Arbetsplenum - Sekretessgenombrott vid utlämnande för teknisk bearbetning eller teknisk lagring av uppgifter - 2023-05-31

Herr talman! I dag debatterar vi konstitutionsutskottets betänkande 2022/23:35 Sekretessgenombrott vid utlämnande för teknisk bearbetning eller teknisk lagring av uppgifter. Jag vill inledningsvis yrka bifall till utskottets förslag i betänkandet.

Herr talman! Syftet med detta förslag är att myndigheter på ett bättre sätt ska kunna utkontraktera eller samordna sin it-drift. Därutöver är också ett av syftena att stärka skyddet för uppgifterna som lämnas ut vid ett sådant förfarande.

Propositionen som lämnats föreslår att sekretess inte ska hindra att en myndighet lämnar en uppgift till en enskild eller en annan myndighet om dessa har i uppdrag att endast tekniskt bearbeta eller tekniskt lagra uppgiften. Möjligheten att utkontraktera lagringen kan innebära en mer kostnadseffektiv verksamhet för den enskilda myndigheten men också att man får tillgång till ett mer robust skydd.

Jag vet att det har lyfts flera farhågor om detta, både under tidigare remissförfarande och nu efter att propositionen lämnats till riksdagen och behandlats. I ett tidigare skede föreslog utredningen att en myndighet som vill utkontraktera eller samordna sin it-drift inte skulle göra detta om intresset som sekretessen ska skydda har företräde framför intresset av att lämna ut. Detta invände flera remissinstanser emot, och i stället har regeringen föreslagit att uppgifter inte ska få lämnas ut om det är olämpligt med hänsyn till omständigheterna.

Detta är en ändring vi socialdemokrater välkomnar, och jag noterar att detta även uppmärksammas i den reservation som återfinns i betänkandet. Här vill jag verkligen betona myndigheternas ansvar och vad vi faktiskt säger i betänkandet. Lämplighetsbedömningen ska "beakta alla omständigheter som är relevanta i en specifik utkontrakterings- eller samordningssituation. Det kan vara omständigheter kopplade till den uppgiftslämnande myndigheten, till uppgiftsmottagaren eller till de uppgifter som lämnas ut. Omständigheterna kan också avse den aktuella it-driftstjänsten, avtalsförhållandet mellan den uppdragsgivande myndigheten och uppgiftsmottagaren eller det allmänna säkerhetsläget, nationellt eller internationellt."

Detta innebär att en myndighet som vill utkontraktera eller samordna sin it-drift alltså har ett stort ansvar utifrån denna lämplighetsbedömning.

Herr talman! Vi är inte så många anmälda till denna debatt; vi är tre stycken. Vi socialdemokrater har noterat de farhågor som återfinns i Vänsterpartiets reservation och tänker på inget sätt minimera riskerna. Men vi har också lyft fram sådana delar i utskottets ställningstagande och därför kommit fram till slutsatsen att vi står bakom förslaget.

Här är det också viktigt att framhålla inskränkningen av meddelarfriheten för den som omfattas av tystnadsplikt och handhar känsliga uppgifter vid en situation med utkontraktering. Detta menar vi stärker skyddet för känsliga uppgifter.

Herr talman! Avslutningsvis är it-säkerhet avgörande för våra medborgares integritet. Det gäller oavsett om myndigheten själv hanterar alla delar eller om man utkontrakterar eller samordnar it-driften. Det måste framhållas att det förmodligen är svårt att skydda sig mot alla former av intrång, både med anledning av den tekniska utvecklingen, säkerhetspolitiska risker och tyvärr också den mänskliga faktorn. Däremot tror jag att vi alla i utskottet är eniga om att vi som lagstiftare förväntar oss ett aktivt arbete från myndigheternas sida för att säkerställa en adekvat säkerhet för de uppgifter man har att hantera, samt att myndigheterna signalerar till oss vilka behov de har både gällande resurser och andra former av utmaningar.

Herr talman! Jag tackar föregående talare för att han på flera sätt förtjänstfullt nämnde de invändningar som Vänsterpartiet har i detta ärende.

Herr talman! Dagligen hanterar det offentliga mängder av information. Mycket av det som hanteras och lagras är både viktigt och känsligt såväl för den enskilda personen som för vårt samhälle i stort. Vissa uppgifter klassas som skyddsvärda, och en del rör även rikets säkerhet. Om informationen går förlorad, stjäls, manipuleras eller sprids till obehöriga kan det lätt få allvarliga följder. Många minns och förknippar nog fortfarande Transportsstyrelsen främst med skandalen 2017 - som bland annat gjorde att konstitutionsutskottet fick kallas in mitt i sommaren - då det avslöjades att icke säkerhetsklassade personer utomlands hade fått tillgång till skyddade personuppgifter.

