JO dnr 6613-2010

Kritik mot Försäkringskassans handläggning av ett uppdrag att följa upp sjukförsäkringsreformerna

Beslutet i korthet: I detta beslut behandlas Försäkringskassans möjligheter att via privata företag genomföra telefonundersökningar med uppgifter som omfattas av sekretess enligt 28 kap. 1 § offentlighets- och sekretesslagen (OSL), och som lämnats ut till dessa företag med stöd av 10 kap. 2 § samma lag . I beslutet behandlas även frågan om omfattningen av sekretesskyddet i 2 kap. 1 § OSL . Försäkringskassan kritiseras för att ha ingått personuppgiftsbiträdesavtal enligt 30 § andra stycket personuppgiftslagen enbart med den aktuella leverantören och inte även med dess underleverantör. I beslutet konstateras slutligen att kassan har ett ansvar för att korrekt information om tillämpliga regler lämnas till ett företag som anlitas för ett uppdrag.

I en anmälan, inkommen till JO den 16 november 2010, anförde AA i huvudsak följande. Hon erhöll ett brev från Demoskop AB (Demoskop) där hon informerades om att hon var en av 2 250 personer som uppbär sjukersättning som valts ut att ingå i en undersökning. Det framgick att Demoskop hade erhållit uppdraget från Försäkringskassan, som i sin tur hade fått uppdraget från regeringen. Försäkringskassan har således lämnat ut uppgift till Demoskop om att hon uppbär sjukersättning trots att kassan har tystnadsplikt avseende försäkringstagares personliga förhållanden, som även omfattar ekonomiska förhållanden som exempelvis sjukpenninggrundande inkomst och sjukpenning. Hon ifrågasätter starkt detta förfarande och hävdar att Försäkringskassan brutit mot gällande sekretesslag genom att till Demoskop lämna ut uppgifter om hennes personliga förhållanden.

Inledningsvis inhämtades muntliga uppgifter från Försäkringskassans huvudkontor.

Anmälan och en tjänsteanteckning remitterades därefter till Försäkringskassan för yttrande. I remissvar den 16 maj 2011 anförde kassan, genom tf försäkringsdirektören BB, följande.

Utredning

Vid internutredningen har följande framkommit.

Bakgrunden till undersökningen I regleringsbrevet för budgetåret 2010 avseende Försäkringskassan var ett återrapporteringskrav att Försäkringskassan skulle redovisa måluppfyllelsen för målet att berörda försäkrade och samarbetspartners ska ha god kännedom om de nya reglerna inom sjukförsäkringen.

I regleringsbrevet fick Försäkringskassan även i uppdrag att följa upp sjukförsäkringsreformerna. I uppdraget ingick att redovisa antalet personer med sjukersättning som arbetar ideellt eller studerar med stöd av reglerna om steglös avräkning som gäller fr.o.m. den 1 januari 2009. Försäkringskassan skulle även redogöra för vilka faktorer som har betydelse för om en person inom den aktuella gruppen börjar förvärvsarbeta, arbeta ideellt eller studera eller avstår från detta. En plan för uppföljningen skulle upprättas i samråd med Socialdepartementet.

I den plan som upprättades anges följande i punkt 5 Steglös avräkning (dnr 10813-2010). ”Försäkringskassan kommer att genomföra en intervjuundersökning med personer som ansökt respektive inte ansökt om att få arbeta med stöd av bestämmelserna från 1 januari 2009.

Undersökningen byggs upp på liknande sätt som studien som redovisades till regeringen i december 2009. Syftet med intervjustudien som redovisades i december var att kartlägga den faktiskt arbetade tiden hos dem som ansökt om att få arbeta med steglös avräkning, att ta reda på kännedom om reglerna hos dem som inte ansökt och att undersöka hur väl de nya reglerna fungerar för dem som ansökt. Tillägg kommer att göras i kommande undersökning med frågor avseende ideellt arbete och studier. Dessutom kommer frågor ställas för att fånga vilka faktorer som har betydelse för huruvida en person inom den aktuella gruppen påbörjar att förvärvsarbeta, arbeta ideellt eller att studera eller avstår från detta.

