6 Digitala tjänster för informationsutbyte
En digital tjänst för informationsutbyte är en tjänst för att utbyta information digitalt med någon utomstående, det vill säga andra myndigheter, individer eller företag.
Det här kapitlet handlar framförallt om tjänster vars primära syfte är att utbyta information. Ett exempel på en sådan tjänst är LEFI Online. Men information utbyts också i andra fall. De flesta digitala tjänster som vi utvecklar i kärnverksamheten innebär nämligen att uppgifter görs tillgängliga för någon utomstående. Det kan handla om att den enskilde kan läsa uppgifter om sig själv eller en annan individ, exempelvis en familjemedlem. Men det kan också handla om att Försäkringskassan utbyter information med en annan myndighet som ett led i handläggningen av ett ärende, för att kontrollera uppgifter. Till exempel en självbetjäningstjänst vars primära syfte är att hantera ansökan om en förmån, innehåller normalt sett en funktion för informationsutbyte. Många delar av detta kapitel är relevanta även för sådana tjänster.
I det här kapitlet redovisas de frågor och de lagrum som är viktigast utifrån reglerna om sekretess och dataskydd när vi utvecklar en digital tjänst för informationsutbyte på Försäkringskassan.
Kapitlet behandlar inte frågor som rör den förvaltningsgemensamma digitala infrastrukturen för informationsutbyte (se närmare om Ena - Sveriges digitala infrastrukturer på digg.se). Kapitlet behandlar inte heller specifika frågor om informationsdelning/datadelning och interoperabilitet.
- Med informationsdelning/datadelning menas i allmänhet att en organisation gör information tillgänglig för andra att använda.
- Interoperabilitet handlar om två eller flera systems förmåga att utbyta information och att använda informationen som de får från varandra.
Försäkringskassans behov av information för handläggning av ärenden behandlas också i förmånsvägledningarna Läs mer om loggar och andra säkerhetsaspekter i Försäkringskassans riktlinje (2018:13) Säkerhetsregler.
6.1 Överväganden kring sekretess
6.1.1 Sekretessbrytande regler
När vi utvecklar digitala tjänster för informationsutbyte i Försäkringskassans kärnverksamhet handlar det oftast om sekretessreglerade (och ofta sekretessbelagda) uppgifter. Exempelvis uppgifter om enskilda personer.
Socialförsäkringssekretessen förutsätter en bedömning i det enskilda fallet för att avgöra om de uppgifter som träffas av bestämmelsen (som är sekretessreglerade) också omfattas av sekretess (är sekretessbelagda) mot den de ska lämnas ut till. När en digital tjänst för informationsutbyte ska skapas blir det i stället fråga om en slags generell, framåtblickande, sekretessbedömning. Om det finns en risk för att sekretessbelagda uppgifter kommer att röjas i tjänsten behöver vi en bestämmelse som bryter sekretessen. I praktiken finns det i princip alltid en sådan risk. Det betyder att vi i praktiken behöver ha en sekretessbrytande bestämmelse när sekretessreglerade uppgifter ska överföras. Oftast handlar det om en specifikt formulerad uppgiftsskyldighet, som samtidigt är sekretessbrytande enligt 10 kap. 28 § OSL.
Sekretessbrytande bestämmelser som förutsätter bedömningar i det enskilda fallet, exempelvis generalklausulen, är inte en långsiktig eller lämplig lösning i digital tjänst för informationsutbyte. Specifikt formulerade uppgiftsskyldigheter ger däremot stöd för överföring av den kategori av uppgifter som bestämmelsen avser.
Ibland uppstår ett behov av att utbyta information utan att det finns ett tydligt stöd för att lämna ut uppgifterna. Då får vi överväga om behovet motiverar en framställan om författningsändring.
I Försäkringskassans vägledning (2001:3) Offentlighet, sekretess och behandling av personuppgifter kan du läsa mer om sekretess. Bland annat om de sekretessbestämmelser som oftast är tillämpliga på Försäkringskassan och om olika sekretessbrytande bestämmelser. Där finns också mer information om den restriktiva tillämpningen av generalklausulen vid rutinmässigt informationsutbyte. På Fia-sidan Uppgiftsskyldigheter finns en förteckning över bestämmelser som handlar om att Försäkringskassan ska lämna uppgifter till andra myndigheter och aktörer, eller att de ska lämna uppgifter till Försäkringskassan.
6.1.2 Rätten att bryta sekretess för att ställa en fråga
I många fall behöver Försäkringskassan lämna uppgifter för att kunna få uppgifter från någon annan. Vi kan till exempel behöva ange vilken individ vi behöver information om för att en annan myndighet ska kunna lämna uppgifter om den individen till oss. Många uppgiftsskyldigheter handlar exempelvis om att uppgifter ska lämnas ”på begäran”. De förutsätter en fråga för att det ska kunna lämnas ett svar. Tjänster som hanterar sådana typer av informationsutbyten kallas ofta för ”fråga/svar-tjänster”.
