Uppgiftslämnarservice för företagen

Betänkande av Uppgiftslämnarutredningen

Stockholm 2015

SOU 2015:33

Innehåll		SOU 2015:33
3.4	Målbild på kort sikt (2015) .....................................................	64
3.5	Målbild på längre sikt (2020+)...............................................	65
4	Utredningens delredovisning och betänkande ...............	67
4.1	Sammanfattning av utredningens delredovisning..................	67
4.2	Remissbehandling av delredovisningen..................................	69

4.3Sammanfattning av betänkandet Ett minskat och förenklat uppgiftslämnande för företagen (SOU

	2013:80)....................................................................................		71
	4.3.1	Uppgiftskravsregister...................................................	72
	4.3.2	Servicetjänst ..................................................................	72
	4.3.3	Rättsliga frågor .............................................................	74
	4.3.4	Organisation, finansiering och
		samhällsekonomiska effekter ......................................	74
4.4	Remissbehandling av betänkandet..........................................		75
5	Vidareutveckling av den tekniska lösningen ...................		77
5.1	Prototypen ...............................................................................		77
	5.1.1	Inloggning.....................................................................	78
	5.1.2 Centrala användningsfall för företagaren ...................		80
	5.1.3	Simulerade e-tjänster....................................................	83
	5.1.4 Centrala användningsfall för myndigheter .................		84
5.2	En fristående tjänst..................................................................		85
	5.2.1	Arbetets genomförande ...............................................	86
	5.2.2	Fördjupad kravspecifikation........................................	87
	5.2.3	Resultat .........................................................................	89
5.3	Rundabordssamtal m.m...........................................................		89
	5.3.1	Bakgrund.......................................................................	89
	5.3.2	Referensgruppens första möte ....................................	90
	5.3.3	Progressrapport ............................................................	91
	5.3.4	Regeringsuppdrag.........................................................	94
	5.3.5	Genomförande och organisation.................................	95

8

SOU 2015:33 Innehåll

5.4	Regeringens beslut om förvaltning av systemet.....................		96
	5.4.1	Tillväxtverket ................................................................	96
	5.4.2	Bolagsverket ..................................................................	97
	5.4.3	Budgetpropositionen för 2015.....................................	98
6	Uppgiftslämnarservice för företagen .............................		99
6.1	Sammanfattande beskrivning ..................................................		99
	6.1.1	Verksamhetsmässiga utgångspunkter .........................	99
	6.1.2	Tekniska utgångspunkter ...........................................	102
	6.1.3	Juridiska utgångspunkter ...........................................	104
6.2	Sammansatta bastjänsten .......................................................		133
	6.2.1 Allmänt om Sammansatta bastjänsten.......................		133
	6.2.2 Vilka är de grundläggande uppgifterna och
		varifrån kommer de?...................................................	136
	6.2.3 Hur ska uppgifterna användas för att minska och
		förenkla uppgiftslämnandet? .....................................	137
	6.2.4	Beskrivning av användningsfallen ..............................	138
	6.2.5	Tryckfrihetsförordningen och Sammansatta
		bastjänsten...................................................................	141
	6.2.6	Personuppgiftsbehandling i Sammansatta
		bastjänsten...................................................................	143
	6.2.7 Offentlighet och sekretess i Sammansatta
		bastjänsten...................................................................	150
	6.2.8 Arkivering och gallring i Sammansatta
		bastjänsten...................................................................	152
6.3	Uppgiftskravstjänsten............................................................		153
	6.3.1	Allmänt om Uppgiftskravstjänsten ...........................	153
	6.3.2	Uppgiftskravstjänstens olika delar ............................	155
	6.3.3 Tjänsten ur ett användarperspektiv ...........................		157
	6.3.4	Kvalitetssäkring av kartläggningsarbetet...................	159
	6.3.5 Information som registreras om uppgiftskraven ......		162
	6.3.6 Rapportering av företagens uppgiftslämnarbörda ....		170
	6.3.7 Alternativ arkitektur för Uppgiftskravsregistret......		170
	6.3.8	Tryckfrihetsförordningen och
		Uppgiftskravstjänsten ................................................	172
	6.3.9	Personuppgiftsbehandling i
		Uppgiftskravstjänsten ................................................	172

9

Innehåll SOU 2015:33

	6.3.10 Offentlighet och sekretess i
		Uppgiftskravstjänsten................................................	177
	6.3.11 Arkivering och gallring i Uppgiftskravstjänsten ......		177
6.4	En servicefunktion i verksamt.se..........................................		178
	6.4.1 Allmänt om verksamt.se och utredningens
		förslag..........................................................................	179
	6.4.2	Beskrivning av användningsfallen..............................	179
	6.4.3	Tryckfrihetsförordningen och servicefunktionen....	182
	6.4.4	Personuppgiftsbehandling i servicefunktionen ........	183
	6.4.5 Offentlighet och sekretess i servicefunktionen .......		186
	6.4.6 Arkivering och gallring i servicefunktionen .............		187
6.5	Aviseringsfunktionen ............................................................		188
	6.5.1 Syftet med en aviseringsfunktion..............................		188
	6.5.2 Funktionella krav på en aviseringsfunktion..............		188
	6.5.3 Möjliga vägar att uppfylla de funktionella kraven
		genom Mina meddelanden.........................................	190
	6.5.4 Realisering genom utvecklingen av
		Ärendeöversikt ...........................................................	194
	6.5.5	Beskrivning av användningsfallen..............................	195
	6.5.6 Rättsliga överväganden och bedömningar ................		196
7	Anslutningsstrategi ...................................................		199
7.1	Bakgrund ................................................................................		199
7.2	Tidigare redovisad anslutningsplan ......................................		200

7.3Erfarenheter från andra myndighetsgemensamma

	tjänster....................................................................................	202
	7.3.1 Sammansatt bastjänst för ekonomiskt bistånd.........	202
	7.3.2 Mina meddelanden .....................................................	204
7.4	Styrning ..................................................................................	205
7.5	Marknadsföring och information .........................................	206
7.6	Målgrupp ................................................................................	207

10

SOU 2015:33 Innehåll

7.7	Anslutningspunkter ...............................................................		207
	7.7.1	Sammansatta bastjänstens dataproducenter..............	208
	7.7.2	Sammansatta bastjänstens datakonsumenter ............	209
	7.7.3	Uppgiftskravstjänstens dataproducenter ..................	211
	7.7.4	Uppgiftskravstjänstens datakonsumenter.................	212
	7.7.5	Aviseringsfunktionen .................................................	212
8	Kostnads- och nyttoanalys.........................................		215
8.1	Genomförandet av en kostnads- och nyttoanalys ...............		215
8.2	Myndigheternas kostnader och nyttor .................................		216
9	Den framtida organisationen för
	Uppgiftslämnarservice ..............................................		219
9.1	Allmänt ...................................................................................		219
	9.1.1	Utredningens arbete ...................................................	220

9.2Fortsättning för Samverkanspunkten och

Företagsdataforumet..............................................................		221
9.2.1	Förvaltningsorganisation för
	Uppgiftslämnarservice................................................	225
9.2.2	Förvaltningsorganisationens närmare
	uppbyggnad.................................................................	227
9.2.3	Samverkanspunkt........................................................	231
9.2.4	Företagsdataforum .....................................................	232

9.3Samråd mellan berörda myndigheter och

	Företagsdataforum.................................................................	234
10	Vidareutnyttjande av handlingar från den offentliga
	förvaltningen (PSI) ...................................................	237
10.1	PSI-lagstiftningen ..................................................................	237
	10.1.1 Det ursprungliga EG-direktivet.................................	237
	10.1.2 PSI-lagen .....................................................................	238
	10.1.3 PSI-utredningen och dess betänkande ......................	238
	10.1.4 Övrig lagstiftning på området....................................	239

11

Innehåll	SOU 2015:33
10.2	Kopplingen till handlingar i Uppgiftslämnarservice för
	företagen ................................................................................	240
	10.2.1 Nyttor av och kostnader för att tillgängliggöra
	information.................................................................	241
10.3	Öppna data och förhållandet till vidareutnyttjande
	enligt PSI-lagen......................................................................	241
	10.3.1 Insatser inom öppna data...........................................	243
11	Information och kommunikation.................................	245
11.1	Utredningens kommunikationsinsatser...............................	245
11.2	Kommunikation tillsammans med
	genomförandemyndigheterna...............................................	246
11.3	Utbildningsmaterial...............................................................	246
11.4	Visualisering av utredningens vision ....................................	247
11.5	Framtida behov av utbildningsmaterial ................................	247
11.6	Introduktion och lansering av kommande funktioner........	247
12	Konsekvenser av förslagen .........................................	249
12.1	Inledning ................................................................................	249
12.2	Utredningens förslag.............................................................	250
12.3	Konsekvenser enligt 14 § kommittéförordningen...............	252
	12.3.1 Kostnader för att genomföra förslagen ....................	252
	12.3.2 Samhällsekonomiska konsekvenser ..........................	254
12.4	Konsekvenser enligt 15 § kommittéförordningen...............	256
	12.4.1 Betydelse för det kommunala självstyret..................	256
	12.4.2 Betydelse för brottsligheten och det
	brottsförebyggande arbetet .......................................	256
	12.4.3 Betydelse för sysselsättning och offentlig service
	i olika delar av landet..................................................	257
	12.4.4 Betydelse för små företags villkor i förhållande
	till större företag.........................................................	257
	12.4.5 Betydelse för jämställdheten mellan kvinnor och
	män..............................................................................	257

12

SOU 2015:33		Innehåll
12.4.6 Betydelse för möjligheterna att nå de
	integrationspolitiska målen ........................................	258
12.5 Konsekvenser enligt 15 a § kommittéförordningen ............		258
12.5.1 6 § konsekvensutredningsförordningen....................		258
12.5.2 7 § konsekvensutredningsförordningen....................		261
13 Författningskommentar .............................................		263
Litteraturförteckning ........................................................		275
Bilagor
Bilaga 1 Kommittédirektiv 2012:35...............................................		277
Bilaga 2 Kommittédirektiv 2013:51...............................................		289
Bilaga 3 Kommittédirektiv 2013:111.............................................		291
Bilaga 4 Kommittédirektiv 2014:78...............................................		297
Bilaga 5	Kravspecifikation Missiv..................................................	299
Bilaga 6	Kravspecifikation Underlag till upphandlingen .............	301
Bilaga 7	Administratörsfunktion i Uppgiftskravstjänsten ..........	367
Bilaga 8	Progressrapport till referensgruppen ..............................	373
Bilaga 9	Handlingsplan och tidsplan .............................................	383
Bilaga 10 Programplan – Uppgiftslämnarservice för företagen....		391
Bilaga 11 Uppgiftslämnarservice för företagen
	En kort introduktion .......................................................	415
Bilaga 12 Uppgiftslämnarservice för företagen .............................		419
Bilaga 13 Uppgiftskrav som öppna data ........................................		431

13

Begreppsförteckning SOU 2015:33

Term	Förklaring
	meddelanden med den pågående vidare-
	utveckling som möjliggör avisering av
	status innan och under ett ärende.
Bastjänst	En it-baserad tjänst via vilken olika
	organisationers informationssystem
	begär, lämnar och tar emot uppgifter
	(maskin till maskin), via ett applika-
	tionsgränssnitt (API).1
Bästa källa	Den bastjänst från vilken den Samman-
	satta bastjänsten ska hämta en viss
	grundläggande uppgift. En viss uppgift
	kan finnas tillgänglig från flera olika
	bastjänster som den Sammansatta bas-
	tjänsten har tillgång till, vilket gör det
	nödvändigt att sätta upp principer för
	vilken av dessa som ska betraktas som
	den bästa att använda.2
Datakonsument	En ansluten myndighet eller annan aktör
	som tar del av innehåll från systemet för
	Uppgiftslämnarservice.
Dataproducent	En ansluten myndighet som bidrar med
	innehåll till systemet för Uppgifts-
	lämnarservice.
E-delegationen	En kommitté under Näringsdeparte-
	mentet med uppdraget att stärka
	utvecklingen av e-förvaltningen och
	skapa goda möjligheter för myndighets-
	övergripande samordning.
eGovlab	En utvecklings- och demonstrations-
	miljö för tjänster inom e-förvaltning vid

1Juridisk vägledning för verksamhetsutveckling inom e-förvaltningen (E-delegationen 2013).

2Begreppet är besläktat med primär källa, som i e-delegationens vägledning för digital samverkan definieras som ”den av informationsägarna som utgör källa när andra ska utnyttja just denna information”. Se Fördjupning till Vägledning för digital samverkan – Roller och överenskommelser, version 4.0 (E-delegationen 2014).

16

SOU 2015:33 Begreppsförteckning

Term	Förklaring
	Stockholms universitet.
e-tjänst	En tjänst som tillhandahålls via ett elek-
	troniskt gränssnitt och som helt eller
	delvis utförs elektroniskt. E-tjänster
	som kommunicerar maskin-maskin
	benämns ofta bastjänster.3
Forum	I detta sammanhang, se Företagsdata-
	forum.
Företagsdataforum	Ett forum som ska skapa förutsättningar
	för myndigheter, företag och övriga
	intressenter att få en fördjupad infor-
	mation om systemet för företagens
	uppgiftslämnande och dess funktion
	samt möjlighet att lämna synpunkter.
	Se vidare avsnitt 9.2.4.
Genomförande-	Bolagsverket, Skatteverket och Tillväxt-
myndigheterna	verket.
Grundläggande uppgift	Uppgift om ett företag som myndig-
(GU)	heter regelmässigt eller ofta efterfrågar
	när ett uppgiftskrav ska fullgöras och
	som kan förmedlas av den Sammansatta
	bastjänsten.
Handlingsplanen	I detta sammanhang, den precisering
	och dokumentation på kort och lång
	sikt för samordningen av utredningens
	förslag och verksamt.se.
Hitta tillstånd	En tjänst på verksamt.se där företagare
	och andra kan söka och få information
	om nödvändiga tillstånd för en viss
	verksamhet. Det kan även handla om
	nödvändiga anmälningar eller registre-
	ringar.

3 Termer och begrepp, http://www.edelegationen.se/Stod-och-verktyg/Termer-och-begrepp/ (E-delegationen 2011).

17

Begreppsförteckning

SOU 2015:33

Term	Förklaring
Juridiska utskottet	En arbetsgrupp under styrgruppen för
	att säkerställa det rättsliga stödet för
	Uppgiftslämnarservice i verksamt.se
	samt bistå i utredningens övriga juri-
	diska frågor kopplade till förvaltningen
	av leverablerna i Uppgiftslämnarservice.
Kartläggande	De myndigheter som deltagit i utred-
myndigheter	ningens arbete med att kvalitetssäkra
	och vidareutveckla de kartlagda för-
	fattningsreglerade uppgiftskraven:
	Arbetsförmedlingen, Bolagsverket,
	Försäkringskassan, Kronofogde-
	myndigheten, Livsmedelsverket,
	Skatteverket, Skogsstyrelsen, Statens
	jordbruksverk, Statistiska centralbyrån,
	Transportstyrelsen, Trafikanalys,
	Trafikverket och Tillväxtverket.
Kommunikations-	En arbetsgrupp under styrgruppen med
utskottet	ansvar för att ta fram en plan för infor-
	mationen om Uppgiftslämnarservice till
	myndigheter, slutanvändare och övriga
	intressenter.
Leverablerna	I detta sammanhang, de väsentliga
	delarna för förverkligandet av utred-
	ningens förslag. Inom utredningen
	hanteras fyra leverabler: Sammansatta
	bastjänsten, Uppgiftskravstjänsten,
	Aviseringsfunktionen samt slut-
	användarfunktionalitet på verksamt.se.
Maskin-till-	Gränssnitt för informationsutbyte
maskingränssnitt	mellan olika automatiserade system,
	genom API:er, standardiserade proto-
	koll och format, eller på annat sätt.
Mina meddelanden	En myndighetsgemensam infrastruktur
	och tjänst som gör det möjligt för myn-

18

SOU 2015:33 Begreppsförteckning

Term	Förklaring
	digheter, kommuner och landsting att
	skicka myndighetspost digitalt till
	privatpersoner och företag.
Mina sidor	En funktion där en behörig företrädare
	för ett företag kan ta del av de uppgifter
	om företaget som finns i den Samman-
	satta bastjänsten. Se vidare avsnitt 6.4.
Operativa styrgruppen	Se styrgruppen.
Programplanen	I detta sammanhang, den precisering
	och dokumentation för samordningen
	av utredningens förslag och verksamt.se
	med ett fokus på de leverabler som tas
	fram.
Progressrapporten	Rapport om hur utredningens fortsatta
	arbete och verksamt.se kan samordnas
	som styrgruppen överlämnade till
	referensgruppen den 26 maj 2014.
Prototypen	Den prototyp till ett system för före-
	tagens uppgiftslämnare som utred-
	ningen tagit fram och fått i uppdrag att
	vidareutveckla inför användandet i ett
	fullskaligt system. Se vidare avsnitt 5.1.
Referensgruppen	Den grupp av generaldirektörer från
	berörda myndigheter m.fl. som bildades
	vid det första rundabordssamtalet.
Rundabordssamtal	De samtal som hölls under stats-
	sekreterarens ledning i april 2014 och
	som ledde till att en arbetsgrupp
	(styrgruppen) med uppdrag att bland
	annat ta fram Progressrapporten
	bildades. Se vidare avsnitt 5.3.
Sammansatta	I detta sammanhang, den tjänst för åt-
bastjänsten	komst till grundläggande uppgifter om

19

Begreppsförteckning SOU 2015:33

Term	Förklaring
	företag som utredningen föreslagit.
	Se avsnitt 6.2.4
Samordningsorgan	Sammanhållande begrepp för Sam-
	verkanspunkten och Företagsdataforum.
Samverkanspunkten	En kontaktyta som ska bidra till ett
	gemensamt synsätt på företagens upp-
	giftslämnande så att detta minskar
	genom att myndigheterna bland annat
	ökar sin samverkan kring företagens
	uppgiftslämnande. Syftar också till att
	skapa förutsättningar för myndig-
	heternas anslutning till systemet.
	Se vidare avsnitt 9.1.2.
Servicetjänst	Den funktionalitet som utredningen
	föreslagit i tidigare betänkande (SOU
	2013:80).5 Se Uppgiftslämnarservice för
	företagen.
SHS	Spridnings- och hämtningssystem
	(SHS) är ett koncept för säkert och
	pålitligt utbyte av information mellan
	offentliga organisationer.
	Informationsutbytet är standardiserat
	vilket innebär att samma teknik används
	vare sig mottagaren är ett internt
	verksamhetssystem eller en annan
	myndighet.6

4För en generell beskrivning, se Effektiv informationsförsörjning – en förstudierapport (E- delegationen 2012): ”Skillnaden mellan enskilda bastjänster och sammansatta bastjänster är att en sammansatt bastjänst returnerar ett s.k. nyttomeddelande med aggregerad information från en eller flera bastjänster”. Inom e-delegationens begreppsbildning övervägs i skrivande stund termen vidarebefordringstjänst som synonym till sammansatt bastjänst.

5Inom e-delegationens begreppsbildning övervägs i skrivande stund termen Servicetjänst som ersättning för det begrepp som tidigare benämnts ”ärendetjänst”, dvs. för att beskriva en kategori av tjänster där en användare i ett ”serviceskede” kan utforma utkast till hand- lingar mm. Detta begrepp skiljer sig från det specifika system som utredningen avsåg med Servicetjänst i sitt tidigare betänkande. Utredningen använder inte termen Servicetjänst i förevarande betänkande förutom när det redogörs för innehållet i tidigare betänkande.

6https://www.forsakringskassan.se/wps/portal/omfk/shs

20

SOU 2015:33 Begreppsförteckning

Term	Förklaring
SNI-kod	Svensk Näringsgrensindelning (SNI) är
	en branschindelning som används vid
	beräkning av nationalräkenskaperna i
	Sverige.7 SNI-koderna är ordnade i ett
	hierarkiskt system och används för att
	klassificera en verksamhet på en viss
	detaljnivå.
Starta och driva företag	Ett myndighetssamarbete mellan
	Arbetsförmedlingen, Bolagsverket,
	Försäkringskassan, Patent- och
	registreringsverket, Skatteverket,
	Tillväxtverket och Tullverket.
Styrgruppen	Den grupp bestående av utredningen
	(koordinator), Bolagsverket, Skatte-
	verket, Statistiska centralbyrån, Tillväxt-
	verket och E-delegationen, som arbetat
	med att realisera utredningens förslag i
	verksamt.se. Se även operativa styr-
	gruppen eller arbetsgruppen.
Systemet för företagens	Se Uppgiftslämnarservice för företagen.
uppgiftslämnande
Uppgiftskravsregistret	Ett register över de författningsreglerade
	uppgiftskrav som ska eller kan fullgöras
	hos någon av de 13 kartläggande myn-
	digheterna.
Uppgiftskravstjänsten	En e-tjänst för tillgängliggörande och
	hantering av informationen i
	Uppgiftskravsregistret.
Uppgiftslämnarservice	Samlingsnamnet för den funktionalitet
för företagen	som utredningen föreslagit i tidigare
	betänkande (SOU 2013:80), då under
	beteckningen ”Servicetjänsten”.

7 Se även http://www.scb.se/sv_/Dokumentation/Klassifikationer-och-standarder/Standard- for-svensk-naringsgrensindelning-SNI/

21

Begreppsförteckning SOU 2015:33

Term	Förklaring
	Synonymt kan ”Systemet för företagens
	uppgiftslämnande” användas.
verksamt.se	En webbplats för företagande. Ett sam-
	arbete mellan Bolagsverket, Skatteverket
	och Tillväxtverket där myndigheterna
	samlar information och e-tjänster som
	den som ska starta eller driver företag
	kan ha nytta av.
Öppna data	Information som tillhandahålls fritt och
	med få eller inga tekniska eller juridiska
	begränsningar för hur den får användas.8

8 Se http://www.vidareutnyttjande.se/om-vagledningen/terminologi/

22

Sammanfattning

SOU 2015:33

företagen genom en e-tjänst på verksamt.se får en överblick över vilka uppgiftskrav från olika myndigheter som angår den egna verksamheten (En tjänst på verksamt.se)

företagen genom en e-tjänst på verksamt.se får en presentation av företagets grundläggande uppgifter som hämtats från olika myndigheter samt information om hur uppgifter kan ändras (En tjänst på verksamt.se)

företagen får ett meddelande av myndigheterna via Mina med- delanden när företaget är skyldigt att fullgöra ett uppgiftskrav (Aviseringstjänst i Mina meddelanden)

myndigheterna samordnar grundläggande uppgifter om före- tagen i samband med företagens uppgiftslämnande (i Samman- satta bastjänsten)

myndigheterna kartlägger sina uppgiftskrav i ett Uppgiftskravs- register (Uppgiftskravstjänsten)

myndigheter åläggs att aktivt verka för att minska och förenkla företagens uppgiftslämnande (Förenklingsarbete).

Utredningen identifierade tidigt i genomförandet av tilläggsdirek- tiven ett antal nödvändiga faktorer för framgång. I en delredovis- ning som lämnades till Näringsdepartementet den 30 januari 2014 påtalade utredningen behovet av stödåtgärder från uppdragsgivaren för att arbetet skulle kunna genomföras inom satt tidsram. Stöd- åtgärderna syftade framför allt till att de deltagande myndigheterna ska avsätta nödvändiga resurser för sitt arbete, men också till att arbetet prioriteras på såväl ledningsnivå som operativ nivå inom myndigheterna.

I ett försök att bland annat få till stånd en reell samverkan mellan utredningen och berörda myndigheter kallades till ett rundabords- samtal på Näringsdepartementet i april 2014. Vid rundabordssamtalet närvarade från utredningen och myndigheterna särskilda utredaren Cecilia Magnusson Sjöberg, generaldirektörerna Annika Bränström, Bolagsverket, Ingemar Hansson, Skatteverket, Gunilla Nordlöf, Tillväxtverket samt E-delegationens kanslichef Ewa Carlsson. Sam- talen avslutades i samsyn om den fortsatta färdriktningen mot bak- grund av den progressrapport som utredningen och berörda myndig- heter tillsammans tagit fram och som visade en gemensam väg framåt.

24

SOU 2015:33

Sammanfattning

I juli 2014 fick Bolagsverket, Skatteverket och Tillväxtverket av regeringen i uppdrag att tillsammans med Uppgiftslämnarutred- ningen vidareutveckla och anpassa verksamt.se och Uppgiftslämnar- utredningens förslag om ett system för företagens uppgiftsläm- nande. Av regeringsbeslutet framgår att arbetet ska resultera i att Uppgiftslämnarutredningens förslag till funktioner och funktio- nalitet samordnas med verksamt.se.

Bolagsverket fick vidare genom ett särskilt beslut i uppdrag att upphandla en teknisk lösning för en funktionalitet på verksamt.se för företagens uppgiftslämnande och Sammansatta bastjänsten. Funk- tionaliteten innebär att Uppgiftslämnarutredningens förslag realiseras inom ramen för verksamt.se. För att på ett effektivt sätt kunna samordna myndigheternas genomförande skapade utredningen i samverkan med de berörda myndigheterna en gemensam projektorganisation. Arbetet har koordinerats av utredaren bland annat via en operativ styrgrupp. Den operativa styrgruppen har bestått av representanter för Bolagsverket, Skatteverket, Tillväxtverket och E- delegationen. En representant för Statistiska centralbyrån har sedermera knutits till gruppen.

Sammansatta bastjänsten

Sammansatta bastjänstens syfte är att samordna grundläggande uppgifter om företaget i samband med företagets uppgiftslämnande. Tjänsten kommer inledningsvis att hämta uppgifter från Bolagsverket och Statistiska centralbyrån. Därefter sammanställs uppgifterna och överförs till den myndighet vars e-tjänst initierat hämtningen. Bastjänsten upphandlas av Bolagsverket och enligt nuvarande upplägg kommer den även ha organisatorisk hemvist där.

Sammansatta bastjänsten tar endast befattning med uppgifterna som förmedlas som ett led i teknisk bearbetning för annans räkning. De sammanställningar som görs inom ramen för Sammansatta bas- tjänsten blir enligt vår bedömning inte allmänna handlingar. Data- producenterna (myndigheterna) har för avsikt att uppgifterna som kommer förmedlas genom bastjänsten ska lämnas ut på medium för automatiserad behandling när direktåtkomst inte är tillåten.

I Sammansatta bastjänsten kommer personuppgifter att behand- las. För att tydliggöra personuppgiftsansvaret för behandlingen av

25

Sammanfattning

SOU 2015:33

personuppgifter i Sammansatta bastjänsten bedömer vi att person- uppgiftsansvaret bör särregleras. Den som tar emot uppgifter via Sammansatta bastjänsten ska vara personuppgiftsansvarig för be- handling av personuppgifter som förmedlas via densamma. Bolags- verket ska vara personuppgiftsansvarig för behandling av person- uppgifter inom ramen för tillhandahållandet av och i verksamheten kring Sammansatta bastjänsten och som inte avser behandlingen av grundläggande uppgifter som förmedlas via tjänsten. Vi har bedömt att personuppgiftsansvaret för den myndighet som lämnar ut uppgifter om företagen (dataproducenten) sträcker sig fram till att uppgifterna når Sammansatta bastjänsten.

Sammansatta bastjänsten aktualiserar inget behov av någon särskild sekretessreglering.

Uppgiftskravstjänsten

Uppgiftskravsregistret är ett register med information om uppgifts- krav. Registret innefattar en viss i förväg definierad information för alla uppgiftskrav. Till registret, eller databasen, finns ett tekniskt gränssnitt för att läsa och skriva information och tillsammans utgör detta en bastjänst för uppgiftskrav (Uppgiftskravstjänsten). Uppgifts- kravstjänsten upphandlas av Bolagsverket men enligt nuvarande upplägg kommer den att ha organisatorisk hemvist hos Tillväxtverket.

För närvarande omfattar Uppgiftskravsregistret sådana upp- giftskrav som har sin grund i lag, förordning eller myndighets- föreskrift. Informationen som registreras i Uppgiftskravsregistret fyller i huvudsak två syften. Det rör sig för det första om att hjälpa företag att hitta de uppgiftskrav som berör dem och för det andra att följa upp uppgiftslämnarbördan.

En central funktion i Uppgiftskravstjänsten är möjligheten att presentera vilka uppgiftskrav som gäller för ett företag. Det görs i huvudsak utifrån företagets grundläggande uppgifter i kombination med de filtrerande attributen i form av uppgiftskravens metadata.

Utredningen har fortsatt arbetet med att kvalitetssäkra och vidare- utveckla uppgiftskraven. Fokus för utredningens arbete har varit att kvalitetssäkra registret så att det kan ligga till grund för de tjänster som lanseras den 30 mars 2015, framför allt den utvecklade versionen av den nuvarande tjänsten Hitta tillstånd på verksamt.se.

26

SOU 2015:33

Sammanfattning

En servicefunktion i verksamt.se

Utredningens tidigare förslag till funktionalitet (”Servicetjänsten”) kommer att realiseras som nya eller utvecklade funktioner av verk- samt.se.

Företagen får genom en utveckling av den befintliga tjänsten Hitta tillstånd på verksamt.se en överblick över vilka uppgiftskrav som angår den egna verksamheten. Den funktionalitet som realiseras på verksamt.se är inte direkt kopplad mot Uppgiftskravstjänsten. Information om uppgiftskraven hämtas i stället av verksamt.se från Uppgiftskravstjänsten dagligen och sammanställs med information från befintlig databas för Hitta tillstånd. Ansvariga myndigheter för verksamt.se kommer även att bidra med redaktionella texter.

Företagen får också på verksamt.se en presentation av dess grundläggande uppgifter som hämtats från olika myndigheter samt information om hur uppgifter kan ändras.

Vi ser inte något behov av någon särskild sekretessreglering för de grundläggande uppgifterna när de visas för företagaren på verk- samt.se.

Aviseringsfunktionen

Utredningen föreslog i tidigare betänkande (SOU 2013:80) att Upp- giftslämnarservice ska innehålla ”Att göra”-listor, som visar vilka myndighetsinitierade uppgiftsinlämningar som varje företag var ålagt. Innehållet i dessa listor ska styras av myndigheterna genom att dessa skickade elektroniska aviseringar när de kunde initiera uppgifts- lämningsprocesser, exempelvis inför ett visst datum. Aviseringen hamnade då som en ny rad i företagets ”Att göra”-lista. Utöver aviseringar om att en uppgiftsinlämning ska inledas ska myndig- heterna även kunna skicka en avisering om att en uppgiftsinlämning var avslutad. Sammantaget ska översikten förenkla företagens uppgiftslämnande.

Under genomförandet har den operativa styrgruppen kommit fram till att aviseringsfunktionen inte ska utvecklas som en självständig tjänst så som utredningen först föreslog. Aviseringsfunktionen ska i stället förverkligas som en funktion i Mina meddelanden.

Skatteverket har inlett utvecklingsarbete i projektet ”Ärende- översikt och aviseringsstöd”. Utredningen har deltagit i projektets

27

Sammanfattning

SOU 2015:33

referensgrupp och har följt utvecklingen i projektet med avseende på den funktion som krävs för utredningens förslag.

Den aviseringsfunktion som utredningen föreslog i betänkandet SOU 2013:80 gav upphov till ett antal rättsliga överväganden. Dessa kommer fortsatt att vara aktuella i aviseringsfunktionen kopplad till Uppgiftslämnarservice, men får beaktas och bedömas inom ramen för Skatteverkets projekt för Mina meddelanden.

Anslutning till systemet för företagens uppgiftslämnande

Utredningen lämnade ett förslag på tidsplan och frekvens för anslutning av myndigheter till Uppgiftslämnarservice för företag den 30 juni 2014 (dnr 2014/26). Uppgiftslämnarservice är beroende av att flera myndigheter ansluter sig till systemet, gör de inte det blir nyttan med systemet liten eller uteblir helt.

Arbete med anslutningsfrågor har i första hand omfattat 13 kartläggande myndigheter. Avsikten är att övriga statliga myn- digheter ska ansluta till systemet.

Till den första leveransen i mars 2015 ska Bolagsverket och Statistiska centralbyrån ansluta till Sammansatta bastjänsten och leverera ett urval av grundläggande uppgifter om företag. Till halvårsskiftet 2015 ska även Skatteverket ansluta. Under första halvåret 2015 kommer resterande av de 13 kartläggande myndig- heterna att ansluta som dataproducenter i Uppgiftskravstjänsten. Nästa steg omfattar utökad leverans av grundläggande uppgifter från dessa myndigheter samt ett arbete med att identifiera even- tuellt ytterligare anslutande myndigheter som dataproducenter för att utöka mängden uppgifter i tjänsten.

Av de 13 myndigheter som arbetar med att kartlägga uppgifts- krav, är det få som uttrycker att de kommer att ansluta sina e- tjänster frivilligt till Sammansatta bastjänsten. Genom den före- slagna företagsdataförordningen får regeringen en möjlighet att ålägga myndigheterna att ansluta till delar av systemet.

28

SOU 2015:33

Sammanfattning

Den framtida organisationen för Uppgiftslämnarservice

Utredningen har etablerat en samverkanspunkt och denna var i första hand avsedd för de myndigheter som arbetade med kartlägg- ningen. Syftet med Samverkanspunkten var att bidra till ett gemen- samt synsätt på företagens uppgiftslämnande så att detta minskar genom att myndigheterna bland annat ökar sin samverkan. Arbetet syftade också till att skapa förutsättningar för myndigheternas an- slutning till Uppgiftslämnarservice.

Utredningen har bildat ett företagsdataforum med företagare och representanter för näringslivsorganisationer. Forumets syfte var att säkerställa användarvänlighet, inhämta synpunkter och stödja introduktionen av systemet gentemot myndigheter och företag. De organisationer som erbjudits en plats i forumet är dels de som var omnämnda i utredningens direktiv, dels de som visat intresse genom att i form av remissvar ha lämnat synpunkter på utredningens tidigare betänkande. De enskilda företagarna repre- senterar olika kategorier av näringsidkare med särskild kompetens och betydelse för företagens uppgiftslämnande.

Såvitt vi har uppfattat är det inte regeringens avsikt att utred- ningens koordinerande och samordnande roll i den fortsatta förvaltningen med omedelbar verkan ska tas över av någon annan myndighet. Bolagsverket, Skatteverket och Tillväxtverket är inställda på fortsatt samarbete för att Uppgiftslämnarservice ska fungera som tänkt. Utredningen föreslår att en bestämmelse tas in i förslaget till företagsdataförordning med innebörden att Bolags- verket, Skatteverket och Tillväxtverket ska samarbeta för att möjliggöra en väl fungerande Uppgiftslämnarservice för företagen. Myndigheterna har ett lika stort ansvar och lika stor del i att hitta gemensamma former för att skapa ett fungerande samarbete.