Även uppgifter avseende uppskattat antal personer som arbetar ideellt eller studerar med stöd av bestämmelserna från 1 januari 2009 kommer att redovisas i rapporten. Denna uppskattning görs med hjälp av det urval som krävs för den ovan beskrivna intervjustudien. Det får till följd att det uppskattade antalet personer som redovisas innehåller en osäkerhet i form av konfidensintervall.”

Avdelningen Analys och prognos fick ansvaret för återrapporteringen av måluppfyllelsen och för att besvara uppdrag 5 i planen för uppföljning.

De uppgifter som var nödvändiga för att redovisa måluppfyllelsen och besvara uppdraget i regleringsbrevet finns inte i Försäkringskassans databaser. Det är endast den försäkrade själv som kan ge Försäkringskassan de efterfrågade uppgifterna. Försäkringskassan valde intervjuer som metod för att fånga uppgifterna. Intervjuerna genomfördes i form av en muntlig enkät riktad till den berörda gruppen försäkrade.

Försäkringskassan anlitade ett externt företag med erfarenhet av kvantitativa marknadsundersökningar för att genomföra en telefonundersökning. Efter avropsförfrågan fick Demoskop uppdraget. En anledning till att anlita ett externt företag var att de resurser i form av personal som krävdes för uppdraget inte fanns tillgängliga under den period uppdraget skulle genomföras.

Redan av informationen i avropsförfrågan framgick att de personer som skulle intervjuas hade sjukersättning.

I ett ramavtal mellan Försäkringskassan och Demoskop som tecknades 2008 finns en uttrycklig sekretessklausul som innebär att de har samma tystnadsplikt som alla anställda inom Försäkringskassan har (18 § ramavtal

Bestämmelsen i avtalet, som kom till innan den nu gällande offentlighets- och sekretesslagen (2009:400, OSL) trädde i kraft, har följande lydelse. ”Leverantören är skyldig att iaktta sekretess beträffande den information som denne får genom uppdraget om Försäkringskassans verksamhet, uppdraget, uppdragsresultatet och förhållanden i övrigt.

Leverantören får inte utan Försäkringskassans medgivande till tredje man utlämna sådana uppgifter om uppdraget.

Bestämmelserna om sekretess och förbud att röja eller utnyttja sekretessbelagd uppgift i det allmännas verksamhet regleras i Sekretesslagen (1980:100) . Enligt 1 kap. 6 § sekretesslagen gäller lagen även för personer som på uppdrag av myndigheten deltar eller har deltagit i myndighetens verksamhet. Ålägganden enligt denna paragraf gäller även efter avtalstidens upphörande.”

I 13 § ramavtalet räknas de underleverantörer upp som Demoskop kan nyttja vid utförande av uppdrag åt Försäkringskassan. Bland dessa leverantörer finns Anthill AB (Anthill).

Det tecknades även ett personuppgiftsbiträdesavtal mellan Försäkringskassan som personuppgiftsansvarig och Demoskop som personuppgiftsbiträde. I personuppgiftsbiträdesavtalet anges vad som gäller om Demoskop anlitar en underleverantör.

Andra paragrafen i avtalet har följande lydelse. ”Avtalet reglerar vad som gäller för behandlingen av personuppgifter i samband med tjänster som rör Marknadsundersökningar i enlighet med avropsavtalet om Sjukförsäkringen, dnr 057017-2010.

Demoskop får endast behandla personuppgifter i enlighet med de instruktioner som framgår av detta avtal.

Om Demoskop anlitar en underleverantör för att behandla personuppgifter med anledning av uppdragsavtalet är Demoskop även ansvarig för den behandling som underleverantören utför och att den utförs i enlighet med de instruktioner som framgår av detta avtal.

