Myndigheters outsourcing av IT-tjänster

Det är vanligt, av flera skäl, att myndigheter outsourcar IT-tjänster till privata leverantörer. Sådan outsourcing kan frigöra resurser så att myndigheten kan fokusera på sina kärnuppgifter. Vidare, genom att dra nytta av stordriftsfördelar hos leverantörer, kan myndigheterna sänka sina IT-kostnader. Outsourcing till IT-experter kan även stärka IT-säkerheten och skydda mot cyberattacker samt generellt ge tillgång till IT-expertis som inte finns internt på myndigheten.

Det finns dock rättsliga och andra utmaningar för myndigheterna med att outsourca IT-tjänster. Det handlar om reglerna i offentlighets- och sekretesslagen (”OSL”) som försvårar, ibland till och med omöjliggör, outsourcing av IT-tjänster i de fall leverantören får tillgång till information som omfattas av sekretess. 2023 infördes visserligen en ny sekretessbrytande regel i OSL som innebär att myndigheter nu under vissa förutsättningar kan lämna ut sekretessreglerade uppgifter till privata IT-leverantörer för teknisk bearbetning och lagring. Något år innan kom även regler att privata aktörer som mottar information från myndigheter har tystnadsplikt. Men dessa nya regler har inte alls löst alla problem. Det handlar också om utmaningar kopplade till regelverket i GDPR, då outsourcing av IT i regel även innefattar behandling av personuppgifter. Slutligen måste myndigheterna fundera på om de vill ha all information hos privata aktörer och därmed vara beroende av dessa, ibland utländska aktörer som måste följa viljan hos utländska stater. Denna fråga kallas digital suveränitet.

Kursen har fokus på juridiken, men kopplar regelverken till verksamheten och hur den ser ut. Kursen fokuserar på praktiska frågeställningar och vänder sig till personer verksamma hos myndigheter men även till personer hos privata leverantörer som tillhandahåller IT-tjänster till myndigheter.

Ur kursen:

Är det särskilda problem för myndigheter att outsourca IT-tjänster med hänsyn till offentlighet- och sekretessreglerna?
• Regler om tystnadsplikt för vissa IT-leverantörer som anlitas av det offentliga och sekretessbrytande regler för myndigheter som vill outsourca IT-tjänster.
• Uppföljning av leverantörer med avseende på sekretess och hantering av allmänna handlingar.

IT-säkerhetsfrågor att beakta inför outsourcing av IT-tjänster
• Grundläggande begrepp inom informationssäkerhet, konfidentialitet, riktighet och tillgänglighet.
• Riskklassning av information.
• Informationssäkerhetspolicy
• Öppna nät
• Autentisering
• Behörighetsstyrning
• Kontroll av åtkomst, loggar, stickprovskontroller.
• Rutiner för säkerhetskopiering.
• Direktåtkomst
• Kryptering
• NIS 2

Konsekvensbedömning avseende dataskydd inför outsourcing av IT-tjänster
• För vilka typer av personuppgiftsbehandlingar är det krav på en konsekvensbedömning?
• Hur genomför man en konsekvensbedömning rent praktiskt?
• Genomgång av IMY:s nya mall och vägledningar för konsekvensbedömningar.
• Risker för de registrerade och för myndigheten att bedöma inför outsourcing av IT-tjänster.

Tredjelandsöverföring av personuppgifter, anlitande av utländska IT-leverantörer
• Rättsliga utgångspunkter vid överföring av personuppgifter till tredjeland.
• Vägledningar och beslut från tillsynsmyndigheter inom EU.
• Särskilda frågor om användning av amerikanskt ägda IT-leverantörer.
• Risker för de registrerade och myndigheten med behandling av information i andra länder.

Outsourcingavtalet
• Tjänsteinnehåll, servicenivåer, prismodeller.
• Projektavtal – specifikation, försening, immateriella rättigheter, prismodeller.
• Personuppgiftsbiträdesavtalet.
• IT-avtal och IT-tjänster ur ett sekretessperspektiv.
• Kravställning i avtal och upphandling för att säkerställa en rättsenlig informationshantering.