För att säkra kontinuiteten av arbetet med ett minskat och förenklat uppgiftslämnande för företagen finns ett behov av att fortsätta att utveckla Samverkanspunkten och Företagsdataforum samt tillskapa en fast förvaltningsorganisation. Den organisation som använts för genomförandearbetet kan tjäna som förlaga för hur Bolagsverket, Skatteverket och Tillväxtverket väljer att organi- sera förvaltningen och den framtida utvecklingen av Uppgifts- lämnarservice. Statistiska centralbyrån som är en stor dataprodu-

29

Sammanfattning

SOU 2015:33

cent bör på ett tydligt och aktivt sätt involveras i förvaltnings- organisationen.

Tillväxtverket ska enligt vårt förslag ha ansvar för att organisera Samverkanspunkten.

Forumets uppgifter är att bedriva ett aktivt arbete med att stödja introduktionen av systemet gentemot företag och övriga intressenter. Forumet bör med regelbundna intervall – exempelvis en gång per år – lämna en rapport till regeringen. I rapporten ska forumet utvärdera hur väl Uppgiftslämnarservice för företagen har fungerat.

Forumet ska placeras som ett särskilt oberoende beslutsorgan inom Tillväxtverket. Ordförande och övriga medlemmar ska utses av regeringen. För att Företagsdataforum ska ges möjlighet att ut- värdera hur väl Uppgiftslämnarservice har minskat och förenklat företagens uppgiftslämnande ska forumet ges möjlighet att i ett tidigt skede påverka genomförandemyndigheterna. Bolagsverket, Skatteverket och Tillväxtverket ska därför åläggas att samråda med Företagsdataforum innan förändringar görs i Uppgiftslämnar- service.

Konsekvenser av förslagen

Det är förknippat med betydande osäkerhetsfaktorer att beräkna nyttan med våra förslag för både myndigheter och företag. Tidigare gjorda samhällsekonomiska bedömningar (se utredningens betän- kande SOU 2013:80) talar för att inrättandet av ett uppgiftskravs- register och ett aktivt arbete med att samordna uppgiftskraven som ett led i att minska och förenkla företagens uppgiftslämnande är samhällsekonomiskt lönsamt.

Utfallet i kostnads- och nyttoanalysen kring myndigheternas egen bedömning av upplevda nyttor visar att sådana främst består i administrationsvinster såsom reducerat antal samtal till kundcentra, minskat pappersutskick, färre fel och snabbare handläggning samt tidsbesparingar genom reducerad inhämtning av uppgifter, ökad återanvändning och minskad onödig efterfrågan av uppgifter från företagen.

Myndigheterna kommer på sikt att dra fördel av arbetet genom att företagens behov av service minskar och resurser därmed fri- görs. Vi kan konstatera att nyttan för myndigheterna bland annat

30

SOU 2015:33

Sammanfattning

består i en reducerad inhämtning av information direkt från före- tagen eftersom vårt förslag innebär att vissa uppgifter kan sam- ordnas och återanvändas av flera myndigheter.

Företagens nyttor består i tidsvinster och reducering av admi- nistrativa kostnader. Det ska vara enkelt att driva företag och för det krävs enkla, ändamålsenliga och lättförståeliga regler som även minskar risken att göra fel.

31

Summary

SOU 2015:33

Businesses are given an overview of the reporting requirements that relate to their own operations via the e-services of verksamt.se (a service on verksamt.se)

Businesses are given details of the basic information that is required by the various government authorities and how this information can be modified (a service on verksamt.se)

Businesses are notified by the authorities via ‘My messages’

(Mina meddelanden) when they are required to provide certain information (Notification service under ’My messages’)

Government authorities coordinate the information received about businesses in conjunction with the information collection (Composite Basic Service)

Government authorities survey what information is required in the Reporting Requirement Register (Reporting Requirement Service)

Government authorities are obliged to actively strive to reduce and simplify the information submission requirements applicable to businesses (Task simplification).

Early on in the implementation of the additional directives, the Inquiry identified a number of critical success factors. In an interim report to the Ministry of Enterprise and Innovation dated 30 January 2014, the Inquiry drew attention to the importance of the Principal providing support in order for the work to be completed within the set timeframe. The support was primarily aimed at participating government authorities allocating the resources necessary for their own operations but also, for the work to be prioritised at a management and operational level within the authorities.

In an attempt to, among other things, bring about real synergy between the Inquiry and the authorities concerned, a round-table meeting was held at the Ministry of Enterprise and Innovation in April 2014. Attending the round-table meeting were representatives from the Inquiry and the government authorities including Principal Investigator Cecilia Magnusson Sjöberg and Directors General Annika Bränström, Swedish Companies Registration Office and Ingemar Hansson, Swedish Tax Agency as

34

SOU 2015:33

Summary

well as Gunilla Nordlöf, Swedish Agency for Economic and Regional Growth and Ewa Carlsson, Administrative Director of the eGovernment Delegation. Based on a progress report jointly drawn up by the Inquiry and the authorities, the meeting was able to reach consensus on a common direction for the future.

In July 2014, the Swedish Companies Registration Office, Swedish Tax Agency, Swedish Agency for Economic and Regional Growth and the Inquiry were commissioned by the Government to further develop and adapt the proposal put forward by verksamt.se and the Inquiry whereby companies would only have to submit information once and on one occasion. According to a government decision, the work was to result in the functions and functionality proposed by the Inquiry being coordinated with verksamt.se.

In a separate decision, the Companies Registration Office was commissioned to procure a technical solution for companies submitting information to verksamt.se and the Composite Basic Service (Sammansatta bastjänsten). This would involve the proposals of the Inquiry being implemented within the framework of verksamt.se. So as to effectively coordinate the implementation of the proposals, the Inquiry and the authorities created a mutual project. The work was coordinated by the Principal Investigator, partly through the operational steering group consisting of representatives of the Swedish Companies Registration Office, Swedish Tax Agency, Swedish Agency for Economic and Regional Growth and the eGovernment Delegation. A representative of Statistics Sweden subsequently joined the group.

Composite Basic Service (Sammansatta bastjänsten)

The purpose of the Composite Basic Service is to coordinate basic information about companies in connection with companies submitting information. The Composite Basic Service initially downloads information from the Companies Registration Office and Statistics Sweden. The information is then compiled and transferred to the authority, the e-service of which initiated the download in the first place. The Composite Basic Service is procured by the Swedish Companies Registration Office, where, in

35

Summary

SOU 2015:33

line with current framing, the central organisation and administration of the service is based.

The Composite Basic Service only deals with information that is conveyed and forms part of the technical processing of third parties. Compilations created within the framework of the Composite Basic Service are not, in the opinion of the Inquiry, public records. The intention of the information producers (i.e. the authorities) is to receive information via the Composite Basic Service and in media formats that are suitable for automated information processing when direct access is not permitted.

The Composite Basic Service processes personal data. In order to elucidate the responsibility of processing personal data via the Composite Basic Service, it is the opinion of the Inquiry that such responsibility should be regulated and controlled separately. The person receiving personal data through the Composite Basic Service shall also be responsible for the processing of such personal data. The responsibility of the Companies Registration Office shall include the handling of personal data in terms of the data submission and operations of the Composite Basic Service but shall exclude the processing of basic data transmitted via the Service. The Inquiry has assessed that the responsibility of the authority providing corporate data (the data producer) should extend up to the point where such data reaches the Composite Basic Service.

The Composite Basic Service does not necessitate any privacy controls.

Reporting Requirement Service

The Reporting Requirement Register contains information about specific reporting requirements. The register includes certain predetermined information about all reporting requirements. The register or database is linked to technical interfaces for reading and writing data, which together constitute a basic service for the submission of data (Reporting Requirement Service). The Swedish Companies Registration Office procures the Reporting Requirement Service but in keeping with current framing, the organisation and administration of the service is based at the Swedish Agency for Economic and Regional Growth.

36

SOU 2015:33

Summary

At present, the Reporting Requirement Register includes data requirements as prescribed by the law, regulations and government provisions. The data included and registered in the Reporting Requirement Register has two main purposes. Firstly, to help companies identify the data submission requirements that apply to their specific operations and secondly, to monitor the obligation to submit data.

A key function of the Reporting Requirement Service is the option to identify the data submission requirements that apply to a certain company. This is primarily achieved using basic data about the company in question together with filtering attributes in the form of metadata submission requirements.

The Inquiry has continued working on quality assurance and the further development of data requirements. Moreover, the Inquiry has focused on the quality assurance of the Reporting Requirement Register with the intention of forming the basis for the services launched on 30 March 2015 and particularly, the redeveloped version of the current service offered by verksamt.se called Find permits.

Service function at verksamt.se

The functionality previously proposed by the Inquiry (“Servicetjänsten”) will be implemented either in the form of new or enhanced functions at verksamt.se.

The current service Find permits will be enhanced to provide companies with an overview of the reporting requirements that apply to their specific operations. The enhanced functionality will not be directly linked to the Reporting Requirement Service. Verksamt.se will instead, on a daily basis, download information about the latest data requirements from the Reporting Requirement Service and compile this with information from the existing database of the Find permits service. The authorities responsible for verksamt.se will also contribute with editorial texts.

In addition, verksamt.se gives a presentation of what basic data is collected from other authorities and how such data can be modified and amended.

37

Summary

SOU 2015:33

It is the opinion of the Inquiry that no privacy controls are necessary in connection with the disclosure of basic data to companies at verksamt.se.

Notification function

The Inquiry has in a previous report (SOU 2013:80) proposed that the Reporting Submission Service should include ‘To do’-lists showing the data submission imposed on all companies and by which authority. The contents of such ‘To do’-lists are controlled by the authorities, which will send out electronic notifications of, for example, the date when the submission process is to be initiated. The notification is then prioritised and placed at the top of the ‘To do’-list. In addition to the notification of the information submission process, the authorities will also be able to notify companies of the completion of an information submission process. The purpose of the notification function is to simplify the information submission process for companies in general.

During the implementation of the notification function, however, the operational steering group has come to the conclusion that it should not to be developed as an independent service as initially proposed by the Inquiry but shall form part of

‘My messages’.

The Swedish Tax Agency has initiated the development of a project titled ‘Overview and notification support’. The Inquiry has partaken in the work of the project reference group and followed the development of the project – especially the function needed for its own proposals.

The notifications function as proposed by the Inquiry in its report SOU 2013:80 has given rise to a number of legal considerations that will continue to apply to the notification function of the Reporting submission service. However, it must be considered and assessed within the framework of the Swedish Tax

Agency’s project ’My messages’.

38

SOU 2015:33

Summary

Connection to the Reporting Submission Service for companies

On 30 June 2014 (ref. No. 2014/16), the Inquiry put forward a proposal for the timing and frequency of the connection of authorities to the Reporting submission service. The existence of the Reporting submission service is dependent on several authorities connecting to the system, which, if they do not, will minimize or abolish the benefits of the system altogether.

Thirteen government authorities have so far been connected to the system but other government authorities are also expected to connect.

In March 2015, the Companies Registration Office and Statistics Sweden will be connected to the Composite Basic Service for the first submission of basic company-related information. By mid 2015, the Swedish Tax Agency will also be connected while the remaining 13 authorities will connect to the Reporting submission service in their capacity as data producers during the first half of 2015. The next phase covers the submission of basic information from relevant authorities as well as the identification of other authorities that may connect to the system as data producers for the submission of information and consequently, the expansion of the Reporting submission service.

Out of the 13 authorities working with identifying information requirements, few are willing to freely connect their e-services to the Composite Basic Service. However, the proposed company information regulations will enable the Government to oblige these authorities to connect to parts of the system.

Future organisation of the Reporting submission service

The Inquiry has established a user interface, primarily aimed at the authorities involved in the identification process. The purpose of the user interface is to help find a common approach as regards the submission of information so that this decreases while interactions between the authorities increases. Another objective is to create an incentive for authorities to connect to the Reporting submission service.

The Inquiry has also, in cooperation with corporate operators and representatives of business associations, created a forum for

39

Summary

SOU 2015:33

businesses, the purpose of which is to ensure ease of use, solicit the opinion of others and support the introduction of the Reporting submission service to authorities and businesses. The organisations that are given access to the forum are those listed in the Inquiry directive and those having shown an interest by providing appropriate feedback on the Inquiry’s previous report in the form of a statement of opinion. The individual corporate operators make up various categories of companies, the competencies of which are of specific importance for information submitting businesses.

As far as we know, it is not the Government’s intention to transfer the coordinating role of the Inquiry in the continued management of the Reporting submission service to another authority in the immediate future. The Companies Registration Office, the Swedish Tax Agency and the Swedish Agency for Economic and Regional Growth understand the need for cooperation if the Reporting submission service is to function as intended. The Inquiry therefore recommends that a provision is included in the proposed Company Information Regulations to the effect that the Swedish Companies Registration Office, the Swedish Tax Agency and the Swedish Agency for Economic and Regional Growth shall cooperate in order to enable and facilitate the smooth functioning of the Reporting submission service. The authorities share the responsibility of finding common forms of effective cooperation.

So as to ensure continuity in the work on reducing and simplifying the information submission process for businesses, a continued development of the user interface and forum for businesses is needed in addition to the establishment of a solid service management organisation. The organisation used for the implementation of the service may serve as an example of the way in which the Swedish Companies Registration Office, the Swedish Tax Agency and the Swedish Agency for Economic and Regional Growth choose to organise the management and future development of the Reporting submission service. Statistics Sweden, a major data producer, should also be clearly and proactively involved in the management organisation.

The Swedish Agency for Economic and Regional Growth will, as proposed by the Inquiry, be responsible for creating and monitoring the user interface.

40

SOU 2015:33

Summary

The forum shall proactively support the introduction of the Reporting submission service to businesses and other stakeholders. The forum shall also, at a regular interval of for example once a year, provide the Government with a report on its activities. The report shall also include an evaluation of the performance of the Reporting submission service for businesses.

The forum shall be based as a separate independent decision- making body within the Swedish Agency for Economic and Regional Growth whereupon the Government shall appoint the Chairman and other members. To facilitate for the forum to fully evaluate the extent to which the Reporting submission service is decreasing and simplifying the submission of data from businesses, it must be given the opportunity to influence the authorities at an early stage. Hence, the Swedish Companies Registration Office, the Swedish Tax Agency and the Swedish Agency for Economic and Regional Growth should be required to consult with the Company Data Forum prior to making any changes to the Reporting submission service.

Impact assessment of proposals

To assess the benefits that our proposals will bring to the government authorities and businesses involves taking major uncertainties into consideration. Previous socio-economic assessments (see Inquiry Report SOU 2013:80) suggests that it is socio-economically viable to establish a Reporting Requirement Register and actively endeavour to coordinate data requirements in order to reduce and simplify the submission of data for businesses.

The result of a cost-benefit analysis of the authorities’ own assessment of perceived benefits indicates administrative gains in the form of fewer calls to customer service centres, less paper mailings and mistakes plus a faster turnaround and time-savings by way of a diminished data collection, improved re-utilisation and reduced number of unnecessary data submission demands.

The authorities will ultimately benefit from this process as the need for service among businesses is reduced, which in turn will lead to the release of added resources. Seeing as our proposals involve the coordination and re-utilisation of data by multiple

41

Summary

SOU 2015:33

authorities, we conclude that the benefits gained by the authorities include, among others, the reduced collection of data from businesses.

The benefits gained by the businesses, on the other hand, include time-savings and less administrative costs. Running a business should be easy, something that requires simple, effective and understandable rules.

42

Författningsförslag SOU 2015:33

Definitioner

5 § I denna förordning avses med

uppgiftskrav: en skyldighet enligt lag eller annan föreskrift för företag att lämna uppgifter till en myndighet med viss regelbunden- het, efter att en viss händelse inträffat eller vid en ansökan eller lik- nande,

grundläggande uppgifter: uppgifter om ett företag som regelmässigt eller ofta efterfrågas av flera myndigheter när ett uppgiftskrav ska fullgöras.

Skyldighet att förenkla uppgiftslämnande

6 § Myndigheter ska utforma information om och rutiner för upp- giftskrav så att företagens uppgiftslämnande minskas och förenklas.

7 § Om företagen lämnar samma eller likande uppgift till flera myndigheter får Tillväxtverket uppmana myndigheterna att sam- verka för att minska och förenkla företagens uppgiftslämnande. Myndigheten som får uppmaningen ska redovisa vilka åtgärder som vidtagits för att minska och förenkla företagens uppgiftslämnande. Har inga åtgärder vidtagits ska skälen för detta anges.

Register över uppgiftskrav

8 § Tillväxtverket ska föra ett register över gällande uppgiftskrav (Uppgiftskravsregistret).

Registret ska omfatta samtliga uppgiftskrav som ska fullgöras till myndigheter som anges i bilagan till denna förordning.

Den myndighet som anges i bilagan ska i god tid innan ett upp- giftskrav som innebär att uppgifter ska lämnas till myndigheten in- förs, ändras eller upphör upplysa Tillväxtverket om förändringen. Myndigheten ska samtidigt göra ändringarna i Uppgiftskravs- registret.

44

SOU 2015:33

Författningsförslag

Uppgiftskravsregistrets innehåll

9 § Uppgiftskravsregistret ska för varje uppgiftskrav innehålla uppgifter om

1.författningsstöd,

2.vilka verksamheter som omfattas,

3.grundläggande uppgifter som företaget lämnar när uppgifts- kravet ska fullgöras,

4.andra uppgifter som företaget lämnar när uppgiftskravet ska fullgöras,

5.de olika tillvägagångssätt som företagen kan använda för att fullgöra uppgiftskravet, och

6.uppskattad belastning för företagen att fullgöra uppgiftskravet.

Tillväxtverket får meddela närmare föreskrifter om innehållet i registret.

Tillgång till registret

10 § Uppgiftskravsregistret ska vara offentligt och hållas tillgäng- ligt elektroniskt. Uppgifterna i registret får vidareutnyttjas.

Automatiserad samordning av grundläggande uppgifter för företag

11 § Det ska finnas en automatiserad funktion för förmedling av grundläggande uppgifter om företagen mellan myndigheter.

Den automatiserade funktionen ska tillhandahållas av Bolags- verket.

12 § De myndigheter som anges i bilagan till denna förordning ska ansluta till den automatiserade funktionen i 11 §.

13 § Bolagsverket får, inom ramen för den automatiserade funktio- nen, hantera de grundläggande uppgifterna endast som ett led i teknisk bearbetning för mottagarens räkning.

45

Författningsförslag

SOU 2015:33

14 § Bolagsverket får meddela föreskrifter om anslutningen till den automatiserade funktionen för samordning av grundläggande upp- gifter.

15 § Den automatiserade funktionen och verksamheten kring den ska finansieras genom avgifter från anslutna myndigheter. Bolags- verket får fastställa avgifter.

Avisering av uppgiftskrav

16 § När en myndighet som anges i bilagan till förordningen har kännedom om att ett företag eller en grupp av företag är skyldiga att fullgöra ett uppgiftskrav ska myndigheten meddela berörda företag via den myndighetsgemensamma infrastrukturen för säkra elektroniska försändelser från myndigheter till enskilda som till- handahålls av Skatteverket.

Myndigheten ska på samma sätt meddela företaget när ett uppgiftskrav som avses i första stycket har fullgjorts.

Samarbete

17 § Bolagsverket, Skatteverket och Tillväxtverket ska samarbeta för att möjliggöra en väl fungerande Uppgiftslämnarservice för företagen.

Behandling av personuppgifter

18 § Personuppgiftslagen (1998:204) gäller vid behandling av personuppgifter i systemet för ett minskat och förenklat uppgifts- lämnande för företagen (Uppgiftslämnarservice för företagen) om inte annat följer av denna förordning.

19 § Mottagaren är personuppgiftsansvarig för behandling av per- sonuppgifter som förmedlas via den automatiserade funktionen för grundläggande uppgifter.

46

SOU 2015:33

Författningsförslag

Bolagsverket är personuppgiftsansvarig för behandling av per- sonuppgifter i den automatiserade funktionen för grundläggande uppgifter med undantag för första stycket.

20 § Bestämmelserna i personuppgiftslagen (1998:204) om rättelse och skadestånd gäller för behandling av personuppgifter enligt denna förordning.

Denna förordning träder i kraft den 1 januari 2016.

47

Författningsförslag

SOU 2015:33

Bilaga

Myndigheter som ska registrera uppgiftskrav enligt 8 §

Arbetsförmedlingen

Bolagsverket

Försäkringskassan

Kronofogdemyndigheten

Livsmedelsverket

Skatteverket

Skogsstyrelsen

Statens jordbruksverk

Statistiska centralbyrån

Tillväxtverket

Trafikanalys

Trafikverket

Transportstyrelsen

Myndigheter som ska ansluta sig till tjänsten för förmedling av grundläggande uppgifter enligt 12 §

Arbetsförmedlingen

Bolagsverket

Försäkringskassan

Kronofogdemyndigheten

Livsmedelsverket

Skatteverket

Skogsstyrelsen

Statens jordbruksverk

Statistiska centralbyrån

Tillväxtverket

Trafikanalys

Trafikverket

Transportstyrelsen

Myndigheter som ska avisera uppgiftskrav enligt 16 §

Arbetsförmedlingen

Bolagsverket

48

SOU 2015:33

Författningsförslag

Försäkringskassan

Kronofogdemyndigheten

Livsmedelsverket

Skatteverket

Skogsstyrelsen

Statens jordbruksverk

Statistiska centralbyrån

Tillväxtverket

Trafikanalys

Trafikverket

Transportstyrelsen

49

Vårt uppdrag och arbete

SOU 2015:33

företagens uppgiftslämnande. Utgångspunkten för arbetet ska vara det som föreslås i delredovisningen.

Utredningen ska också fortsätta arbetet med att kvalitetssäkra och vidareutveckla uppgiftskraven som framgår av kartläggningen så att de kan ligga till grund för ett uppgiftskravsregister.

En samverkanspunkt ska etableras för i första hand myndigheter som arbetat med kartläggningen. Etableringen av samverkans- punkten ska bidra till ett gemensamt synsätt på företagens uppgifts- lämnande så att detta minskar genom att myndigheterna bland annat ökar sin samverkan kring företagens uppgiftslämnande.

Ett system för företagens uppgiftslämnande berör många. Ut- redningen ska därför bilda ett forum för att säkerställa användar- vänlighet, inhämta synpunkter och stödja introduktionen av syste- met gentemot myndigheter och företag. Syftet med forumet ska vara att skapa förutsättningar för myndigheter, företag och övriga intressenter att få en fördjupad information om systemet för före- tagens uppgiftslämnande och dess funktion samt möjlighet att läm- na synpunkter.

I tilläggsdirektiven ingår också att analysera och redovisa de sek- retessfrågor som förslagen väcker.

2.2Utredningens arbete

En del av utredningens arbete har redovisats i det tidigare betänkan- det, SOU 2013:80, avsnitt 2.2. Från december 2013 till mars 2015 har utredningens arbete omfattat i huvudsak följande.

Genom promemorior vid utgången av januari, april, juni, sep- tember och december 2014 har utredningen redovisat arbetets fort- skridande. I promemorian som redovisades den 30 januari (dnr 2014/2) lämnade utredningen ett förslag på hur ett system för före- tagens uppgiftslämnande kan genomföras. I promemorian som redo- visades den 30 juni (dnr 2014/26) lämnade utredningen ett förslag till anslutningsplan med en beskrivning av myndigheternas kost- nader och nyttor som tagits fram i samverkan och dialog med aktu- ella myndigheter.

I februari 2015 förordnades ytterligare experter till utredningen och under den redovisade perioden har utredningen haft cirka 20 experter. Sex av dessa, som förordnats på grund av sin tekniska

52

SOU 2015:33

Vårt uppdrag och arbete

expertis, ingick i en särskild gruppering. Utredningens expertgrupp har sammanträtt sammanlagt åtta gånger. Tre av dessa samman- träden har varit mer inriktade på tekniska frågor och dessa sammanträden har bara involverat experter från den särskilda gruppen.

Arbetet har bedrivits med aktivt deltagande av och i samråd med experterna. Det har förts särskilda mer ämnesinriktade diskussioner samt bilaterala dialoger med experter inom olika specialområden. Mot denna bakgrund redogör utredningen för uppdraget med användande av vi-form även om det inte funnits fullständig samsyn i alla delar.

Utredningen har haft ett omfattande samarbete med framför allt Bolagsverket. Detta är föranlett bland annat av utredningens upp- drag att fortsätta arbetet med att kvalitetssäkra och vidareutveckla uppgiftskraven som framgår av tidigare kartläggning så att de kan ligga till grund för ett uppgiftskravsregister. Bolagsverket och ut- redningen kom därför överens om att förvaltarskapet över existe- rande kartläggning skulle övergå till utredningen den 1 april 2014.

Utredningen har samrått med Bolagsverket, Datainspektionen, E-legitimationsnämnden, Försäkringskassan, Kammarkollegiet, Läns- styrelsen i Kronoberg, Myndigheten för samhällsskydd och bered- skap, Näringslivets Regelnämnd, Riksarkivet, Skatteverket, Skogs- styrelsen, Statistiska centralbyrån, Sveriges Kommuner och Lands- ting, Tillväxtverket, Trafikverket, E-delegationen (Fi 2009:01), In- formationshanteringsutredningen (Ju 2011:11), PSI-utredningen (S 2013:01) och Socialförsäkringsutredningen (S 2010:04).

Utredningen har träffat enheten för lagstiftning om allmän ordning och säkerhet och samhällets krisberedskap på Justitie- departement för ett allmänt utbyte av erfarenheter. Enheten har ett övergripande ansvar för att samordna rättsväsendets informations- försörjning.

Utredningen har deltagit i SIS och it-standardiseringsrådets arbete om XBRL (eXtensible Business Reporting Language) uti- från en förstudie om XBRL för finansiell information. Utredningen har deltagit i konferensen Offentliga rummet i maj 2014. Utred- ningen har också deltagit i det seminarium som Tillväxtverket an- ordnat utifrån undersökningen Företagens villkor och verklighet 2014 samt det seminarium som eGovlab ordnade i juni 2014.

53

Vårt uppdrag och arbete

SOU 2015:33

Utredningen har träffat Inera AB angående deras arbete med en intygstjänst för arbetsgivare på uppdrag från Sveriges Kommuner och Landsting.

Utredningen har gett ett särskilt uppdrag till experten Fredrik Forssman att analysera vissa sekretessfrågor. Utredningen har även uppdragit åt PricewaterhouseCoopers att utreda frågor kring PSI (se kapitel 10 och bilaga 13) samt för att ta fram ett förslag till när de kartläggande myndigheterna bör anslutas till systemet för före- tagens uppgiftslämnande. Utredningen har också anlitat Gunnar Holmberg för att göra en analys av myndigheternas nyttor och kostnader förknippade med myndigheternas anslutningar, samt Monica Selahn för att analysera frågor om samverkanspunkt och forum.

Utredningen har genomfört en rättslig hearing den 29 januari 2015 för att diskutera och inhämta synpunkter på ett antal rätts- frågor vid hanteringen av grundläggande uppgifter i Sammansatta bastjänsten.

Utöver det ovan redovisade har utredningen som framkommit ovan haft ett nära samarbete med Bolagsverket samt även Tillväxt- verket, Skatteverket och Statistiska centralbyrån inom ramen för den genomförandeorganisation som beskrivs närmare i kapitel 5.

2.3Aktuella frågor utöver utredningens uppdrag

Under arbetets gång har utredningen uppmärksammat ett antal aktuella frågor som visserligen faller utanför uppdraget men som ändå har direkt bäring på utredningens förslag och dess genom- förande. Vi beskriver här dessa frågor kortfattat med angivande av anknytande pågående arbete.

2.3.1Kostnader för information

Delredovisningen (promemoria dnr 2013/4) beskriver de problem som är förknippade med de kostnader myndigheter har för att hämta information om företag från andra myndigheter. Problema- tiken belyses bland annat av Bolagsverket, Lantmäteriet, Skatte- verket och Transportstyrelsen i en skrivelse till regeringen den 25 januari 2013 (AD162/2013), En finansieringsmodell som går i

54

SOU 2015:33

Vårt uppdrag och arbete

takt med e-förvaltningens utveckling. Man skriver att avgifter mellan de statliga myndigheterna för återanvändningen av register- information är ett stort hinder för utvecklingen av nya e-tjänster. Grundprincipen för alla uppgiftsuttag och informationssamman- ställningar är att det ska ske till självkostnad. Men det saknas en effektiv modell för intern kostnadsfördelning inom offentlig sektor som stödjer ett informationsutbyte och som utgår från att myndig- heternas information är en gemensam resurs. Många myndigheter ser därför de avgifter för registerinformation som myndigheter tar ut av varandra som en bromskloss för utvecklingen av svensk e- förvaltning.

Ovan nämnda myndigheter har den 19 december 2014 lämnat rapporten Finansieringsmodell i framtidens e-samhälle – förslag till omfördelningsmodell till regeringen. I rapporten redovisas ett förslag till en översiktlig omfördelningsmodell som kan vara tillämplig för hela statsförvaltningen. Rapporten pekar samtidigt på att det finns ett antal frågor av såväl juridisk som teknisk karaktär som måste belysas och utredas innan man kan införa en ny modell.

Det är uppenbart att en faktor som avhåller myndigheter från att samordna information om företag mellan sig är att man tar betalt av varandra för informationen. Detta leder till att företag be- höver lämna in uppgifter till myndigheter som dessa lika gärna kunnat hämta från varandra inom den offentliga förvaltningen.

Former och villkor för avgiftsfinansiering är en komplex för- valtningsgemensam fråga som fordrar särskilda överväganden och ligger utanför utredningens uppdrag.

2.3.2Behörighet och fullmaktshantering

I det tidigare betänkandet (SOU 2013:80, kapitel 10) redogjorde vi för de generella problemen förknippade med auktorisation (be- hörighet) i samband med konstruktionen av den prototyp som ut- redningen tog fram. Grundproblemet är hur man i ett system kan avgöra om en viss fysisk person har rätt att agera för en juridisk person (företag).

Att återskapa den komplexa rättsliga reglering kring firmateck- nare, fullmakter m.m. som avgör vilken eller vilka fysiska personer som har rätt att exempelvis lämna in ett efterfrågat frågeformulär

55

Vårt uppdrag och arbete

SOU 2015:33

eller ansöka om en förmån ansågs inte möjligt eller lämpligt för en prototyp. Vi menade också att ett fullskaligt system måste hantera behörighet på ett mer fullständigt sätt.

När det stod klart att realiseringen av utredningens förslag i ett fullskaligt system skulle ske inom ramen för verksamt.se (se vidare avsnitt 5.1) var en av förutsättningarna att systemet kunde åter- använda dess lösning för såväl autentisering som behörighetskon- troll. Denna behörighetskontroll bygger i första hand på Bolags- verkets register över firmatecknare för ett visst företag. Detta system för auktorisering eller behörighetshantering passar emeller- tid inte för många av de tänkta användarna och uppgiftslämnings- processerna eftersom det sällan är firmatecknaren för ett företag som sköter dessa.

Viss typ av behörighet följer med en fysisk persons ställning, exempelvis har en verkställande direktör eller en särskild firmateck- nare långtgående behörighet att agera för företagets räkning. Annan behörighet kan grundas på en meddelad fullmakt av något slag. Dessa fullmakter kan formuleras mer eller mindre fritt, men inom ramen för en myndighets uppgifts- och ärendehanteringsprocesser är de ofta standardiserade, exempelvis genom att de lämnas via särskild blankett eller e-tjänst. Dessa fullmakter utgör många gånger en central integrerad del av myndigheternas processer.

I kartläggningen av uppgiftskrav har särskilt noterats om ett uppgiftskrav kan uppfyllas genom ombud eller inte. Om ett ombud ska kunna lämna in uppgifter måste det också finnas en fullmakt som ger ombudet den behörigheten. Genom denna del av kartlägg- ningen kan man få en översikt över hur en förvaltningsgemensam behörighetshantering kan underlätta företagens uppgiftslämnande.

I framtida utvecklingsarbete för verksamt.se har en särskild ut- redning för behörighetslösningen planerats. Det är inte bara verk- samt.se som behöver hantera behörigheter utan behovet finns i många delar av e-förvaltningen. Pensionsmyndigheten har på upp- drag av E-delegationen gjort en förstudie för en tänkt infrastruktur kallad Mina fullmakter. I studien har man på ett mer heltäckande sätt gått igenom de tekniska, verksamhetsmässiga och juridiska frågor som fullmakts- och behörighetshantering i elektronisk miljö medför (Pensionsmyndigheten 2012).

Mot bakgrund av ovanstående har utredningen inte djupare utrett hur frågan om behörighet närmare ska hanteras inom syste-

56

SOU 2015:33

Vårt uppdrag och arbete

met. Det framstår som angeläget att framtida utvecklingsarbete tar höjd för möjligheten att kunna återanvända lösningar så att inte varje myndighet – eller myndighetssamarbeten likt verksamt.se – även fortsättningsvis måste ordna behörighetshanteringen på egen hand.

2.3.3Förutsättningar för e-legitimation, single sign-on och attributtjänster

I tidigare betänkande (SOU 2013:80) skrev vi att autentisering till såväl den då föreslagna Servicetjänsten som till myndigheternas e- tjänster i första hand bör ske via e-legitimation. Situationen för e- legitimation i myndighetssverige har under utredningens tid fram- stått som problematisk eftersom varje myndighet har varit tvungen att själv teckna avtal med flera olika leverantörer av eID-tjänster. Det finns inte längre gällande ramavtal för dessa, och det är inte rättsligt möjligt att direktupphandla parallella avtal med flera leve- rantörer. Myndigheter kan ha befintliga avtal, men dessa löper ut vid halvårsskiftet 2016.

För att lösa problemet har E-legitimationsnämnden skapat ett valfrihetssystem för e-legitimationer inom offentlig sektor (Svensk e-legitimation). Myndigheter som behöver möjlighet att verifiera e- legitimationer tecknar anslutningsavtal med E-legitimationsnämn- den, som agerar som knutpunkt mellan många olika leverantörer av eID-tjänster. Det har hittills varit svårt att få sådana leverantörer (som banker) att ansluta till ramverket. Men vid konferensen E- legitimationsdagen den 4 feb 2015 gav dock företrädare för Swedbank och Handelsbanken uttryck för en ambition att tillsam- mans med E-legitimationsnämnden ha Svensk e-legitimation i drift senast den 1 jan 2016. Om detta arbete blir lyckosamt skapas goda förutsättningar för att fullt ut kunna hantera autentisering på ett framtidssäkert sätt.

Eftersom utredningens förslag realiseras inom ramen för verk- samt.se är visserligen de omedelbara problemen med autentisering avvärjda genom att verksamt.se har en fungerande e-legitimations- lösning inom det äldre systemet. Men denna lösning har ingen generell möjlighet till s.k. single sign-on, det vill säga att om använ- daren loggat in på en tjänst kan denna autentisering användas för att få tillgång till andra kopplade e-tjänster utan att användaren

57

Vårt uppdrag och arbete

SOU 2015:33

behöver logga in på nytt. Det är en mycket viktig funktion för att systemet för företagens uppgiftslämnande ska upplevas som ett sammanhängande stöd. I det framväxande systemet baserat på Svensk e-legitimation finns större möjligheter att åstadkomma en sådan sammanhängande inloggning.