Det ankommer på Demoskop att se till att de leverantörer som behandlar personuppgifter hos Demoskop eller en underleverantör informeras om att personuppgifterna endast får behandlas enligt detta avtal.”

Det framgår av Reviderat anbud Kvantitativa marknadsundersökningar – Sjukförsäkringen, dnr 057017-2010 Bilaga 2, att Demoskop avser att anlita företaget Anthill för att genomföra intervjuerna.

Försäkringskassan tog fram vilka försäkrade som skulle intervjuas genom att göra ett slumpmässigt urval. Försäkringskassan lämnade till Demoskop de uppgifter som var nödvändiga för att Demoskop skulle kunna utföra sitt uppdrag. De uppgifter som lämnades ut var namn, adress, personnummer, handläggande lokalt försäkringscenter (LFC) och grad av ersättning.

Demoskop skickade ett informationsbrev till samtliga utvalda försäkrade. Brevet innehöll information om bland annat syftet med studien och att statistiksekretessen gällde för uppdraget.

Kontaktuppgifter till intervjupersonerna samt uppgift om att det handlade om person som var berättigade till sjukersättning överlämnades från Demoskop till Anthill som kontaktade de försäkrade, utförde intervjuerna och redovisade resultatet till Demoskop.

I 9 § underleverantörsavtal mellan Demoskop och Antihill finns en klausul om sekretess med följande innehåll:

Enligt uppgift från Demoskop skrev de anställda hos Anthill som deltog i uppdraget på en sekretessförbindelse avseende uppgifter som de fick ta del av vid uppdragets utförande.

Demoskop redovisade senare uppdraget i en rapport till Försäkringskassan. Rapporten innehöll inte några individrelaterade uppgifter utan endast sammanställning i form av statistik och tillhörande analyser.

Försäkringskassans slutsatser

Det framgår av utredningen att Försäkringskassan hade behov av att anlita Demoskop för att kunna utföra det uppdrag som regeringen gett myndigheten i regleringsbrevet för budgetåret 2010 och som avsåg återrapporteringen avseende de berörda försäkrades och samarbetspartners kännedom om de nya reglerna inom sjukförsäkringen. Demoskop anlitades för att antingen i egen regi eller genom ett annat företag utföra intervjuer med ett större antal försäkrade. För att företaget skulle kunna komma i kontakt med de personer som skulle intervjuas gjorde Försäkringskassan ett urval av de berörda försäkrade och lämnade uppgifter om dessa till Demoskop.

Uppgifterna hämtades från Försäkringskassans socialförsäkringsdatabas. Dessa uppgifter omfattas av sekretesskydd enligt 28 kap. 1 § OSL . Eftersom det var nödvändigt för att Försäkringskassan skulle kunna utföra sitt uppdrag enligt regleringsbrevet skedde utlämnandet av uppgifterna till Demoskop med stöd av 10 kap. 2 § OSL .

När det gäller sekretesskyddet för uppgifterna hos Demoskop och Anthill är Försäkringskassan medveten om svårigheterna att tolka räckvidden av bestämmelsen i 2 kap. 1 § OSL . Enligt den bestämmelsen gäller förbudet att röja sekretessbelagda uppgifter även personer som på grund av uppdrag hos en myndighet får kännedom om sådana uppgifter. Om anställda hos Demoskop och Anthill kan anses delta i myndighetens verksamhet på grund av uppdrag hos myndigheten omfattas alltså dessa personer av förbudet enligt 2 kap. 1 § OSL . Det är dock oklart om den typ av uppdrag som Demoskop och även Anthill fick i det aktuella fallet kan anses vara av sådan karaktär att det omfattas av bestämmelsen i 2 kap. 1 § OSL . Mot den bakgrunden tog Försäkringskassan i 18 § ramavtalet med Demoskop förutom en hänvisning till den aktuella bestämmelsen även in en klausul om att sekretess skulle gälla för uppgifter som Demoskop och senare Anthill fick från Försäkringskassan och att uppgifterna inte fick lämnas till tredje man utan Försäkringskassans medgivande. En motsvarande bestämmelse finns i 9 § underleveratörsavtalet mellan Demoskop och Anthill.

