i alla avseenden som har betydelse för denna PM. När det fortsättningsvis framförs synpunkter beträffande Biträdesavtalet, gäller dessa synpunkter i tillämpliga delar på motsvarande sätt även övriga personuppgiftsbiträdesavtal. Den granskning som vi har fått i uppdrag att genomföra, ska enligt instruktion från Gunilla Beckman Ljung svara på följande revisionsfrågor: 1(5)
A. Säkerställer avtalen att respektive kommun kan leva upp till kraven i socialtjänstlagen och offentlighets- och sekretesslagen? B. Säkerställer avtalen att respektive kommun kan leva upp till kraven i personuppgiftslagen? C. Vilka ändringar kan behövas när dataskyddsförordningen blir lag 2018? D. Ger avtalen möjlighet att få ersättning av Nordic Peak AB om de är ansvariga för att sekretessbelagda uppgifter sprids eller blir tillgängliga för personer som inte har rätt att ta del av dem? E. Garanterar Nordic Peak AB att deras anställda har tecknat sekretessavtal enligt socialtjänstlagens krav? F. Finns någon reglering av vad som händer om Nordic Peak AB säljs eller går i konkurs? G. Övriga noteringar som granskningen ger upphov till. 5. Denna PM syftar till att besvara och diskutera ovanstående frågor. Säkerställer avtalen att respektive kommun kan leva upp till kraven i socialtjänstlagen och offentlighets- och sekretesslagen? 6. Det innebär ett problem med IT-tjänster där personuppgifter lagras utanför Sverige, som jag har förstått det kan personuppgifter, individdata, komma att lagras i andra länder inom hela EU och EES-området, se punkt 5.1 i Biträdesavtalet, t.ex. på servrar i Frankrike eller i andra länder. Problemet är att reglerna om tystnadsplikt i socialtjänstlagen samt i offentlighets- och sekretesslagen kanske inte, beroende på vilka regler det finns om tystnadsplikt i det landet utanför Sverige inom EU där individdata lagras, gäller om någon begär ut uppgifterna i detta land utanför Sverige där uppgifterna lagras. Om någon begär ut individdata som lagras av Leverantören i t.ex. Frankrike, eller var data nu lagras, kanske det inte finns någon lagstiftning som skyddar uppgifterna. Våra svenska regler om tystnadsplikt i socialtjänstlagen samt i offentlighets- och sekretesslagen gäller ju inte utanför Sverige, till skillnad från reglerna i personuppgiftslagen, som inte utgör några hinder för lagring av uppgifter inom hela EU och EES-området. Reglerna i svenska personuppgiftslagen gäller ju inom hela EU om ni som ansvarar för uppgifterna finns i Sverige, är etablerade här. Sammanfattningsvis bör ni lagra sådana uppgifter, sådan data, som skall skyddas av tystnadsplikt i angivna lagar endast i Sverige. Detta bör ändras endera i punkt 5.1 i Biträdesavtalet eller genom att lägga till en punkt i Huvudavtalet om detta. Det är inte ett problem gällande personuppgiftslagen utan endast ett problem utifrån reglerna om tystnadsplikt i offentlighets- och sekretesslagen samt i socialtjänstlagen. 2(5)
7. Reglerna om tystnadsplikt i offentlighets- och sekretesslagen gäller ju offentligt bedriven omsorg medan reglerna om tystnadsplikt i socialtjänstlagen gäller omsorg som utförs av privata utförare. Det är riktigt att reglerna om tystnadsplikt i offentlighets- och sekretesslagen även gäller för privata uppdragstagare som deltar i myndighetens verksamhet. Men däremot gäller inte reglerna i offentlighets- och sekretesslagen för helt fristående privata bolag som utför vård och omsorg som inte är del av och styrs mer direkt av myndigheterna, ingår i deras organisation. Så om denna IT-plattform skall användas för helt privata utförares verksamhet, de som utför offentligt finansierad omsorg, så bör även en hänvisning till socialtjänstlagens