Svensk e-legitimation erbjuder dessutom möjligheten till attri- buttjänster. Attribut kan i detta sammanhang vara godtyckliga egenskaper kopplade till en identitet som en betrodd attribututfär- dare intygar. Exempelvis kan information kring vilka behörigheter eller fullmakter en viss fysisk person har uttryckas som attribut.

Det finns alltså uppenbara samordningsvinster i arbetet med be- hörighet och det framväxande systemet för Svensk e-legitimation. Det vore därför bra om man i arbetet kring behörighet inom Bolagsverket och Pensionsmyndigheten levererar behörighet i form av attributtjänster inom det nya systemet för Svensk e-legitimation.

2.3.4Utökat användningsområde för Sammansatta bastjänsten

I utredningens förslag om en sammansatt bastjänst är utgångspunkten att denna endast anropas av verksamt.se eller av en myndighets e- tjänst i samband med att ett företag påbörjar fullgörandet av ett uppgiftskrav eller begär att få se företagets uppgifter. Användandet av Sammansatta bastjänsten är därför begränsat genom vem som får ställa frågor och i vilket sammanhang dessa frågor ställs. Den juridiska och verksamhetsmässiga analysen är gjord utifrån denna förutsättning.

I samtal med myndigheter och andra har vi uppfattat ett stort intresse av att använda lösningen med en sammansatt bastjänst i andra sammanhang och av andra datakonsumenter. Tekniskt finns inga avgörande hinder för detta, utöver att den enda åtkomst- metoden utgår från att man ställer en fråga om ett specifikt företag. Det finns alltså ingen möjlighet till samtidig överföring av upp- gifter om många olika företag. Men rättsligt och verksamhets- mässigt är det för närvarande inte möjlighet att använda Samman- satta bastjänsten utanför det angivna användningsområdet.

Om det är önskvärt framöver framstår framför allt två ut- ökningar av användningsområdet för Sammansatta bastjänsten som relevanta att utreda nämligen uppdateringar av myndigheternas egna register och tillgång för andra än statliga myndigheter.

58

SOU 2015:33

Vårt uppdrag och arbete

Uppdateringar av myndigheters egna register

Många myndigheter har egna register med uppgifter om företag som används utanför den verksamhet som avser ärendehandlägg- ning. Man behöver för vissa processer tillgång till uppgifter från en annan källa än företagaren själv för kvalitetskontroll. Sammantaget finns ett behov hos myndigheterna att kunna uppdatera sina in- terna register med uppgifter från en tillförlitlig källa. I dagsläget kan myndigheterna lösa detta genom att exempelvis köpa tillgång till från det allmänna företagsregistret, eller andra register inom offentlig eller privat sektor.

Med den lösning utredningen har valt har det som framkommit ovan inte funnits anledning att närmare utreda förutsättningarna för att uppdatera myndigheters interna register direkt från Sam- mansatta bastjänsten. Om Sammansatta bastjänsten ska kunna an- vändas för detta ändamål måste först utredas de personuppgifts- mässiga och sekretessmässiga aspekterna samt under vilka ekono- miska förutsättningar som de dataproducerande myndigheterna kan leverera uppgifter till Sammansatta bastjänsten.

Man bör också utreda om den tekniska åtkomsten till Samman- satta bastjänsten måste utökas för att exempelvis möjliggöra över- föring av vissa uppgifter för samtliga företag (eller ett urval av företag som uppfyller vissa kriterier) för att informationen ska kunna ligga till grund för uppdateringar av myndigheters interna register.

Tillgång för andra än statliga myndigheter

Även andra aktörer än statliga myndigheter kan ha intresse av in- formationen som finns tillgänglig via Sammansatta bastjänsten. Inte minst i den privata sektorn finns flera företag som i dag hand- lar med samma eller liknande uppgifter. Även kommuner och olika intresseorganisationer kan ha ett intresse av tillgång till uppgifter om företag. Dessa frågor ligger emellertid utanför utredningens uppdrag.

Men det kan finnas anledning att redan nu utreda möjligheten att ge en vidare krets tillgång till Sammansatta bastjänsten för att underlätta vidareutnyttjande i enlighet med PSI-lagens (2010:566) syfte. De dataproducerande myndigheter som ska anslutas till den

59

Vårt uppdrag och arbete

SOU 2015:33

sammansatta bastjänsten är i dag delvis finansierade med hjälp av de avgifter som myndigheterna tar ut för informationen i registren. Avgifterna tas ut med stöd i lag. Om andra aktörer än statliga myn- digheter ska få tillgång till registren via Sammansatta bastjänsten måste det utredas hur dessa avgifter ska hanteras, och hur register- verksamheten i stort ska finansieras, särskilt med hänsyn till PSI- lagens krav.

De grundläggande uppgifterna är i många fall personuppgifter i personuppgiftslagens (1998:204) mening och informationen kan innehålla sekretesskyddade uppgifter. Möjligheten att tillgänglig- göra dessa som öppna data eller att tillhandahålla dem för vidare- utnyttjande i PSI-lagens mening kan således begränsas av integri- tetsskäl och sekretessbestämmelser (se vidare avsnitt 10.2).

Detta kan leda till att alla uppgifter om vissa företag och vissa uppgifter om alla företag inte kan göras tillgängliga via Samman- satta bastjänsten för en bredare allmänhet. Det kan dessutom vara nödvändigt att utreda om och i så fall hur informationsutbytesavtal mellan den sammansatta bastjänsten och nya kategorier av data- konsumenter ska utformas.

60

Målbild

SOU 2015:33

3.1Uppdraget

Enligt tilläggsdirektiv (dir. 2013:111) ska utredningen förbereda och genomföra de åtgärder som krävs för att uppgifter som före- tagen lämnar till statliga myndigheter som regel endast ska behöva lämnas en gång och till ett ställe. Vidare ska utredningen ta fram ett förslag på hur ett system för företagens uppgiftslämnande ska genomföras. I detta ligger vidareutveckling av prototypen inför användandet i ett fullskaligt system samt att realisera en teknisk lösning. Utredningen har tolkat detta, tillsammans med förändrade förutsättningar under arbetets gång, som att uppdraget i stort ska realisera funktionaliteten som beskrivs i det tidigare betänkandet SOU 2013:80. Men vi bedömer att vårt uppdrag inte är bundet till förslaget om organisation, inom vilka e-tjänster som funktionerna ska realiseras, var de grundläggande uppgifter ska hämtas ifrån etc.

I tilläggsdirektivet framgår även att utredningen ska beakta re- geringens strategi för en digitalt samverkande förvaltning (dnr N2012/6402/ITP).1 Framför allt har utredningen beaktat delmålen om att digitala tjänster ska utformas efter användarens behov, att digitala tjänster ska vara enkla och säkra att använda och att fler ska kunna tillhandahålla statens digitala tjänster.

3.2Regeringens målsättning i förenklingsarbetet

Regeringens målsättning i förenklingsarbetet är att skapa en märk- bar positiv förändring i företagens vardag. Regeringen har satt upp ett antal mål som gör det lättare att följa upp arbetet. Samtliga mål har 2020 som slutdatum, men kommer regelbundet att följas upp och utvecklas. Under perioden 2011–2014 har fokus varit på dessa områden:

1.Sänkta kostnader för företagen.

2.Minskat och förenklat uppgiftslämnande.

3.Förenklade myndighetskontakter på länsnivå och kommunal nivå.

4.Uppföljning av förenklingsförslag från näringslivet.

5.Bättre konsekvensutredningar.

1 Med medborgaren i centrum. Regeringens strategi för en digitalt samverkande statsförvaltning.

62

SOU 2015:33

Målbild

Utredningen noterar särskilt fokusområde två som hänvisar till vårt uppdrag att minska och förenkla företagens uppgiftslämnande. Enligt regeringen är målet att företag 2020 i de flesta fall endast ska behöva lämna uppgifter en gång och till ett ställe.

3.3Synergier med andra initiativ

Myndighetssamarbetet Starta och driva företag2 är inriktat på att göra det enkelt att starta och utveckla företag, att det ska vara enkelt för företagare att göra rätt, att fler nya företag ska startas och kunna växa samt att den offentliga förvaltningen ska bli effektivare.

Samarbetet ska nå målen genom att utgå från användarnas behov när det exempelvis gäller vilken information och service som myn- digheterna utvecklar och förvaltar samt vilka myndigheter som ska ingå i samarbetet. En ökad digitalisering som innebär att infor- mation och uppgifter kan återanvändas och delas mellan myndig- heter, att gemensamma infrastrukturella tjänster utvecklas samt att myndigheterna bidrar till öppna data och vidareutnyttjande av information är andra områden som prioriteras (se kapitel 10).

Det digitala mötet får en allt större betydelse för kontakten mellan medborgare och den offentliga förvaltningen. Även mellan myndigheter och mellan myndigheter och företag ökar den digitala kommunikationen. I enlighet med regeringens strategi för en digi- talt samverkande förvaltning ska det digitala mötet utgå ifrån med- borgarens behov. Myndigheterna kan inte längre enbart fokusera på sina verksamhetsområden internt utan behöver samverka över myndighetsgränserna och göra det enkelt för medborgaren att in- teragera med dem.

Digital samverkan gör det möjligt för statliga myndigheter, kommuner, landsting och privata aktörer att digitalt utbyta infor- mation och samverka kring frågor som bidrar till ett rättssäkert och effektivt informationsutbyte. Utredningens förslag om ett minskat och förenklat uppgiftslämnande bygger på att informationsutbytet mellan myndigheter ska ske så effektivt och säkert som möjligt för

2 Samarbete mellan myndigheterna Arbetsförmedlingen, Bolagsverket, Försäkringskassan, Patent- och registreringsverket, Skatteverket, Tillväxtverket och Tullverket.

63

Målbild

SOU 2015:33

att det ska upplevas som enkelt och ändamålsenligt av företagen. Företagen behöver i allt mindre utsträckning agera koordinator i sina egna ärenden med myndigheter och ska inte behöva förmedla uppgifter som andra myndigheter redan har.

3.4Målbild på kort sikt (2015)

Efter rundabordssamtalet den 4 april 2014 sammankallade utred- ningen en arbetsgrupp3 som förutsättningslöst skulle se över om det var möjligt att samordna utredningens fortsatta arbete och mål- bild med verksamt.se. Arbetsgruppen konstaterade att verksamt.se och utredningens föreslagna Servicetjänst i betydande utsträckning har samma mål för det som ska åstadkommas, ett minskat och för- enklat uppgiftslämnande för företagen.

Arbetsgruppens förslag till gemensam målbild utgår från redan existerande tjänster och komponenter som kan återanvändas och på så sätt skapa effektivitet. Verksamt.se nyttjas som användargräns- snitt och innehåller alla de funktioner som tidigare föreslogs ligga i Servicetjänsten, inloggning sker med autentisering i verksamt.se, Mina meddelanden antas kunna nyttjas för avisering och de sam- mantagna positiva effekterna för företagen ökar.

Samordning mellan Servicetjänsten, verksamt.se och Mina med- delanden illustreras genom figuren nedan.

3 Arbetsgruppen som fått beteckningen Operativ styrgrupp har koordinerats av Cecilia Magnusson Sjöberg (Uppgiftslämnarutredningen) och i övrigt besått av, Inga Otmalm (Bolagsverket), Magnus Wallin (Skatteverket), Anna Johansson (Tillväxtverket), Cecilia Hertzman (Statistiska centralbyrån), samt Ewa Carlsson och ersättaren Jan Sjösten (E- delegationen).

64

SOU 2015:33

Målbild

							Sammansatt
UKR		Uppgiftskrav -
							bastjänst -
UKR		ett gemensamt
							grundläggande
UKR		register
							uppgifter
			Register hos						Register hos
			Bolagsverket						Skatteverket
							Register hos
							Statistiska
							centralbyrån

3.5Målbild på längre sikt (2020+)

Vår bedömning: Ett mål på längre sikt är att samtliga myndigheter som begär in uppgifter från företag ska ansluta till och använda de föreslagna funktionaliteterna. Avsikten bör vara att samtliga anslutna myndigheter ska ansvara för att

hålla uppgiftskravsregistret uppdaterat (se kapitel 1 Författ- ningsförslag, förordning (2015:000) om företagens uppgifts- lämnande, 8 §)

hämta nödvändiga uppgifter om företagen från Sammansatta bastjänsten

65

Målbild

SOU 2015:33

integrera autentiserings- och behörighetssystem med verk- samt.se så att en användare bara behöver logga in en gång

skicka aviseringar om uppgiftskrav till företagen via Mina meddelanden.

Regeringens syfte är att det ska vara enklare för företag att lämna uppgifter till myndigheter och målet till 2020 är att företagen i de allra flesta fall enbart ska behöva lämna uppgifter en gång och till ett ställe. I linje med detta, och med utredningens förslag om Upp- giftslämnarservice för företagen, bedömer utredningen det som realistiskt att en framtida målbild är att samtliga myndigheter som begär in uppgifter från företag ska vara anslutna till och använda de föreslagna funktionaliteterna.4

En framtidsvision av en målbild med företagarens behov i fokus skulle kunna illustreras med hjälp av externa aktörer som till ex- empel eGovlab5 vid institutionen för data- och systemvetenskap, Stockholms universitet. Utredningen har inlett ett samarbete med eGovlab för att gestalta en vision om ett minskat och förenklat uppgiftslämnande för företagen med hjälp av modern informa- tions- och kommunikationsteknik. Visionen ska visa hur småföre- tagarnas vardag kan komma att förenklas genom en digital väg in till myndigheters e-tjänster.

4En sammansatt bastjänst för grundläggande uppgifter om företag (Sammansatta bastjäns- ten), Uppgiftskravstjänsten, en aviseringsfunktion som en del av framtida Mina meddelan- den, som Skatteverket ansvarar för, samt slutanvändarfunktioner i verksamt.se.

5eGovlab bildades 2011 vid Stockholms universitet som ett ”centre for excellence in eGovernance”, www.egovlab.eu.

66

Utredningens delredovisning och betänkande

SOU 2015:33

Som en konsekvens av dessa överväganden och förslag föreslår utredningen i delredovisningen att det ska etableras en ny förvalt- ningsgemensam e-tjänst – Servicetjänsten – som ska fungera som en samlad ingång till myndigheternas e-tjänster som rör företag och företagande. Servicetjänsten ska inte vara obligatorisk för före- tagen att använda utan de kan vända sig direkt till respektive myn- dighets e-tjänst eller fullgöra uppgiftsskyldigheten på annat sätt om det är möjligt. Inom ramen för Servicetjänsten ska det inte ske någon ärendehandläggning. Servicetjänsten ska i huvudsak möjlig- göra tre funktioner

En samlad ingång till samtliga myndigheters e-tjänster.

Avisering av företagets grundläggande uppgifter från Service- tjänsten till de e-tjänster företagaren väljer att besöka.

En aktuell och till varje företag anpassad lista över aktuella upp- giftskrav.

Utredningen föreslår vidare att det för att minska och förenkla företagens uppgiftslämnande ska etableras ett register för de upp- giftskrav som riktar sig helt eller delvis till företag. Ett uppgifts- kravsregister är en förutsättning för att både i nutid och framåt i tiden få en adekvat och uppdaterad bild av vilka uppgifter som krävs in av statliga myndigheter från företagen. Uppgiftskravs- registret är en kunskapsbas som även ger förutsättningar att genom anpassning av tillämpliga regelverk på sikt minska företagens börda att lämna uppgifter. Trots att det är en komplex miljö som myndig- heterna har att hantera går det med gemensamma ansatser att för- enkla för företagen.

I delredovisningen föreslår utredningen att det bör utformas en samordningsorganisation med den överordnade uppgiften att verka för att uppnå regeringens mål att minska och förenkla för före- tagen. Samordningsorganisationen behöver enligt utredningen om- fatta en nyinrättad samordningsmyndighet med ansvar för Upp- giftskravsregistret. Enligt de inledande bedömningar och förslag som presenterades i delredovisningen ska myndigheten ansvara för att närmare utforma och bygga upp den infrastruktur för före- tagens uppgiftslämnande som utredningen föreslår med sikte på att möjliggöra att uppgifter som regel endast lämnas en gång till ett

68

SOU 2015:33

Utredningens delredovisning och betänkande

ställe. Till myndighetens uppgifter hör också enligt förslaget att genom samråd och tillsyn bidra till att underlätta för företagen.

Bolagsverket föreslås att få i uppdrag att ansvara för funktionen Mina företagsuppgifter. Statistiska centralbyrån föreslås att få i uppdrag att vidareutveckla det allmänna företagsregistret så att det kan fylla funktionen som register över samordnade grundläggande uppgifter. Till samordningsorganisation ska enligt de lämnade för- slagen knytas ett råd med av regeringen utsedda representanter för såväl större som mindre myndigheter liksom näringslivet med före- tagens bästa i centrum.

Den nya samordningsmyndigheten tillsammans med utökade uppgifter för myndigheterna i samordningsorganisationen beräkna- des ha en sammanlagd årlig driftskostnad mellan 35 och 45 miljo- ner kronor. Till detta kom även en investeringskostnad i IT-infra- struktur om cirka 39 miljoner kronor. Kostnaden för att anpassa myndigheternas befintliga e-tjänster till föreslagen infrastruktur var inte medräknad.

4.2Remissbehandling av delredovisningen

Efter att utredningen lämnade sin delredovisning innehållande för- slag på en teknisk lösning för ett minskat och förenklat uppgifts- lämnande, Servicetjänsten, ansökte utredningen om medel för att tydliggöra förslaget med hjälp av en prototyp. För att få en tidig återkoppling på förslaget remitterades delredovisningen. Remiss- instanserna skulle lämna synpunkter främst på utredningens över- väganden och den föreslagna tekniska infrastrukturen.

Generellt sett var de flesta remissinstanserna (26 av 38) helt eller i huvudsak positiva till ansatsen medan fem var negativa till ut- redningens förslag och sju avböjde att svara eller hade inga åsikter. Nedanstående sammanfattning är huvudsakligen inriktad på de delar som är av central betydelse för utredningens förslag.

Uppgiftskravsregister

Avseende utredningens förslag om ett centralt uppgiftskravs- register fanns delade meningar. Medan ett antal myndigheter såsom Bolagsverket, Jordbruksverket, Statistiska centralbyrån, Tillväxt-

69

Utredningens delredovisning och betänkande

SOU 2015:33

verket med flera delade utredningens uppfattning var Skatteverket tveksam till ett sådant registers nytta.

Digitaliseringskommissionen pekade på frågan om öppna data och vidareutnyttjande av information som kommer att ingå i Upp- giftskravsregistret.

Servicetjänsten

En del myndigheter ifrågasatte värdet av utredningens uppdrag att företag som regel endast ska behöva lämna uppgifter en gång och till ett ställe. Bland andra Skatteverket ansåg att det ska finnas flera vägar in anpassade efter företagens olika behov. Man framförde vidare vikten av att myndigheter genom samverkan försöker sam- ordna sitt uppgiftsinhämtande och att detta inte förutsätter någon särskild utveckling, genomgripande lagändringar, gemensamma it- strukturer eller någon ny myndighet.

När det gäller uppgifter som ofta krävs vid ett uppgiftslämnande t.ex. namn och adress, delade flera remissinstanser utredningens bedömning att myndigheter ska samordna insamlandet av dess uppgifter så att företagen inte ska behöva återupprepa dem. Några myndigheter hänvisar till pågående arbeten inom Mina medde- landen, Min ärendeöversikt och verksamt.se och menar att utred- ningens arbete bör harmoniseras med dessa initiativ.

Skatteverket framhöll potentialen med system- till systemlös- ning, inte minst för små företag, samt att nyttan med utredningens förslag på det hela taget var mycket begränsad.

Rättsliga frågor

Myndigheterna pekade genomgående på vikten av att frågor röran- de offentlighet och sekretess, personuppgiftsansvar, informations- säkerhet, direktåtkomst, överskottsinformation m.m. bör utredas djupare.

70

SOU 2015:33

Utredningens delredovisning och betänkande

Organisation, finansiering och samhällsekonomiska effekter

Flertalet remissinstanser ansåg att det inte bör inrättas en ny myn- dighet men delade samtidigt utredningens analys om behovet av en stark samordnade myndighet. Bolagsverket ansåg att särskilt frågan om drift och förvaltning måste utredas ytterligare.

Ett antal myndigheter framförde en oro för stora kostnader för myndigheterna och ställde sig tveksamma till prognosen avseende de ekonomiska vinster utredningens förslag skulle komma att inne- bära för företagen.

4.3Sammanfattning av betänkandet

Ett minskat och förenklat uppgiftslämnande för företagen (SOU 2013:80)

I arbetet med att ta fram betänkandet bearbetade utredningen de förslag som översiktligt presenterats i delredovisningen. Förslagen konkretiserades bland annat genom ett förslag till företags- dataförordning men även genom att utredningen tog fram en prototyp av en tänkbar teknisk lösning för att uppnå målsättningen en gång och tillett ställe. De utgångspunkter som låg till grund för utredningens arbete och förslag var följande

Det är inte ett självändamål att försöka likrikta myndigheternas olika tekniska system och rutiner.

Inom ramen för arbetet med att minska och förenkla företagens uppgiftslämnande är det nödvändigt att göra vissa anpassningar av myndigheternas befintliga rutiner och tekniska system vad gäller ärendehandläggning m.m.

Ett effektivt arbete för att minska och förenkla företagens upp- giftslämnande kräver att detta är en uppgift som har hög prio- ritet i myndigheternas dagliga verksamhet.

Kraftfull ledning och tydlig styrning av arbetet på alla nivåer är en avgörande faktor för att insatserna ska ge önskat resultat.

Arbetet bör inledningsvis fokusera på identifikations- och kon- taktuppgifter samt andra grundläggande uppgifter om företagen som myndigheter ofta frågar efter vid ett uppgiftslämnande.

71

Utredningens delredovisning och betänkande

SOU 2015:33

Ansatsen med ”en väg in” bör bygga på i huvudsak e-tjänster.

Inom ramen för ”en väg in” bör det inte ske någon ärendehand- läggning.

4.3.1Uppgiftskravsregister

Utredningen föreslår i betänkandet att det ska skapas ett uppgifts- kravsregister. Ett uppgiftskravsregister har en avgörande roll att spela när det gäller att ge förutsättningar för samordning och informations- utbyte mellan myndigheter och ge tillgång till tillförlitlig statistik över företagens uppgiftslämnande. Även kostnaderna för företagen förknippade med uppgiftslämnande kan framgå av ett register. Därutöver utgör registret över uppgiftskrav en central komponent i Servicetjänsten.

Informationen i Uppgiftskravsregistret kan användas för att i Servicetjänsten visa vilka uppgiftskrav som är aktuella för företag inom en viss bransch. Genom att skapa ”att göra”-listor som anpassas till det enskilda företaget ges företagen betydligt bättre överblick över vilka uppgiftskrav som ett enskilt företag har att fullgöra. Även myndigheterna skulle dra nytta av ”att göra”-listor om företagen i större utsträckning fullgör sina uppgiftskrav i rätt tid. För att kunna skapa ”att göra”-listor måste det kartläggas om myndigheterna har kunskap om vilka företag som ska fullgöra ett visst uppgiftskrav så att det går att skapa rättvisande listor för ett enskilt företag.

4.3.2Servicetjänst

Utredningen föreslår i betänkandet att myndigheterna ska vara skyl- diga att ansluta sina e-tjänster (ärendetjänster) till Servicetjänsten. Servicetjänsten ska inte vara obligatorisk för företagen att använda utan de kan vända sig direkt till respektive myndighets e-tjänst eller fullgöra uppgiftsskyldigheten på annat sätt om det är möjligt.

En första funktion i Servicetjänsten är att företaget kan se och i förekommande fall initiera ändringar i de grundläggande uppgifter som finns registrerade om företaget. När företagaren därefter vill gå från Servicetjänsten till en myndighet och lämna uppgifter får

72

SOU 2015:33

Utredningens delredovisning och betänkande

myndigheten företagets uppdaterade grundläggande uppgifter från Servicetjänsten i stället för att fråga företaget.

En andra funktion i Servicetjänsten är att företagen ges en över- blick över vilka krav som myndigheter har på uppgiftslämnandet för just den verksamhet som företaget bedriver. Detta sker med utgångs- punkt i Uppgiftskravsregistret. Uppgiftskravsregistret utgör därmed en central komponent i arbetet med att förenkla för företagen.

En tredje funktion underlättar för företagen genom att myn- digheterna meddelar företagen om att de är skyldiga att lämna upp- gifter, s.k. avisering av uppgiftskrav.

I betänkandet diskuteras olika lösningar på frågan hur myndig- heternas behov av grundläggande uppgifter inom ramen för uppgifts- lämnande ska lösas. Utredningen konstaterar dock att det i ett in- ledande steg är naturligt att det allmänna företagsregistret, som samlat register för uppgifter om företagen, utvecklas och används som en källa för grundläggande uppgifter om företagen. Det allmänna före- tagsregistret ska i förslaget knytas till Servicetjänsten. Servicetjänsten ska avisera uppgifterna i företagsregistret om ett enskilt företag till den myndighet som företaget lämnar uppgifter till via Servicetjänsten. Aviseringen av grundläggande uppgifter sker bara som en service till myndigheten och uppgiftslämnaren. Aviseringen av uppgifter är inte avsedd att påverka det juridiska förhållandet mellan uppgiftslämnaren och den myndighet som har författningsstödet för uppgiftskravet.

Personuppgiftslagen (1998:204) och/eller tillämpliga särskilda registerförfattningar gör att många myndigheter inte får behandla samtliga de uppgifter om ett företag som finns i det allmänna före- tagsregistret. Den grundläggande informationen om företagen som aviseras via Servicetjänsten är därför anpassad till vilka uppgifter som den mottagande myndigheten får behandla.

För att Servicetjänsten ska resultera i ett minskat och förenklat uppgiftslämnande för företagen föreslås att myndigheterna ska vara skyldiga att anpassa sina e-tjänster så att de uppgifter som kommer att aviseras genom Servicetjänsten kan användas av respektive e-tjänst.

Utredningen pekar också på att myndigheterna som ett led i arbetet med att minska och förenkla företagens uppgiftslämnande systematiskt och regelbundet bör gå igenom varje uppgiftskrav och noga överväga vilka grundläggande uppgifter om företaget som är nödvändiga för myndighetens handläggning och om dessa verkligen måste lämnas av företagaren.

73

Utredningens delredovisning och betänkande

SOU 2015:33

4.3.3Rättsliga frågor

En utgångspunkt för utredningen är att användarnas myndighets- kontakter inte i större utsträckning än i dag bör kunna kartläggas genom den föreslagna infrastrukturen. Om företagen upplever att de på ett negativt sätt kartläggs när de använder Servicetjänsten riskerar användandet att minska och de positiva effekterna både för företagen och myndigheterna att gå förlorade.

Företagsdatamyndigheten kommer att behandla personuppgif- ter men myndighetens behandling av personuppgifter går att förena med kraven på skydd mot kränkning av den personliga integriteten. Företagsdatamyndigheten föreslås få behandla personuppgifter bara i den utsträckning som krävs för att kunna driva Service- tjänsten. Företagsdatamyndigheten har inte behov av att behandla känsliga personuppgifter.

4.3.4Organisation, finansiering och samhällsekonomiska effekter

I vårt tidigare betänkande (SOU 2013:80) föreslår utredningen att det bör inrättas en ny myndighet – Företagsdatamyndigheten – med den överordnade uppgiften att verka för att uppnå regeringens mål att minska och förenkla uppgiftslämnandet för företagen. Företagsdatamyndigheten ska genom samråd och tillsyn bidra till att underlätta företagens uppgiftslämnande. Företagsdatamyndig- heten ska ansvara för Uppgiftskravsregistret och Servicetjänsten. Till Företagsdatamyndigheten ska knytas ett råd med av regeringen utsedda representanter för såväl större som mindre myndigheter liksom näringslivet med företagens bästa i centrum.

Förslaget ska finansieras genom avgifter från anslutna myndig- heter. Företagsdatamyndighetens övriga verksamhet får finansieras genom omdisponeringar i statsbudgeten. Myndigheternas kartlägg- ningsarbete, anpassningar av sina IT-system till Servicetjänsten och övrigt arbete att samordna uppgiftskraven får ske inom ramen för myndigheternas anslag.

I betänkandet konstateras att det är förknippat med stora osäkerhetsfaktorer att beräkna nyttan med de förslag som lämnades. Tidigare gjorda samhällsekonomiska bedömningar talar emellertid samtliga för att inrättandet av ett uppgiftskravsregister och ett aktivt

74

SOU 2015:33

Utredningens delredovisning och betänkande

arbete med att samordna uppgiftskraven för att minska och förenkla företagens uppgiftslämnande är samhällsekonomiskt lönsamt. Kost- naderna kommer uteslutande ligga på staten medan nyttorna uppstår hos företagen.

4.4Remissbehandling av betänkandet

Utredningen fick tilläggsdirektiv med uppdrag att genomföra sitt förslag samtidigt som det tidigare betänkandet remitterades till 64 instanser. Målsättningen var att arbetet skulle fortgå och att syn- punkter skulle omhändertas under arbetes gång.

Majoriteten av de tillfrågade, 55 instanser, lämnande yttranden till Näringsdepartementet. 37 instanser, både myndigheter och företagarorganisationer, var positiva eller delvis positiva till för- slaget medan 18 avstyrkte förslaget helt eller delvis. Framför allt bildandet av en ny företagsdatamyndighet kritiserades av myndig- heter. Det starkaste stödet för utredningens förslag kom från före- tagsorganisationerna vilket tyder på att utredningen hade ett per- spektiv som tilltalade näringslivet. Myndigheterna å sin sida har belyst svårigheterna utifrån sin egen verksamhet, resurser m.m.

Nedan återges kortfattat det som bedömts vara centrala syn- punkter för det efterföljande arbetet med Uppgiftslämnarservice för företagen. Närmare om hur synpunkterna från remissbehand- lingen har omhändertagits återfinns i avsnitt 5.3.

Servicetjänst

Flertalet remissinstanser framhöll pågående initiativ såsom verk- samt.se och Mina meddelanden och menade att utredningens för- slag borde samordnas med dessa. Flera remissvar ifrågasatte ansat- sen i uppdraget uttryckt som ”en dörr in” och menade att det är viktigt att kontakter till myndigheter inte begränsas till en enda kommunikationskanal.

75

Utredningens delredovisning och betänkande

SOU 2015:33

Rättsliga frågor

Flertalet remissinstanser efterlyste ytterligare utredning av rättsliga frågeställningar kring möjligheten till direktåtkomst, utbyte av sekretesskyddade uppgifter, behandling av personuppgifter m.m.

En annan viktig synpunkt var att utredningen borde ha för- djupat sin analys av de krav på informationssäkerhet som den före- slagna lösningen för hantering av uppgifter om företag kommer att ställa.

Organisation, finansiering och samhällsekonomiska effekter

Medan flertalet av myndigheterna visade stor tveksamhet mot för- slaget om Företagsdatamyndigheten och menade att arbetet med minskat och förenklat uppgiftslämnande sker bäst inom ramen för befintlig samverkan mellan myndigheter, instämde flertalet närings- livsorganisationer i utredningens analys om att förenklingsarbetet kräver samordning, som görs bäst inom ramen för en oberoende myndighet.

Ett antal instanser menade att utredningen inte i tillräcklig utsträckning hade tagit tillvara på E-delegationens arbete vad gäller t.ex. förutsättningar för framtida digital samverkan.

Flera av myndigheterna såg behov av en tydligare analys av kost- nads- och nyttobalansen.

76

Vidareutveckling av den tekniska lösningen

SOU 2015:33

Ambitionen med prototypen har inte varit att göra en första version av servicetjänsten, utan enbart att utgöra underlag för utredningens arbete enligt ovan.

I tilläggsdirektiven (dir. 2013:111) beskrevs att utredningen skulle ta fram ett förslag på hur ett system för företagens uppgifts- lämnande ska genomföras och att det i detta ligger en vidare- utveckling av prototypen inför användandet i ett fullskaligt system. Utredningen har genomfört denna del av uppdraget främst genom att vidareutveckla de användningsfall som ligger till grund för prototypen, men inte genom att bygga vidare på den faktiska tekniska plattformen.

5.1.1Inloggning

För att Servicetjänsten ska kunna användas är ett första nödvändigt steg att den fysiska person som använder tjänsten identifierar sig och styrker sin behörighet att agera för ett visst företag. Detta hanteras genom autentisering och auktorisation.

Autentisering

Att autentisera någon betyder att säkerställa att personen är den han eller hon utger sig vara. Den självklara metoden för att autentisera en fysisk person i dag är via e-legitimation. Såväl i prototypen som i ett fullskaligt system förutsätter i stort sett all funktionalitet att användaren är autentiserad.

I prototypen gjordes inte någon fullständig e-legitimations- autentisering eftersom det bedömdes öka komplexiteten och svårig- heten att testa systemet. En korrekt e-legitimationsautentisering kräver exempelvis installation av programvara på den dator som används, vilket sällan är möjligt för en enskild användare i en myndighets it-miljö. För att testa de olika rollerna i systemet måste användaren också kunna autentisera sig som flera olika fiktiva fysiska personer, vilket inte heller är möjligt för en enskild användare eftersom det kräver koordinering med den tredje part som står för autentiseringen. Framför allt skulle en fullständig e-legitimations- autentisering inte tillföra utredningen något ytterligare utrednings- underlag eller kunskap.

78

SOU 2015:33

Vidareutveckling av den tekniska lösningen

Prototypen använder ett enkelt namn- och lösenordssystem för inloggning. Det gör det enkelt för den som ska testa systemet att logga in som någon av en handfull fiktiva personer. Dessa påhittade identiteter representerar olika tänkta roller i systemet: den enskilda företagaren, revisorn med behörighet att agera för flera olika företag eller myndighetshandläggaren.

I det fullskaliga systemet, som realiseras inom ramen för verksamt.se, finns autentisering redan.. Utredningens förslag har inte några ytterligare krav på hur autentisering ska gå till som inte uppfylls av verksamt.se.

Auktorisering

Att auktorisera betyder att säkerställa att någon har rätt att agera. För det aktuella systemet handlar det om att kunna avgöra för vilken eller vilka företag som en given fysisk person har rätt att agera. Att i en prototyp återskapa den komplexa rättsliga reglering kring firmateckning, fullmakter m.m. som avgör vilken eller vilka fysiska personer som har rätt att exempelvis lämna in ett efterfrågat frågeformulär eller ansöka om en förmån ansågs inte möjligt eller nödvändigt för en prototyp.