Eftersom det uppdrag som Demoskop skulle utföra åt Försäkringskassan förutsatte automatiserad behandling av personuppgifter tecknades även ett personuppgiftsbiträdesavtal mellan Försäkringskassan som personuppgiftsansvarig och Demoskop som personuppgiftsbiträde. Enligt 2 § det avtalet var Demoskop ansvarig för behandling av personuppgifter som eventuellt skulle utföras av en underleverantör.

JO har i ett tidigare ärende uttalat sig i frågan om det är lagligt att lämna ut sekretessbelagda uppgifter till privata företag som bistår myndigheter att utföra sina uppdrag. I det fallet var det frågan om utlämnande av uppgifter från skattemyndigheterna till servicebyråer som utförde registrering. JO ansåg att det knappast var avsett att sekretess i sådana situationer skulle gälla direkt enligt 1 kap.

Med hänvisning till det refererade uttalandet anser Försäkringskassan att utlämnandet av uppgifter till Demoskop har stöd i gällande lagstiftning och att någon överträdelse av sekretessbestämmelser inte har skett. Även överföringen av uppgifter från Demoskop till Anthill kan anses ha skett med Försäkringskassans medgivande eftersom det framgick av ramavtalet att Anthill fick vara underleverantör och då det av det reviderade anbudet framgick att Demoskop avsåg att anlita Anthill. Dessutom tecknade samtliga anställda hos Anthill som utförde intervjuerna en sekretessförbindelse avseende uppgifter inom det uppdraget.

Däremot kan Försäkringskassan konstatera följande formella brister i förfarandet.

1. I 2 § personuppgiftsbiträdesavtalet anges att leverantören är ansvarig även för behandling av personuppgifter som utförs av en underleverantör. Enligt kommentaren till 30 § andra stycket personuppgiftslagen (Sören Öman och Hans-Olof Lindblom, tredje upplagan s. 365) och Datainspektionens praxis ska personuppgiftsansvarig istället direkt teckna personuppgiftsbiträdesavtal med underleverantören.

2. I informationsbrevet som Demoskop skickat till intervjupersonerna anges att uppgifter som den försäkrade lämnar skyddas hos Försäkringskassan av den så kallade statistiksekretessen ( 24 kap. 8 § OSL ). Statistiksekretessen avser uppgifter om den enskildes personliga och ekonomiska förhållanden som kan hänföras till den enskilde. Som framgår av utredningen har redovisningen till Försäkringskassan skett i en rapport med uppgifter som inte kan hänföras till de intervjuade personerna. Eftersom Försäkringskassan inte har begärt och inte fått några individuppgifter är statistiksekretessen inte tillämplig. Något behov av sekretess för den rapport som Försäkringskassan har fått från Demoskop finns inte. De uppgifter om de försäkrade som Försäkringskassan hämtat från socialförsäkringsdatabasen och lämnat ut till Demoskop skyddas hos Försäkringskassan av socialförsäkringssekretess enligt 28 kap. 1 § OSL .

Försäkringskassan har vid ett tidigare tillfälle uppmärksammat bristen kring hanteringen av personuppgiftsbiträdesavtal i de situationer när det är aktuellt att anlita en underleverantör. Försäkringskassans avtalsmallar och rutiner har redan anpassats efter de krav som gäller enligt kommentaren till personuppgiftslagen och Datainspektionens praxis. Försäkringskassan beklagar de felaktiga hänvisningarna till sekretessbestämmelser som har förekommit i detta fall och kommer i fortsättningen att säkerställa att de leverantörer som anlitas lämnar en korrekt information om tillämpligt regelverk.