En hög användning av it-tjänster i samhället leder ofta till många bra saker som underlättar vardagen för oss, men det innebär även digitala säkerhetsrisker. De senaste åren har det larmats allt oftare om cyberattacker mot olika myndigheter, som sedan har blivit medialt uppmärksammade. Det har varit en tydlig ökning av incidenter relaterade till internet, exempelvis dataintrång, bedrägerier och spridning av skadlig kod.

Det är tydligt att ett bristande säkerhetsskydd och bristfällig informationssäkerhet riskerar att få förödande konsekvenser för vårt samhälle. Incidenter eller störningar som angriper den digitala infrastrukturen kan exempelvis leda till omfattande problem för finansiella system, hälso- och sjukvården, livsmedelsförsörjning eller vår nationella säkerhet. När hanteringen av viktig information brister riskerar det också att leda till ett försämrat förtroende för våra myndigheter och samhällsfunktioner.

Herr talman! Regeringens förslag i detta ärende handlar om att skapa en ny sekretessbrytande bestämmelse vars syfte är att skapa möjligheter för myndigheter att lämna uppgifter som omfattas av sekretess till en enskild eller en annan myndighet vars uppdrag är att tekniskt bearbeta eller lagra uppgifterna för den uppdragsgivande myndighetens räkning, så kallad utkontraktering.

Regeringens syfte är gott; det är att skapa bättre förutsättningar för myndigheter att utkontraktera eller samordna sin it-drift samt att stärka skyddet för de uppgifter som lämnas vid en utkontraktering av it-driften. Detta i sig är givetvis något Vänsterpartiet välkomnar. Vi kan dock tyvärr ändå inte stå bakom detta förslag från regeringen.

Herr talman! Sveriges ambition har länge varit att inom EU ligga i framkant när det gäller digitaliseringen. Som land har Sverige också haft stor framgång med att utveckla digitala lösningar på i stort sett alla områden i samhället. Men när det kommer till arbetet med och medvetenheten kring cybersäkerhet hamnar Sverige inte alls lika högt i rankningen. Senast i går lyssnade jag till företrädare för Integritetsskyddsmyndigheten som lyfte detta problem. Dessutom vittnar många andra inom branschen om att det är en stor brist på kompetens och att det är svårt att anställa personer som är experter på cybersäkerhet.

Säkerhetspolisen vittnar om att Sverige dagligen utsätts för cyberangrepp som är alltmer avancerade samt att effekterna av cyberangrepp inte bara kan få stora konsekvenser för samhällsviktiga funktioner och kritiska it-system utan också att de direkta och indirekta kostnaderna för dessa angrepp beräknas till miljardbelopp.

Även Riksrevisionen har återkommande granskat myndigheternas informationssäkerhetsarbete och rapporterat om brister i bland annat uppföljningsarbetet.

Herr talman! Det är ganska tydligt att dagens ordning inte fungerar tillfredsställande, och då skulle man också kunna tycka att Vänsterpartiet borde välkomna detta förslag från regeringen. Man skulle också kunna anta att syftet är att hjälpa framför allt små myndigheter med få anställda, där det rimligen borde vara lite svårare att få till ett effektivt skydd för olika uppgifter, att kunna utkontraktera arbetet till en annan större myndighet som har mer resurser och att skyddet därmed skulle kunna stärkas.

Det låter både rimligt och klokt. Men senast i förra veckan tvingades Polismyndigheten, som är en av våra största myndigheter, att skicka ut mejl till över 60 000 personer som har sökt jobb hos myndigheten, eftersom deras personuppgifter kan ha röjts efter ett intrång.

Herr talman! Jag menar därför att det finns stora säkerhetsutmaningar när uppgifter lagras digitalt och utlokaliseras men även när myndigheter själva hanterar uppgifterna. Jag nämnde tidigare Transportstyrelseskandalen som ett exempel, men det är tyvärr bara ett av många.

Med anledning av dessa brister har Vänsterpartiet tidigare motionerat om att regeringen bör ta fram statliga molntjänster som också skulle kunna hjälpa myndigheter, oberoende av storlek, att upprätthålla en god informationssäkerhet. Vi anser att det är ett riskmoment i sig att utkontraktera uppgifter som innebär hantering av säkerhetskänslig information samt att utkontraktering av skyddsvärda uppgifter endast bör ske i undantagsfall. Vi ifrågasätter särskilt att känsliga uppgifter kan utkontrakteras till privata tjänsteleverantörer utomlands, något som skedde i Transportstyrelseskandalen.