Prototypen har därför ett inbyggt, mycket enkelt system för behörighet där varje fysisk påhittad person har fullständig behörighet att inom prototypen agera för ett eller flera företag alternativt en eller flera myndigheter. Behörighetslistan är inbyggd i prototypen. I ett fullskaligt system måste auktorisering givetvis hanteras på ett mer fullständigt sätt. Denna fråga är nu under utredning i vidare- utvecklingen av verksamt.se. Även elektroniska fullmaktssystem skulle kunna övervägas för mer träffsäker och finkornig hantering av auktorisering.1

I det fullskaliga systemet, som realiseras inom ramen för verksamt.se, finns även en enklare form av auktorisering som i första hand bygger på Bolagsverkets register över firmatecknare för företag. Detta system för auktorisering eller behörighetshantering passar inte

1 Jämför pågående arbete på den förvaltningsgemensamma tjänsten ”Mina fullmakter” http://www.edelegationen.se/Nationella-utvecklingsinsatser/Forvaltningsgemensamma- tjanster/Mina-fullmakter/, som i dagsläget är inriktat på hantering av privatpersoners utställda fullmakter.

79

Vidareutveckling av den tekniska lösningen

SOU 2015:33

för många av de tänkta användarna och interaktionerna eftersom det sällan är firmatecknaren för ett företag som skulle sköta dessa. I framtida utvecklingsarbete för verksamt.se ingår nu att se över systemet för behörighetshantering.

5.1.2Centrala användningsfall för företagaren

Som nämnts ovan loggar användaren in i prototypen med ett namn som representerar en fiktiv fysisk person och ett lösenord. Har den fiktiva fysiska personen rätt att agera för flera olika företag kan användaren välja vilket av dessa som denna för tillfället vill agera för. Efter inloggning möts man av tre funktioner: Uppgifter, Att göra, samt Ansökningar och anmälningar. Dessa beskrivs nedan.

Uppgifter

I funktionen uppgifter kan användaren se vilka grundläggande uppgifter för företaget som finns i systemet. I prototypen är detta ett fåtal enkla uppgifter som lagras direkt i systemet. Uppgifterna motsvarar de uppgifter som lagras i det allmänna företagsregistret, ett författningsreglerat register som förs av Statistiska central- byrån.2

Uppgifterna i prototypen gäller fiktiva företag, på samma sätt som de inloggade identiteterna är fiktiva personer.

Utöver att uppgifterna kan granskas av företaget (eller rättare sagt de fysiska personer som kan agera för företaget) kan vissa uppgifter ändras. I arbetet med prototypen analyserade vi uppgifterna i det allmänna företagsregistret och bedömde vilka uppgifter företaget skulle kunna ändra, främst kontaktuppgifter. Även den eller de branscher som företaget bedriver verksamhet i kan ändras direkt av företaget.

Andra uppgifter kan företagen inte ändra själva. Det är framför allt uppgifter som kräver ett myndighetsbeslut, exempelvis det registrerade företagsnamnet eller i vilken organisationsform (aktie- bolag, handelsbolag, enskild firma, m.m.) som verksamheten bedrivs.

2 Se Förordning (1984:692) om det allmänna företagsregistret och SCB:s informationssidor på http://www.scb.se/sv_/Vara-tjanster/Foretagsregistret/Om-Foretagsregistret/.

80

SOU 2015:33

Vidareutveckling av den tekniska lösningen

När ett företag ändrar sina uppgifter sparas de gamla upp- gifterna undan (arkiveras) tillsammans med tidpunkten för ändring och vad ändringen bestod i. De äldre uppgifterna kan inte längre användas för uppgiftsinlämning, men företaget kan ta fram en logg (fortlöpande register) över alla ändringar. En administratör för systemet kan med en aktiv handling utplåna (gallra) äldre uppgifter, vilket i sig kräver författningsstöd.

I det fullskaliga system för företagens uppgiftslämnande som nu ska lanseras kommer tjänsten vid visningstillfället hämta upp- gifterna från en sammansatt bastjänst, som i sin tur hämtar uppgifter från flera olika datakällor (se avsnitt 6.2). Detta får betydelse för processen med att ändra uppgifter. Där uppgifterna visas kommer i stället finnas information om hur man gör för att ändra uppgiften och en hänvisning till en e-tjänst för att göra detta där så är möjligt (jfr användningsfall AF 39).

I ett färdigt system, där informationen lagras i olika underliggande datakällor, skulle en ändring av uppgifter effektueras i dessa källor. Arkivering och gallring blir därför en fråga för dem som är register- förare för dessa källor. För att den ändringslogg som finns i proto- typen i dag ska kunna realiseras i ett färdigt system, krävs att äldre uppgifter bevaras i de underliggande datakällorna och att integrationen mellan tjänsten och dessa källor stödjer hämtning av denna information. Något sådant användningsfall finns i dagsläget inte med i kravspecifikationen.

”Att göra”

I funktionen ”Att göra” kan företaget få en översikt över vilka upp- giftskrav som olika myndigheter har aviserat att företaget ska fullgöra. Varje inkommen avisering innehåller företagets organisationsnummer samt ett id-nummer för uppgiftskravet.

Varje avisering visas som en rad i en ”att göra”-lista. Alla upp- giftskrav kan i dagsläget inte uppfyllas genom en e-tjänst, men för de krav där detta är möjligt finns en länk till motsvarande e-tjänst. För andra krav, där det finns allmänna informationssidor, en pdf-blankett, eller annan information på webben, kan en länk gå till sådan information. I prototypen har byggts ett separat system vars funktion är att skicka aviseringar till huvudtjänsten. Detta separata aviserings-

81

Vidareutveckling av den tekniska lösningen SOU 2015:33

system motsvarar de olika verksamhetssystem hos myndigheterna som skulle behöva skicka aviseringarna i ett fullt utvecklat system.

Huvudtjänsten tar emot dessa aviseringar utan att göra någon validering utöver att id-numret för ett uppgiftskrav faktiskt existerar i uppgiftskravsdatabasen. Det är det aviserande systemets ansvar att skicka aviseringar för rätt krav till rätt mottagare och att exempelvis ett uppgiftskrav som endast är tillämpligt för aktiebolag inte aviseras till en enskild firma.

Som en del av prototyparbetet har två simulerade e-tjänster skapats för de två uppgiftskraven med id-nummer SKV17 och SJV156 (motsvarande Skatteverkets tjänst för kontrolluppgift KU25, respektive Jordbruksverkets tjänst för ansökan om stöd för miljöinvestering).

När en avisering för ett visst företag aktualiseras och något av dessa uppgiftskrav lämnats in visas den i ”att göra”-listan med en länk till motsvarande simulerade e-tjänst. Användaren behöver bara klicka på länken för att starta e-tjänsten. När användaren slutför inlämnandet skickas en avisering till huvudsystemet att ett visst uppgiftskrav nu är uppfyllt. Uppgiftskravet tas då bort från ”att göra”-listan.

I prototypen lagras alla aviseringar inom systemet. I det färdiga systemet kommer i stället den myndighetsgemensamma infra- strukturtjänsten Mina meddelanden användas som aviseringskanal. Det får dock effekten att funktionen inte levereras som en del av verksamt.se utan i stället i en kommande uppdatering av tjänsten Min myndighetspost (se vidare avsnitt 6.5).

I ett färdigt system ska en avisering från en myndighet till ett företag utöver organisationsnummer och id-nummer för uppgifts- kravet även innehålla ett sista inlämningsdatum, dvs. när uppgifterna senast ska lämnas. I de inledande faserna av servicetjänstens utveckling kommer de flesta myndigheter inte ha hunnit utveckla rutiner för att skicka aviseringar. Ett enklare sätt att få en likande funktion bygger på att information om när ett visst uppgiftskrav ska lämnas in finns i uppgiftskravsdatabasen. Med denna lösning får användaren en ”att göra”-lista med uppgiftskrav generellt riktade till företag av rätt typ. Användaren får själv ta bort krav från denna lista efter att de fullgjorts. En sådan funktion är under utredande inom det generella arbetet med verksamt.se.

82

SOU 2015:33

Vidareutveckling av den tekniska lösningen

Ansökningar och anmälningar

Funktionen Ansökningar och anmälningar påminner om funktionen Att göra, men de uppgiftskrav som listas är sådana som initieras av företagen själva. Det handlar typiskt sett om anmälningar av olika förfaranden eller ansökningar om förmåner som kan bli aktuella vid olika tidpunkter. Prototypen filtrerar uppgiftskraven utifrån före- tagsform och den eller de branscher3 som företaget verkar i.

För varje krav i uppgiftskravsdatabasen finns bland annat angivet vilken eller vilka företagsformer samt branscher det är tillämpligt för. I prototypen leder detta till att användaren möts av ett mycket stort antal uppgiftskrav (ansökningar eller anmälningar) som skulle kunna vara aktuella för företaget. Beroende på företagsform och bransch kan det röra sig om 300–700 uppgiftskrav. Det finns en enkel sökfunktion där man kan begränsa listan till alla krav som i sin beskrivning innehåller ett visst sökord (exempelvis ”bidrag” eller ”tillstånd”).

I ett färdigt system både kan och behöver detta förbättras på flera sätt, exempelvis kan kartläggning av uppgiftskraven göras mer detaljerat. För sådana branscher som omfattas av många företags- initierade uppgiftskrav skulle hela SNI-kodssystemet kunna användas för att exempelvis ange att ett visst uppgiftskrav som träffar jordbruksbranschen endast är tillämpligt för köttproduktion. På så vis kan en jordbrukare som endast är spannmålsproducent slippa få upp just detta krav. Uppgiftskraven skulle även kunna grupperas på aktuell myndighet och knyta an till en viss livscykelhändelse hos företagen, såsom bildande, anställande av personal, redovisning eller avslutande.

5.1.3Simulerade e-tjänster

Som nämnts ovan skapades två simulerade e-tjänster för att användas tillsammans med servicetjänstprototypen. Interaktionen mellan servicetjänsten och de simulerade e-tjänsterna följer i prototypen följande arbetsgång.

1.En avisering skickas (från e-tjänst eller på annat sätt) till service- tjänsten.

3 Bransch beskrivs från den översta nivån av SNI 2007 vilket innebär att uppgiftskraven i prototypen sorteras på 21 branscher.

83

Vidareutveckling av den tekniska lösningen

SOU 2015:33

2.Användaren får upp ett uppgiftskrav i sin ”att göra”-lista med en länk till den simulerade e-tjänsten.

3.Användaren förs över till e-tjänsten. Det organisationsnummer som är auktoriserat i servicetjänsten skickas med till e-tjänsten i form av en parameter i länken.

4.E-tjänsten gör en förfrågan till servicetjänsten över SHS- systemet om att få de grundläggande uppgifterna för det medskickade organisationsnumret.4

5.Servicetjänsten levererar dessa uppgifter över SHS.

6.E-tjänsten använder de levererade uppgifterna för att fylla i ett formulär och därigenom minska och förenkla företagets uppgiftslämnande.

7.Användaren matar in övriga uppgifter och skickar in allt.

8.E-tjänsten tar emot uppgifterna och skickar en avisering till servicetjänsten om att uppgiftskravet nu är uppfyllt.

I det färdiga systemet kan framför allt steg 3–6 komma att ändras. För autentisering och auktorisering litar den simulerade e-tjänsten

på att servicetjänstprototypen har utfört såväl autentisering som auktorisering på ett korrekt sätt, och gör därför inga motsvarande åtgärder. Här kommer det vara upp till varje myndighet att bedöma vilken säkerhetsnivå och vilka krav på autentisering och auktorisering som man har för den aktuella e-tjänsten, men som huvudregel kommer många myndigheter att vilja göra egen autentisering.

5.1.4Centrala användningsfall för myndigheter

Myndigheter kan på samma sätt som företag logga in i prototypen med användarnamn och lösenord. I prototypen har vissa användar- identiteter skapats för tänkt myndighetspersonal. Den huvud- sakliga funktionen som kan användas för dessa är att administrera de uppgiftskrav som en myndighet har.

4 För information om SHS (spridnings- och hämtningssystem) se http://www.forsakringskassan.se/omfk/shs/

84

SOU 2015:33

Vidareutveckling av den tekniska lösningen

Administrera krav

När en behörig myndighetshandläggare är inloggad kan han eller hon välja att få upp en lista på myndighetens samtliga uppgiftskrav. Information om varje uppgiftskrav kan fritt redigeras, och nya uppgiftskrav kan läggas till. För varje uppgiftskrav finns i proto- typen ett tiotal egenskaper, exempelvis beskrivning av uppgifts- kravet, vilka grundläggande uppgifter kravet omfattar och vilka branscher det gäller.

I ett färdigt system är tanken att varje deltagande myndighet ska hantera sina uppgiftskrav själv. Men det kan inte uteslutas att en myndighet vill ha teknisk assistans från den myndighet som tillhandahåller uppgiftskravstjänsten när ett nytt uppgiftskrav läggs till eller ett befintligt modifieras. Sådan teknisk assistans kan tillhanda- hållas på flera sätt. Ett alternativ är att denna myndighet, utifrån en beskrivning av uppgiftskravet som den andra, deltagande, myndig- heten tillhandahåller, själv matar in uppgiftskravet i databasen. Ett annat alternativ är att den deltagande myndigheten matar in uppgifts- kravet men att det markeras ”för granskning”, och att den myndighet som tillhandahåller uppgiftskravstjänsten därefter granskar uppgifts- kravet så att exempelvis beskrivning, hänvisning till lagrum och länk till e-tjänst är godtagbart. Efter granskning kan kravet läggas in i den riktiga uppgiftskravsdatabasen. Sådana assistanslösningar förändrar inte att det är myndigheten som ansvarar för att innehållet i registret är korrekt.

5.2En fristående tjänst

Som en del av utredningens uppdrag att vidareutveckla prototypen inför användandet i ett fullskaligt system togs en noggrannare krav- specifikation fram. Arbetet, som framför allt pågick under första halvåret 2014, var inriktat på att ta fram ett underlag som kunde användas för upphandling av en sådan teknisk lösning. Inriktningen blev sedermera ändrad (se avsnitt 5.3 och 5.4 samt avsnitt 6 för den aktuella realiseringen) men nedan redogörs för den initiala ansatsen.

85

Vidareutveckling av den tekniska lösningen

SOU 2015:33

5.2.1Arbetets genomförande

Remissvar

Flertalet remissinstanser uttalade sig om olika aspekter av det föreslagna systemets tekniska utformning. Ett genomgående tema i synpunkterna var att systemet i högre grad borde återanvända befintlig infrastruktur och e-förvaltningsgemensamma principer. Särskilt framhölls att Mina meddelanden, som ett system för meddelandeförmedling från myndigheter till företag och enskilda, borde användas i ett system för företagens uppgiftslämnande som bland annat innehåller aviseringar från myndigheter till företag.

Flera remissvar tog även upp att frågan om behörighet (auktorisering) var av stor vikt. Även frågor om säkerhet, användar- vänlighet och tillgänglighet lyftes fram som viktiga. Slutligen framhöll flera av remissinstanserna vikten av att främja maskin-till-maskin- lösningar för uppgiftslämnande.

Teknisk expertgrupp

Med anledning av att ett genomförande av utredningens tidigare förslag krävde fördjupad kompetens om framför allt myndigheters it-system och it-arkitektur förordnade regeringen under februari 2014 ett antal experter med teknisk bakgrund.

Under våren 2014 hölls tre sammanträden med tillhörande arbete kring konkreta frågeställningar för att anpassa utredningens förslag till de informationstekniska förutsättningarna på de myndigheter som experterna hade erfarenhet av.

Frågorna som togs upp i gruppen med tekniska experter var bland annat metoder för överföring av grundläggande uppgifter till myndigheternas e-tjänster, förhållningssätt till vad som är bästa källa med avseende på aktualitet m.m. för en viss uppgift, krav på utformningen av en sammansatt bastjänst, om informationsutbytet skulle ske inom ramen för ett pågående ärende eller direkt mellan myndigheters system, samt frågor kopplade till autentisering och behörighetskontroll.

86

SOU 2015:33

Vidareutveckling av den tekniska lösningen

Fördjupade samtal med berörda myndigheter

Som en följd av det första rundabordssamtalet (se avsnitt 5.3) inleddes fördjupade samtal med myndigheterna som ansvarar för verksamt.se samt med E-delegationen. Syftet med samtalen var främst att förutsättningslöst diskutera hur utredningens fortsatta arbete och verksamt.se kunde samordnas samt att ta fram en gemensam målbild på kort och lång sikt.

Som en följd av strävan mot att inrätta en sammansatt bastjänst för grundläggande uppgifter om företag, i stället för att enbart använda det allmänna företagsregistret, hölls även samtal med de myndigheter som skulle kunna vara dataproducenter till en sådan sammansatt bastjänst.

Utöver dessa samtal pågick även under hela våren 2014 arbeten i olika konstellationer med samtliga myndigheter som deltagit i det tidigare kartläggningsarbetet, med undantag för Tullverket. Dessa arbeten syftade till att förbereda ytterligare kvalitetssäkringsarbete med de kartlagda uppgiftskraven (se avsnitt 6.3.4), att analysera kostnader och nyttor med utredningens förslag (se kapitel 8), samt att ta fram en plan för när myndigheterna kan ansluta till de olika delarna av systemet (se kapitel 7).

Resultat av samtalen

Ovanstående dialoger skedde parallellt med utformandet av den fördjupade kravspecifikationen (se avsnitt 5.2.2) och påverkade denna, särskilt definitionen av ”bästa källa”, utformandet av den sammansatta bastjänsten, och metoden för att hämta grundläggande uppgifter från denna.

5.2.2Fördjupad kravspecifikation

Utgångspunkten

I framtagandet av betänkandet Ett minskat och förenklat uppgifts- lämnande (SOU 2013:80) arbetade utredningen med ett antal använd- ningsfall. Dessa användningsfall skulle motsvara den slutanvändar- funktionalitet som behövdes, tillsammans med de administrativa rutiner som ett sådant system skulle kräva.

87

Vidareutveckling av den tekniska lösningen

SOU 2015:33

Användningsfallen låg bland annat till grund för en analys av vad systemet skulle kosta att konstruera och förvalta. Men detaljerings- graden av användningsfallen var inte tillräcklig för att direkt kunna ligga till grund för en upphandling. När så tilläggsdirektiven ålade utredningen att förbereda och genomföra åtgärder för att införa ett fullskaligt system för företagens uppgiftslämnande blev en av de första uppgifterna att vidareutveckla kravspecifikationen till grund för upphandling av ett fullskaligt system. Parallellt med detta vidareutvecklingsarbete beaktade utredningen även synpunkter från remissinstanser i samtal med de tekniska experterna, m.m.

Utredningen anlitade därför expertis i kravställning för it-system vilket resulterade i en mer strukturerad och betydligt mer omfångsrik kravspecifikation (bilaga 5). Arbetet inleddes utifrån befintliga användningsfall (SOU 2013:80, bilaga 5), vilka kompletterades med nya allt efter behov. Målet var att kravspecifikationen skulle kunna användas för att upphandla ett färdigt system.

Uppgiftskravstjänst

Uppgiftskravstjänsten var planerad som en helt fristående tjänst med separat användar- och behörighetshantering, som skulle användas av myndigheternas handläggare för att administrera innehållet i Uppgiftskravsregistret.

Tätt knuten till denna skulle även en uppgiftsdefinitionstjänst finnas. I det som nu byggs är en sådan uppgiftsdefinitionstjänst inte nödvändig, och i framtiden skulle detta i stället kunna realiseras som en del av den planerade myndighetsgemensamma informationsutbyteskatalogen.5

Sammansatta bastjänsten

Sammansatta bastjänstens uppgift definierades som att på begäran samla ihop grundläggande uppgifter om ett företag från bästa tillgängliga källor och leverera dessa till beställaren enligt fastställt format. Inriktningen på denna komponent är i stort sett oförändrad

5 En informationsutbyteskatalog är en samlingsplats för referensmodeller, modeller och beskrivningar av begrepp, informationsutbytesobjekt och attribut som ingår i informationsutbyten. Se http://www.edelegationen.se/Nationella- utvecklingsinsatser/Forvaltningsgemensamma-tjanster/Informationsutbyteskatalogen/

88

SOU 2015:33

Vidareutveckling av den tekniska lösningen

jämfört med vad som nu konstrueras (se avsnitt 6.2), med undantag för att begreppet ”bästa tillgängliga källa” har genomgått mycket utveckling och att termen ”bästa källa” nu används för detta utvecklade begrepp.

Aviseringstjänsten

Aviseringstjänsten utformades som en fristående komponent inom Servicetjänsten mot vilken myndigheterna kunde skicka meddelanden och servicetjänsten kunde läsa inkomna meddelanden, för att i slut- användargränssnittet presentera dessa i form av en sammanställning av aktuella uppgiftslämningsärenden. Denna ansats ändrades sedan avsevärt genom användandet av Mina meddelanden, se avsnitt 6.5.

5.2.3Resultat

Version 1.0 av kravspecifikationen färdigställdes i juni 2014 och beskrev en fristående tjänst, uppbyggd på de grundläggande komponenterna. Som ett utflöde av arbetet i den samordnings- organisation som upprättats efter rundabordssamtalen inleddes omedelbart ett arbete med en uppdaterad version. Denna uppdaterade version utgick i stället från att slutanvändarfunktionaliteten skulle levereras som en del av verksamt.se och använda Mina meddelanden för meddelandeförmedling(se vidare beskrivningen i bilaga 6).

5.3Rundabordssamtal m.m.

5.3.1Bakgrund

Utredningen identifierade tidigt i arbetet med genomförandet av tilläggsdirektiven ett antal nödvändiga faktorer för framgång. Redan i den delredovisning som utredningen lämnade till Närings- departementet den 30 januari 2014 skrev vi att utredningen behöver samverka med de statliga myndigheter som ska anpassa sina system och processer. Utredningen påtalade att det behövs stödåtgärder från uppdragsgivaren för att arbetet ska kunna genomföras inom tilläggsdirektivens tidsram. De efterfrågade stödåtgärderna syftade framför allt till att de deltagande myndigheterna skulle avsätta nöd-

89

Vidareutveckling av den tekniska lösningen

SOU 2015:33

vändiga resurser för sitt arbete, men också till att arbetet prioriteras på såväl ledningsnivå som operativ nivå. Utredningen har åter- kommande upprepat detta budskap.

5.3.2Referensgruppens första möte

I ett försök att fånga upp utfallet från remissbehandlingen av utred- ningens betänkande Ett minskat och förenklat uppgiftslämnande (SOU 2013:80) samt att få till stånd reell samverkan mellan utred- ningen och berörda myndigheter kallade statssekreteraren Marita Ljung vid Näringsdepartementet till ett rundabordssamtal i april 2014. Närvarade från utredningen och myndigheterna var särskilda utredaren Cecilia Magnusson Sjöberg, generaldirektörerna Annika Bränström, Bolagsverket, Ingemar Hansson, Skatteverket och Gunilla Nordlöf, Tillväxtverket samt E-delegationens kanslichef Ewa Carlsson. Samtalet avslutades med att deltagarna var överens om i huvudsak fyra punkter.

Uppgiftslämnarutredningens fortsatta arbete och målbild ska samordnas med verksamt.se 2.0.

Uppgiftslämnarutredningen åtar sig att sammankalla en arbets- grupp där Bolagsverket, Skatteverket, Tillväxtverket och E-delega- tionen ingår. Arbetsgruppen ska förutsättningslöst diskutera hur Uppgiftslämnarutredningens fortsatta arbete och verksamt.se kan samordnas. Arbetsgruppen ska i en rapport lämna förslag i denna del samt hur målbilden kan samordnas. Myndigheterna och E- delegationens kansli ska utse personer med relevant profil till arbetsgruppen.

Näringsdepartementet kan, om behov uppstår, överväga ändringar i utredningens direktiv.

Närvarande generaldirektörer och kanslichefen för E-delegationen tillsammans med statssekreterare Marita Ljung och representant från Finans- Näringsdepartementet fungerar som referensgrupp åt utredningen.

90

SOU 2015:33

Vidareutveckling av den tekniska lösningen

5.3.3Progressrapport

Arbetsgruppen

Efter rundabordssamtalet sammankallade utredningen omedelbart arbetsgruppen till ett första möte. I arbetsgruppen ingick utredaren Cecilia Magnusson Sjöberg, enhetschefen Anna Johansson från Tillväxtverket, direktören Inga Otmalm från Bolagsverket, enhets- chefen Magnus Wallin från Skatteverket samt kanslichefen Ewa Carlson och sekreteraren Jan Sjösten som ersättare från E-delega- tionen.

Arbetsgruppens arbete resulterade i en progressrapport som överlämnades till referensgruppen den 26 maj 2014.

Progressrapportens innehåll

Funktionalitet

I progressrapporten föreslår arbetsgruppen att en kompletterande funktionalitet på verksamt.se ska ersätta funktionaliteten för före- tagarna i den servicetjänst Uppgiftslämnarutredningen har föreslagit. Arbetsgruppen är i rapporten ense om att ett system med en särskild funktion för uppgiftskrav spelar en viktig roll i att skapa förut- sättningar för samordning och informationsutbyte mellan myndig- heter, för regelförenkling och för att ge tillgång till tillförlitlig statistik över företagens uppgiftslämnande.

Utredningens ursprungliga förslag var att det allmänna företags- registret bör knytas till den samlade ingången till myndigheternas e- tjänster (Servicetjänsten) och därifrån tillgängliggöra uppgifterna i företagsregistret om ett enskilt företag. Under remissbehandlingen av betänkandet framfördes emellertid stark kritik mot valet av det allmänna företagsregistret som ensam leverantör av grundläggande uppgifter om företagen. Utredningen har omprövat sitt tidigare ställ- ningstagande och arbetar nu i stället, efter dialog med myndigheterna och E-delegationen, utifrån att de grundläggande uppgifterna om företagen hämtas från bland annat Bolagsverket, Skatteverket och det allmänna företagsregistret hos Statistiska centralbyrån genom en så kallad sammansatt bastjänst.

91

Vidareutveckling av den tekniska lösningen

SOU 2015:33

Arbetsgruppens rapport visar också att en sammansatt bastjänst är en lämplig inriktning med betydande potential för det fortsatta arbetet.

Utredningen har föreslagit funktionen ”Att göra”-lista. Med den kan ett företag få en översikt över vilka uppgiftskrav som olika myndigheter har aviserat företaget. I delbetänkandet framfördes att den förvalt- ningsgemensamma infrastrukturtjänsten Mina meddelanden i framtiden kan bli aktuell som aviseringskanal. Det förutsatt att Servicetjänstens funktionalitet kan få tillgång till ett företags meddelanden genom ett för samtliga brevlådeoperatörer gemensamt API. Arbetsgruppens utgångs- punkt är att Mina meddelanden sannolikt kan fungera som aviserings- kanal.

Målbild

Arbetsgruppen konstaterar i rapporten att verksamt.se och utred- ningens föreslagna Servicetjänsten i stort har samma mål, ett minskat och förenklat uppgiftslämnande för företagaren.

Verksamt.se är sedan länge en etablerad kanal och syftet med denna tjänst är att underlätta för företagarna. Arbetsgruppen ser stora kundnyttor att fortsätta på redan inslagen väg med hänvisning till framför allt följande.

Tiden för utveckling minskar totalt sett, eftersom det är möjligt att vidareutveckla existerande tjänster och komponenter i stället för att bygga allt från grunden.

Många företagare känner väl till verksamt.se och de slipper byta kanal och gränssnitt.

Investeringar för marknadsföring av tjänsten minskar.

Tid och pengar sparas genom återanvändning av organisation, styrning och förvaltning.

Arbetsgruppens förslag till gemensamt mål utgår således från existerande tjänster och komponenter.

De sammantagna effekterna för företagaren ökar, även om vissa produktmål i tidigare föreslagen lösning realiseras på annat sätt. Mer konkreta exempel på återanvändning av dessa komponenter är att

92

SOU 2015:33

Vidareutveckling av den tekniska lösningen

verksamt.se nyttjas som användargränssnitt och inkluderar de funktioner som tidigare föreslogs ligga i Servicetjänsten,

inloggning sker i verksamt.se för autentisering, och att

Mina meddelanden används för avisering.

I rapporten uttrycker arbetsgruppen att det finns goda möjligheter att komma framåt till en lösning som utifrån identifierade behov bidrar till att förenkla för företagen. Verksamt.se och utredningens förslag har båda målet att minska och förenkla företagens uppgifts- lämnande, men det finns också skillnader på ett antal punkter.

Utredningen har genom sitt uppdrag ett tydligt regel- förenklingsperspektiv vilket framför allt kommer till uttryck i arbetet med att skapa ett system för uppgiftskrav som kan ligga till grund för områdesspecifik utveckling framöver.

Verksamt.se är en del av myndighetssamarbetet Starta och driva företag som också har förenkling för företagare i fokus. Nuvarande utveckling av verksamt.se har sin grund i särskilda regeringsuppdrag samt uppdrag att vidareutveckla tjänstedirektivets6 elektroniska kontaktpunkt. Det innebär att många myndigheter, alla kommuner och länsstyrelser ska vara anslutna till verksamt.se och Mina meddelanden framöver. Men det finns ännu inga krav på informa- tionsutbyte. Utöver detta tar myndigheterna gemensamt fram utvecklingsplaner baserat på behovsanalyser gentemot företagen. Det kan handla både om information och tjänster för att underlätta myndighetskontakter och stöd för att göra bättre affärer inom ramen för myndigheternas uppdrag.

Sett ur ett företagarperspektiv skiljer sig inte det som utred- ningen föreslår och den inriktning myndighetssamarbetet förordar på något principiellt sätt. Arbetsgruppen uttrycker således att det borde finnas utrymme för ett omfattande samarbete.

Arbetsgruppen uttalar slutligen att ett fruktbart samarbete kommer att förutsätta att samtliga parter är beredda att ompröva tidigare ställningstaganden och beslut så att potentialen hos verksamt.se och servicetjänsten tillsammans kan realiseras.

6 Europaparlamentets och rådets direktiv 2006/123/EG av den 12 december 2006 om tjänster på den inre marknaden

93

Vidareutveckling av den tekniska lösningen

SOU 2015:33

Referensgruppens andra möte

Progressrapporten föredrogs för referensgruppen vid ett möte den 27 maj 2014 på Näringsdepartementet. Vid mötet var deltagarna eniga om hur man skulle går vidare i arbetet med att skapa ett system för företagens uppgiftslämnande. Det påpekades särskilt att fram till 30 mars 2015 är det utredaren Cecilia Magnusson Sjöberg som har den koordinerande funktionen för arbetet med att skapa ett system för företagens uppgiftslämnande. Vid mötet påpekades behovet av att överväga vilken eller vilka myndigheter som efter mars 2015 kommer att vara ansvarig eller ansvariga för systemet för företagens uppgifts- lämnande. Behovet av regeringsuppdrag till berörda myndigheter och tilläggsdirektiv till utredningen skulle övervägas vidare inom Regeringskansliet.

5.3.4Regeringsuppdrag

Vidareutveckla företagarportalen verksamt.se med ett system för företagens uppgiftslämnande

I ett beslut den 3 juli 2014 uppdrog regeringen åt Bolagsverket, Skatteverket och Tillväxtverket att tillsammans med Uppgiftslämnar- utredningen vidareutveckla och anpassa verksamt.se och Uppgifts- lämnarutredningens förslag om ett system för företagens upp- giftslämnande. Av regeringsbeslutet framgår att arbetet ska resultera i att Uppgiftslämnarutredningens förslag till funktioner och funk- tionalitet (servicetjänst) och verksamt.se samordnas på verksamt.se. Detta innebär bland annat att verksamt.se nyttjas som användar- gränssnitt och inkluderar de funktioner som tidigare föreslogs ligga i servicetjänsten.

Arbetet ska koordineras av Uppgiftslämnarutredningen och följa de handlingsplaner som Uppgiftslämnarutredningen tar fram. Uppdraget ska slutredovisas av Tillväxtverket tillsammans med Uppgiftslämnarutredningen senast den 30 mars 2015.

94

SOU 2015:33

Vidareutveckling av den tekniska lösningen

Upphandla en teknisk lösning för systemet för företagens uppgiftslämnande

I ett beslut den 3 juli 2014 fick Bolagsverket av regeringen i uppdrag att upphandla en teknisk lösning för en funktionalitet på verksamt.se för företagens uppgiftslämnande. Funktionaliteten innebär att Upp- giftslämnarutredningens förslag om servicetjänst realiseras inom ramen för verksamt.se. I uppdraget ingår att samverka med Uppgifts- lämnarutredningen för att ta fram anvisningar för upphandlingen för att säkerställa den tekniska lösningens kompatibilitet med verksamt.se samt att den ska kunna förvaltas av Bolagsverket.

5.3.5Genomförande och organisation

För att på ett samlat och effektivt sätt kunna koordinera och samverka med myndigheternas genomförande skapade utredningen och de berörda myndigheterna en gemensam projektorganisation. Arbetet har koordinerats av utredaren bland annat via den arbetsgrupp som inrättades i samband med rundabordssamtalen våren 2014. Arbets- gruppen som kom att fungera som en operativ styrgrupp (styrgruppen) har letts av utredaren med bistånd av en program- samordnare från utredningen. I gruppen har representanter för Bolagsverket, Skatteverket, Tillväxtverket och E-delegationen ingått. Sedermera tillkom även en representant för Statistiska centralbyrån. Arbetsgruppen har tagit fram gemensamma styrdokument.

Handlingsplan för projektorganisationen

Av den handlingsplan som har tagits fram för projektorganisa- tionen framgår bland annat att styrgruppen skulle specificera vad som ska levereras inom programmet samt rapportera till utred- ningens referensgrupp. Styrgruppen har med hjälp av utredningens koordinering varit ansvarig för att säkra planering, samordning och uppföljning i enlighet med den fastställda programplanen.

Styrgruppen skulle enligt handlingsplanen tillsätta utskott i genomförandearbetet. Utskotten har varit beredande, inte beslutande. Respektive utskott har ansvarat för att involvera berörda myndigheter, andra aktörer och särskilt företagare i utvecklingen för att säkerställa

95

Vidareutveckling av den tekniska lösningen

SOU 2015:33

användbarheten. De olika utskotten skulle samordna sitt arbete när det var relevant. Utskotten i genomförandet var arkitekturutskottet, juridiska utskottet och kommunikationsutskottet.

Det har funnits en programsamordnare med uppgiften att koordinera det utvecklingsarbete som Bolagsverket, Tillväxtverket och Skatteverket driver med bäring på Uppgiftslämnarservice. Programsamordnaren har fått rapporter från genomförandeprojekten och höll kontakt med arkitekturutskottet, juridiska utskottet och kommunikationsutskottet. Programsamordnaren har rapporterat till styrgruppen och ansvarade för att följa upp eventuella avvikelser från programplanen.

