Den 1 januari trädde de nya upphandlingslagarna kraft. Det har vi tidigare skrivit om här på Life Science Sweden. Lagarna innebär en hel del nyheter och förändringar i det praktiska upphandlingsarbetet för såväl upphandlande myndigheter som anbudsgivande leverantörer. Ytterligare ny lagstiftning som har stor påverkan för både myndigheter och bolag, är den nya dataskyddsförordningen (ofta benämnd enligt det engelska namnet GDPR – General Data Protection Regulation). Denna EU-förordning antogs 2016 och börjar gälla fullt ut i medlemsländerna i maj nästa år. Det innebär att det återstår cirka ett år att anpassa sig till den nya lagstiftningen. För de flesta aktörer, offentliga såväl som privata, är det ett tämligen omfattande arbete med införande av nya processer, rutiner etc som behöver göras. För den som efter maj 2018, inte lever upp till nya dataskyddsförordningens krav kan kraftiga sanktioner med böter på upp till 20 miljoner euro (ca 200 miljoner SEK), eller upp till 4 procent av den totala globala årsomsättningen, komma ifråga. Eftersom reglerna utgår från en EU-förordning kommer de gälla i samtliga medlemsländer. Detta skiljer sig från upphandlingslagstiftningen som baseras på EU-direktiv, vilka måste införas i varje medlemslands nationella lagstiftning.

Dataskyddsförordningen ställer högre krav på såväl säkerhet som skydd för den personliga integriteten än den nuvarande svenska lagstiftningen (främst personuppgiftslagen, PuL). Genom förordningen stärks enskildas rättigheter, hårdare krav på samtycke införs liksom ökade krav på ansvar och roller inom organisationer. Även tillsynen över att lagstiftningen efterföljs skärps. Trots den knappa tid som återstår tills förordningen börjar tillämpas fullt ut i medlemsländerna, råder stor osäkerhet kring hur svensk lagstiftning kommer att anpassas. Huvudutredningen presenteras i maj. Utöver den pågår ett antal utredningar avseende anpassningar av speciallagstiftning.

I nuläget är det vanligt i offentliga upphandlingar att dataskyddsfrågor hanteras genom några enkla, standardiserade skrivningar i förfrågningsunderlag och/eller avtal. Exempelvis används regelmässigt generella skrivningar såsom att ”det åligger leverantören att följa vid var tid gällande lagstiftning avseende säkerhet och informationshantering” och liknande. Eftersom dataskyddsförordningen kan sägas uppställa krav vilka kan uppfyllas på olika sätt, kommer generella skrivningar i förfrågningsunderlag och avtal inte längre att räcka. Upphandlande myndigheter kommer att behöva konkret beskriva och kravställa dataskydds- och IT-säkerhets frågor i varje enskild upphandling som berörs av förordningen. Att med generella skrivningar skjuta över ansvaret för uppfyllelse av dataskyddsförordningens krav på leverantören, kommer bli betydligt svårare. Än är emellertid osäkerheten om hur den svenska lagstiftningen kommer att utformas, stor. Det är dock tydligt att kombinationen med den nya upphandlingslagstiftningen och den nya dataskyddsförordningen, ställer nya krav på såväl upphandlande myndigheter som anbudsgivande leverantörer.