regler om tystnadsplikt finnas i punkt 1.19 i Huvudavtalet. Som en parantes skall nämnas att det nu finns ett betänkande, ett förslag, att reglerna i offentlighets- och sekretesslagen skall börja tillämpas även för privata bolag som bedriver offentligt finansierad vård, omsorg och skola. Men så är det inte i dag. 8. Utöver reglerna om tystnadsplikt i offentlighets- och sekretesslagen, samt i socialtjänstlagen, är det svårt för mig att bedöma om plattformen stödjer samtliga andra regler om finns i t.ex. socialtjänstlagen rörande tillhandahållandet av en god omsorg. Det är väl inte relevant att bedöma här när det är frågan om kraven på en etjänsteplattform. Säkerställer avtalen att respektive kommun kan leva upp till kraven i personuppgiftslagen? 9. Biträdesavtalet uppfyller kraven i personuppgiftslagen och även i övrigt uppfyller avtalen kraven i personuppgiftslagen, såsom lagstiftningen ser ut i dag. Vilka ändringar kan behövas när dataskyddsförordningen bli lag 2018? 10. Jag bilägger här ett förslag på personuppgiftsbiträdesavtal som ni skulle kunna använda. Denna mall är generell och uppdaterad, kan användas såväl i dag när personuppgiftslagen gäller som efter 25 maj 2018 då dataskyddsförordningen skall börja tillämpas. Vill ni ha hjälp att i detalj anpassa denna mall till er situation kan vi självklart bistå med det. 11. Personuppgiftsbiträdesavtalet skall reglera följande rörande personuppgiftsbiträdets ("PuB:s") hantering av personuppgifter, allt enligt nya dataskyddsförordningen. Hänvisningar nedan är till artiklar i dataskyddsförordningen (vissa begrepp kan behöva klargöras i annat sammanhang än i denna PM): A. Att PuB endast får behandla personuppgifter på dokumenterade instruktioner från er, personuppgiftsansvarig ("PuA"). B. Att PuB säkerställer att behörighetsstyrningen är korrekt och att konfidentialitet (t.ex. tystnadsplikt) iakttas. C. Att PuB ska vidta alla åtgärder som krävs enligt artikel 32, IT-säkerhet. D. Att PuB, med tanke på behandlingens art, ska hjälpa PuA, genom lämpliga tekniska och organisatoriska åtgärder så att PuA kan fullgöra sin skyldighet avseende de 3(5)
registrerades rättigheter i enlighet med kapitel III (kapitlet reglerar rätt att ifrågasätta er behandling från individer vars uppgifter ni lagrar, få uppgifter raderade mm). E. Att PuB ska bistå PuA med skyldigheterna enligt artiklarna 32 36 (dessa artiklar rör processer rörande notifiering av incidenter till Datainspektionen, olika typer av risk- och sårbarhetsanalyser mm). F. Att PuB, beroende på vad PuA väljer, ska radera eller återlämna alla personuppgifter till PuA efter det att uppdraget har avslutats, och radera befintliga kopior. G. Att PuB ska ge PuA tillgång till all information som krävs för att visa att de skyldigheter som fastställs i denna artikel 28, som reglerar innehåll i ett biträdesavtal, har fullgjorts samt möjliggöra och bidra till granskningar, inbegripet inspektioner, som genomförs av PuA eller av annan som har bemyndigats av PuA. Ger avtalen möjlighet att få ersättning av Nordic Peak AB om de är ansvariga för att sekretessbelagda uppgifter sprids eller blir tillgängliga för personer som inte har rätt att ta del av dem? 12. Avtalen ger begränsad eller ingen möjlighet att få ersättning från Nordic Peak AB vid brott mot sekretess- och integritetsregelverken. De aktuella klausulerna i Huvudavtalet (punkt 1.22 och eventuellt punkt 1.24) hänvisar till Avtal 90. Även den aktuella klausulen i Underhållsavtalet (punkt 5) hänvisar till Avtal 90. 