Arkitekturutskottet hade till uppgift att säkerställa att en verk- samhets- och it-arkitektur togs fram för alla delar av leveransen. Detta har skett i nära samarbete med organisationerna för verksamt.se och Mina meddelanden och med fokus på såväl leverabler som anslutande myndigheter. Utskottet skulle klargöra specifika frågeställningar på en övergripande nivå, exempelvis frågor om informationssäkerhet, hur uppgiftskravstjänsten bör realiseras på kort och längre sikt och hur aviseringstjänsten bör utformas.

Juridiska utskottet skulle säkerställa det rättsliga stödet för uppgiftslämnarservice i verksamt.se samt bistå i utredningens övriga juridiska frågor kopplade till förvaltningen av leverablerna i Uppgifts- lämnarservice, bland annat säkerhetsaspekter och organisatoriska aspekter.

Kommunikationsutskottet har tagit fram en plan för informa- tionen om uppgiftslämnarservice till målgrupperna (anslutande myndigheter, slutanvändare och övriga intressenter).

5.4Regeringens beslut om förvaltning av systemet

5.4.1Tillväxtverket

Genom en ändring i Tillväxtverkets regleringsbrev för budgetåret 2014 fick myndigheten i uppdrag att kartlägga och analysera förut- sättningarna för ett övertagande av registret över uppgiftskrav på företagen och uppgiftsdefinitionsregistret. Man skulle också samordna dessa uppgiftskrav samt driva och upprätthålla funktionerna sam- verkanspunkt och forum som anges i tilläggsdirektiv (dir. 2013:111) till Uppgiftslämnarutredningen. Uppdraget skulle genomföras i dialog

96

SOU 2015:33 Vidareutveckling av den tekniska lösningen

med Uppgiftslämnarutredningen och redovisas till Näringsdeparte- mentet senast den 15 december 2014.

Tillväxtverkets förutsättningar för förvaltning av uppgiftskravsregister, uppgiftsdefinitionsregister, samverkanspunkt och forum för minskat och förenklat uppgiftslämnande.

Tillväxtverket anger i den rapport som lämnades till regeringen den 15 december 2014 att man har lång och bred erfarenhet av arbetet med förenklingar för företag på nationell, regional och kommunal nivå. Att minska och förenkla uppgiftslämnandet för företagen är en viktig insats för att skapa förutsättningar för konkurrenskraftiga företag. Det är ett prioriterat arbete hos Tillväxtverket som gärna är med och driver den utvecklingen. Tillväxtverket förde samtidigt fram att för det fall regeringen väljer att lägga förvaltningen på annan myndighet kommer Tillväxtverket självfallet att fortsätta bidra i arbetet på bästa sätt. Oavsett hur ansvaret för förvaltningen fördelas är det enligt Tillväxtverket viktigt att det i organiseringen finns goda förut- sättningar för samverkan och att den kompetens och de nätverk som har byggts upp i arbetet med uppgiftskravsregistret kan tas till vara. Inte minst med tanke på de beroenden som finns mellan de olika delarna i systemet för företagens uppgiftslämnande.

5.4.2Bolagsverket

Genom en ändring i Bolagsverkets regleringsbrev för budgetåret 2014 fick myndigheten i uppdrag att kartlägga och analysera förutsätt- ningarna för att förvalta, driva och utveckla en sammansatt bastjänst för företagens uppgiftslämnande när det gäller så kallade grund- läggande uppgifter. Uppdraget skulle genomföras i dialog med Upp- giftslämnarutredningen och redovisas till Näringsdepartementet senast den 15 december 2014.

97

Vidareutveckling av den tekniska lösningen

SOU 2015:33

Bolagsverkets rapport Sammansatt bastjänst för grundläggande uppgifter om företag

Bolagsverket anger i rapporten som lämnades till regeringen den 15 december 2015 att myndigheten är redo att fortsätta axla ansvaret för att utveckla, driva och förvalta den tekniska lösningen för den sammansatta bastjänsten. Bedömningen baseras på Bolagsverkets långa historia av att arbeta med förenkling, sina goda erfarenheter av att samverka med andra samt på myndighetens förvaltningsmodell och kompetenser. I detta ingår även myndighetens registervana samt vana av tjänsteutveckling och drift.

5.4.3Budgetpropositionen för 2015

I budgetpropositionen för budgetåret 2015 (Budgetpropositionen för 2015 utgiftsområde 24 Näringsliv s. 71) under rubriken Förenklat uppgiftslämnande har regeringen uttalat följande. Uppgiftslämnar- utredningen (N 2012:01) har i delbetänkandet Ett minskat och förenklat uppgiftslämnande för företagen (SOU 2013:80) föreslagit att det ska inrättas en ny myndighet – Företagsdatamyndigheten – för att bland annat handha ett system för företagens uppgiftslämnande. Förslaget om att inrätta en ny myndighet avstyrktes av en majoritet av remissinstanserna. Den nuvarande inriktningen är att de nya upp- gifterna i stället kommer att fördelas på Bolagsverket och Tillväxt- verket. Tillväxtverket blir organisatorisk hemvist för ett system för företagens uppgiftslämnande och ansvarar bland annat för arbetet med samordning av uppgiftskrav, en samverkanspunkt för myndigheter och ett forum för företagen m.fl. Bolagsverket blir organisatorisk hemvist för förvaltning och teknisk utveckling av en funktionalitet på verksamt.se som ingår i systemet för företagens uppgiftslämnande.

98

Uppgiftslämnarservice för företagen SOU 2015:33

skyddade uppgifter kan det göras tillgängligt för var och en att använda, återanvända och distribuera som öppna data (se vidare avsnitt 10.3).

För aviseringsfunktionen återanvänds infrastrukturen i Mina meddelanden (se avsnitt 6.5), och anpassningen för den funktionalitet som ska levereras görs som en del i utvecklingsarbetet för Mina meddelanden.

Strävan på sikt är att viss service som nu levereras inom ramen för Uppgiftslämnarservice ska kunna tillhandahållas i annan form av andra aktörer i statlig, kommunal och privat regi, genom att de återanvänder komponenter i Uppgiftslämnarservice. Sådana tjänster skulle exempelvis kunna vara inriktade på vissa målgrupper (och tillhanda- hållas av branschföreningar för dessa grupper), eller kombinera uppgiftslämnande till statliga myndigheter med uppgiftslämnande till kommuner eller privata aktörer (såsom försäkringsbolag). Detta är i linje med regeringens strategi för en digitalt samverkande förvaltning (dnr N2012/6402/ITP), särskilt delmålet att fler ska kunna tillhanda- hålla statens digitala tjänster.

Bästa källa

För att minska uppgiftslämnandet ska grundläggande uppgifter om företag återanvändas om de finns hos någon statlig myndighet. Sammansatta bastjänsten förenklar detta återanvändande, bland annat genom att se till att hämta varje uppgift från den bästa källan.

Vad som är bästa källa måste avgöras utifrån frågan ”vilken källa är bäst, ur företagens perspektiv, för att minska och förenkla företagens uppgiftslämnande?”. Följande faktorer kan lämpligen beaktas vid bedömningen.

Användarmönster: Vad har källan för ställning i den gemen- samma förvaltningen? Är detta den källa som andra använder för att uppdatera innehållet i sina egna register?

Uppdateringsfrekvens: Hur aktuell är informationen i källan? Hur lång tid kan det gå mellan att en faktisk omständighet ändras och att detta syns i källan?

100

SOU 2015:33

Uppgiftslämnarservice för företagen

Teknisk tillgänglighet: Med vilka tekniska protokoll kan informa- tionen lämnas ut? Går det exempelvis att ställa en fråga och få ett svar med information om ett enskilt företag, måste man periodvis göra en överföring av samtliga uppgifter från källan i sin helhet, eller något däremellan? Kan man få svar dygnet runt sju dagar i veckan och hur mycket planerat respektive oplanerat driftavbrott kan källan ha? Hur är svarstiderna?

Datakvalitet: Är informationen riktig? Hur samlas informationen in? Är det självrapportering, myndighetskartläggning eller efter- handskontroller?

Reglering: Är källan ålagd av lagstiftning att hålla informa- tionen? Finns det legaldefinitioner av innehållet eller reglerade processer för uppdatering?

Kostnader: Vad kostar det att hämta uppgifter från källan, fasta kostnader och marginalkostnad per slagning?

Rättsliga förutsättningar: Kan informationen lämnas ut från källan till Sammansatta bastjänsten utan hinder av exempelvis sekretess? Finns det i så fall någon förutsättning för utlämnande, t.ex. att förfrågan måste ske på direkt uppdrag av den vars uppgifter det gäller?

Framför allt rättsliga förutsättningar kan hindra att en källa betraktas som bästa källa.

Vid en bedömning bör särskilt informationssäkerheten beaktas i ett sammanhang utifrån informationens tillgänglighet, riktighet och konfidentialitet. De två första aspekterna berörs särskilt i förteck- ningen ovan. Vad gäller konfidentialitet är det i alla sammanhang viktigt att uppgifter om företag inte sprids i strid med de skydds- intressen som finns för uppgifterna. Men till övervägande del är grundläggande uppgifter om företag offentliga.

I det sammanhang som Sammansatta bastjänsten verkar finns heller inte en stor skillnad i förutsättningarna för god konfi- dentialitet mellan olika källor. Överföringen av uppgifterna måste förstås ske på så sätt att det inte kan avlyssnas av utomstående och så att både dataproducent, Sammansatta bastjänsten och data- konsumenten kan säkerställa varandras identitet. En dataproducent som svarar på frågor från Sammansatta bastjänsten har ett eget

101

Uppgiftslämnarservice för företagen

SOU 2015:33

ansvar för att bevara konfidentialiteten. Men dessa krav får dock anses vara så grundläggande att alla tänkbara dataproducenter kan leva upp till dem.

6.1.2Tekniska utgångspunkter

Undvik dubbellagring av uppgifter

Principen om bästa källa medför att Sammansatta bastjänsten alltid kan hämta en viss given uppgift från en underliggande datakälla. Men det är bara i denna källa som uppgiften kan anses vara en uppgift i bästa källa. Skulle uppgifter mellanlagras eller samlas på hög i Sammansatta bastjänsten skulle tjänsten inte längre leverera uppgifter från bästa källa, utan från en mer eller mindre inaktuell kopia. Det är inte heller önskvärt att samla stora mängder data på annat ställe än i en uppgiftssamling hos en utpekad myndighet.

Sammansatta bastjänsten måste därför vid varje frågetillfälle vända sig till de underliggande datakällorna och sammanställa svaren från dessa. Detta leder till höga tillgänglighetskrav på de underliggande datakällorna.

Öppenhet som huvudregel

På samma sätt som att funktionerna levereras som återanvändbara komponenter är lösningen byggd för att informationen i dessa komponenter ska kunna utnyttjas som öppna data.

Vad gäller uppgifterna från Sammansatta bastjänsten är det i dagsläget inte möjligt att tillgängliggöra dessa för andra än de statliga myndigheter som ska använda uppgifterna för att minska och förenkla uppgiftslämnandet i sina e-tjänster. Detta beror dels på att flera dataproducerande myndigheter delvis finansieras genom avgifter för att leverera just dessa uppgifter, dels för att en juridisk utgångspunkt är att Sammansatta bastjänsten används inom ramen för att ett företag använder en viss e-tjänst och i samband med detta ges möjlighet att återanvända företagets uppgifter.

Innehållet i Uppgiftskravstjänsten har inte några liknande begränsningar för sin användning och därför ska den vara till- gänglig för återanvändning (se vidare avsnitt 6.3).

102

SOU 2015:33

Uppgiftslämnarservice för företagen

Kravformulering med hjälp av användningsfall

Metoden med användningsfall är ett sätt att identifiera krav på ett system. Varje användningsfall innehåller ett eller flera scenarier som beskriver hur systemet ska interagera med sin omvärld exempelvis en slutanvändare eller ett annat system för att uppfylla ett specifikt mål. Med denna metod beskriver man i första hand vad man vill uppnå, men man avstår från att ange exakt hur målen ska uppnås. Användningsfallen ska alltså beskriva ett visst scenario ur en slutanvändares perspektiv.

Flexibel kravspecifikation på funktionell nivå

En central uppgift för utredningen har varit att utforma en kravspecifikation av sådan kvalitet att den ska kunna användas för att realisera det system som utredningen har föreslagit. I en traditionell kravspecifikation är det vanligt att formulera mycket precisa krav på det system som ska tas fram, exempelvis vilka sökningar och sorteringar som ska kunna göras, hur långa svars- tider som kan accepteras eller hur man ska göra för att uppfylla krav på tillgänglighet.

En sådan ansats ger den som ställer kraven stort inflytande över det slutliga systemets utformning. Nackdelen är dock att system- utvecklarna kan bli låsta vid lösningar som senare visar sig vara mindre lyckade. Ett system av den art som utredningen föreslagit kommer dessutom att ta lång tid att förverkliga fullt ut och med dagens snabba tekniska utveckling blir det svårt att redan i dag ha en välgrundad mening om teknikläget på några års sikt.

Metoden med användningsfall är ett försök att skapa flexibilitet och långsiktighet. I stället för att formulera krav på en detaljerad nivå är ansatsen att formulera olika skeenden på ett så allmänt sätt som möjligt utifrån de krav som kan identifieras. Ett av de användningsfall som har formulerats i detta kravområde har t.ex. rubriken ”Tillhandahåll grunduppgifter från underliggande data- källor”. Användningsfallet beskriver vad som ska hända men inte hur.

Det betyder att användningsfallen är centrala för kravspecifika- tionen och för de systemutvecklare som ska bygga ett system med utgångspunkt i utredningens förslag. Kravspecifikationen (bilaga 6)

103

Uppgiftslämnarservice för företagen

SOU 2015:33

är förutom att vara ett instrument för systemutvecklaren också av värde för den som läser betänkandet och vill fördjupa sig i detaljerna. Den skapar dessutom en möjlighet att belysa juridiska konsekvenser av olika aspekter i den valda lösningen, t.ex. frågor om offentlighet och sekretess, personuppgiftsbehandling, arkivering och gallring samt informationssäkerhet.

Autentisering och behörighet

Autentisering, dvs. hur man på ett tillfredsställande sätt avgör att den som utger sig för att vara en viss person verkligen är den personen, är ett problem som berör hela e-förvaltningen. Nära besläktat är problemet med behörighet (auktorisering), det vill säga hur man avgör att en fysisk person har rätt att vidta en viss handling, exempelvis agera för ett visst företag i en viss roll.

I dagsläget saknas en förvaltningsgemensam lösning för autentiserings- och behörighetshantering, men eftersom centrala delar i utredningens förslag har placerats i infrastrukturen för verksamt.se kan de mekanismer som där används utnyttjas.

Vid konferensen E-legitimationsdagen den 4 feb 2015 presenterade företrädare för Swedbank och Handelsbanken en ambition att tillsammans med E-legitimationsnämnden ha Svensk e-legitimation i drift senast den 1 jan 2016.1 Om detta arbete blir lyckosamt skapas goda förutsättningar för att fullt ut kunna realisera utredningens lösningar.

6.1.3Juridiska utgångspunkter

Användningsfall som metod

Utredningen har använt samma metod för juridisk analys sedan arbetet med det tidigare betänkandet (SOU 2013:80) inleddes. Utöver traditionell analys utifrån rättsområden har även de individuella användningsfallen som ligger till grund för lösningen analyserats utifrån rättslig synvinkel. Denna metod resulterade i en

1 Se ”BankID och Svensk e-legitimation”, e-legitimationsnämnden den 6 februari 2015, http://www.elegnamnden.se/nyheter/2015/nyhetsarkiv/bankidochsvenskelegitimation.5.352 8414214b3f8758051f3c.html.

104

SOU 2015:33

Uppgiftslämnarservice för företagen

särskild bilaga i matrisform i betänkandet (bilaga 6 i SOU 2013:80). Matrisen ingår i metoden som utredningen har använt sig av i syfte att integrera teknisk funktion med juridiskt hållbara lösningar. När användningsfallen utvecklats och preciserats efter det tidigare betänkandet har även den rättsliga analysen modifierats i mot- svarande utsträckning.

Vi går här igenom några centrala rättsområden för systemet. Dessa är tryckfrihetsförordningen, sekretesslagstiftningen, person- uppgiftslagstiftningen, arkivlagen, förvaltningslagen och slutligen regler kring informationssäkerhet.

6.1.3.1Tryckfrihetsförordningen

Vad som är allmän handling framgår av 2 kap. tryckfrihetsförord- ningen. Med handling förstås framställning i skrift eller bild samt upptagning som kan läsas, avlyssnas eller på annat sätt uppfattas endast med tekniskt hjälpmedel. En handling är allmän, om den förvaras hos en myndighet och är inkommen till eller upprättad hos myndigheten.

En handling anses inkommen till en myndighet, när den har anlänt till myndigheten eller kommit en behörig befattningshavare tillhanda. En upptagning som bara kan läsas, avlyssnas eller på annat sätt uppfattas endast med tekniskt hjälpmedel anses inkommen när den är tillgänglig för myndigheten med ett tekniskt hjälpmedel som myndigheten själv förfogar över.

En handling anses upprättad hos en myndighet, när den har expedierats. En handling som inte har expedierats anses upprättad när det ärende till vilket den hänför sig har slutbehandlats hos myndigheten eller, om handlingen inte hänför sig till visst ärende, när den har justerats av myndigheten eller på annat sätt färdig- ställts. För att närmare kunna avgöra om en upptagning för automatiserad behandling är tillgänglig för myndigheten behöver man göra en uppdelning mellan potentiella (elektroniska) hand- lingar och färdiga elektroniska handlingar. En potentiell handling, dvs. en sammanställning av uppgifter ur en allmän handling som en myndighet har tekniska möjligheter att göra, är enligt 2 kap. 3 § andra stycket sista meningen tryckfrihetsförordningen förvarad hos myndigheten om denna kan göra sammanställningen tillgänglig

105

Uppgiftslämnarservice för företagen

SOU 2015:33

med rutinbetonade åtgärder (prop. 1975/76:160 s. 90). Men en sådan sammanställning anses inte vara förvarad hos myndigheten i tryckfrihetsförordningens mening om den innehåller personupp- gifter och myndigheten enligt lag eller förordning saknar befogenhet att göra sammanställningen tillgänglig enligt den s.k. begränsningsregeln i 2 kap. 3 § tredje stycket.

Med personuppgifter avses med utgångspunkt i personuppgifts- lagens (1998:204) definition, all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet (3 §). Om myndigheten saknar (rättslig) befogenhet att ta fram vissa upplys- ningar ur t.ex. en databas är dessa upplysningar inte allmänna hand- lingar hos myndigheten. Det övergripande syftet med begräns- ningsregeln är att allmänheten inte ska kunna göra anspråk på att få ta del av information hos myndigheten som myndigheten själv inte kan använda av hänsyn till enskildas personliga integritet (den s.k. likställighetsprincipen). Begränsningsregeln gäller alltså även om sammanställningen kan tas fram med rutinbetonade åtgärder. En färdig elektronisk handling, som är tillgänglig för myndigheten i uppfattbar form med tekniskt hjälpmedel som myndigheten själv utnyttjar, t.ex. en PDF-fil eller ett e-postmeddelande, anses förvarad hos myndigheten trots att det kan krävas mer än rutin- betonade åtgärder för att göra handlingen tillgänglig (prop. 2001/02:70 s. 20 f.). Färdiga elektroniska handlingar omfattas inte heller av begränsningsregeln.

I 2 kap. 10 § första stycket tryckfrihetsförordningen finns en bestämmelse som innebär att en handling som förvaras hos en myn- dighet endast som led i teknisk bearbetning eller teknisk lagring för annans räkning inte anses som allmän handling hos den myndigheten. Undantaget kom till eftersom offentlighetsprincipen inte kräver att allmänheten ska ha tillgång till en upptagning hos en myndighet som endast har teknisk befattning med den. När upptagningen används av myndigheten, är det fullt tillräckligt att den finns tillgänglig hos den handläggande myndigheten (prop. 1975/76:160 s. 87).

I SOU 2013:80 s. 151–155 pekade utredningen på det osäkra rättsläget för tolkning och tillämpning av 2 kap. 10 § första stycket. Enligt utredningens bedömning är det oklart om det är möjligt att isolera vissa moment under den process en viss handling förvaras hos en myndighet och tillämpa undantaget på dessa moment men inte på andra. Exempelvis om en enskild sparar ett utkast till en ansökan eller

106

SOU 2015:33

Uppgiftslämnarservice för företagen

anmälan i myndighets it-miljö utan att den handlingen anses inkommen jämfört med att myndigheten upplåter digitala lagringsytor som en enskild kan använda hur han eller hon vill, utan att det går att lämna in handlingen till någon myndighet via den aktuella e-tjänsten. Digitala lagringsytor som har kommit att betecknas ”eget utrymme” eller ”elektroniskt förvar” aktualiserar frågor om både handlings- offentlighet och bestämmelserna om bland annat personuppgifts- ansvar enligt personuppgiftslagen samt informationssäkerhet.

E-delegationen ger i SOU 2014:39 s. 39–46 uttryck för delvis en annan syn på tillämpningsområdet för 2 kap 10 § första stycket tryckfrihetsförordningen.

Begränsningsregelns närmare innebörd

Begränsningsregeln i 2 kap. 3 § tredje stycket tryckfrihetsförord- ningen innebär att bestämmelser om skydd av personuppgifter i lag eller förordning får betydelse för hur omfattande begreppet allmän handling blir i praktiken. Enligt dataskyddsdirektivet (direktiv 95/46/EG2) och personuppgiftslagen (1998:204) får personuppgifter bara samlas in för särskilda, uttryckligt angivna och berättigade ändamål (9 § första stycket c). Enligt den s.k. finalitetsprincipen får en personuppgift inte behandlas för ett ändamål som är oförenligt med det ändamål för vilket uppgiften samlades in (9 § första stycket d). Men enligt förarbetena är en myndighets utlämnande av person- uppgifter med stöd av offentlighetsprincipen inte oförenligt med de ändamål för vilket uppgifterna ursprungligen samlades in (prop. 1997/98:44 s. 44).

Regler om s.k. ändamålsbegränsningar, dvs. bestämmelser i registerförfattningar om vilka ändamål myndigheten får behandla uppgifterna för, anses inte heller inskränka myndighetens skyldig- het enligt offentlighetsprincipen att sammanställa personuppgifter (prop. 2007/08:126 s. 120 f. och prop. 2007/08:160 s. 66 f.). Sist- nämnda ställningstagande harmonierar väl med det s.k. efterfråge- förbudet i 2 kap. 14 § tredje stycket tryckfrihetsförordningen, av vilket följer att en myndighet inte får fråga vem som begär ut och

2 Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter.

107

Uppgiftslämnarservice för företagen

SOU 2015:33

varför han eller hon begär ut en allmän handling, utöver vad som behövs för sekretessprövningen.

Men i vissa fall är förbud mot att söka fram uppgifter eller göra sammanställningar med hjälp av vissa sökord (sökbegränsningar) avgörande för vilka sammanställningar som utgör allmänna hand- lingar. Det står nämligen klart att om den myndighet som förvarar en upptagning för automatiserad behandling under inga omständigheter får göra sammanställningar av uppgifter ur upptagningen med hjälp av vissa sökord så har inte heller allmänheten rätt att ta del av en sådan sammanställning. Men vissa sökbegränsningar som tillåter sökning under särskilt angivna förutsättningar har ansetts sakna betydelse för frågan om sammanställningen utgör en allmän handling (se 3 kap. 6–7 §§ polisdatalagen [2010:361] och prop. 2009/10:85 s. 154 f., jfr prop. 2001/02:70 s. 23). Överskottsinformation kallas allmänna handlingar som en myndighet kan nå i en annan myndighets data- register men samtidigt saknar rätt att ta fram i sin egen verksamhet, eller uppgifter som den mottagande myndigheten visserligen får men ännu inte har tagit fram eller kanske aldrig kommer att behöva ta fram i sin verksamhet. Överskottsinformationen ger upphov till en mängd rättsliga och organisatoriskt-tekniska frågor vid elektroniskt informationsutbyte mellan myndigheter. Problemet analyseras av Informationshanteringsutredningen (Ju 2011:11) i delbetänkandet Överskottsinformation vid direktåtkomst (SOU 2012:90.).

Direktåtkomst eller utlämnande på medium för automatiserad behandling

Begreppen direktåtkomst och utlämnande på medium för auto- matiserad behandling förekommer inte uttryckligen i tryckfrihets- förordningen men är centrala för att beskriva elektroniskt informa- tionsutbyte mellan myndigheterna. Enligt Informationshanterings- utredningen står det klart att begreppen som används i register- författningarna inte är entydiga och att gränsdragningen mellan begreppen i många fall är oklar.3

3 Gränsdragningen mellan direktåtkomst och utlämnade på medium för automatiserad behandling är för närvarande föremål för Högsta förvaltningsdomstolens prövning. Domstolen meddelade den 21 januari 2015 prövningstillstånd i mål 1356-14 som rör frågan om socialnämnder kan anses ha direktåtkomst till socialförsäkringsdatabasen hos Försäkringskassan.

108

SOU 2015:33

Uppgiftslämnarservice för företagen

Med direktåtkomst avses vanligtvis att någon har direkt tillgång till någon annans register eller databas och på egen hand kan söka efter information utan att påverka innehållet i registret eller databasen. Om en myndighet har direktåtkomst till en databas kan begränsningsregeln som diskuterats ovan aktualiseras.

Med utlämnande på medium för automatiserad behandling avses vanligen manuellt utlämnande på CD, USB-minne eller via e-post eller annan överföring via nät samt automatiserat utlämnande efter sök- ningar och sammanställningar, s.k. batch-körningar, där svar lämnas med en viss fördröjning. Utlämnande på medium för automatiserad behandling innebär att den utlämnande myndigheten i varje enskilt fall tar ställning till om och vilka uppgifter som kan lämnas ut. En eventuell sekretessprövning kan därmed ske i samband med utlämnandet i det enskilda fallet (prop. 2011/12:45 s. 132).4

6.1.3.2Offentlighets- och sekretesslagen

Allmänt om sekretess

Rätten att ta del av allmänna handlingar är inte oinskränkt. I offentlighets- och sekretesslagen (2009:400) finns bestämmelser som inskränker enskildas rätt att ta del av allmänna handlingar, s.k. sekretess. Sekretessbestämmelserna i offentlighets- och sekretess- lagen består i regel av tre rekvisit, dvs. förutsättningar för bestäm- melsens tillämplighet. Det är sekretessens föremål, sekretessens räck- vidd och sekretessens styrka. Sekretessens föremål är den information som kan hemlighållas och anges i lagen genom ordet uppgift tillsammans med en mer eller mindre långtgående precisering av uppgiftens art, t.ex. uppgift om enskilds personliga förhållanden.

4 E-delegationen beskriver i rapporten Direktåtkomst och utlämnande på medium för automatiserad behandling – som har tagits fram av E-delegationens expertgrupp för juridiska frågor – en juridisk modell för on-lineliknande utlämnanden. Enligt rapporten är det rättsligt möjligt att skapa system för utlämnande på medium för automatiserad behandling som inte utgör direktåtkomst även utan att utlämnandet innefattar prövning av en fysisk person hos utlämnaren. Det krävs dock att den utlämnande myndigheten gör en reell prövning i det enskilda fallet. Något som uppnås om begärande och utlämnande myndigheters informationssystem och tekniska och administrativa rutiner har utformats i enlighet med de villkor som uppställs i rapporten. Det automatiserade beslutsfattandet ska t.ex. kunna utmynna i att uppgifter inte får lämnas ut från värdmyndigheten till den tänkta mottagar- myndigheten.

109

Uppgiftslämnarservice för företagen

SOU 2015:33

En sekretessbestämmelses räckvidd preciseras normalt genom att bestämmelsen anger att sekretessen för uppgifterna bara gäller i en viss typ av ärende, i en viss typ av verksamhet eller hos en viss myndighet. Några få sekretessbestämmelser gäller utan att räck- vidden är begränsad. Uppgiften kan då hemlighållas oavsett i vilket ärende, i vilken verksamhet eller hos vilken myndighet den före- kommer.

Sekretessens styrka bestäms i regel med hjälp av s.k. skade- rekvisit. Man skiljer i detta sammanhang mellan det raka och det omvända skaderekvisitet. Vid raka skaderekvisit är utgångspunkten att uppgifterna är offentliga och att sekretess bara gäller om det kan antas att en viss skada uppstår om uppgiften lämnas ut. Vid det omvända skaderekvisitet är uppgifterna sekretessbelagda och får bara lämnas ut om det står klart att uppgiften kan röjas utan skada. Sekretessen enligt en bestämmelse kan även vara absolut, dvs. de uppgifter som omfattas av bestämmelsen ska hemlighållas. Någon skadeprövning aktualiseras aldrig om sådana uppgifterna begärs ut.

Överföring av sekretess

En grundläggande princip i offentlighets- och sekretesslagen är att sekretess som huvudregel inte följer med en uppgift när den lämnas från en myndighet till en annan. Det beror bland annat på att behovet av och styrkan i en sekretess inte kan bestämmas enbart med hänsyn till sekretessintresset. Detta intresse måste i varje sammanhang vägas mot intresset av insyn i myndigheternas verk- samhet. Offentlighetsintresset kan således kräva att de uppgifter som behandlas som hemliga hos en myndighet är offentliga hos en annan myndighet som har fått dem från den första myndigheten (prop. 1979/80:2 Del A s. 75 f.).

Lagstiftaren har alltså tagit ställning mot att en allmän bestäm- melse om överföring av sekretess tas in i sekretessregleringen. Men vissa bestämmelser om överföring av sekretess med begränsade och överblickbara tillämpningsområden har införts. Vid överföring av sekretess skiljer man mellan primära och sekundära sekretess- bestämmelser (3 kap. 1 §). En primär sekretessbestämmelse är en bestämmelse om sekretess som en myndighet ska tillämpa på grund av att bestämmelsen

110

SOU 2015:33

Uppgiftslämnarservice för företagen

a)riktar sig direkt till myndigheten

b)omfattar en viss verksamhet eller en viss ärendetyp som hanteras hos myndigheten

c)omfattar vissa uppgifter som finns hos myndigheten.

Bestämmelserna i kategori c) är primära sekretessbestämmelser, vars räckvidd inte har begränsats och som därför gäller inom hela den offentliga sektorn. Exempel på sådana bestämmelser är utrikes- sekretessen (15 kap. 1 §) och minimiskyddsreglerna för enskildas personliga integritet (21 kap.).

Överföring av sekretess innebär att en primär sekretess- bestämmelse som är tillämplig på en uppgift hos en myndighet ska tillämpas på uppgiften även av en annan myndighet. Detta gäller också för en myndighet som har elektronisk tillgång till uppgiften hos den förstnämnda myndigheten (s.k. direktåtkomst).

En sekundär sekretessbestämmelse ska tillämpas på grund av en bestämmelse om överföring av sekretess. Samma sekretessbestäm- melse kan således vara en primär sekretessbestämmelse hos den utlämnande myndigheten och en sekundär sekretessbestämmelse hos den mottagande myndigheten.

Resultatet av tillämpningen, dvs. förutsättningarna för bedöm- ningen av sekretess, kan bli olika om sekretessbestämmelsen är primär eller sekundär. En primär sekretessbestämmelse kan normalt tillämpas på en uppgift oavsett om myndigheten har fått uppgiften från en annan myndighet eller från en enskild. Men en sekundär sekretessbestämmelse kan bara tillämpas på uppgifter som den mottagande myndigheten får från den utlämnande myndigheten. En sekundär sekretessbestämmelse kan alltså inte tillämpas på upp- gifter som myndigheten får direkt från enskilda (se prop. 2005/06:191 Ändring i lagen om elektronisk kommunikation, s. 30 och prop. 1997/98:9 Skydd för förföljda personer, samordnings- nummer m.m., s. 38 f. samt JO 2000/01 s. 44 och 50).

Om en sekretessreglerad uppgift lämnas från en myndighet till en annan gäller sekretess för uppgiften hos den mottagande myndigheten bara om sekretess följer antingen av en primär sekretessbestämmelse hos den mottagande myndigheten eller av en bestämmelse om överföring av sekretess. Är ingen av dessa förutsättningar uppfyllda blir uppgiften offentlig hos den mottagande myndigheten. Mot- svarande gäller om en myndighet har direktåtkomst till sekretess-

111

Uppgiftslämnarservice för företagen

SOU 2015:33

reglerade uppgifter hos en annan myndighet (7 kap. 2 §). Bestäm- melser om överföring av sekretess som innebär att sekretess enligt alla eller många sekretessbestämmelser överförs till vissa organ eller vissa verksamheter har placerats i 11 och 41–43 kap. offentlighets- och sekretesslagen. Bestämmelser om överföring av sekretess som innebär att sekretess enligt enstaka sekretessbestämmelser överförs till en mottagande myndighet har placerats i anslutning till berörda sekretessbestämmelser, se t.ex. 22 kap. 3 § samt 31 kap. 5 och 18 §§.

Huvudregeln om konkurrens mellan flera tillämpliga sekretess- bestämmelser finns i 7 kap. 3 § offentlighets- och sekretesslagen. Om flera sekretessbestämmelser gäller för en uppgift hos en myndighet och uppgiften ska lämnas ut enligt en eller flera bestämmelser sam- tidigt som den är sekretessbelagd enligt en eller flera andra bestäm- melser, ska enligt huvudregeln de senare bestämmelserna ha företräde. I ett sådant fall ska uppgiften således hemlighållas. Detta gäller oavsett om de konkurrerande bestämmelserna ska tillämpas som primära eller sekundära sekretessbestämmelser. Det finns undantag från regeln (se närmare om detta nedan), ett exempel på en överföringsbestämmelse är 11 kap. 1 §. Om en myndighet i sin tillsyn eller revision får en sekretessreglerad uppgift från en annan myndighet, blir sekretess- bestämmelsen tillämplig på uppgiften också hos den mottagande myndigheten. Men det gäller inte om uppgiften ingår i ett beslut hos den mottagande myndigheten. I 11 kap. 4 § finns en bestämmelse om överföring av sekretess som tar sikte på direktåtkomst. Av denna bestämmelse följer att om en myndighet har elektronisk tillgång till en upptagning för automatiserad behandling hos en annan myndighet och en uppgift i denna upptagning är sekretessreglerad, blir sekretess- bestämmelsen tillämplig på uppgiften även hos den mottagande myn- digheten. Detta gäller inte för uppgift som ingår i ett beslut hos den mottagande myndigheten.

Men bestämmelsen om överföring av sekretess i 11 kap. 1 och 4 §§ offentlighets- och sekretesslagen ska enligt en särskild konkurrensregel inte tillämpas om det finns en primär sekretess- bestämmelse till skydd för samma intresse som är tillämplig på uppgiften hos den mottagande myndigheten (11 kap. 8 §). I ett sådant fall är det den primära sekretessbestämmelsen som ska tillämpas och detta gäller oavsett om den primära sekretessbestäm- melsen ger ett starkare eller ett svagare skydd än den sekundära sekretessbestämmelsen. Även undantag från den primära sekretessens

112

SOU 2015:33 Uppgiftslämnarservice för företagen

tillämpningsområde har företräde framför sekundär sekretess (prop. 2008/09:150 s. 328).