AA kommenterade remissvaret.

Offentlighets- och sekretesslagen (2009:400) , OSL

Förbud att röja eller utnyttja en uppgift enligt denna lag eller en lag eller förordning som denna lag hänvisar till gäller för myndigheter. Ett sådant förbud gäller också för en person som fått kännedom om uppgiften genom att för det allmännas räkning delta i en myndighets verksamhet på grund av anställning eller uppdrag hos myndigheten, på grund av tjänsteplikt eller på annan liknande grund (2 kap. 1 §).

Av 10 kap. 2 § följer att sekretess inte hindrar att en uppgift lämnas till en enskild eller till en annan myndighet, om det är nödvändigt för att den utlämnade myndigheten ska kunna fullgöra sin verksamhet.

Enligt 24 kap. 8 § första stycket gäller sekretess i sådan särskild verksamhet hos en myndighet som avser framställning av statistik för uppgift som avser en enskilds personliga eller ekonomiska förhållanden och som kan hänföras till den enskilde.

Enligt 28 kap. 1 § första stycket gäller sekretess hos Försäkringskassan för uppgifter om en enskilds hälsotillstånd eller andra personliga förhållanden, om det kan antas att den enskilde eller någon närstående till denne lider men om uppgiften röjs och uppgiften förekommer i ärende enligt lagstiftningen om allmän försäkring.

Personuppgiftslagen (1998:204) , PUL

Enligt 3 § är personuppgiftsansvarig den som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandling av personuppgifter. Personuppgiftsbiträde är den som behandlar personuppgifter för den personuppgiftsansvariges räkning.

Av 30 § första stycket framgår att ett personuppgiftsbiträde och de eller de personer som arbetar under biträdets eller den personuppgiftsansvariges ledning får behandla personuppgifter bara i enlighet med instruktioner från den personuppgiftsansvarige. Enligt andra stycket ska det finnas ett skriftligt avtal om personuppgiftsbiträdets behandling av personuppgifter för den personuppgiftsansvariges räkning.

Bakgrund

Anledning till undersökningen

I regleringsbrevet för budgetåret 2010 avseende Försäkringskassan angavs ett återrapporteringskrav att kassan skulle redovisa måluppfyllelsen för målet att berörda försäkrade och samarbetspartners ska ha god kännedom om de nya reglerna inom sjukförsäkringen.

I regleringsbrevet fick Försäkringskassan även i uppdrag att följa upp sjukförsäkringsreformerna. I detta uppdrag ingick att redovisa antalet personer med sjukersättning som arbetar ideellt eller studerar med stöd av bestämmelserna om steglös avräkning. Kassan skulle även redogöra för vilka faktorer som har betydelse för om en person inom den aktuella gruppen börjar förvärvsarbeta, arbeta ideellt, studerar eller avstår från detta.

De uppgifter som var nödvändiga för att redovisa måluppfyllelsen och besvara uppdraget i regleringsbrevet fanns inte i Försäkringskassans databaser utan det var endast de försäkrade som kunde ge kassan de efterfrågade uppgifterna.

Försäkringskassan valde intervjuer som metod för att få in uppgifterna. Intervjuerna genomfördes i form av en muntlig enkät riktad till den berörda gruppen av försäkrade.

Kassan anlitade ett externt företag för att genomföra telefonundersökningen. Demoskop fick uppdraget. Anledningen till att ett externt företag anlitades var att de resurser i form av personal som krävdes för uppdraget inte fanns tillgängliga under den period som uppdraget skulle genomföras.

Avtalen mellan Försäkringskassan och Demoskop

I ett ramavtal mellan Försäkringskassan och Demoskop, som tecknades 2008, finns en uttrycklig sekretessklausul som innebär att anställda hos företaget har samma tystnadsplikt som alla anställa inom kassan har.

