Pernilla Norman advokat, grundare och delägare, Advokatfirman LexIT har arbetat med offentlig upphandling och särskilt inom telekom, i cirka 15 år. Idag forskar hon också på ämnet LOU kopplat till GDPR. I blogginlägget berättar hon mer om frågorna hon tittar på.
Digitalisering i tiden
Digitalisering är ordet på allas läppar. Såväl offentlig som privat sektor befinner sig i början på en mycket stor digitaliseringsresa. Exempelvis har riksdagen nyligen beslutat om en ny lag som innebär obligatorisk elektronisk fakturering vid offentligt upphandlade kontrakt. Lagen innebär att från och med den 1 april 2019 (nej, det är inget aprilskämt) blir alla leverantörer till offentlig sektor skyldiga att fakturera med e-faktura (Lag (2018:1277) om elektronisk fakturering till följd av offentlig upphandling). Andra exempel är möjligheterna att göra digitala läkarbesök, dvs läkarbesök genom mobiltelefon och surfplattor samt möjligheterna för privatpersoner till elektroniska hantering av myndighetspost. Digitalisering ligger i tiden! En grundläggande förutsättning för digitaliseringen är att det finns en generell tilltro till den digitala värden. Tilltron måste vara hög till såväl tekniken och den tekniska säkerheten i de digitala systemen, som till själva hanteringen av information och uppgifter i dessa system. Detta ställer stora krav på det sätt på vilka system byggs, den teknik som används, men också på regelverken. För offentlig sektor innebär den tid vi nu befinner oss i att det ställs nya krav bland annat vid upphandling av IT.
Som en del av ett forskningsprojekt tittar jag särskilt på samspelet mellan LOU och GDPR – dataskydd i offentliga upphandlingar.
LOU och GDPR
Inom en tid av ett och ett halvt år har vi fått två nya regelverk som är av grundläggande betydelse för IT-upphandlingar. Båda har sin grund i EU-rätten. Den nya upphandlingslagstiftningen som började gälla den 1 januari 2017, införlivar EU:s upphandlingsdirektiv i svensk rätt. Dataskyddsförordningen (GDPR) är en ”EU-lag” som började tillämpas den 25 maj i år.
Hur påverkar GDPR upphandlingar?
Dataskyddsförordningen ställer höga krav på hantering av personuppgifter. Med ökad digitalisering följer att personuppgifter hanteras i olika IT-system i ständigt ökande grad. System som på olika sätt används i och för offentlig verksamhet behöver generellt upphandlas enligt upphandlingslagstiftningens regler. För upphandlande myndigheter gäller det att säkerställa att GDPR:s krav uppfylls i den dagliga verksamheten. Detta innebär bland annat att myndigheter redan i kravställning i upphandlingar måste beakta GDPR och ställa krav som gör att beställarens skyldigheter enligt GDPR kan upprätthållas i användningen av det IT-system eller den IT-tjänst som upphandlas. Hur kan man exempelvis i ett upphandlingsunderlag säkerställa framtida uppfyllelse av GDPR:s krav på inbyggt dataskydd (privacy by design och privacy by defalut)? Det finns situationer där GDPR kan påverka redan valet av upphandlingsförfarande. Exempelvis kan upphandling av en molntjänst där personuppgifter kommer att hanteras i större omfattning, i vissa fall tänkas motivera att upphandlingen genomförs som en förhandlad upphandling med föregående annonsering eller konkurrenspräglad dialog.
Ett annat område som inte är helt enkelt att hantera är de personuppgiftsbiträdesavtal som ofta behöver träffas vid upphandling av IT-system och tjänster. På ett generellt plan har forskningen hittills visat att denna typ av avtal kommer att behöva bli mer situationsanpassade och mindre standardiserade än vad som nu är vanligt. Det är också intressant att konstatera att det mesta talar för att man ska använda leverantörens personuppgiftsbiträdesavtal. Detta kan få många upphandlare att reagera starkt. Men saker och ting är inte alltid som man tror, vilket är en spännande del av forskningen.
Slutligen tar jag upp GDPR-frågor vid användning av de ”Nationella ramavtalen”, dvs de ramavtal som har upphandlats av Statens inköpscentral vid Kammarkollegiet och SKL Kommentus inköpscentral. En stor del av offentliga myndigheters IT-upphandlingar görs genom avrop från dessa ramavtal. Det är därför intressant att titta närmare på vilka frågor GDPR väcker för de avropande myndigheterna.
Vill du veta mer?
Fördjupa dig ytterligare i dessa frågor föreläser Pernilla Norman på kursen IT-upphandling med fokus på GDPR-krav och informationssäkerhet – Läs mer och anmäl dig här!