Sekretessbestämmelserna i 21 kap. offentlighets- och sekretess- lagen som utgör ett minimiskydd för enskildas personliga integritet inom hela den offentliga sektorn, och som därmed är primära sekretessbestämmelser hos alla myndigheter, är undantagna från den särskilda konkurrensregelns tillämpningsområde. Vid tillämpning av 11 kap. 8 § offentlighets- och sekretesslagen ska tillämparen alltså bortse från de primära minimiskyddsbestämmelserna i 21 kapitlet. Vid konkurrens mellan sistnämnda bestämmelser och överförd sekretess har de bestämmelser enligt vilken uppgiften är sekretess- belagd företräde.

Informationshanteringsutredningen har i delbetänkandet Över- skottsinformation vid direktåtkomst (SOU 2012:90) föreslagit en justering av konkurrensregeln i 11 kap. 8 § offentlighets- och sekretesslagen för att avvärja risken att det sekretesskydd som gäller hos värdmyndigheten försvagas eller upphör hos mottagarmyndig- heten beträffande överskottsinformation vid direktåtkomst.

Informationshanteringsutredningen föreslår att en mottagar- myndighets primära sekretessbestämmelser inte längre bör ha före- träde framför den överförda sekretessen från värdmyndigheten för sådana uppgifter som en mottagarmyndighet enligt lag eller för- ordning inte får behandla. En konkurrenssituation mellan en primär sekretessbestämmelse hos en mottagarmyndighet och den överförda sekretessen för en sådan uppgift bör i stället lösas i enlighet med offentlighets- och sekretesslagens huvudregel i 7 kap. 3 § som föreskriver att den sekretessbestämmelse enligt vilken uppgiften är sekretessbelagd ska ha företräde, oavsett om det handlar om en primär eller överförd sekundärsekretess.

Eftergift av sekretess och samtycke till utlämnande

Av 12 kap. 1 § offentlighets- och sekretesslagen framgår att sekretess till skydd för en enskild normalt inte gäller i förhållande till den enskilde själv. Det finns endast tre undantag från denna huvudregel men de berör inte detta arbete.

Att den enskilde som huvudregel också har rätt att häva den sekretess som gäller till skydd för honom eller henne (eller den

113

Uppgiftslämnarservice för företagen

SOU 2015:33

juridiska personen) framgår av 12 kap. 2 §. Av förarbetena framgår att samtycke inte behöver vara uttryckligt. Också ett tyst, s.k. presumerat samtycke, får godtas. Ibland framgår av den enskildes beteende och förväntningar att han eller hon i viss utsträckning accepterar att en hemlig uppgift vidarebefordras. Likhetstecken kan inte sättas mellan ett presumerat samtycke och en bedömning att röjande av en uppgift inte kan vara annat än till nytta för den berörde (prop. 1979/80:2 Del A s. 330).

Utredningens utgångspunkter

En av utredningens utgångspunkter är att den offentliga förvalt- ningens etablerade struktur för uppgiftslämnandet i huvudsak ska behållas. Den funktion för företagare som nu realiseras på verksamt.se och den sammansatta bastjänst som byggs har det övergripande syftet att underlätta uppgiftslämnandet till de statliga myndigheterna genom i första hand en bättre överblick över uppgiftskraven samt samordning av grundläggande uppgifter. Avsikten med tjänsterna är alltså att uppfylla utredningens mål att uppgifter som lämnas från företagen till statliga myndigheter som regel endast ska behöva lämnas en gång och till ett ställe. Funktioner på verksamt.se och Sammansatta bastjänsten kommer att samarbeta med myndigheter och deras e-tjänster, men den tekniska integrationen tjänsterna emellan kommer inte att vara särskilt djup. Tjänsterna kommer vidare endast användas vid den inledande myndighetskontakten. Om ett ärende behöver kompletteras i ett senare skede av handläggningen sker det utan tjänsternas medverkan.

Utredningens ursprungliga förslag att använda det allmänna företagsregistret som källa för grundläggande uppgifter om företagen motiverades av en önskan att undvika de tekniska och juridiska problem som en sammansatt bastjänst riskerade att föra med sig (SOU 2013:80 s. 97). Inom ramen för genomförandet och den projektorganisation som etablerats har det dock inte kommit några signaler om att den information om företagen som ska förmedlas genom Sammansatta bastjänsten väcker några olösliga sekretess- problem. Detta kan delvis förklaras med att den så kallade operativa styrgruppen gemensamt kom fram till att de grundläggande uppgifterna om företagen inte ska hämtas från datakällor där

114

SOU 2015:33

Uppgiftslämnarservice för företagen

sekretess eller andra regler som hindrar direktåtkomst försvårar ett utlämnande (se även kriterier för bästa källa i avsnitt 6.1.1).

Ytterligare en del i detta är att myndigheterna delvis har ambitionen att lämna ut handlingarna på medium för automatiserad behandling, dvs. det kommer att fattas ett beslut huruvida upp- gifterna kan lämnas ut i varje enskilt fall.

En för utredningen given utgångspunkt är att användarnas myndighetskontakter inte i större utsträckning än i dag bör kunna kartläggas genom den infrastruktur som nu realiseras. Men efter- som Uppgiftslämnarservice ska fungera som en dörr in till den statliga förvaltningen är det viktigt med företagens förtroende. Om företagen upplever att de på ett negativt sätt kartläggs när de använder tjänsterna riskerar användandet att avta och därmed minskar de positiva effekterna.

Men en stor del av den information som kommer att finnas i infrastrukturen är sådan att det inte är aktuellt att överväga att begränsa rätten att ta del av den. Grundläggande uppgifter om företagen kommer exempelvis inledningsvis att hämtas från källor som inte omfattas av sekretess och den sammanställning som skapas i Sammansatta bastjänsten kan inte betraktas som särskilt känslig för företagen.

Betänkandet (SOU 2013:80)

I betänkandet SOU 2013:80 beskrev utredningen tre situationer där det behövs sekretess för att skydda enskildas personliga och ekonomiska förhållanden:

1.Inställningar och anpassningar som enskilda gjort i Service- tjänstens funktion,

2.enskildas besök hos anslutna myndigheter, och

3.till Servicetjänsten anslutna myndigheters meddelanden om att ett företag är skyldigt att lämna vissa uppgifter till en myndighet eller att företaget fullgjort en sådan skyldighet.

Utredningen bedömde i sitt tidigare betänkande (SOU 2013:80) att det var svårt att ta ställning till frågan om sekretess innan det fanns en slutlig teknisk lösning för Servicetjänsten och en första

115

Uppgiftslämnarservice för företagen

SOU 2015:33

kartläggning av vilka uppgiftskrav som skulle inkluderas i den så kallade ”Att göra”-listan var färdig. Vi lämnande därför inte några förslag om sekretess och bedömde att behovet bör analyseras inom ramen för det fortsatta arbetet med att genomföra våra förslag. I tilläggsdirektiven (dir. 2013:111) nämns särskilt att utredningen ska analysera och redovisa de sekretessfrågor som förslagen väcker.

Från Servicetjänst till Uppgiftslämnarservice - viktiga förändringar

Genom de förändringar som våra förslag genomgått och den form förslagen slutligen realiserats i har naturligtvis även förutsättningarna för de tre situationer som beskrevs i betänkandet förändrats även om de grundläggande tankarna bakom förslaget i allt väsentligt består.

Första punkten

I betänkandet (SOU 2013:80) beskrev utredningen hur användaren skulle kunna anpassa Servicetjänsten. Det skulle t.ex. vara möjligt att i tjänsten avvika från registrerad SNI-kod och se uppgiftskrav kopplade till en annan SNI-kod. Något som kan indikera att företaget har för avsikt att ändra verksamhetsinriktning eller redan driver verksamhet som egentligen hör till annat verksamhetsområde än det registrerade. Vi diskuterade om detta kunde vara känsligt för företagen.

I det system som nu realiseras finns inte någon möjlighet att anpassa slutanvändarfunktionaliteten på verksamt.se efter egna önskemål. I Mina sidor på verksamt.se är det bara möjligt att se uppgiftskrav som svarar mot företagets SNI-kod. Den farhåga som uttrycktes i betänkandet motsvaras således inte av någon funktion i den tjänst som nu realiseras. Om en användare vill se uppgiftskrav kopplade till en annan SNI-kod än den registrerade får han eller hon göra det på en allmänt tillgänglig webbtjänst.

Andra punkten

I den andra punkten beskrev utredningen hur det i Servicetjänsten kan uppkomma sammanställningar som kan ge en tydlig bild av vilka myndigheter användaren besökt. I Servicetjänsten uppkom

116

SOU 2015:33

Uppgiftslämnarservice för företagen

sådana sammanställningar främst genom de loggar som genererades när användaren länkades vidare till myndigheternas e-tjänster och att det till e-tjänsterna levererades efterfrågad grundläggande information om företaget.

Genom att Servicetjänsten numera är uppdelad i Uppgiftskravs- tjänsten, Slutanvändarfunktionalitet på verksamt.se och Samman- satta bastjänsten som är tekniskt och organisatoriskt åtskilda uppkommer inte problem i samma utsträckning.

När det gäller möjligheten att följa ett företags väg genom Mina sidor i verksamt.se till anslutna myndigheters e-tjänster finns det i kravspecifikationen (bilaga 6) inga krav på att det ska ske loggning på ett sätt som gör det möjligt att se vilka myndigheter användaren går vidare till från verksamt.se. Först om användandet av länkarna loggas på en mer detaljerad nivå uppkommer en risk för att före- tagens kontakter med myndigheter ska gå att kartlägga. I krav- specifikationen finns inget krav på att loggning ska ske så detaljerat att det går att skapa sådana sammanställningar.

För Sammansatta bastjänsten saknas den tekniska och juridiska kopplingen mellan användarens besök på Mina sidor och myndig- heternas hämtning av grundläggande uppgifter från tjänsten som fanns inbyggt i Servicetjänsten. Men det kan inte uteslutas att det går att få en bild av företagets uppgiftslämnande när myndigheter hämtar uppgifter från Sammansatta bastjänsten. Detta diskuteras mer nedan.

Tredje punkten

I betänkandet (SOU 2013:80) beskrevs hur anslutna myndigheter kommer skicka meddelanden (aviseringar) till Servicetjänsten. Aviseringarna innehåller information om att ett företag är skyldigt att lämna vissa uppgifter till en myndighet eller att företaget full- gjort en sådan skyldighet. Servicetjänsten skulle sedan använda aviseringarna för att skapa en särskild vy som kallades ”Att göra”- listan. Även om det inte fanns något färdigt tekniskt förslag hur detta skulle utformas fanns vissa tankar om att dessa meddelanden skulle lagras i ett centralt register i Servicetjänsten. Ett sådant register skulle ge en i det närmaste heltäckande bild över vilka upp-

117

Uppgiftslämnarservice för företagen

SOU 2015:33

giftskrav som ett företag ska fullgöra samt om företaget fullgjort dessa.

Den ansats som numera valts innebär dock att aviseringarna inte kommer att skickas till Servicetjänsten eller motsvarande. Meddelandena kommer inte heller att lagras på någon central plats som skissades i betänkandet. Aviseringar kommer i stället ställas direkt till företaget från myndigheten i Mina meddelanden. Aviseringen går alltså som ett vanligt meddelande mellan myndighet och företag. Använder företaget Min myndighetspost som brevlåde- operatör kommer aviseringen visas i en särskild funktionalitet. Det behövs därmed ingen sekretess.

Uppgiftslämnarservice för företagen

Trots att de situationer som vårt tidigare betänkande beskrev inte längre föreligger måste vi överväga om det i den lösning som nu realiseras uppkommer situationer som kräver att man tar ställning till om det finns uppgifter om företagens affärs- eller driftsför- hållanden som bör omfattas av sekretess. För aviseringsfunktionen som numera realiseras som en funktionalitet inom ramen för Mina meddelanden har utredningen inte gjort någon egen bedömning. Vi har utgått från att de eventuellt mindre tillkommande juridiska frågor som aviseringsfunktionen aktualiserar tas om hand i enlighet med de rättsliga bedömningar som tidigare gjorts inom ramen för Mina meddelanden.

6.1.3.3Personuppgiftslagen och registerförfattningarna

För att skydda människor mot att deras personliga integritet kränks är helt eller delvis automatiserad och annan strukturerad behandling av personuppgifter som huvudregel inte tillåten (1 och 5 §§ personuppgiftslagen (1998:204)). Skyddet för den personliga integriteten är även reglerat i (2 kap. 6 § andra stycket regerings- formen) där det framgår att var och en gentemot det allmänna är skyddad mot betydande intrång i den personliga integriteten om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden.

För att automatiserat och strukturerat få behandla person- uppgifter krävs författningsstöd. Bestämmelser om tillåten person-

118

SOU 2015:33

Uppgiftslämnarservice för företagen

uppgiftsbehandling finns i personuppgiftslagen och i särskilda registerförfattningar.

Registerförfattningarnas huvudsakliga syfte är att reglera inrättandet och användningen av viktiga register inom den offentliga sektorn. Den bakomliggande tanken är att myndighetsregister med ett stort antal registrerade och med ett känsligt innehåll ska regleras särskilt genom lag. Mot bakgrund av att personuppgiftslagen är subsidiär, dvs. inte ska tillämpas om det finns avvikande bestämmelse i annan lag eller förordning, är registerförfattningarna tänkta att ge ett anpassat integritetsskydd vid myndighetens hantering av person- uppgifter när det finns behov av att avvika från eller komplettera det integritetsskydd som personuppgiftslagen ger (SOU 2010:04 s. 132 och 367).

Utredningens rättsliga överväganden i betänkandet Ett minskat och förenklat uppgiftslämnande för företagen (SOU 2013:80)

Utredningen konstaterade i sitt tidigare betänkande att den då föreslagna Företagsdatamyndigheten skulle behandla personupp- gifter. Med utgångspunkt i att den så kallade Servicetjänsten skulle hantera och innehålla personuppgifter gjorde utredningen ett antal rättsliga överväganden, bland annat om ett uttryckligt personupp- giftsansvar, behovet av en särskild ändamålsreglering och reglering för att få behandla personuppgifter i den utsträckning som behövdes. Utredningen konstaterade också att det inte fanns behov av att behandla känsliga personuppgifter.

Realiseringen av utredningens förslag i verksamt.se – förändrade förutsättningar

Med anledning av att Uppgiftslämnarutredningens föreslagna servicetjänst ska förverkligas i verksamt.se har vi, med utgångs- punkt i de tidigare bedömningarna, behövt ta ställning till behand- lingen av personuppgifter i det nya sammanhanget.

Utredningens förslag utgick från att det skulle inrättas en särskild myndighet med ansvar för en separat tjänst till stöd för företagens uppgiftslämnande, den så kallade Servicetjänsten. Den särskilda myndigheten skulle ensam vara personuppgiftsansvarig

119

Uppgiftslämnarservice för företagen

SOU 2015:33

för tjänsten. Det blir nu ingen särskild myndighet eller separat tjänst och utredningens tidigare bedömningar har modifierats.

Ytterligare en förändring är att de så kallade grundläggande upp- gifterna (exempelvis person- och organisationsnummer, adresser, namn på företrädare etc.) inte ska hämtas från ett centralt offentligt register,5 utan från olika datakällor (statliga myndigheters register och databaser).

Vidare ska de grundläggande uppgifterna inhämtas, samman- ställas och levereras med hjälp av en så kallad sammansatt bastjänst. Detta aktualiserar frågor kring när, var och för vem personupp- giftsansvar uppstår i de olika uppgiftsflödena. Hur uppgifter görs tillgängliga och flödar i en sammansatt bastjänst blir också föremål för en bedömning med anledning av regler för exempelvis direkt- åtkomst (se avsnitt 6.1.3.1). Datainspektionen har i olika samman- hang framhållit vikten av att beakta integritetsaspekterna för att upprätthålla skyddet för den personliga integriteten när person- uppgifter blir tillgängliga genom direktåtkomst.

Utredningens föreslagna system innehåller även en aviserings- funktion där ett företag bland annat ska kunna se sina aktuella uppgiftskrav och aviseras när ett sådant har fullgjorts. Funktionen ska använda funktionalitet från befordringstjänsten Mina meddelanden och ska vara en separat tjänst utanför verksamt.se. Det innebär att ansvaret för aviseringsfunktionens behandling av personuppgifter ligger utanför utredningens uppdrag och i stället kommer att hanteras hos Skatteverket inom ramen för tjänsterna Mina meddelanden, Min ärendeöversikt och Min myndighetspost (se avsnitt 6.5.6).

De förändrade förutsättningarna har däremot inte föranlett ett annat förhållningssätt vid tolkningen av persondataskyddsbestäm- melserna. Utredningen har i sitt arbete med att realisera Uppgifts- lämnarservice, ett arbete i digital miljö med inslag av e-förvaltning, tillämpat personuppgiftslagens bestämmelser utifrån en traditionell tillämpning av lagens definitioner såsom personuppgifter, person- uppgiftsansvar och personuppgiftsbiträde. Utredningens rättsliga bedömningar har fortsatt utgått från vårt uppdrag att möjliggöra informationsutbyte mellan myndigheter för att minska och förenkla uppgiftslämnandet för företagen till statliga myndigheter.

5 Det allmänna företagsregistret (även kallat BASUN) som enligt 1 § förordningen (1984:692) om det allmänna företagsregistret ska föras av Statistiska centralbyrån.

120

SOU 2015:33

Uppgiftslämnarservice för företagen

Behandling av personuppgifter i Uppgiftslämnarservice för företagen

Uppgiftslämnarservice för företagen – systemet för ett minskat och förenklat uppgiftslämnande – kommer att innehålla personupp- gifter. I alla delar av systemet där personuppgifter behandlas är det viktigt att se till att sådan behandling är tillåten. Många myndig- heter har registerförfattningar som särskilt reglerar behandlingen av personuppgifter i sina respektive uppgiftssamlingar (register och databaser). Personuppgiftsbehandling särregleras i betydande omfattning hos myndigheter med stora uppgiftssamlingar. Det är därför viktigt att identifiera relevanta registerförfattningar för att se om det finns hinder och begränsningar i utvecklingen av Uppgifts- lämnarservice.

För att automatiserat och strukturerat få behandla person- uppgifter krävs, som tidigare framhållits, författningsstöd. Förut- sättningar för en tillåten personuppgiftsbehandling är bland annat att de grundläggande kraven är uppfyllda samt att behandling av personuppgifter är tillåten i övrigt.

De grundläggande kraven framgår av 9 § personuppgiftslagen. Bestämmelsens första stycke listar de grundläggande kraven enligt följande.

Den personuppgiftsansvarige ska se till att

a)personuppgifter behandlas bara om det är lagligt,

b)personuppgifter alltid behandlas på ett korrekt sätt och i enlighet med god sed,

c)personuppgifter samlas in bara för särskilda, uttryckligt angivna och berättigade ändamål,

d)personuppgifter inte behandlas för något ändamål som är oförenligt med det för vilket uppgifterna samlades in,

e)de personuppgifter som behandlas är adekvata och relevanta i förhållande till ändamålen med behandlingen,

f)inte fler personuppgifter behandlas än som är nödvändigt med hänsyn till ändamålen med behandlingen,

g)de personuppgifter som behandlas är riktiga och, om det är nödvändigt, aktuella,

h)alla rimliga åtgärder vidtas för att rätta, blockera eller utplåna sådana personuppgifter som är felaktiga eller ofullständiga med hänsyn till ändamålen med behandlingen, och

121

Uppgiftslämnarservice för företagen

SOU 2015:33

i)personuppgifter inte bevaras under en längre tid än vad som är nödvändigt med hänsyn till ändamålen med behandlingen.

Förutom lagligheten är kravet på tydliga och avgränsade ändamål centralt. I bestämmelsen framgår att personuppgifter endast får samlas in för särskilda, uttryckligt angivna och berättigade ändamål och får sedan inte behandlas för något ändamål som är oförenligt med det för vilket uppgifterna samlades in. Det sistnämnda brukar beskrivas som den så kallade finalitetsprincipen. Även kraven på att inte fler uppgifter än nödvändigt får behandlas samt att uppgifter endast får bevaras så länge som det är nödvändigt för att uppfylla ändamålet med behandlingen är viktiga i det aktuella samman- hanget.

Det skulle kunna finnas behov av att tydliggöra ändamålen med personuppgiftsbehandlingen inom ramen för Uppgiftslämnar- service. Syftet skulle vara att säkerställa de grundläggande kraven, bland annat utifrån finalitetsprincipen för att bedöma att endast för ändamålet relevanta uppgifter behandlas samt att personuppgifter inte bevaras längre än vad som är nödvändigt med hänsyn till ändamålet med behandlingen.

För en tillåten behandling av personuppgifter krävs inte bara att de grundläggande kraven är uppfyllda. Av lagen framgår även när det är tillåtet att behandla personuppgifter (10–12 §§ ). I 10 § personuppgiftslagen framgår att behandling av personuppgifter är tillåten när den registrerade har samtyckt till sådan behandling eller om det är nödvändigt för att

a)ett avtal med den registrerade ska kunna fullgöras eller åtgärder som den registrerade begärt ska kunna vidtas innan ett avtal träffas,

b)den personuppgiftsansvarige ska kunna fullgöra en rättslig skyldighet,

c)vitala intressen för den registrerade ska kunna skyddas,

d)en arbetsuppgift av allmänt intresse ska kunna utföras,

e)den personuppgiftsansvarige eller en tredje man till vilken personuppgifter lämnas ut ska kunna utföra en arbetsuppgift i samband med myndighetsutövning, eller

122

SOU 2015:33

Uppgiftslämnarservice för företagen

f)ett ändamål som rör ett berättigat intresse hos den person- uppgiftsansvarige eller hos en sådan tredje man till vilken personuppgifterna lämnas ut ska kunna tillgodoses, om detta intresse väger tyngre än den registrerades intresse av skydd mot kränkning av den personliga integriteten.

Om behandling av personuppgifter är särskilt reglerad i annan lag eller förordning har sådana bestämmelser företräde framför bestämmelserna i personuppgiftslagen. Många registerförfattningar omfattar inte samtliga bestämmelser som enligt personuppgifts- lagen utgör krav för tillåten behandling av personuppgifter. Det är därför viktigt att beakta att övriga bestämmelser i personuppgifts- lagen gäller för de krav som inte är särskilt reglerade i annan lag eller förordning (2 § personuppgiftslagen).

Det innebär att man måste beakta personuppgiftslagens syfte och definitioner samt bestämmelser om bland annat förbud mot behandling av känsliga personuppgifter, särskilda regler för behandling av uppgifter om lagöverträdelser m.m. och personnummer, krav på information till den registrerade, säkerhet vid behandling och över- föring av personuppgifter till tredje land, rätten till rättelse, skadestånd och straff. Det är brukligt att den så kallade registerutdragsrätten (26 §) och rätten till rättelse (28 §) framgår även i en register- författning för att framhålla och tydliggöra den registrerades rättig- heter (upplysningsbestämmelser). För att personuppgiftslagens sanktionsbestämmelser om skadestånd (48 §) och straff (49 §) ska gälla i en registerförfattning måste dessa bestämmelser föreskrivas särskilt6 eftersom bestämmelserna är utformade så att de endast avser brott mot personuppgiftslagen.

Personuppgiftsansvaret

Personuppgiftsansvarig är ett centralt begrepp vid bedömningar av tillåten personuppgiftsbehandling. I Uppgiftslämnarservice kommer personuppgifter att flöda genom en it-infrastruktur som omfattar flera aktörer. Frågan om vem som är personuppgiftsansvarig och i vilka

6 Exempel från 23 § lagen (2001:99) om den officiella statistiken: ”Om personuppgifter behandlas i strid med denna lag eller föreskrifter som meddelats med stöd av lagen tillämpas bestämmelserna om rättelse och skadestånd i personuppgiftslagen (1998:204).”

123

Uppgiftslämnarservice för företagen

SOU 2015:33

situationer personuppgiftsansvaret aktualiseras är därför en viktig utgångspunkt i bedömningen av vad som krävs för att behandlingen av personuppgifter ska vara tillåten både utifrån personuppgiftslagen och relevanta registerförfattningar.

Olika myndigheter kommer utifrån personuppgiftslagens definition att vara personuppgiftsansvariga för behandlingen av personuppgifter inom ramen för Uppgiftslämnarservice. I komplexa system med många aktörer kan det finnas anledning att särreglera personuppgiftsansvaret för att tydliggöra bedömningen av ansvars- frågan. Om flera aktörer agerar tillsammans måste var och en ha rätt till den sammanlagda behandlingen om den sker gemensamt. Annars måste man skilja ansvaret mellan de olika aktörerna. Uppgiftslämnar- service kommer på sikt att omfatta många aktörer och det kan finnas anledning att se över behovet av att särskilt reglera vem som ansvarar för behandlingen av personuppgifter i systemets olika delar. Det kan även vara motiverat att överväga om personuppgiftsansvaret ska regleras särskilt, främst för Uppgiftskravsregistret, Sammansatta bas- tjänsten och Slutanvändarfunktionaliteter.

Utöver att identifiera personuppgiftsansvaret behöver eventuella biträdessituationer bedömas och beaktas. Det är även nödvändigt att säkerställa att kraven på informationssäkerhet kommer att uppfyllas.

Personuppgiftsbiträde

Förutsättningarna när den personuppgiftsansvarige väljer att anlita en extern utförare för uppdrag som omfattar behandling av person- uppgifter framgår främst i 30–31 §§ personuppgiftslagen. I 30 § andra stycket framgår bland annat att personuppgiftsbiträdet endast får behandla personuppgifter utifrån instruktioner från den personuppgiftsansvarige och att sådana instruktioner ska framgå i ett skriftligt avtal. Bestämmelsen tydliggör även att personuppgifts- behandlingen sker för den personuppgiftsansvariges räkning, vilket innebär att personuppgiftsansvaret aldrig övergår till personupp- giftsbiträdet för den aktuella behandlingen. Det innebär också att ett personuppgiftsbiträde aldrig kan behandla fler uppgifter eller behandla uppgifterna på annat sätt än den personuppgiftsansvarige. Personuppgiftsbiträdet måste kunna uppfylla de säkerhetsåtgärder

124

SOU 2015:33

Uppgiftslämnarservice för företagen

som föreskrivs i 31 § första stycket och enligt tredje stycket fram- går att det åligger den personuppgiftsansvarige att förvissa sig om att personuppgiftsbiträdet kan genomföra nödvändiga säkerhets- åtgärder och dessutom se till att personuppgiftsbiträdet faktiskt vidtar åtgärderna.

Inom ramen för Uppgiftslämnarservice kommer det troligen att uppstå situationer där den personuppgiftsansvarige väljer att ge någon annan i uppdrag att behandla personuppgifterna eller att person- uppgifter behandlas på sådant sätt att en biträdessituation aktualiseras. Vi bedömer att gällande regler för biträdessituationer är tillräckliga och ska tillämpas av respektive personuppgiftsansvarig vid behov.

Informationssäkerhet

I 31 § personuppgiftslagen finns bestämmelser med krav på säker- hetsåtgärder vid behandling av personuppgifter. Enligt bestäm- melsen ska den personuppgiftsansvarige vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas. Åtgärderna ska åstadkomma en säkerhetsnivå som är lämplig med beaktande av

a)de tekniska möjligheter som finns,

b)vad det skulle kosta att genomföra åtgärderna,

c)de särskilda risker som finns med behandlingen av person- uppgifterna, och

d)hur pass känsliga de behandlade personuppgifterna är.

Det bör framhållas att kraven på säkerhetsåtgärder vid behandling av personuppgifter ställer höga krav på personuppgiftsansvariga och därmed också på personuppgiftsbiträden. Informationssäkerhets- kraven beskrivs närmare i avsnittet om informationssäkerhet (se avsnitt 6.1.3.6.) samt i avsnitten om behandling av personuppgifter i de olika delarna av Uppgiftslämnarservice (se avsnitten 6.2.6, 6.3.9 och 6.4.4). Personuppgiftslagens bestämmelser om krav på säkerhets- åtgärder bedöms vara tillräckliga för att skydda de personuppgifter som behandlas inom ramen för Uppgiftslämnarservice.

125

Uppgiftslämnarservice för företagen

SOU 2015:33

6.1.3.4Arkivlagen

I arkivlagen (1990:782) finns bestämmelser om myndigheternas arkiv. Lagen kompletteras av en arkivförordning (1991:446) som i betydande utsträckning ger Riksarkivet rätt att meddela före- skrifter för statliga myndigheters arkiv (RA-FS7 och RA-MS8). En myndighets arkiv bildas av de allmänna handlingarna från myndig- hetens verksamhet och sådana handlingar som avses i 2 kap. 9 § tryckfrihetsförordningen och som myndigheter beslutar ska tas om hand för arkivering. Förutom skyldigheten att organisera arkivet för att underlätta rätten att ta del av allmänna handlingar innebär den så kallade arkivvården att en myndighet ska avgränsa arkivet genom att fastställa vilka handlingar som ska vara arkivhandlingar och genomföra gallring.

Gallring innebär att allmänna handlingar sorteras ut och förstörs. Definitionen har utvidgats och definierats särskilt i förhållande till handlingar i digitala miljöer. Begreppet rensning avser att avskilja handlingar som inte är allmänna och som inte ska arkiveras. Båda begreppen definieras i Riksarkivets föreskrifter om arkiv hos statliga myndigheter (RA-FS 1991:1). Enligt 14 § arkivförordningen får statliga myndigheter gallra allmänna handlingar endast i enlighet med föreskrifter eller beslut av Riksarkivet om inte särskilda gallringsföre- skrifter finns i lag eller förordning. Allmänna handlingar ska enligt Riksarkivets föreskrifter gallras om de är av tillfällig eller ringa betydelse (7 § RA-FS 1997:6). Gallring får endast ske under förutsätt- ning att allmänhetens rätt till insyn inte åsidosätts och att handling- arna bedöms sakna värde för rättsskipning, förvaltning och forskning.

Arkivering och gallring ska i enlighet med gällande rätt tas om hand av den myndighet där allmänna handlingar uppstår. Bestäm- melser om arkivering och gallring finns företrädesvis i offentlighets- och sekretesslagen (2009:400), arkivlagen (1990:782), arkivförord- ningen (1991:446) och i Riksarkivets föreskrifter och allmänna råd. Författningarna omfattar bestämmelser om hur handlingar ska framställas, organiseras, redovisas, gallras, förvaras, skyddas och överlämnas. Bestämmelser om bevarande finns i personuppgiftslagen (1998:204) och om gallring även i så kallade registerförfattningar.

7Riksarkivets generella föreskrifter och allmänna råd.

8Riksarkivets myndighetsspecifika föreskrifter om gallring och annan arkivhantering.

126

SOU 2015:33

Uppgiftslämnarservice för företagen

Riksarkivet har vid samråd9 betonat vikten av att ta hand om bevarandefrågor på ett tidigt stadium i projekt och processer, exempelvis att klassificera data samt identifiera och hantera behov av åtgärder för att kunna gallra och rensa.

Ett över hundra år gammalt sätt att redovisa arkiv håller på att ersättas av ett nytt. Riksarkivets föreskrifter för en verksamhets- baserad arkivredovisning (RA-FS 2008:4) trädde i kraft den 1 januari 2009 och innebär att statliga myndigheters handlingar ska klassificeras och förtecknas efter processerna i myndigheternas egna verksamheter. Bestämmelser och detaljer kring verksamhetsbaserad arkivredovisning behandlas inte i betänkandet, men ska beaktas och hanteras av de aktörer som omfattas av bestämmelserna för de allmänna handlingar som uppkommer inom ramen för Uppgiftslämnarservice. Det kan i sammanhanget även nämnas att Statens servicecenter i augusti 2014 fick ett regeringsuppdrag att tillsammans med bland annat Riksarkivet utveckla och använda en förvaltningsgemensam tjänst för e-arkiv (dnr N2014/3415/ITP, N2014/2701/ITP). Regeringen har utsett sju pilotmyndigheter10 som kommer att vara delaktiga i kravställningen av den nya tjänsten. Uppdraget har delredovisats den 26 februari 2015. Efter beslut fattas om Statens servicecenter kan inleda upphandling av en systemlösning.

Åttonde paragrafen andra stycket personuppgiftslagen reglerar lagens förhållande till myndigheters arkivering. Av bestämmelsen framgår att en myndighet utan hinder av lagen får arkivera och bevara allmänna handlingar. Detsamma gäller en arkivmyndighet som ska kunna ta hand om arkivmaterial. Första meningen omfattar bara sådana bestämmelser i personuppgiftslagen som hindrar myndigheter och arkivmyndigheter att arkivera och bevara allmänna handlingar respektive omhänderta arkivmaterial. Andra bestämmelser i person- uppgiftslagen ska tillämpas vid arkivering och omhändertagande av arkivmaterial.

Vi behandlar arkivering och gallring närmare i avsnitten om Sammansatta bastjänsten (se avsnitt 6.2.8), Uppgiftskravstjänsten (se avsnitt 6.3.11) och Slutanvändarfunktionaliteter i verksamt.se (se avsnitt 6.4.6).

9Samrådsmöten med Riksarkivet den 22 april 2014 och den 2 februari 2015.

10Bolagsverket, Energimyndigheten, Fortifikationsverket, Länsstyrelsen i Stockholms län, Länsstyrelsen i Västernorrlands län, Post- och telestyrelsen och Statens fastighetsverk.

127

Uppgiftslämnarservice för företagen

SOU 2015:33

6.1.3.5Förvaltningslagen

När i handläggningsprocessen krävs de grundläggande uppgifterna från företaget

I förvaltningslagen (1986:223) finns grundläggande bestämmelser för hur myndigheter ska sköta sina kontakter med varandra liksom gentemot allmänheten samt hur ärenden ska hanteras. Vissa regler i förvaltningslagen gäller all verksamhet hos myndigheten, alltså inte bara handläggning av ärenden utan även det som brukar beskrivas som faktiskt handlande, exempelvis att dirigera trafik, släcka bränder och kontrollera biljetter. I lagen anges inte närmare hur gränsen mellan ärendehandläggning och faktiskt handlande ska dras men man kan få ledning från olika specialförfattningar. Vi konstaterar att när ett uppgiftslämnande följer av lag, förordning eller annan föreskrift är det i majoriteten av fallen fråga om ärende- handläggning hos myndigheterna.

Handläggningen kan delas in i tre faser:

ärendets väckande,

ärendets beredning, och

beslut.