Det tecknades även ett personuppgiftsbiträdesavtal mellan kassan som personuppgiftsansvarig och Demoskop som personuppgiftsbiträde. Om Demoskop anlitar en underleverantör för att behandla personuppgifter med anledning av uppdragsavtalet är Demoskop enligt personuppgiftsbiträdesavtalet även ansvarigt för den behandling som underleverantören utför och för att den utförs i enlighet med de instruktioner som framgår av avtalet. Vidare anges att det ankommer på Demoskop att se till att de leverantörer som behandlar personuppgifter hos Demoskop eller en underleverantör informeras om att personuppgifterna endast får behandlas enligt personuppgiftsbiträdesavtalet.

Avtalet mellan Demoskop och Anthill

Av reviderat anbud Kvantitativa marknadsundersökningar – Sjukförsäkringen framgår att Demoskop avsåg att anlita företaget Anthill för att genomföra intervjuerna. I ramavtalet som tecknades mellan Försäkringskassan och Demoskop 2008 anges de underleverantörer som Demoskop kan anlita vid utförande av uppdrag år kassan. Bland dessa finns Anthill uppräknat.

I underleverantörsavtalet mellan Demoskop och Anthill finns en sekretessklausul med följande innehåll.

”Part förbinder sig att inte för tredje man utan den andra partens i förväg inhämtade skriftliga godkännande lämna ut handlingar eller på annat sätt lämna uppgifter i annan utsträckning än vad som erfordras för detta avtals genomförande. Sekretesskyldigheten gäller inte för sådan information som part kan visa har blivit allmänt känd fär honom eller på annat sätt än genom fullgörandet av detta avtal. Anthill förbinder sig att tillse att anställda eller konsulter åtar sig ett lika långtgående sekretessansvar.”

Enligt uppgift från Demoskop undertecknade de anställda som deltog i uppdraget en sekretessförbindelse avseende uppgifter som de fick del av vid uppdragets genomförande.

Genomförandet av undersökningen

Försäkringskassan tog fram vilka försäkrade som skulle intervjuas genom att göra ett slumpmässigt urval och lämnade de uppgifter till Demoskop som var nödvändiga för att uppdraget skulle kunna utföras. De uppgifter som lämnades ut

var namn, adress, personnummer, handläggande lokalt försäkringscenter och grad av ersättning.

Demoskop skickade ett informationsbrev till samtliga utvalda försäkrade. Brevet innehöll information om bl.a. syftet med studien. Vidare framhölls att statistiksekretess gällde för uppdraget.

Demoskop lämnade i sin tur kontaktuppgifter till intervjupersonerna samt uppgift om att det handlade om personer som var berättigade till sjukersättning till Anthill.

Anthill kontaktade de försäkrade, utförde intervjuerna och redovisade resultatet till Demoskop.

Demoskop redovisade uppdraget i en rapport till Försäkringskassan. Rapporten innehöll inte några individrelaterade uppgifter utan endast en statistisk sammanställning och tillhörande analyser.

Bedömning

Försäkringskassans utlämnade av uppgifter till Demoskop

Av utredningen framgår att Försäkringskassan hade behov av att anlita ett externt företag för att kunna utföra det uppdrag som regeringen hade gett myndigheten i regleringsbrevet för budgetåret 2010 och som avsåg återrapporteringen avseende de berörda försäkrades och samarbetspartners kännedom om de nya reglerna inom sjukförsäkringen. Demoskop anlitades för att antingen i egen regi eller genom ett annat företag utföra intervjuer med ett större antal försäkrade.

Försäkringskassan tog fram vilka försäkrade som skulle intervjuas genom att göra ett slumpmässigt urval och lämnade de uppgifter till Demoskop som var nödvändiga för att uppdraget skulle kunna utföras. De uppgifter som lämnades ut var namn, adress, personnummer, handläggande lokalt försäkringscenter och grad av ersättning. Uppgifterna som lämnades till Demoskop hämtades från Försäkringskassans socialförsäkringsdatabas och omfattas av sekretess enligt 28 kap. 1 § OSL .