I ”fråga/svar-tjänster” behövs stöd för informationsutbytet i båda riktningar. I dessa fall handlar det om en tvåvägskommunikation.
När Försäkringskassan ställer frågor till andra kan den sekretessbrytande regeln i 10 kap. 2 § OSL aktualiseras. Bestämmelsen ska tolkas restriktivt. Effektivitetsskäl räcker inte för att bryta sekretessen. Sekretessen får bara brytas om det är en nödvändig förutsättning för att vi som utlämnande myndighet ska kunna fullgöra vår verksamhet. Ett exempel på när det anses nödvändigt är när vi behöver lämna uppgift om personnummer för att ange vilken individ vi behöver uppgifter om, när det finns en uppgiftsskyldighet för en annan myndighet att lämna uppgifter, på begäran, till Försäkringskassan. (Prop. 1979/80:2 s. 465, prop. 2008/09:150 s. 368, SOU 2023:52 s. 397, Ds 2023:15 s. 308, Enqvist, s. 232ff.)
I Försäkringskassans vägledning (2001:3) Offentlighet, sekretess och behandling av personuppgifter kan du läsa om i vilka situationer det kan anses nödvändigt att Försäkringskassan bryter sin sekretess och hur restriktiv den regeln är.
6.1.3 Sekretess gäller när mottagaren antas behandla personuppgifter i strid med dataskyddsreglerna
När det handlar om att Försäkringskassan ska lämna ut information i form av personuppgifter till någon annan måste vi bedöma om bestämmelsen i 21 kap. 7 § OSL är tillämplig. Det gäller sekretess för personuppgifterna enligt den bestämmelsen om det kan antas att personuppgifterna efter utlämnandet kommer att behandlas i strid med dataskyddsregelverket. Bestämmelsen tillåter alltså utlämnande om mottagarens behandling lever upp till kraven i dataskyddsregelverket.
Det är inte möjligt med en individuell prövning när det handlar om en digital tjänst för informationsutbyte. En sådan bedömning måste göras generellt, på förhand.
Om mottagaren av Försäkringskassans personuppgifter är en myndighet styrs personuppgiftsbehandlingen vanligtvis av en registerlagstiftning med bestämmelser som bland annat reglerar för vilka ändamål myndigheten får behandla personuppgifter. I dessa fall får vi utgå från att den mottagande myndigheten följer sitt regelverk.
Att Försäkringskassan får behandla personuppgifter i sin kärnverksamhet när de tas emot från någon utomstående framgår av flera bestämmelser i 114 kap. SFB.
I Försäkringskassans vägledning (2001:3) Offentlighet, sekretess och behandling av personuppgifter finns en detaljerad beskrivning av hur prövningen enligt 21 kap. 7 § OSL ska gå till.
6.2 Behandling av personuppgifter
6.2.1 Omfattningen av personuppgiftsansvaret
Personuppgiftsansvarig är enligt artikel 4 i dataskyddsförordningen den som bestämmer ändamålen och medlen för behandlingen av personuppgifter. I en digital tjänst för informationsutbyte ansvarar normalt sett varje aktör för sin personuppgiftsbehandling.
Vanligtvis kan det utan större problem slås fast vem som är personuppgiftsansvarig för vilka delar. Ibland anlitas en fristående aktör för att distribuera, ta emot, eller på annat sätt hantera informationen. Då kan det bli aktuellt att upprätta ett personuppgiftsbiträdesavtal.
Läs mer om personuppgiftsansvar och personuppgiftsbiträdesavtal i Försäkringskassans vägledning (2001:3) Offentlighet, sekretess och behandling av personuppgifter och Försäkringskassans riktlinjer (2019:01) Personuppgiftsbiträdesavtal.
6.2.2 Vi behöver stöd för att behandla personuppgifter i informationsutbytet
När vi utvecklar digitala tjänster för informationsutbyte i Försäkringskassans kärnverksamhet handlar det oftast om personuppgifter, till exempel om försäkrade personer. Vi måste ha stöd för att behandla personuppgifterna i den digitala tjänsten. Det finns bestämmelser om detta i 114 kap. SFB, som är vår registerförfattning. Den skiljer också på olika former av digitalt utlämnande: genom direktåtkomst och andra sätt för digitalt utlämnande.
Digitala tjänster för informationsutbyte handlar ofta om att fullgöra olika bestämmelser om uppgiftslämnande, exempelvis en bestämmelse om uppgiftsskyldighet. I sådana fall får vi behandla personuppgifter som behandlas för de primära ändamålen i 114 kap. 8 § SFB för att kunna utbyta information i enlighet med uppgiftsskyldigheten. Det framgår av de sekundära ändamålen i 114 kap. 9 § SFB.
Informationsutbytet kan också handla om att Försäkringskassan behöver inhämta uppgifter som bedömts vara nödvändig för handläggningen av ett ärende i kärnverksamheten. Det är en sådant primärt ändamål som vi får behandla personuppgifter för. Oftast handlar det i dessa fall om funktioner för informationsutbyte som är en del av eller knutna till exempelvis en självbetjäningstjänst.
