Dataskydd i IT-upphandlingar – Pernilla Norman pratar om sin forskning på IT-rättsforum den 21 november
Digitalisering i tiden
Digitalisering är ordet på allas läppar. Såväl offentlig som privat sektor befinner sig i början på en mycket stor digitaliseringsresa. Exempelvis har riksdagen nyligen beslutat om en ny lag som innebär obligatorisk elektronisk fakturering vid offentligt upphandlade kontrakt.
Lagen innebär att från och med den 1 april 2019 (nej, det är inget aprilskämt) blir alla leverantörer till offentlig sektor skyldiga att fakturera med e-faktura (Lag (2018:1277) om elektronisk fakturering till följd av offentlig upphandling).
Andra exempel är möjligheterna att göra digitala läkarbesök, dvs läkarbesök genom mobiltelefon och surfplattor samt möjligheterna för privatpersoner till elektroniska hantering av myndighetspost.
Digitalisering ligger i tiden! En grundläggande förutsättning för digitaliseringen är att det finns en generell tilltro till den digitala värden. Tilltron måste vara hög till såväl tekniken och den tekniska säkerheten i de digitala systemen, som till själva hanteringen av information och uppgifter i dessa system.
Detta ställer stora krav på det sätt på vilka system byggs, den teknik som används, men också på regelverken. För offentlig sektor innebär den tid vi nu befinner oss i att det ställs nya krav bland annat vid upphandling av IT.
Som en del av ett forskningsprojekt tittar jag särskilt på samspelet mellan LOU och GDPR – dataskydd i offentliga upphandlingar.
LOU och GDPR
Inom en tid av ett och ett halvt år har vi fått två nya regelverk som är av grundläggande betydelse för IT-upphandlingar. Båda har sin grund i EU-rätten. Den nya upphandlingslagstiftningen som började gälla den 1 januari 2017, införlivar EU:s upphandlingsdirektiv i svensk rätt. Dataskyddsförordningen (GDPR) är en ”EU-lag” som började tillämpas den 25 maj i år.
Hur påverkar GDPR upphandlingar?
Dataskyddsförordningen ställer höga krav på hantering av personuppgifter. Med ökad digitalisering följer att personuppgifter hanteras i olika IT-system i ständigt ökande grad. System som på olika sätt används i och för offentlig verksamhet behöver generellt upphandlas enligt upphandlingslagstiftningens regler.
För upphandlande myndigheter gäller det att säkerställa att GDPR:s krav uppfylls i den dagliga verksamheten. Detta innebär bland annat att myndigheter redan i kravställning i upphandlingar måste beakta GDPR och ställa krav som gör att beställarens skyldigheter enligt GDPR kan upprätthållas i användningen av det IT-system eller den IT-tjänst som upphandlas.
Hur kan man exempelvis i ett upphandlingsunderlag säkerställa framtida uppfyllelse av GDPR:s krav på inbyggt dataskydd (privacy by design och privacy by defalut)?
Det finns situationer där GDPR kan påverka redan valet av upphandlingsförfarande. Exempelvis kan upphandling av en molntjänst där personuppgifter kommer att hanteras i större omfattning, i vissa fall tänkas motivera att upphandlingen genomförs som en förhandlad upphandling med föregående annonsering eller konkurrenspräglad dialog.
Ett annat område som inte är helt enkelt att hantera är de personuppgiftsbiträdesavtal som ofta behöver träffas vid upphandling av IT-system och tjänster. På ett generellt plan har forskningen hittills visat att denna typ av avtal kommer att behöva bli mer situationsanpassade och mindre standardiserade än vad som nu är vanligt.
Det är också intressant att konstatera att det mesta talar för att man ska använda leverantörens personuppgiftsbiträdesavtal. Detta kan få många upphandlare att reagera starkt. Men saker och ting är inte alltid som man tror, vilket är en spännande del av forskningen.
Slutligen tar jag upp GDPR-frågor vid användning av de ”Nationella ramavtalen”, dvs de ramavtal som har upphandlats av Statens inköpscentral vid Kammarkollegiet och SKL Kommentus inköpscentral. En stor del av offentliga myndigheters IT-upphandlingar görs genom avrop från dessa ramavtal. Det är därför intressant att titta närmare på vilka frågor GDPR väcker för de avropande myndigheterna.
Vill du veta mer?
Jag har här lyft några frågor där samspelet mellan LOU och GDPR har stor betydelse. Det finns naturligtvis många fler intressanta frågeställningar.
Jag berättar mer om LOU och GDPR och min forskning vid IT-rättsforum, den 21 november. Då kommer det också finnas tid att ställa frågor.
För den som är intresserad av en grundläggande bild finns en första artikel publicerad i Europarättslig Tidskrift nr 2/2018 ”LOU och GDPR – Kravställning om Dataskydd i IT-upphandlingar”. En andra artikel kommer under våren 2019.
Var med och lyssna och diskutera det senaste inom IT-rätten. Välkomna till IT-rättsforum den 21 november 2018, i World Trade Center, Stockholm.