Försäkringskassan har uppgett att anledningen till att ett externt företag anlitades var att de resurser i form av personal som krävdes för uppdraget inte fanns tillgängliga under den period som uppdraget skulle genomföras. Eftersom det var nödvändigt för att kassan skulle kunna utföra sitt uppdrag enligt regleringsbrevet skedde utlämnandet av uppgifter till Demoskop med stöd av 10 kap. 2 § OSL .

I kommentaren till denna paragraf uttalas att bestämmelsen innebär att sekretess inte hindrar att en myndighet lämnar ut uppgifter till andra myndigheter eller till enskilda, om det är nödvändigt för att myndigheten ska kunna fullgöra sin verksamhet. Syftet med bestämmelsen är alltså att förhindra att sekretessregleringen gör det omöjligt för en myndighet och dess personal att sköta de uppgifter som åvilar myndigheten. Bestämmelsen ska tillämpas restriktivt (se prop. 1979/80:2 Del A s. 465 och 494). Sekretessen får efterges bara i sådana fall då ett utlämnande av

sekretessbelagda uppgifter är en nödvändig förutsättning för att en myndighet ska kunna fullgöra ett visst åliggande. Enbart en bedömning att effektiviteten i myndighetens handlande nedsätts genom en föreskriven sekretess får alltså inte leda till att sekretessen åsidosätts (Lenberg m.fl., Offentlighets- och sekretesslagen , En kommentar, den 1 juli 2011, Zeteo internetutgåva, kommentaren till 10 kap. 2 §).

JO brukar inte ta ställning till om en myndighets beslut är riktigt i sak. Jag tar därför inte ställning till om det var nödvändigt att överlämna uppgifterna till Demoskop för att Försäkringskassan skulle kunna fullgöra sitt uppdrag.

Sekretesskyddet för de utlämnade uppgifterna hos Demoskop och Anthill

I 2 kap. 1 § OSL föreskrivs att förbud att röja eller utnyttja uppgifter enligt OSL gäller för myndigheter. I bestämmelsen anges vidare vilka personer som omfattas av sekretessregleringen.

I kommentaren uttalas att det är mera tveksamt i vad mån lagen omfattar uppdragstagare och likställda som har någon begränsad form av anknytning till en myndighet. Gränsdragningsproblem är oundvikliga.

JO har tidigare tagit upp principfrågan om det är lagligt och i så fall lämpligt att dåvarande skattemyndigheterna lämnade ut sekretessbelagda uppgifter (deklarationer, kontrolluppgifter, arbetsgivaravgifter) till privata dataföretag, s.k. servicebyråer, för registrering (se JO 1982/83 s. 238). Slutsatsen i det beslutet var att lagstiftaren knappats avsett att servicebyråerna och deras personal i en sådan funktion ska omfattas av 1 kap. 6 § sekretesslagen (numera 2 kap. 1 § OSL ). JO fann emellertid, bl.a. med hänvisning till 1 kap. 5 § sekretesslagen (numera 10 kap. 2 § OSL ), att man inte kunde rikta några avgörande invändningar mot den ordning som kommit till användning. Av betydelse i sammanhanget torde ha varit att myndigheterna försett sina avtal med klausuler om tystnadsplikt och att skyddsintresset när det gäller uppgifter om fysiska personer på ett i huvudsak tillfredsställande sätt tillgodosågs genom tystandspliktsregeln i dåvarande 13 § datalagen (1973:289) (Lenberg m.fl., Offentlighets- och sekretesslagen , En kommentar, den 1 juli 2011, Zeteo internetutgåva, kommentaren till 2 kap. 1 §).