Ett ärende kan väckas genom en ansökan, anmälan eller annat initiativ från en enskild, s.k. privat anhängiggörande. Ärenden kan även väckas genom att en myndighet gör en ansökan hos en annan myndighet eller att myndigheten självmant tar upp en fråga (ex officio). I detta sammanhang är det dock den förstnämnda situationen som avses.

När ett företag har anhängiggjort ett ärende måste myndigheten skilja sig från ärendet genom någon form av beslut.

Med ärendets beredning avses den fas då myndigheten hand- lägger ärendet genom att exempelvis tillföra ärendet egna uppgifter, kommunicera dessa eller remittera ärendet. Myndigheten färdig- ställer ärendet så att det finns ett tillräckligt underlag för det kommande beslutet.

I de flesta uppgiftskrav strävar myndigheterna efter att direkt få in en så komplett ansökan som möjligt eftersom det underlättar den fortsatta handläggningen om myndigheten kan undvika att

128

SOU 2015:33

Uppgiftslämnarservice för företagen

behöva kontakta företaget med krav på kompletteringar. Myndig- heterna har i regel blanketter och e-tjänster som en service till den som fullgör uppgiftskravet och för att underlätta och snabba på den egna handläggningen.

Ett ärende kan avslutas på flera sätt. Myndigheten kan sakpröva ärendet varvid beslutet kan utmynna i bifall eller avslag (materiell prövning). Ansökan kan resultera i avvisning p.g.a. att framställ- ningen gjorts till fel myndighet eller att ärendet aktualiserats vid fel tidpunkt. Utan att förlora sin karaktär av beslut kan uttalandet som avslutar ärendet vara formlöst eller formbundet, internt eller externt, individuellt eller generellt, betungande eller gynnande, slutligt eller interimistiskt. Det kan innefatta ett avgörande i sak eller vara av processuell natur. Det kan anvisa ett direkt handlings- mönster eller fungera indirekt genom att ligga till grund för andra beslut, som anger ett konkret handlande.

Uppgiftslämnandets form

Förvaltningslagen anger inga närmare krav på hur ett uppgifts- lämnande ska gå till. Lagen saknar t.ex. helt bestämmelser om vilka uppgifter som en ansökan ska innehålla, på vilket sätt den får göras eller vad den ska innehålla i sak.

Ofta finns det bestämmelser om hur ett ärende väcks eller en uppgiftsskyldighet ska fullgöras i specialförfattningar. Dessa kan ställa vitt skilda krav på hur uppgiftslämnandet ska gå till, t.ex. på en särskild blankett som ska undertecknas. I vissa fall ställs det även uttryckliga formkrav på att uppgiftslämnande ska ske genom e-tjänster. Saknas det regler i specialförfattningar får förvaltnings- lagens generella reglering fyllas ut genom praxis och analogier från annan lagstiftning, främst förvaltningsprocesslagen (1971:291).

När ett uppgiftskrav fullgörs är det naturligt att kräva att näringsidkaren eller dess företrädare anger vem som lämnat upp- giften och hur myndigheten kan nå denna. Av uppgiftslämnandet behöver framgå vad framställningen gäller och vad företaget vill att myndigheten ska göra med uppgiften. Om det är fråga om en ansökan bör även framgå de omständigheter som ligger till grund för företagets begäran.

129

Uppgiftslämnarservice för företagen

SOU 2015:33

Förvaltningslagen kan mot denna bakgrund sägas ställa som krav att dessa tre typer av uppgifter lämnas i ett ärende.

Uppgifter för identifikation,

kontaktuppgifter, och

ärendespecifika uppgifter.

Vad för slags konkreta uppgifter eller kombinationer av uppgifter som är att betrakta som tillräckliga uppgifter för identifikation kan naturligtvis variera. I detta sammanhang finns anledning att peka på att det finns ett antal olika uppgifter som är unika för företagen. Organisationsnummer eller personnummer anger entydigt vilket företag som myndigheten har att göra med. Även ett registrerat firmanamn är ofta i sitt sammanhang unikt. Om företaget anger någon av dessa uppgifter är detta tillräckligt för att identifiera företaget i fråga. Därutöver kan tänkas en uppsjö av olika kombinationer av uppgifter som eventuellt är tillräckliga för att identifiera företaget beroende på vilka uppgifter som lämnas. Kontaktuppgifter är de uppgifter som krävs för att myndigheten ska kunna kontakta företaget. Det kan vara fråga om postadress, telefonnummer, e-postadress osv.

Ärendespecifika uppgifter är uppgifter som krävs för att ett företag ska ansetts ha fullgjort en specifik uppgiftsskyldighet. Vad som är ärendespecifika uppgifter styrs inte av förvaltningslagen utan framgår mer eller mindre tydligt av respektive specialförfatt- ning(ar) eller praxis. Att en uppgift är ärendespecifik utesluter inte att den kan avkrävas ett företag vid flera olika uppgiftsinlämningar av en och samma myndighet eller av flera olika myndigheter.

Det faktum att myndigheterna har blanketter och e-tjänster kopplade till nästan alla uppgiftskrav medför också att ovanstående uppdelning för den enskilda uppgiftslämnaren vid ett uppgifts- lämnande inte framstår som meningsfull. Lämnas uppgifter på en blankett eller i en e-tjänst antas att användaren troget fyller i alla uppgifter, även adressfält, telefonnummer och andra efterfrågade kontaktuppgifter utan att reflektera om myndigheten verkligen behöver uppgifterna för sin handläggning.

130

SOU 2015:33

Uppgiftslämnarservice för företagen

6.1.3.6Informationssäkerhet

För att skydda värdefull information i samhället finns regler för hur statliga myndigheter ska arbeta med informationssäkerhet. Reglerna avser att skapa ett skydd för data utifrån krav på konfidentialitet, riktighet, tillgänglighet och spårbarhet. Informationssäkerhet omfattar både administrativa rutiner och tekniskt skydd.

Skyldigheter för statliga myndigheter att se till att informations- hantering uppfyller kraven på säkerhet finns i förordningen (2006:942) om krisberedskap och höjd beredskap. Myndigheten för samhällsskydd och beredskap (MSB) föreskriver dessutom att myndigheterna ska införa ett ledningssystem för informationssäkerhet och därvid följa de internationella standarderna ISO/IEC 27001 och ISO/IEC 27002 (MSBFS 2009:10). För att förtydliga och underlätta arbetet med informationssäkerhet har MSB tagit fram vägledningar11 inom ett antal områden. Kraven för statliga myndigheters informationssäkerhet omfattar bland annat informationsklassificering och risk- och sårbarhetsanalyser. Varje statlig myndighet som med- verkar i Uppgiftslämnarservice ska arbeta med informationssäkerhet så att datahanteringen uppfyller författningskraven.

Vid behandling av personuppgifter finns särskilda bestämmelser om informationssäkerhet. Enligt 31 § personuppgiftslagen (1998:204) ska den personuppgiftsansvarige vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas. Lämpliga tekniska och organisatoriska åtgärder ska skydda personuppgifter från förstöring genom olyckshändelse eller otillåtna handlingar eller förlust genom olyckshändelse samt mot ändringar, otillåten spridning av eller otillåten tillgång till uppgifterna, särskilt om behandlingen innefattar överföring av uppgifter i ett nätverk, och mot varje annat slag av otillåten behandling. Åtgärderna ska åstadkomma en säkerhetsnivå som är lämplig utifrån tekniska möjligheter, kostnader, särskilda risker med behandlingen och hur känsliga person- uppgifterna är.

Exempel på tekniska åtgärder är bland annat fysiska och logiska säkerhetshjälpmedel samt funktioner för behörighetskontroll, logg- ning och kryptering. Organisatoriska åtgärder för att personalen ska arbeta och tänka säkerhetsmedvetet är exempelvis säkerhetspolicyer,

11 www.informationssakerhet.se/sv/vagledningar/.

131

Uppgiftslämnarservice för företagen

SOU 2015:33

arbetsrutiner, kontroller och avstämningar. Andra säkerhetsåtgärder är fysisk säkerhet, tillträdeskontroll, system för behörighetskontroll, behandlingshistorik (loggar) och skyddet vid kommunikation.

Datainspektionen har tagit fram både allmänna råd och särskild information för att ytterligare tydliggöra informationssäkerhets- åtgärder som behövs för att uppfylla personuppgiftslagens krav. Sådana riktlinjer finns bland annat i Säkerhet för personuppgifter (Datainspektionens allmänna råd, 2008) samt i informations- skrifterna it-säkerhet och myndigheters e-tjänster (2008), Inbyggd integritet – Privacy by design – Inbyggda mekanismer i it-system för skydd av den personliga integriteten (2012) och Molntjänster och personuppgiftslagen (2011).

Vid behandling av känsliga personuppgifter (13 § personupp- giftslagen) krävs ofta särskilda åtgärder. Även andra personuppgifter, exempelvis stora mängder personuppgifter, uppgifter om lagöver- trädelser m.m. samt personnummer, kan vara integritetskänsliga och bör skyddas särskilt, exempelvis genom säker autentisering. Att en personuppgift omfattas av sekretess kan också indikera att uppgiften ska bedömas som känslig när det gäller krav på säkerhet (se Data- inspektionens uttalande i it-säkerhet och myndigheters e-tjänster).

När den personuppgiftsansvarige anlitar ett personuppgifts- biträde ska den personuppgiftsansvarige förvissa sig om att biträdet kan genomföra nödvändiga säkerhetsåtgärder och att åtgärderna faktiskt genomförs (31 § andra stycket personuppgiftslagen). De senaste åren har frågor om möjligheten för en personuppgifts- ansvarig att säkerställa informationssäkerhetskraven hos ett biträde aktualiserats bland annat när ett personuppgiftsbiträde behandlar personuppgifterna i det s.k. molnet.12

Inom ramen för Uppgiftslämnarservice kommer personuppgifter att behandlas, bland annat i samband med hanteringen av grund- läggande uppgifter, vid inloggning och behörighet samt i samman- ställningar och aviseringar. Den personuppgiftsansvarige ska vidta

12 Datormoln, även kallat molntjänster eller molnet, är IT-tjänster som tillhandahålls över internet. Det kan till exempel handla om tillämpningsprogram, serverprogram och lagring av data (Wikipedia 2015-02-04). Datainspektionen anger i sin informationsskrift Molntjänster och personuppgiftslagen (2011) att molntjänster innebär att exempelvis processorkraft, lagring och funktioner tillhandahålls av leverantörer som tjänster över Internet. Swedish Standards Institute (SIS) arbetar med molnet-standardisering och frågan om s.k. cloud computing har se senaste åren även behandlats och definierats i branschorganet Euro Cloud Sweden och i det oberoende kompetensnätverket Cloud Sweden.

132

SOU 2015:33

Uppgiftslämnarservice för företagen

nödvändiga åtgärder för att uppfylla personuppgiftslagens informa- tionssäkerhetskrav och kunna säkerställa att ett anlitat personupp- giftsbiträde lever upp till de högt ställda informationssäkerhets- kraven.

6.2Sammansatta bastjänsten

Det kravområde i kravspecifikationen som är relevant för Samman- satta bastjänsten är område fem som har beteckningen Företags- uppgifter.

6.2.1Allmänt om Sammansatta bastjänsten

Utredningens övergripande syfte är att minska och förenkla före- tagens uppgiftslämnande. Ett sätt att förverkliga detta syfte är att säkerställa att myndigheter använder samma information i behand- lingen av ett ärende för ett visst företag.

Ett alltför omfattande informationsutbyte mellan myndigheter om företag kommer emellertid att väcka berättigade frågor om sekretess, personlig integritet, informationssäkerhet m.m. De frågor som utred- ningen har att hantera har sådana implikationer. Det är mot den bakgrunden viktigt att se vilken typ av tekniska lösningar som står till buds för ett effektivt informationsutbyte på det sätt som är centralt i utredningens förslag. Vi har studerat rapporten från E-delegationen om effektiv informationsförsörjning. Man skriver så här om bas- tjänster:

Enligt E-delegationens vägledning kännetecknas en bastjänst som en tjänst som kommunicerar system till system och är publicerad i en nationell tjänstekatalog. Den myndighet som tillgängliggör tjänsten bestämmer utifrån juridiska förutsättningar vad bastjänsten ska innehålla. Detta dokumenteras i tjänstekatalogen. Bastjänster som använder andra bastjänster kallas sammansatta bastjänster. Skillnaden mellan enskilda bastjänster och sammansatta bastjänster är att en sammansatt bastjänst returnerar ett s.k. nyttomeddelande med aggregerad information från en eller flera bastjänster. En enskild bastjänst returnerar endast den myndig- hetsspecifika informationen.

133

Uppgiftslämnarservice för företagen

SOU 2015:33

Den information som återsänds från Sammansatta bastjänsten kan alltså innehålla information från en eller flera av de underliggande bastjänsterna beroende på hur frågan från det överliggande systemet har ställts.

Resonemanget i E-delegationens vägledning utgör en utgångs- punkt för utredningens arbete med bastjänster och sammansatta bastjänster. Ett antal myndigheters databaser – om man så vill deras bastjänster – görs tillgängliga via en gemensam punkt. Denna gemensamma punkt är den så kallade Sammansatta bastjänsten.

Sammansatta bastjänsten innehåller också regler för vilken av de ingående bastjänsterna som ska anses som bästa källa för en viss grundläggande uppgift.13 Figur 6.1 visar en sådan lösning.

Anropande e-tjänster -

Datakonsumenter

API

Sammansatta bastjänsten

API

API

API

API

Statistiska

Bolagsverket Skatteverket Myndighet X

centralbyrån

Bastjänster hos respektive myndigheter - Dataproducenter

Figuren visar hur en e-tjänst hos en myndighet kan anropa Sammansatta bastjänsten, exempelvis när ett företag vill uppfylla ett myndighetskrav. En företrädare för företaget ansluter sig till en

13 Se avsnitt 6.1 för ett resonemang om hur utredningen har sett på begreppet bästa källa.

134

SOU 2015:33

Uppgiftslämnarservice för företagen

sådan e-tjänst, och fyller i ett formulär där grundläggande uppgifter är förifyllda med uppgifter hämtade från Sammansatta bastjänsten.

Figuren märkt API är en programmatisk beskrivning av hur ett anrop till aktuell bastjänst kan ske. Denna beskrivning är speciell för varje bastjänst.

Rutan märkt Myndighet X symboliserar ytterligare myndigheter som i takt med att systemet utvecklas kan erbjuda sin information i form av en bastjänst, nåbar genom Sammansatta bastjänsten.

Utredningens förslag möjliggör för en myndighet att erbjuda en e- tjänst genom vilken ett företag kan lämna sådan information som myndigheten med stöd av lag, förordning eller myndighetsföreskrift har rätt att hämta in. Den som använder en e-tjänst måste kunna styrka på vems uppdrag den används. När det är gjort skapas möjlig- heter att få ett korrekt svar på frågan om vilket eller vilka företag som representeras just vid detta tillfälle, och i vilken funktion – revisor, styrelseledamot etc. – som denna representation sker. Därefter kan e- tjänsten, genom sin tekniska utformning, d.v.s. genom ett API, ställa en fråga till Sammansatta bastjänsten om någon eller några av de uppgifter som är tillgängliga via denna, t.ex. datum för företagets registrering eller SNI-koder för företaget. Den information som på detta sätt kommer att finnas tillgänglig om ett visst företag kallas grundläggande uppgifter, (GU).

Bolagsverket kartlade och analyserade under våren 2012 ett stort antal uppgiftskrav, 1 164 uppgiftskrav och över 94 miljoner ärenden.14 En slutsats var att ca 30 grundläggande uppgifter kunde återanvändas mellan myndigheter. Av tidsskäl kommer inte samtliga att vara möjliga att leverera vid avlämnandet av utredningens betänkande den 30 mars 2015. I möjligaste mån kommer resterande uppgifter att levereras under 2015.

14 Bolagsverkets ärende N 2011/5884/ENT.

135

Uppgiftslämnarservice för företagen

SOU 2015:33

6.2.2Vilka är de grundläggande uppgifterna och varifrån kommer de?

Den 30 mars 2015 levereras följande grunduppgifter om företag. Det rör sig om totalt 21 uppgifter. Av dessa levererar Bolagsverket nio, Skatteverket tre och Statistiska centralbyrån övriga nio enligt nedanstående sammanställning.

Från Bolagsverket

Registrerat företagsnamn

Postadress för juridisk person

Kommunkod för säte

–Kommunnamn

Länskod för säte

–Länsnamn

Räkenskapsår

Företagsform

Datum för företagets registrering

Företagets status

Näringslivsregistrering

Från Skatteverket15

Enskild näringsidkares fullständiga namn

Enskild näringsidkares folkbokföringsadress

SNI-koder för företag

15 Av tidsskäl och tekniska skäl kommer de uppgifter som skulle levereras från Skatteverket att inledningsvis levereras från Statistiska centralbyrån. Ambitionen är att leverans ska kunna ske från Skatteverket som planerat till 1 jul 2015 (samtal med Skatteverket 13 feb 2015).

136

SOU 2015:33

Uppgiftslämnarservice för företagen

Från Statistiska centralbyrån

Belägenhetsadress till företaget

Postadress till företagets arbetsställen

Belägenhetsadress till företagets arbetsställen

–Kommun för arbetsställe (belägenhetsadress)

–Län för arbetsställe (belägenhetsadress)

Antal anställda, storleksklassindelat

SNI-koder för arbetsställe (max tre per arbetsställe)

CFAR-nummer

Antal arbetsställen per företag

Benämning på arbetsställe

Markering för huvudarbetsställe (arbetsställestyp)

6.2.3Hur ska uppgifterna användas för att minska och förenkla uppgiftslämnandet?

I avsnitt 7.6 i det tidigare betänkandet (SOU 2013:80) diskuterade utredningen hur de insamlade uppgifterna ska användas av myndig- heterna. I betänkandet föreslog utredningen att myndigheterna skulle vara skyldiga att anpassa sina e-tjänster så att uppgifter som aviserades genom den då föreslagna Servicetjänsten kunde användas för att minska och förenkla företagens uppgiftslämnande. Utred- ningen bedömde dessutom att myndigheterna regelbundet skulle gå igenom varje uppgiftskrav och noga överväga vilka uppgifter som är nödvändiga och om företagen verkligen måste lämna dem.

Vi gör i dag samma bedömning. Myndigheterna ska anpassa sina e- tjänster och använda uppgifterna som finns tillgängliga genom Sam- mansatta bastjänsten samt hålla Uppgiftskravsregistret uppdaterat.

137

Uppgiftslämnarservice för företagen

SOU 2015:33

Varför ett myndighetsåläggande?

De åtgärder som utredningen föreslår ska i första hand underlätta för företagen, inte för myndigheterna. För att uppnå största möj- liga nytta är det angeläget att så många myndigheter som möjligt, så snart som möjligt, har anpassat sina e-tjänster på det sätt som beskrivs i dessa förslag.

Det betyder att det för berörda myndigheter kan komma att uppstå kostnader och medföra resursprioriteringar vid tillfällen som myndigheten inte själv kan välja. Utredningen gör dock den bedöm- ningen att om myndigheterna själva helt fritt kan avgöra tidpunkt för sin anslutning till systemet kommer det förmodligen under en lång tid att råda en situation där vissa myndigheter är anslutna och vissa inte. Resultatet skulle kunna bli att de myndigheter som är anslutna har en viss kunskap om företagets uppgifter och de som inte är anslutna har annan information. Eftersom företag kan tänkas ha kontakter med såväl anslutna som icke-anslutna myndigheter kommer en osäkerhet att uppstå om vilka uppgifter som verkligen är registrerade om företaget och den önskade upplevelsen av ett minskat och förenklat uppgiftslämnande uteblir, helt eller delvis.

Utredningens förslag underlättar företagens myndighetskontakter och höjer kvaliteten på de grundläggande uppgifterna, förbättringar som gynnar myndigheterna. Den fulla nyttan av utredningens förslag infinner sig dock inte förrän frågan om en ny svensk e-legitimation får en tillfredsställande lösning som blir vitt spridd (se vidare avsnitt 6.1.1).

6.2.4Beskrivning av användningsfallen

Tabell 6.1 visar de användningsfall som behandlas i detta avsnitt. Alla användningsfall kommer av tidsskäl inte att kunna realiseras vid tidpunkten för avlämnandet av betänkandet den 30 mars 2015. Det är också ett av skälen till den vikt som utredningen lägger vid att relevanta delar av de organ i form av utskott och andra nätverk som har skapats under utredningens arbete får finnas kvar. Detta utvecklas mer i kapitel 9, Den framtida organisationen för Uppgiftslämnarservice.

138

SOU 2015:33

Uppgiftslämnarservice för företagen

De användningsfall som inte omfattas av den första leveransen är markerade med x i tabellen nedan. Fallen kommer emellertid att beskrivas i den följande texten.

Beskrivning av ett skede med referens till användningsfallen

Detta avsnitt diskuterar Sammansatta bastjänstens funktion, speciellt hur den interagerar med underliggande bastjänster.16 Sammansatta bastjänsten anropas bland annat av myndigheternas e-tjänster, exempelvis när ett företag ska fullgöra ett krav som en myndighet ställer på det, till exempel att lämna inkomstdeklaration.

En viss e-tjänst anropar Sammansatta bastjänsten som innehåller kunskap om i vilken eller vilka av de underliggande bastjänsterna som de begärda uppgifterna finns. Genom ett programmeringsgränssnitt, API anropas relevanta bastjänster och svaren som Sammansatta bastjänsten sammanställer skickas tillbaka till e-tjänsten (se även figur 6.1). I det följande ges några konkreta exempel på hur ett använd- ningsfall realiseras i sin samverkan med olika komponenter i systemet.

16 Se även Figur 6.1.

139

Uppgiftslämnarservice för företagen

SOU 2015:33

Användningsexempel 1 – En företagare vill anmäla en revisor till aktiebolagsregistret

En företrädare för ett företag ska anmäla en revisor till aktiebolags- registret. Företagaren använder en e-tjänst hos verksamt.se och inleder med att lämna sitt organisationsnummer. Med organisationsnumret som grund kan e-tjänsten anropa Sammansatta bastjänsten som kan lämna tillbaka relevanta uppgifter om det aktuella företaget.

Två användningsfall (AF) som kan anropas av en e-tjänst blir inledningsvis aktuella: AF13 beskriver hur grundläggande uppgifter tillhandahålls från underliggande datakällor. AF45M17 beskriver hur en datakonsumerande e-tjänst hämtar grundläggande uppgifter från Sammansatta bastjänsten.

Enligt det syfte som är angivet i kravspecifikationen för AF13 ska Sammansatta bastjänsten för varje begärd grunduppgift hämta och tillhandahålla bästa tillgängliga information för ett företag, dvs. det som med utredningens terminologi har benämnts bästa källa (se avsnitt 6.1.1). Anropet ska vara utformat så att det framgår vilket företag frågan gäller och vilken myndighet som frågar.

Ytterligare tre användningsfall, AF42M, AF43M och AF44M är relevanta för detta exempel. De beskriver hur en datakonsumerande tjänst via Sammansatta bastjänsten hämtar uppgifter från bastjänsterna hos Bolagsverket, Skatteverket och Statistiska centralbyrån. Eftersom Sammansatta bastjänsten innehåller information om bästa källa, kommer endast en bastjänst att anropas för varje uppgift. Samman- satta bastjänsten kommer att i sitt svar på anropet ha information om huruvida den bastjänst som anropades har kunnat lämna uppgifter eller inte.

17 Eftersom den som ställer frågan representerar en annan del av systemet, i det här fallet en myndighets e-tjänst, och inte en extern användare läggs bokstaven ”M” till användnings- fallets beteckning.

140

SOU 2015:33

Uppgiftslämnarservice för företagen

Användningsexempel 2 – Underlag tillhandahålls för statistikbearbetning

Användningsfallen AF54 och AF55 som beskrivs i detta avsnitt har leveransen planerad till juni 2015.

Genom dessa användningsfall ges en myndighet möjlighet att anropa Sammansatta bastjänsten för att på det sättet få underlag för en statistisk analys av datautnyttjandet. Den anropande myndig- heten kan antingen vara myndigheten som ansvarar för Samman- satta bastjänsten eller en annan myndighet. Sammansatta bas- tjänsten levererar sin statistik i en obearbetad form och det förutsätts att den anropande myndigheten har nödvändiga verktyg för att kunna göra den önskade analysen. Det ankommer på den anropande myndigheten att precisera vilka statistikuppgifter som man anser sig behöva.

6.2.5Tryckfrihetsförordningen och Sammansatta bastjänsten

Vår bedömning: Sammansatta bastjänsten tar endast befattning med uppgifterna om det efterfrågade företaget som ett led i teknisk bearbetning.

Dataproducenternas avsikt är att uppgifterna som kommer att förmedlas genom bastjänsten ska lämnas ut på medium för automatiserad behandling när direktåtkomst inte är tillåten.

Sammansatta bastjänsten kommer att hämta uppgifter från Bolags- verket, Skatteverket och Statistiska centralbyrån. Tjänsten kommer sedan att sammanställa uppgifterna och lämna över dem till den myndighet vars e-tjänst initierat hämtningen.

Bastjänstens funktion medför att	frågan om tillämpningen av
2 kap. 10 § tryckfrihetsförordningen	aktualiseras. Bestämmelsen

innebär att en handling som förvaras hos en myndighet endast som led i teknisk bearbetning eller teknisk lagring för någon annans räkning inte är en allmän handling hos den myndigheten. Undantaget kom till eftersom offentlighetsprincipen inte kräver att allmänheten ska ha tillgång till en upptagning hos en myndighet som endast har teknisk befattning med den (se ovan). Teknisk bearbetning innebär enligt förarbetena exempelvis att överföra handlingar från tredje man till

141

Uppgiftslämnarservice för företagen

SOU 2015:33

maskinläsbart medium för myndighetens räkning (prop. 1975/76:160 s. 137). Av rättsfallet HFD 2011 ref. 52 framgår att den behandlande myndigheten inte får använda handlingarna för egen räkning för att bestämmelsen ska vara tillämplig.

Sammansatta bastjänsten kommer endast att på begäran hämta uppgifter från datakällorna och sammanställa till ett svar för att sedan leverera svaret till frågeställaren. I bastjänsten sker ingen kontroll av uppgifternas riktighet eller annan bearbetning. Den myndighet som ansvarar för bastjänsten använder inte själv de uppgifter om företaget som förmedlas genom tjänsten i den egna verksamheten. Ansvarig myndighet får exempelvis inte använda flödet i bastjänsten till att uppdatera egna register. Vi bedömer därför att bastjänstens befattning med uppgifterna om företaget bara är ett led i teknisk bearbetning och att 2 kap. 10 § första stycket tryckfrihetsförordningen är tillämplig. De frågor som ställs till bastjänsten, de frågor som bastjänsten ställer till datakällorna, svaren från datakällorna och det sammanställda svaret är därmed inte allmänna handlingar.

Att Sammansatta bastjänstens befattning med uppgifterna är begränsad till teknisk bearbetning för någon annans räkning innebär också att bastjänsten (den myndighet som ansvarar för tjänsten) inte har någon självständig rätt att ta del av källornas uppgifter om företagen. Om den som frågar bastjänsten inte har rätt att ta del av uppgifterna om företaget ska källmyndigheten hindra ett utläm- nande. Sammansatta bastjänsten kan inte göra någon prövning av frågeställarens rätt eller möjlighet att ta del av handlingen. När frågeställaren är en myndighet får denna ta ställning till om frågan till bastjänsten och svaret från densamma är en allmän handling enligt 2 kap. tryckfrihetsförordningen.

Bastjänsten kommer att vara uppkopplad mot dataproducenterna. Utredningen har uppfattat att det är myndigheternas avsikt att upp- gifterna som kommer förmedlas genom bastjänsten ska lämnas ut på medium för automatiserad behandling när direktåtkomst inte är tillåten.

142

SOU 2015:33

Uppgiftslämnarservice för företagen

6.2.6Personuppgiftsbehandling i Sammansatta bastjänsten

Grundläggande uppgifter via Sammansatta bastjänsten

Sammansatta bastjänsten ska på begäran inhämta, sammanställa samt leverera en samlad bild av ett företags grundläggande uppgifter.

Användare av e-tjänst/-er (företagsföreträdare)

E-tjänst			E-tjänst/-er
			(Uppgiftslämnartjänster hos
(Mina sidor på verksamt.se)
			myndigheter)
Förfrågan om	Leverans av		Förfrågan om	Leverans av
företagets	företagets		företagets	företagets
grundläggande	grundläggande		grundläggande	grundläggande
uppgifter	uppgifter		uppgifter	uppgifter

Sammansatta bastjänsten

	Bolagsverket	Skatteverket	Statistiska
			centralbyrån
	Uppgifter om	Uppgifter om	Uppgifter om
	företag	företag	företag

Figuren 6.2 illustrerar Sammansatta bastjänstens funktion, dvs. inhämta, sammanställa och leverera grundläggande uppgifter.

143

Uppgiftslämnarservice för företagen

SOU 2015:33

Grundläggande uppgifter har i sammanhanget definierats som

”uppgifter om ett företag som regelmässigt eller ofta efterfrågas av myndigheter när ett uppgiftskrav ska fullgöras”. Vissa grundläggande uppgifter är personuppgifter i personuppgiftslagens (1998:204) mening,18 exempelvis enskild näringsidkare (personnummer), före- trädares namn etc. De grundläggande uppgifterna kommer att hämtas från olika statliga myndigheters register och databaser. Inledningsvis ska ett tjugotal grundläggande uppgifter finnas tillgängliga via Sammansatta bastjänsten, bland annat person- och organisations- nummer, enskild näringsidkares namn, enskild näringsidkares post- adress, postadress till företaget, registrerat företagsnamn och SNI- kod. På sikt ska fler grundläggande uppgifter kunna läggas till och användas.

Sammansatta bastjänsten ska användas för att inhämta befintliga myndighetsuppgifter om ett företag och därefter samlat kunna visa dem för en företagare eller företagsföreträdare i myndigheters e- tjänster till stöd för företagens uppgiftslämnande (Mina sidor på verksamt.se och myndigheters e-tjänster för uppgiftslämnande) baserade på författningsreglerade uppgiftskrav.19

Behandling av personuppgifter via Sammansatta bastjänsten

Vår bedömning: Personuppgifter kommer att behandlas i Sammansatta bastjänsten. Känsliga personuppgifter, enligt 13 § personuppgiftslagen, kommer inte att behandlas.

Mottagaren ska vara personuppgiftsansvarig för behandling av personuppgifter som förmedlas via Sammansatta bastjänsten.

Bolagsverket ska vara personuppgiftsansvarig för behandling av personuppgifter inom ramen för tillhandahållandet av och i verksamheten kring Sammansatta bastjänsten och som inte avser behandlingen av grundläggande uppgifter som förmedlas via tjänsten.

18Personuppgifter All slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet, 3 § personuppgiftslagen.

19Uppgiftsskyldighet för företag som föreskrivs i lag, förordning eller myndighetsföreskrift.

144

SOU 2015:33

Uppgiftslämnarservice för företagen

Personuppgiftsansvaret för den myndighet som lämnar ut uppgifter om företagen (dataproducenten) sträcker sig fram till att uppgifterna når Sammansatta bastjänsten.

Personuppgifter

Bland de grundläggande uppgifterna finns uppgifter om fysiska personer, exempelvis om enskilda näringsidkare. Bland de grund- läggande uppgifterna finns också uppgifter som enskilt inte är person- uppgifter i personuppgiftslagens mening, men som tillsammans med andra grundläggande uppgifter kan bli det. De aktuella grundläggande uppgifterna omfattar inte känsliga personuppgifter i nämnda lags mening.20

Personuppgiftsbehandling

I följande situationer behandlas personuppgifter. Uppräkningen är inte uttömmande.

Grundläggande uppgifter som finns hos en eller flera statliga myndigheter efterfrågas från en myndighets e-tjänst via Samman- satta bastjänsten.

Grundläggande uppgifter levereras från myndigheters uppgifts- samlingar (exempelvis från Bolagsverkets företagsregister eller från det allmänna företagsregistret hos Statistiska centralbyrån) till Sammansatta bastjänsten.

Grundläggande uppgifter från en eller flera myndigheter tas emot av och sammanställs i Sammansatta bastjänsten.

Grundläggande uppgifter levereras från Sammansatta bas- tjänsten till myndigheters e-tjänster (Mina sidor i verksamt.se och myndigheters e-tjänster för företagens författningsreglerade uppgiftslämnande).

20 ”Det är förbjudet att behandla personuppgifter som avslöjar a) ras eller etniskt ursprung, b) politiska åsikter, c) religiös eller filosofisk övertygelse, eller d) medlemskap i fackförening. Det är också förbjudet att behandla sådana personuppgifter som rör hälsa eller sexualliv”, 13 § första och andra stycket personuppgiftslagen.

145

Uppgiftslämnarservice för företagen

SOU 2015:33

Personuppgiftsansvar

Sammansatta bastjänsten är en automatiserad funktion för att inhämta, sammanställa och leverera grundläggande uppgifter för företag som statliga myndigheter redan har samlat in. Inom ramen för Uppgiftslämnarservice ska Sammansatta bastjänsten användas för att samlat kunna visa grundläggande uppgifter om ett företag som har hämtats från en eller flera statliga myndigheters register och databaser. Det innebär bland annat att de myndighetsutvecklade e-tjänster som ett företag kan använda för att få information om och fullgöra sina uppgiftskrav i ska kunna hämta och visa ett företags grundläggande uppgifter som redan finns inom det offentliga.

I ett samrådsyttrande om fördelning av personuppgiftsansvar (dnr 195-2014) uttalar sig Datainspektionen om personuppgifts- ansvaret vid myndighetssamverkan. Myndigheten pekar på att det för varje informationsutbyte och i alla skeden i en sammansatt bastjänst måste vara någon av aktörerna som tar och har faktisk möjlighet att ta ansvar för personuppgiftsbehandlingen. Med aktörer menar Datainspektionen de myndigheter och organisa- tioner som hämtar eller lämnar uppgifter genom den sammansatta bastjänsten. Datainspektionens bedömning förutsätter att samtliga aktörer med den valda lösningen och ansvarsfördelningen kan uppfylla alla sina rättsliga skyldigheter. Det är inte bara skyldig- heter enligt persondataskyddslagstiftningen utan också skyldig- heter som åligger aktörerna enligt bland annat tryckfrihetsförord- ningen och offentlighets- och sekretesslagen (2009:400).

I dataskyddsdirektivet (direktiv 95/46/EG21) framgår att när ändamålen och medlen för behandlingen bestäms av nationella lagar och andra författningar eller av gemenskapsrätten kan den register- ansvarige eller de särskilda kriterierna för att utse honom anges i nationell rätt eller i gemenskapsrätten (artikel 2 [d]). För att tydlig- göra personuppgiftsansvaret för behandlingen av personuppgifter i Sammansatta bastjänsten bedömer vi att personuppgiftsansvaret bör särregleras. Utgångspunkten i det aktuella sammanhanget ska vara vem som har de faktiska förutsättningarna att bestämma över

21 Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter.