I de regler som gällde före den 15 februari 2024 var det inte helt tydligt om det gick att stödja ett digitalt utlämnande på exempelvis generalklausulen i 10 kap. 27 § OSL eller ett sekretessbrytande samtycke från den enskilde. Försäkringskassans nya registerförfattning öppnar upp för detta i 114 kap. 9 § SFB. Det är dock framförallt aktuellt för enstaka informationsutbyten. Det är inte lämpligt att bygga en digital tjänst för informationsutbyte med stöd av generalklausulen eller ett sekretessbrytande samtycke. Det beror framför allt på att det inte är en långsiktig eller lämplig lösning för att utbyta uppgifter som är sekretessreglerade. Läs mer i avsnitt 6.1.1.
Direktåtkomst är en form av digitalt utlämnande som är särskilt reglerad i 114 kap. SFB. Direktåtkomst är bara tillåtet om det uttryckligen framgår av i lag eller förordning att det är tillåtet (114 kap. 14 § SFB). Det kan exempelvis framgå i förordning (2024:14) om behandling av personuppgifter vid Försäkringskassan och Pensionsmyndigheten. Begreppet direktåtkomst innebär att någon utomstående har direkt tillgång till uppgifter som behandlas hos en myndighet. Den utomstående kan på egen hand ta fram uppgifter och på så sätt få uppgifter utlämnade till sig. Prövningen av om ett utlämnande är förenligt med OSL måste därför göras redan när uppgifterna görs tillgängliga för direktåtkomst. Den faktiska begränsningen av direktåtkomsten görs sedan med hjälp av olika tekniska lösningar.
I många sammanhang används begreppet medium för automatiserad behandling för att skilja direktåtkomst från andra slags former för digitalt utlämnande. Båda utlämnandeformerna var tidigare uttryckligt reglerade i 114 kap. SFB. Numera omnämns inte medium för automatiserad behandling. I förarbetena till den nya registerförfattningen talar man i stället om annat elektroniskt utlämnande än direktåtkomst (prop. 2023/24:29 s. 83f.). Begreppet täcker en rad olika tekniker och förfaranden att lämna ut uppgifter, till exempel via mejl eller sms, på usb-minne, genom webbtjänster eller filöverföring (Jfr. prop. 2023/24:29 s. 83 med hänvisningar). Utlämnandet kan göras på begäran av mottagaren eller på eget initiativ av den utlämnande myndigheten som förfogar över uppgiften och bestämmer om den ska lämnas ut eller inte.
I vissa fall är det enkelt att avgöra vilket slags digitalt utlämnande det är fråga om, till exempel när det gäller mejl. I andra fall är det mer komplicerat. Den tekniska utvecklingen har inneburit att skillnaden mellan direktåtkomst och andra sätt för utlämnande har blivit hårfin. Det har bidragit till att begreppen uppfattats som oklara, vilket har gett upphov till olika problem vid tillämpningen. Vanligtvis innebär ”fråga/svar-tjänster” annat elektroniskt utlämnande än direktåtkomst (jfr. exempelvis prop. 2023/24:29 s. 83). Man kan dock inte alltid utgå från att det är så, för det beror på hur tjänsten utformas.
Högsta förvaltningsdomstolen har klargjort hur gränsen ska dras mellan de olika formerna för digitalt utlämnande i det så kallade LEFI Online-målet (HFD 2015 ref. 61). Domstolen fann i det målet att Försäkringskassans tjänst LEFI Online utgör utlämnande på medium för automatiserad behandling. De myndigheter som begär uppgifter via tjänsten kan inte söka information på egen hand, utan ett utlämnande förutsätter att Försäkringskassan reagerar på en begäran. Myndigheterna anses därför inte ha sådan teknisk tillgång till upptagningarna som avses i 2 kap. 6 § första stycket TF, varför förfarandet inte är att betrakta som direktåtkomst enligt bestämmelserna i SFB.
Det finns olika risker kopplade till direktåtkomst. Det bör därför bara användas när det inte finns andra alternativ som kan lösa behovet av informationsförsörjning.
Som huvudregel utformas Försäkringskassan digitala tjänster för informationsutbyte så att det inte rör sig om direktåtkomst. (Prop. 2023/24:29 s. 77f.)
Läs mer om personuppgiftsbehandling i Försäkringskassans vägledning (2001:3) Offentlighet, sekretess och behandling av personuppgifter. Där kan du bland annat läsa mer omförutsättningarna för digitala utlämnanden. I eSam:s vägledning Elektroniskt informationsutbyte – en vägledning för utlämnande i elektronisk form (2016) beskrivs utlämnande genom medium för automatiserad behandling och direktåtkomst. Här beskriver eSam vilka förutsättningar som behöver uppfyllas för att informationsutbytet ska anses vara ett utlämnande av automatiserad behandling och inte en direktåtkomst. I eSam:s vägledning Digitalisera rätt, (2019) beskrivs ännu mer utförligt funktioner och moment som är aktuella vid informationsutbyte. Den vägledningen kan i tillämpliga delar användas som stöd eller referens.