13. Avtal 90 ger ingen rätt till ersättning vid sådana brott mot sekretess- och integritetsbestämmelser som en kommun kan hållas ansvarig för. I allt väsentligt begränsar Avtal 90 leverantörens ansvar till att omfatta sakskador 1 orsakade genom försummelse. Ansvaret är begränsat till 35 basbelopp och 15 % av kontraktssumman. Ansvaret omfattar inte kundens förlust av data. 14. Vilket ansvar en leverantör ska ha för skada inom ramen för ett avtal är förstås i grunden en förhandlingsfråga. Vi bedömer dock i detta fall att det vore rimligt och skäligt att låta leverantören ansvara för all typ av skada som har orsakats på grund av brott mot sekretess- och integritetsregelverken, i vart fall sådan skada som har orsakats på grund av försummelse från leverantörens sida. En sådan avtalsreglering kan med fördel föras in direkt i Huvudavtalet. 15. Det kan nämnas att beloppsbegränsningen om 15 % av kontraktssumman kan tyckas låg, men att detta utgör tyvärr marknadsstandard för IT-leverantörsavtal. Garanterar Nordic Peak AB att deras anställda har tecknat sekretessavtal enligt socialtjänstlagens krav? 16. Nej, såvitt vi har noterat vid genomgången av avtalen har Nordic Peak AB inte lämnat någon sådan garanti. Detta bör förstås införas. 1 Skada på grund av brott mot sekretess- och integritetsbestämmelser utgör inte sakskada, utan ren förmögenhetsskada. 4(5)
Finns det någon reglering av vad som händer om Nordic Peak AB säljs eller går i konkurs? 17. I Huvudavtalet (punkt 1.31) finns en sedvanlig konkursklausul som bl.a. ger kunden rätt att häva avtalet om leverantören försätts i konkurs eller är på obestånd. 18. Det bör dock nämnas att det finns en tvingande princip om förbud mot borgenärsdiskriminerande avtal, som innebär att uppsägningsklausuler m.m., som enbart tar sikte på det förhållandet att ett bolag försätts i konkurs, inte är giltiga gentemot ett konkursbo. Så länge konkursboet fortsätter att leverera avtalsenligt, kan alltså kommunen inte häva avtalet på grund av konkursen. 19. Vi uppfattar det som att en särskild risk som kommunerna riskerar att drabbas av, om Nordic Peak AB försätts i konkurs, är att all data och även funktionaliteten i själva etjänsteplattformen, kan gå förlorad. Ett sätt att förebygga en sådan risk kan vara att ingå ett s.k. deponeringsavtal, exempelvis genom Stockholms Handelskammare, se http://www.chamber.se/kallkod/deponeringsavtalet.htm. Detta betyder rent praktiskt att om Nordic Peak AB försätts i konkurs, eller lägger ner sin verksamhet, finns all data, inklusive programvara, lagrad hos Stockholms Handelskammare och ni kan då få ut den för att be annan leverantör fortsätta att t.ex. supportera och underhålla den aktuella etjänsteplattformen. 20. Vidare innehåller samma klausul (punkt. 1.31) en bestämmelse som ger kunden hävningsrätt om leverantören överlåter avtalet utan samtycke. Däremot finns det, såvitt vi kan se, inte någon klausul som reglerar det förhållandet att Nordic Peak AB säljs, (då överlåts ju inte avtalet för det är fortfarande samma bolag Nordic Peak som är avtalspart, bara ny ägare till bolaget Nordic Peak), eller får ny ledning. Om det är av väsentlig betydelse vem som äger och driver Nordic Peak AB, kan en s.k. change-of-control klausul övervägas. Då kan ni säga upp avtalet om Nordic Peak får ny ägare eller ny ledning etc. Men det är ofta inte så nödvändigt. Det spelar oftast ingen roll för er vem som äger Nordic Peak. Övriga noteringar som granskningen har givit upphov till 21. Utöver ovanstående kommentarer kan det påpekas att Avtal 90 generellt sett är ett mycket leverantörsvänligt avtal. Dessutom finns det betydligt nyare varianter av Avtal 90, exempelvis från 2014, som bättre passar dagens teknikutveckling. Stockholm den 2 november 2016 Karl-Fredrik Björklund Niklas Emthén 5(5)