Generaldirektören för Skatteverket, som representant för Esam, och generaldirektören för Försäkringskassan har lämnat en kommentar till vår rapport ”Molntjänster, offentlighet och sekretess i offentlig sektor”. I rapporten anförde vi bland annat kritik mot den tolkning av begreppet ”röjande” som Esam har gjort i ett antal uttalanden och vägledningar de senaste åren och som har haft stor betydelse för offentlig sektors benägenhet att (inte) använda molntjänster.
Esam och Försäkringskassan ignorerar medvetet eller omedvetet huvudpunkten i vårt ifrågasättande av Esams uttalanden om röjandebegreppet. Esams och Försäkringskassans kommentar väcker därför betydligt fler frågor än vad den ger svar som kanske många hade önskat få.
Esam och Försäkringskassan påstår att vi egentligen skulle vara eniga med dem om den rättsliga analysen, men att vi skulle göra en ”diametralt annan värdering av risken”. Men endast den som inte har läst vår rapport kan rimligen påstå detta. Av vår rapport framgår att Esam har lagt till ytterligare krav, utöver sannolikhet, för att bedöma om ett röjande föreligger. Krav som helt verkar saknar stöd i rättskällorna, men som har stor betydelse i bedömningen.
Varför ignorerar Esam och Försäkringskassan helt denna del av vår kritik, där vi ju bland annat pekar på feltolkningar av lagtext?
Esam och Försäkringskassan påstår vidare att vi, i själva sannolikhetsfrågan, skulle mena att ”det i princip är uteslutet att andra länders myndigheter skulle utnyttja sina lagliga möjligheter till informationsinhämtning”. Det räcker dock återigen att läsa i vår rapport för att se att vi aldrig påstått detta. Vi påpekade endast att det nog många gånger inte är så sannolikt att en uppgift som en myndighet lagrar i en molntjänst kommer att vidareförmedlas till en utländsk myndighet. Ett påstående som torde vara rätt okontroversiellt.
Varför lägger Esam och Försäkringskassan felaktiga påståenden i vår mun?
Esam och Försäkringskassan tillför i sin kommentar dessutom ytterligare en omständighet att väga in i röjandebedömningen, nämligen att myndigheten ”inte får avstå skyldigheten att själv pröva varje utlämnandefråga.” Detta är förstås korrekt, men det är ju just därför som myndigheten, i samband med att molntjänsten ska användas, måste pröva sannolikheten för att lagrade uppgifter senare kommer att lämnas ut till utländsk myndighet. En sannolikhetsbedömning handlar som bekant alltid om att bedöma något som ännu inte har hänt. Alltså:
Vad är stödet för detta ytterligare krav? Hänvisningen till lagtexten i en fotnot räcker inte för detta krav framgår uppenbarligen inte av lagtexten.
Och slutligen de två huvudsakliga frågorna, som Esam och Försäkringskassan av någon anledning väljer att inte svara på, men som de borde känna ett ansvar att svara på eftersom svaren har stor betydelse för hur många myndigheter, kommuner och regioner kommer att bedöma sina möjligheter att använda molnstjänster:
Menar Esam och Försäkringskassan att det finns ytterligare krav utöver sannolikhet som ska prövas för att bedöma om ett röjande föreligger och var i rättskällorna finns i så fall stödet för dessa krav?
”Det räcker alltså inte att göra en sannolikhetsbedömning” skriver Esam i ett uttalande från 2019. Men det framgår rätt tydligt genom vår analys att de argument som Esam hittills har anfört för detta saknar stöd. Detta är ingen riskbedömning utan en juridisk bedömning som Esam förstås inte behöver en domstol för att genomföra.
Om det inte finns några ytterligare krav utöver sannolikhet, är det då verkligen alltid sannolikt att en uppgift som lämnas ut till en molntjänstleverantör som omfattas av till exempel Cloud Act också kommer att lämnas ut till utländsk myndighet, och därmed röjas?
Om svaret är nej på dessa två frågor, vilket vi menar är fallet, finns betydligt större möjligheter för regioner, kommuner och regioner att använda molntjänster än vad många uppfattar idag.
David Frydlinger, advokat och delägare, Cirio Advokatbyrå
Caroline Olstedt Carlström, advokat och delägare, Cirio Advokatbyrå