I remissvaret uppger Försäkringskassan att myndigheten är medveten om svårigheterna att tolka räckvidden av bestämmelsen i 2 kap. 1 § OSL . Om anställda hos Demoskop och Anthill kan anses delta i myndighetens verksamhet på grund av uppdrag hos myndigheten omfattas dessa personer av förbudet i 2 kap. 1 § OSL . Som Försäkringskassan har medgett är det oklart om den typ av uppdrag som Demoskop och även Anthill fick i det aktuella fallet kan anses vara av sådan karaktär att det omfattas av bestämmelserna i 2 kap. 1 § OSL .

Mot den bakgrunden tog kassan i avtalet med Demoskop in såväl en hänvisning till 2 kap. 1 § OSL som en klausul om att sekretess skulle gälla för uppgifter som Demoskop fick från Försäkringskassan och att uppgifterna inte fick lämnas till tredje man utan Försäkringskassans samtycke. En motsvarande bestämmelse finns i underleverantörsavtalet mellan Demoskop och Anthill.

Under förutsättning att det var nödvändigt att utlämna uppgifterna till Demoskop för att Försäkringskassan skulle kunna fullgöra sitt uppdrag anser jag att det saknas tillräckliga skäl att kritisera Försäkringskassans agerande. Jag vill dock poängtera att skyddet för sekretessbelagda uppgifter som lämnas ut till privata företag i praktiken försvagas beroende på antal kontrakterade leverantörer och underleverantörer. En viss försiktighet bör därmed iakttas.

Personuppgiftsbiträdesavtalet

I personuppgiftsbiträdesavtalet mellan Försäkringskassan och Demoskop anges att leverantören är ansvarig även för behandling av personuppgifter som utförs av en underleverantör.

Av kommentaren till 30 § andra stycket PUL framgår bl.a. följande. Redan av första stycket i denna paragraf torde följa att ett personuppgiftsbiträde inte utan instruktion därom från den personuppgiftsansvarige helt eller delvis får lägga ut personuppgiftsbehandlingen på ett annat företag såsom en underentreprenör. Om den personuppgiftsansvariges instruktioner till personuppgiftsbiträdet, som de framgår i avtalet med denne eller på annat sätt, tillåter det och personuppgiftsbiträdet skulle välja att anlita ett annat företag såsom underentreprenör för någon viss behandling av personuppgifterna, torde även underentreprenören vara att betrakta som personuppgiftsbiträde till den personuppgiftsansvarige, eftersom även denne behandlar personuppgifter för den personuppgiftsansvariges räkning (Öman m.fl., Personuppgiftslagen , En kommentar, den 1 oktober 2011, Zeteo internetutgåva, 30 §).

Det sagda innebär att Försäkringskassan i egenskap av personuppgiftsansvarig skulle ha ingått ett sådant skriftligt avtal som avses i 30 § andra stycket PUL med båda personuppgiftsbiträdena, dvs. Demoskop och Anthill. Jag är kritisk till att så inte är fallet.

Informationsbrevet från Demoskop

I informationsbrevet som Demoskop skickade till intervjupersoner anges att de uppgifter som den försäkrade lämnar skyddas hos Försäkringskassan av den s.k. statistiksekretessen i 9 kap. 4 § sekretesslagen (1980:100) . Brevet är daterat den 14 september 2010.

Offentlighets- och sekretesslagen trädde i kraft den 30 juni 2009, då sekretesslagen upphörde att gälla. Hänvisningen till 9 kap. 4 § sekretesslagen är således felaktig. Som Försäkringskassan uppgivit i remissvaret är emellertid inte heller motsvarande bestämmelse i 24 kap. 8 § OSL tillämplig eftersom redovisningen till kassan skett i en rapport med uppgifter som inte kan hänföras till de intervjuade personerna. Försäkringskassan har ett ansvar för att korrekt information om bl.a. tillämpliga regler lämnas till ett företag som anlitas för ett uppdrag. Jag är kritisk till att så inte skett i detta fall.

Ärendet avslutas.