Regeringen har i sitt förslag delvis lyssnat på remissinstansernas kritik angående vilken intresseavvägning som bör göras innan en myndighet utkontrakterar vissa uppgifter eller ej. Tyvärr kvarstår dock det grundläggande problemet med bristande informationssäkerhet hos myndigheterna. Regeringen skriver i sin proposition att tillgång till säker och effektiv it-drift är en grundläggande förutsättning för att en statlig eller kommunal myndighet ska kunna bedriva en ändamålsenlig verksamhet, men regeringen utvecklar inte huruvida myndigheternas it-drift är tillräckligt säker i dag eller hur den ska kunna bli det i framtiden.

Herr talman! Exempelvis Åklagarmyndigheten skriver i sitt remissvar att ett genomförande av dessa förslag skulle innebära en stor risk för att myndigheter, kommuner och regioner kan komma att fatta beslut som strider mot EU-rätten och kraven på personuppgiftshantering och att uppgifter som är belagda med sekretess felaktigt lämnas ut. Man skriver också att om inte tydliga och obligatoriska säkerhetskrav etableras och myndigheternas kunskaper om och arbete med informationsskyddsklassning ges ett större fokus skulle ett genomförande rent av innebära en risk för Sveriges digitala suveränitet.

Även Polismyndigheten och flera andra remissinstanser har samma kritik och avstyrker därför förslaget.

Vi i Vänsterpartiet instämmer i att myndigheternas arbete kring informationssäkerhet och säkerhetsskydd måste bli bättre innan ett förslag som detta kan genomföras.

Jag vill avslutningsvis yrka bifall till vår reservation i ärendet.

Herr talman! Vi debatterar regeringens förslag till ändringar i offentlighets- och sekretesslagen. Jag instämmer i mycket av det som ledamoten Peter Hedberg nämnde i sitt anförande och tänker därför korta ned mitt anförande en smula för att spara lite tid.

Kort sagt handlar förslaget om att underlätta för myndigheter att på ett mer kostnadseffektivt sätt sköta sin it-drift, vilket också kan leda till en mer robust och säker informationshantering än vad som kan uppnås med it-drift i egen regi. Det kan till exempel röra sig om att adekvat kompetens och adekvata resurser saknas för att sköta it-driften, särskilt i mindre myndigheter.

Det här kan ske till exempel genom att mindre myndigheter kan samverka i en gemensam it-drift alternativt att en myndighet utkontrakterar, eller outsourcar som det också heter, sin it-drift till tjänsteföretag som är specialiserade på uppgiften. Förslaget innebär också att skyddet kommer att stärkas för de uppgifter som lämnas till en enskild vid utkontraktering av it-driften.

Det är viktigt att i sammanhanget poängtera vikten av att den information som hanteras av våra myndigheter har ett ändamålsenligt skydd. Brister i hantering av skyddsvärda uppgifter hos en myndighet kan få mycket allvarliga konsekvenser. Utkontraktering eller samordning av itdrift kan vara förenad med risker. Samtidigt kan en utkontraktering eller samordning av it-drift medföra att myndigheten uppnår ett säkrare och robustare uppgiftsskydd än vad som kan uppnås med it-drift i egen regi.

Sekretessgenombrott vid utlämnande för teknisk bearbetning eller teknisk lagring av uppgifter

Herr talman! I betänkandets följdmotion anförs att säkerhetsutmaningar finns och att de är av betydande art. Bland annat görs jämförelser med den så kallade Transportstyrelseskandalen 2017, där icke säkerhetsklassade personer fick tillgång till skyddsklassad information. Detta är givetvis en allvarlig och oacceptabel händelse. Kravställning, kontroll och uppföljning är således särskilt viktiga parametrar för en myndighets itdrift, särskilt på områden som exempelvis rör sekretess och hantering av känslig information.

Naturligtvis gäller detta oavsett om it-driften sköts internt av myndigheten, samordnat eller utkontrakterat. Det är inte vem som sköter driften som är avgörande, utan det är hur den sköts, det vill säga att det finns adekvata rutiner, hur den kravställs, hur den kontrolleras och hur den följs upp som borgar för säkerheten och robustheten.

Herr talman! Jag yrkar bifall till utskottets förslag i betänkandet och därmed avslag på följdmotionen.

Överläggningen var härmed avslutad.

(Beslut fattades under § 17.)