146

SOU 2015:33

Uppgiftslämnarservice för företagen

behandlingen av personuppgifter och därmed även möjligheten att ta ansvar för densamma.

De myndigheter som tillhandahåller e-tjänster för företagens uppgiftslämnande utformar och tillgängliggör tjänsterna. Ändamål och innehåll baseras på myndigheternas bedömning av vilka legala och verksamhetsmässiga förutsättningar som föreligger för att inhämta och hantera uppgifter om företagen. De uppgifter som behandlas i e- tjänsterna bestäms till stor del av respektive myndighet för varje specifik tjänst. Sammansatta bastjänsten utgör endast ett utförarled i behandlingen av personuppgifterna i myndigheternas e-tjänster. Vi bedömer att den som är personuppgiftsansvarig för e-tjänster som hämtar grundläggande uppgifter från en eller flera myndigheter via Sammansatta bastjänsten även ska vara personuppgiftsansvarig för behandlingen av personuppgifterna i densamma. Personuppgifts- ansvaret omfattar den personuppgiftsbehandling som sker vid såväl förfrågan som vid inhämtandet av de grundläggande uppgifterna.

Sammansatta bastjänsten ska tillhandahållas av Bolagsverket som enligt utredningens förslag till företagsdataförordning dessutom ska ha föreskriftsrätt avseende exempelvis vilken myndighet som ska tillfrågas om en grundläggande uppgift (bästa källa), formatmässiga villkor, behörighetsvillkor, anslutningsförutsättningar, säkerhets- nivåer etc. Det kommer även att finnas en skyldighet för myndig- heter (inledningsvis 13 statliga myndigheter) att ansluta sig till bastjänsten. I ansvaret att tillhandahålla Sammansatta bastjänsten kan Bolagsverket komma att behandla personuppgifter inom ramen för bastjänsten och verksamheten kring densamma. Vår bedömning är att Bolagsverket ska vara personuppgiftsansvarig för behandling av personuppgifter som kan komma att behandlas inom ramen för tillhandahållandet av bastjänsten och som inte avser behandlingen av de grundläggande uppgifter som förmedlas i tjänsten.

Den myndighet som lämnar ut grundläggande uppgifter (data- producenten) till mottagaren via Sammansatta bastjänsten har ingen möjlighet att bestämma eller påverka hur respektive myndighets e- tjänst kan eller ska behandla de efterfrågade uppgifterna inte heller för uppgiftsbehandlingen i bastjänsten. Vår bedömning är att data- producentens personuppgiftsansvar därmed sträcker sig fram till dess uppgiftsutlämnandet når Sammansatta bastjänsten.

147

Uppgiftslämnarservice för företagen

SOU 2015:33

Användare av e-tjänst/-er (företagsföreträdare)

Förfrågan om	Leverans av	Förfrågan om	Leverans av
företagets	företagets	företagets	företagets
grundläggande	grundläggande	grundläggande	grundläggande
uppgifter	uppgifter	uppgifter	uppgifter

Myndigheten som tillhandahåller

Sammansatta bastjänsten (Bolagsverket)

PUB (2), PUA (3)

Utlämnande myndighet			Utlämnande myndighet			Utlämnande myndighet
(Bolagsverket)			(Skatteverket)			(Statistiska centralbyrån)
PUA (4)			PUA (4)			PUA (4)
Uppgifter om			Uppgifter om			Uppgifter om
företag			företag			företag

Figuren 6.3 illustrerar personuppgiftsansvaret vid förmedlingen av grundläggande uppgifter via Sammansatta bastjänsten.

1.Mottagare i verksamt.se och hos myndigheter är personuppgiftsansvariga för behandling av personuppgifter som förmedlas via Sammansatta bastjänsten.

2.Bolagsverket är personuppgiftsbiträde för behandlingen av personuppgifterna som avser

förmedling av grundläggande uppgifter till mottagare.

3. Bolagsverket är personuppgiftsansvarig för behandling av personuppgifte r inom ramen för tillhandahållandet av Sammansatta bastjänsten och som inte avser behandlingen av de grund - läggande uppgifterna som förmedlas i bastjänsten.

4. Utlämnande myndighet (dataproducent) är personuppgiftsansvarig för behandlingen av person - uppgifterna fram till att uppgifterna når Sammansatta bastjänsten.

Personuppgiftsbiträde

Sammansatta bastjänsten utgör ett led i insamlandet av grundläggande uppgifter till myndigheternas e-tjänster inom ramen för ett minskat och förenklat uppgiftslämnande för företagen. När Sammansatta

148

SOU 2015:33

Uppgiftslämnarservice för företagen

bastjänsten inhämtar, sammanställer och levererar grundläggande uppgifter som ett led i ett automatiserat informationsutbyte mellan myndigheter som är anslutna till Uppgiftslämnarservice har bas- tjänsten ingen självständig roll (se avsnittet ovan om personuppgifts- ansvar). Behandlingen av personuppgifter utgör då endast behandling för annans räkning. Det innebär att Bolagsverket i detta sammanhang är personuppgiftsbiträde och endast får behandla personuppgifter i enlighet med instruktioner från och inom ramen för den personuppgiftsansvariges legala möjligheter att själv behandla person- uppgifterna. Personuppgiftslagen innehåller bestämmelser om bland annat krav på ett skriftligt avtal för att reglera personuppgiftsbehand- lingen hos personuppgiftsbiträdet samt kraven på informations- säkerhet (30–31 §§).

I det aktuella sammanhanget är det viktigt att framhålla betydelsen av att de som är anslutna till Uppgiftslämnarservice ska ges möjlighet till inflytande på ett sådant sätt att informations- säkerhetsbestämmelserna i personuppgiftslagen kan regleras (i personuppgiftsbiträdesavtal) och upprätthållas, exempelvis kraven på ändamål, behörighet och säkerhet.

För de fall den myndighet som tillhandahåller Sammansatta bas- tjänsten behandlar personuppgifter inom ramen för sitt ansvar att tillhandahålla bastjänsten måste sådan behandling vara tillåten enligt personuppgiftslagen eller annan lag eller förordning. Det är i sådana fall inte längre fråga om en personuppgiftsbiträdessituation (jfr avsnittet ovan om personuppgiftsansvar).

Informationssäkerhet

Vid personuppgiftsbehandling finns särskilda bestämmelser om informationssäkerhet. Enligt 31 § personuppgiftslagen ska den personuppgiftsansvarige vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas. I samma bestämmelse framgår också att den personuppgiftsansvarige ska förvissa sig om att ett anlitat personuppgiftsbiträde kan genomföra nödvändiga säkerhetsåtgärder och se till att biträdet faktiskt vidtar åtgärderna. Den som är personuppgiftsansvarig för behandlingen av personuppgifter i Sammansatta bastjänsten ska se till att informations- säkerhetskraven i personuppgiftslagen är uppfyllda.

149

Uppgiftslämnarservice för företagen

SOU 2015:33

Mer detaljerade beskrivningar av de åtgärder som krävs för att säkerställa personuppgiftslagens krav på informationssäkerhet framgår i avsnittet om informationssäkerhet (se avsnitt 6.1.3.6).

6.2.7Offentlighet och sekretess i Sammansatta bastjänsten

Vår bedömning: Sammansatta bastjänstens befattning med de grundläggande uppgifterna sker enligt vår bedömning endast som ett led i teknisk bearbetning för annans räkning. De samman- ställningar som görs blir därför inte allmänna handlingar.

I kravspecifikationen finns uttalat att loggning inte får ske så detaljerat att det går att skapa sådana sammanställningar att det finns risk för att det går att följa ett företags myndighets- kontakter.

Sammansatta bastjänsten aktualiserar inget behov av någon särskild sekretessreglering.

Sammansatta bastjänsten kommer att hämta uppgifter från Bolags- verket, Skatteverket och Statistiska centralbyrån. Tjänsten kommer sedan att sammanställa uppgifterna och lämnas över dem till den myndighet vars e-tjänst initierat hämtningen.

Den operativa styrgruppen har gemensamt kommit fram till att den grundläggande informationen om företagen inte får hämtas från datakällor där sekretess eller andra regler som hindrar direkt- åtkomst försvårar ett utlämnande. Uppgifterna ska således bara komma från register som utan författningsändringar kan ansluta till bastjänsten och lämna ut uppgifterna till mottagaren. En förut- sättning för att ansluta sig som dataproducent är därmed att myndigheten i fråga bedömt att de uppgifter som man kan bidra med går att lämna ut i enlighet med gällande lagstiftning.

En särskild fråga är om överföringen av data från källmyndig- heterna (dataproducenterna) till Sammansatta bastjänsten och ut till datakonsumenterna ger upphov till sammanställningar (loggfiler m.m.) som visar företagens myndighetskontakter på ett sådant sätt att behov av sekretess uppkommer.

Vidare måste det övervägas om det när datakonsumenter använder Sammansatta bastjänsten för att hämta uppgifter om ett företag finns risk för att uppgifter om företaget hos den myndigheten röjs. I vårt

150

SOU 2015:33

Uppgiftslämnarservice för företagen

tidigare betänkande exemplifierades detta med den absoluta skatte- sekretessen hos Skatteverket. En absolut sekretess som innebär att t.ex. uppgiften att ett företag har fullgjort sin skyldighet att deklarera omfattas av sekretess. Den omständligheten att företaget har deklarerat blir offentlig först när Skatteverket fattar beslut i ärendet.

Slutligen behöver vi överväga om de uppgiftssammanställningar som genereras i Sammansatta bastjänsten är i behov av sekretess- skydd.

Sammansatta bastjänstens befattning med uppgifterna sker enligt vår bedömning som redan framkommit endast som ett led i teknisk bearbetning eller teknisk lagring för annans räkning. De samman- ställningar som görs blir därför inte allmänna handlingar. Bastjänsten behöver inte heller spara uppgifterna om företagen utan kan omedelbart rensa dessa.

Till att börja med är uppgifterna som kan lämnas ut från källorna i enlighet med gällande rätt aktuella som grundläggande uppgifter. De sammanställningar som sker av grundläggande upp- gifter kan vidare inte anses som känsliga för företagaren. Samman- ställningen motsvarar i princip det som i dag kan hämtas av alla och envar ur det allmänna företagsregistret. Det saknas därför skäl att ytterligare överväga behovet av sekretess för dessa.

Det kan finnas risk för att det skulle gå att följa ett företags kontakter med myndigheter genom de loggfiler som Sammansatta bastjänsten skapar. Men enligt kravspecifikationen får inte loggning ske så detaljerat att det går att skapa sådana sammanställningar. Under förutsättning att detta efterlevs finns inget behov av sekretess. Det ska således inte gå att exempelvis utläsa ur loggfilerna att företaget i ovan nämnda exempel har deklarerat.

Bedömningen bygger på det system som beskrivs i krav- specifikationen och de uppgifter om företaget som kommer att förmedlas den 30 mars 2015. Vid en vidareutveckling av systemet kan sekretessreglerade uppgifter aktualiseras och nya bedömningar av behovet av sekretess måste då göras.

151

Uppgiftslämnarservice för företagen

SOU 2015:33

6.2.8Arkivering och gallring i Sammansatta bastjänsten

Vår bedömning: Sammansatta bastjänsten ska endast hantera uppgifter som ett led i teknisk bearbetning för annans räkning, vilket innebär att allmänna handlingar inte uppkommer inom ramen för tjänsten. Hanteringen av grundläggande uppgifter och uppgiftssammanställningar i Sammansatta bastjänsten bör däremot dokumenteras och det ska finnas riktlinjer för rensning av sådana handlingar.

För de fall allmänna handlingar uppkommer i Sammansatta bastjänsten är den myndighet som ansvarar för tjänsten ansvarig för att uppfylla relevanta arkiverings- och gallringskrav.

Sammansatta bastjänsten ska på begäran inhämta, sammanställa och samlat leverera ett företags grundläggande uppgifter. De grund- läggande uppgifterna hämtas från statliga myndigheters register och databaser.

Med utgångspunkt i Sammansatta bastjänstens syfte och funktion, dvs. att endast hantera uppgifter för annan myndighets räkning, är uppgifterna och sammanställningarna som hanteras i tjänsten inte allmänna handlingar (2 kap. 10 § första stycket). För de fall grund- läggande uppgifter och uppgiftssammanställningar inte utgör allmänna handlingar behöver dokumentation av uppgiftshanteringen och rikt- linjer för rensning av handlingar (personuppgifter och andra upp- gifter) finnas.

För de fall allmänna handlingar uppkommer i Sammansatta bastjänsten ska bestämmelser om arkivering och gallring beaktas. Ansvaret för allmänna handlingar som uppkommer åligger den myndighet som ansvarar för tjänsten. För allmänna handlingar som inte ska bevaras måste myndigheten se till att det finns stöd för gallring.

Vissa grundläggande uppgifter utgör personuppgifter vilket innebär att bestämmelserna om bevarande i 9 § personuppgiftslagen ska beaktas. Personuppgifter får som huvudregel inte bevaras under längre tid än vad som är nödvändigt med hänsyn till ändamålen med behandlingen. Men myndigheter ska utan hinder av personuppgifts- lagen få arkivera och bevara allmänna handlingar (8 § andra stycket första meningen). Om allmänna handlingar inte uppkommer i Sam- mansatta bastjänsten kvarstår behovet att gallra (alternativt rensa)

152

SOU 2015:33

Uppgiftslämnarservice för företagen

personuppgifter. Definitionen av personuppgiftsbehandling påverkas inte av bedömningen om personuppgifterna är allmänna handlingar eller inte.

Gallring förutsätter författningsstöd, vilket innebär att tillämpliga gallringsbestämmelser ska identifieras, exempelvis Riksarkivets före- skrifter (RA-FS och RA-MS) eller gallringsbestämmelser i register- författningar, alternativt att nya nödvändiga och för ändamålet relevanta gallringsbestämmelser föreslås.

6.3Uppgiftskravstjänsten

I utredningens uppdrag att vidareutveckla prototypen inför användandet i ett fullskaligt system ingår att ta fram en tjänst med möjligheten att visa uppgiftskrav relevanta för ett enskilt företag. Denna funktion benämndes av utredningen som Ansök/anmäl22 i prototypen. Tjänsten bygger på information om de uppgiftskrav staten har på företag vilket enligt direktivet ska kvalitetssäkras och vidareutvecklas så att de kan ligga till grund för ett register över sådana uppgiftskrav (Uppgiftskravsregistret). I det här avsnittet beskriver vi hur utredningen realiserat förslagen och arbetat med att kvalitetssäkra informationen om uppgiftskrav. Det som det tidigare förväntades bli ett register, innefattar numera ytterligare information och komponenter, och kallas därför Uppgiftskravstjänsten.

6.3.1Allmänt om Uppgiftskravstjänsten

En central funktion i Uppgiftskravstjänsten är möjligheten att presentera vilka uppgiftskrav som gäller ett företag. Det görs i huvudsak utifrån företagets grundläggande uppgifter i kombination med filtrerande attribut i form av uppgiftskravens metadata.

Utöver att ligga till grund för funktionen Ansök/anmäl, dvs. hjälpa en företrädare för ett företag att förstå vilken uppgiftsbörda som åligger eller kan komma att åligga företaget, fyller ett uppgifts- kravsregister flera syften. Det ger en bild av den uppgiftslämnar- börda som staten lägger på företag och kan därmed fungera som ett verktyg för att följa upp att bördan minskar. Det kan användas för

22 För vidare beskrivning av funktionen se SOU 2013:80 avsnitt 10.2.3.

153

Uppgiftslämnarservice för företagen

SOU 2015:33

att identifiera vilken typ av uppgifter som hämtas in många gånger av olika aktörer. Utifrån detta finns sedan möjligheten att bedöma om uppgiften t.ex. kan återanvändas inom det offentliga i stället för att vid upprepade tillfällen hämtas in från företaget. När nya regler för företagen tillkommer kan registret användas för att se om det redan finns regler som leder till uppgiftslämnande för företagen. Därmed kan uppgiftslämnarprocesserna samordnas och det blir också ett bredare verktyg för regelförenkling.

En annan effekt som väntas uppstå är att myndigheterna själva blir mera medvetna om sin egen uppgiftsinhämtning från företag och därigenom minskar och förenklar uppgiftslämnandet. I många fall har mätandet i sig en positiv effekt på ett område, utan att man direkt vidtar förändringsåtgärder. Vi har under utredningsarbetet sett hur myndigheterna börjat arbeta med att utveckla sina interna arbets- processer för att hålla Uppgiftskravsregistret uppdaterat. De arbetar med att identifiera var i organisationen man upptäcker förändringar av uppgiftskrav, var nya kommer till och hur informationsflödena ska se ut för att man ska kunna hålla Uppgiftskravsregistret uppdaterat. Behöver man fortsättningsvis vidta aktiva åtgärder för att minska och förenkla uppgiftslämnandet, är man redan ett steg på vägen mot att åstadkomma sådana förändringar.

Sammantaget kan man se följande syften med Uppgiftskravs- registret.

Att underlätta för företag att hitta de uppgiftskrav som åligger dem för att förenkla uppgiftslämnandet.

Att ge en aktuell bild av den uppgiftslämnarbörda som åligger företagen för att kunna vidta åtgärder och minska uppgifts- lämnandet.

Att förebygga att inte onödig uppgiftslämnarbörda uppstår genom att se vilka uppgifter som redan samlas in och som i stället kan återanvändas och därmed undvika att öka uppgifts- lämnarbördan.

Att identifiera vilka uppgifter företag lämnar in ofta för att öka återanvändningen av dessa och därmed minska uppgiftslämnandet.

Att få myndigheterna att i större utsträckning och på ett effektivare sätt arbeta med att själva minska och förenkla uppgifts- lämnarbördan för företagen.

154

SOU 2015:33

Uppgiftslämnarservice för företagen

Det har över en längre tid genomförts ett antal insatser för att kartlägga myndigheters uppgiftskrav på företag. Den senaste tog sin utgångspunkt i Tillväxtverkets databas Malin och redovisades av Bolagsverket i slutet av 2013 (Bolagsverket, 2013). Insatserna har varierat vilket har lett till att hanteringen av uppgiftskrav inte systematiserats på ett beständigt sätt. Det finns ingen samlad uppdaterad bild av myndigheternas uppgiftskrav för företag.

Utifrån detta har Uppgiftslämnarutredningen i samverkan med berörda myndigheter utvecklat en bastjänst och en e-tjänst för hanteringen av företagens författningsreglerade uppgiftskrav. Tjänsterna tas fram för att initialt fungera för de 13 myndigheter som anges i Uppgiftslämnarutredningens direktiv men samtidigt möjlig- göra anslutning av ytterligare aktörer och innefatta information om deras uppgiftskrav.

6.3.2Uppgiftskravstjänstens olika delar

Det här avsnittet beskriver Uppgiftskravstjänstens delar med grunden i ett uppgiftskravsregister för krav som har sin grund i lag, förordning eller myndighetsföreskrift.

155

Uppgiftslämnarservice för företagen

SOU 2015:33

	Uppgiftskravstjänsten		verksamt.se
	E-tjänst uppgiftskrav
	Visning	Admin	Tillstånds-
			databasen
Framtida	API
tjänster
			Framtida
	Uppgiftskravs-		tjänster
	registret

Uppgiftskravsregistret (UKR) är ett register med information om uppgiftskrav med grund i lag, förordning eller myndighetsföre- skrift. Registret har sitt ursprung i databasen Malin23 som sedan har vidareutvecklats genom Bolagsverkets kartläggningar och Upp- giftslämnarutredningens kvalitetssäkring. Registret innefattar en i förväg definierad information för alla uppgiftskrav och ska till- gängliggöras som öppna data vilket gör att informationen kan användas och återanvändas, helt eller delvis, för andra syften än de vi ser i dag. Till registret, eller databasen, finns ett API för att läsa och skriva information och tillsammans utgör detta en bastjänst för uppgiftskrav.

E-tjänsten för uppgiftskrav är ett webbaserat användargränssnitt där vem som helst kan ta del av innehållet i Uppgiftskravsregistret utan krav på inloggning. I tjänsten finns även en administrations- funktion för att myndigheter, efter inloggning, ska kunna administrera sina uppgiftskrav.

23 Databasen Malin innehåller resultaten från mätningarna av företagens administrativa kostnader för att följa regelverk utförda av Tillväxtverket. I dag uppdateras endast de 200 informationskrav som i 2009 års mätning hade störst administrativa kostnader för företag.

156

SOU 2015:33

Uppgiftslämnarservice för företagen

Myndigheterna kan bygga egna gränssnitt, för människa eller maskin, för att administrera uppgiftskrav. Dessa eventuella tjänster ansluter då till API:et.

På verksamt.se byggs en funktion som visar uppgiftskrav för företag. Informationen hämtas från bastjänsten till Tillståndsdata- basen på verksamt.se. Här läggs ytterligare information till uppgifts- kraven av Tillväxtverket innan de visas upp för företagaren. På sikt finns möjlighet att bygga nya slutanvändarfunktioner för olika målgrupper baserat på hela eller delar av Uppgiftskravsregistret.

Servicetjänstens funktion Ansök/anmäl kommer att realiseras genom en vidareutveckling av funktionen Hitta tillstånd på verksamt.se. Den befintliga funktionen har betydande likheter med utredningens föreslagna funktion vilket gör att dessa två inte kan existera parallellt på verksamt.se. För att möjliggöra en vidare- utveckling krävs att Ansök/anmäl förändras något jämfört med hur den beskrivs i vårt tidigare betänkande (SOU 2013:80).

Den funktionalitet som realiseras på verksamt.se kommer inte att vara direkt uppkopplad mot Uppgiftskravstjänsten. Information om uppgiftskraven hämtas i stället av verksamt.se från Uppgifts- kravstjänsten regelbundet och sammanställs med information från Tillstånds-databasen.

Uppgiftskravstjänsten är beroende av anslutningar för att fungera både när det gäller dataproducenter och datakonsumenter. En mera utförlig beskrivning av de olika anslutningspunkterna finns i avsnitt 7.7.

6.3.3Tjänsten ur ett användarperspektiv

I detta avsnitt beskrivs Uppgiftskravstjänsten ur ett användar- perspektiv. Kravspecifikationen (bilaga 6) som ligger till grund för utvecklingen av tjänsten bygger på en uppsättning användningsfall (AF) vilka beskrivs här.

Söka uppgiftskrav (AF57)

Uppgiftskravsregistret ska i sin helhet vara tillgängligt på en webbsida på internet. Där ska användare, var och en med ett intresse för inne- hållet i registret, kunna söka information utan att vara registrerade och

157

Uppgiftslämnarservice för företagen

SOU 2015:33

inloggade. Här kan användaren söka efter och filtrera fram uppgifts- krav samt se detaljerad information om uppgiftskraven.

Webbplatsen ska visa upp Uppgiftskravsregistrets innehåll oberoende av tillämpningar där informationen kan ha modifierats, dvs. en direkt visning av innehållet i källregistret.

Startsida för uppgiftskrav (AF34)

En företrädare för en myndighet ska kunna logga in i ett administra- tionsgränssnitt för att administrera myndighetens uppgiftskrav. Beroende på vilken behörighet en användare har kan funktionerna variera.

Hantera uppgiftskrav (AF07)

En behörig användare kan hantera och lägga till uppgiftskrav i Uppgiftskravsregistret. Användaren kan även lägga till utökade metadata om samtliga uppgiftskrav, även sådana uppgiftskrav som tillhör en annan myndighet. Myndigheten ska kunna specificera flera olika samlingar av utökade metadata, för olika användnings- områden.

En behörig användare kan

lägga till uppgiftskrav genom att fylla i de uppgifter som krävs för ett nytt uppgiftskrav,

ändra alla uppgifter i befintligt krav,

lägga till utökade metadata om ett eller flera uppgiftskrav, och

inaktivera ett krav genom att ange slutdatum för det aktuella kravet samt ange skäl till varför uppgiftskravet upphör.

Sammanställ och presentera statistik för uppgiftskrav (AF19)

Olika aktörer ska ha möjlighet att hämta statistiksammanställningar över innehållet i Uppgiftskravsregistret för att göra egna statistiska analyser. Exempel på sådana sammanställningar kan vara antal upp- giftskrav per myndighet, antal företags- respektive myndighets-

158

SOU 2015:33

Uppgiftslämnarservice för företagen

initierade uppgiftskrav, antal uppgiftskrav per månad på året i de fall det är aktuellt, uppgiftskrav per företagsform, uppgiftskrav per bransch, antal krav med e-tjänst samt övrig möjlig och relevant statistik. För att specificera innehållet i sammanställningarna behöver informationsmodellen vidareutvecklas i harmoni med den reviderade kartläggning som görs av myndigheternas uppgiftskrav. Statistiken presenteras på en webbsida som inte kräver inloggning.

Tillhandahållande av information ur Uppgiftskravsregistret som öppna data (AF56)

Informationen i Uppgiftskravsregistret ska vara tillgänglig som öppna data. Innehållet ska kunna tillhandahållas utifrån standardiserade gränssnitt enligt kommunikation av typen maskin till maskin. Särskilt bör Vinnovas vitbok (Palmér och Ebner, 2014) för länkade öppna data24 beaktas. Metadata ska göras tillgängliga enligt Vinnovas rikt- linjer för DCAT-AP25.

Utöver registerinnehållet i sin helhet, ska det även vara möjligt att efterfråga en sammanställning utifrån urvalsparametrar. Detta sätt att göra ett urval ska bygga på det API som beskrivs i AF35 i krav- specifikationen.

6.3.4Kvalitetssäkring av kartläggningsarbetet

Enligt utredningens direktiv (dir. 2013:111) ska vi kvalitetssäkra och vidareutveckla de kartlagda uppgiftskraven. Här beskrivs hur arbetet gått till och de modeller och formulär som använts. Utgångspunkten enligt tilläggsdirektiven är följande.

Utredaren ska fortsätta arbetet med att kvalitetssäkra och vidareutveckla uppgiftskraven som framgår av kartläggningen så att de kan ligga till grund för ett uppgiftskravsregister. I arbetet ingår att samordna definitioner och i första hand de grundläggande uppgifterna som namn, adress, organisationsuppgifter m.m. som framgår av kartläggningen. Utredaren ska ta fram modeller och formulär för insamlandet av upp- giftskrav.

24Länkade öppna data är sammanlänkade data på internet på ett sätt som gör det möjligt för en dator att följa länkarna på ett strukturerat sätt. Det är en form som kan användas för publicering av data på internet vilket gör att tillgängligheten till data ökar.

25http://lankadedata.se/dcat-utbildning

159

Uppgiftslämnarservice för företagen

SOU 2015:33

Uppdateringen av kartläggningen har gjorts utifrån det tidigare genomförda arbetet av Bolagsverket vilket rapporterades i Kart- läggning av företags uppgiftslämnande till 14 myndigheter 2013 (Bolagsverket 2013). Baserat på denna rapport har Uppgiftslämnar- utredningen tagit fram en databas och en e-tjänst med möjligheten att granska och redigera uppgiftskraven. Tjänsten utvecklades initialt som ett så kallat Proof of Concept (PoC) för den framtida e-tjänsten där myndigheterna ska administrera sina uppgiftskrav. Den innehåller de huvudsakliga funktionerna för administration och ligger direkt till grund för det nyutvecklade administrationsgränssnittet. Tjänsten visar att den tidigare kartläggningen innehåller en del brister i datakvalitet vilka delvis åtgärdats under hösten 2014. Bristerna bestod bland annat i viss avsaknad av information och variation i beskrivningen av uppgiftskraven.

När de kartläggande myndigheterna har arbetat med upp- dateringen har tidigare lämnade uppgifter varit förifyllda i det formulär som använts för insamlandet. Några variabler har lagts till och ett antal har tagits bort. Fokus i vår uppdatering har legat på att kvalitetssäkra Uppgiftskravsregistret så att det kan ligga till grund för de tjänster som lanseras den 30 mars 2015, framför allt den utvecklade versionen av nuvarande tjänsten Hitta tillstånd på verksamt.se. Det har inneburit att en del variabler har inaktiverats för att underlätta arbetet med anledning av tidspress. De inaktiverade variablerna ska återaktiveras och kvalitetssäkras i det vidare utvecklingsarbetet. Inrapporteringen har skett genom webbaserade formulär i den e-tjänst som utvecklats till stöd för arbetet. Myndigheterna har fått användar- namn och lösenord för användning av tjänsten.

Kartläggningsarbetet har i huvudsak pågått från november 2014 till januari 2015 då den senaste uppdateringsomgången slutfördes. Formulären har innehållit förifyllda uppgifter från tidigare insamlingar och en del nya variabler som fyllts i av de kartläggande myndigheterna i detta arbete. I inrapporteringsgränssnittet har det funnits beskriv- ningar hur man ska rapportera med förklaringar till samtliga fält. Förutom att besvara de nya frågorna ombads myndigheterna att granska tidigare lämnade svar för att korrigera eventuella fel.

I de fall en myndighet har identifierat nya uppgiftskrav utöver de tidigare kartlagda har de ombetts lägga till dessa. Har ett uppgiftskrav upphört att gälla har myndigheten ombetts att ta bort dessa. Det är

160

SOU 2015:33

Uppgiftslämnarservice för företagen

som tidigare sagts endast uppgiftslämnande som sker med stöd i lag, förordning eller myndighetsföreskrift som ingått i kartläggningen.

Arbetets genomförande

Arbetet påbörjades i oktober 2014 vid ett möte med de kartläggande myndigheterna där de fick instruktioner och tidsplan. Ytterligare ett möte hölls i november 2014 för att ge möjlighet till erfarenhetsutbyte och eventuella klarlägganden. Arbetet avslutades i januari 2015 med en träff för att säkerställa att alla myndigheter färdigställt arbetet. Under arbetets gång har myndigheterna kunnat kontakta Bolagsverket för att få hjälp och stöd i kartläggningen. De har även kunnat boka in individuella möten för att få stöd i specifika frågor.

Några myndigheter har varskott utredningen om att de inte kommer att uppdatera uppgiftskraven inför lanseringen av Uppgifts- kravstjänsten den 30 mars 2015. Dessa myndigheter har uppgett att de inte kan avsätta resurser för att uppdatera uppgiftskraven.

Avgränsning

Av tidsskäl bedömde utredningen och de kartläggande myndigheterna att det var nödvändigt med en avgränsning av vilka uppgiftskrav som skulle kvalitetssäkras till den 30 mars 2015. Avgränsningarna är till- fälliga så till vida att i ett framtida uppgiftskravsregister kommer alla uppgiftskrav behöva vara med. Uppgiftskraven fanns med i PoC:en och myndigheterna har haft möjlighet att uppdatera även dessa men kraven i fråga hade en särskild markering om avgränsning och behövde därför inte åtgärdas.

Följande uppgiftskrav avgränsades.

Uppgiftskrav som i befintligt underlag har ”0” i fältet Volymer

2012 (antal ärenden) och dessutom har ”0” i fältet Antal företag som omfattas och inte har e-tjänst eller maskin-till-maskingräns- snitt. Syftet med avgränsningen var att ta bort de uppgiftskrav som inte möter några företag med tanke på att fokus för marsleveransen varit att erbjuda stöd via funktionen Hitta tillstånd på verksamt.se. Totalt avgränsas 291 uppgiftskrav från Bolagsverket (48), Jord- bruksverket (140), Livsmedelsverket (46), Skogsstyrelsen (23) och Transportstyrelsen (34).

161

Uppgiftslämnarservice för företagen

SOU 2015:33

Uppgiftskrav, förutom ovanstående, som har färre än ”10” i fältet Antal företag som omfattas och färre än ”10” i fältet Volymer 2012

(antal ärenden) och inte har e-tjänst eller maskin-till-maskingräns- snitt. Syftet med avgränsningen har varit att ta bort de uppgiftskrav som endast möter ett fåtal företag och som har liten ärendemängd då de inte drar nytta av stöd via Hitta tillstånd, eftersom det ofta avser specifika krav. Totalt avgränsas härigenom 146 uppgiftskrav från Bolagsverket (30), Försäkringskassan (3), Jordbruksverket (49), Livsmedelsverket (3), Skatteverket (1), Skogsstyrelsen (11), Tillväxtverket (7) och Transportstyrelsen (42).

Uppgiftskrav som endast kan fullgöras via maskin-till-maskin- gränssnitt. Syftet med avgränsning har varit att ta bort de uppgifts- krav som endast kan fullgöras med maskin-till-maskinlösningar eftersom dessa inte behöver synas i Hitta tillstånd. Totalt avgränsas 5 uppgiftskrav från Försäkringskassan (1), Kronofogden (1) och Transportstyrelsen (3).

Uppgiftskrav som det inte finns någon information om på myndig- hetens webbsida och som det inte finns någon e-tjänst genom vilken de kan fullgöras. Syftet har varit att avgränsa uppgiftskrav som inte kan hanteras av Hitta tillstånd eftersom det inte finns information om uppgiftskravet och hur det fullgörs. Totalt avgränsas 194 uppgiftskrav från Bolagsverket (20), Försäkrings- kassan (2), Jordbruksverket (38), Livsmedelsverket (42), Statistiska centralbyrån (1), Skogsstyrelsen (38), Trafikverket (1) och Transportstyrelsen (52).

Avgränsningarna av uppgiftskraven sammanfaller i flera fall vilket innebär att man inte kan addera siffrorna för att få fram antalet uppgiftskrav som ska kartläggas.

6.3.5Information som registreras om uppgiftskraven

Avsnittet beskriver vilken information som finns registrerad om varje uppgiftskrav i Uppgiftskravsregistret i dag och hur det ska vidareutvecklas. Innehållet i registret regleras i den föreslagna för- ordningen om företagensuppgiftslämnande(se kapitel 1).

162

SOU 2015:33

Uppgiftslämnarservice för företagen

För närvarande omfattar Uppgiftskravsregistret sådana uppgifts- krav som har sin grund i lag, förordning eller myndighetsföreskrift. Det innebär att om en myndighet skulle hämta in uppgifter från ett företag utan författningsstöd framgår ett sådant uppgiftsinhämtande inte av registret. Utredningen har inte kartlagt och därmed inte heller bedömt om och i så fall i vilken omfattning det finns en sådan uppgiftsinhämtning. Skulle det föreligga sådan inhämtning skulle även den kunna inkluderas i Uppgiftskravsregistret för att få en hel- täckande bild av företagens uppgiftslämnande till staten.

Den information som registreras i Uppgiftskravsregistret fyller i huvudsak två syften. Det rör sig för det första om att hjälpa företag att hitta de uppgiftskrav som berör dem och för det andra att följa upp uppgiftslämnarbördan. En del av de uppgifter som beskrivs nedan fyller båda dessa syften medan andra endast kartläggs med ett av syftena i fokus.

Uppgifter som beskrivning av uppgiftskravet, information om hur uppgiftskravet fullgörs och var man hittar ytterligare information eller tjänster, syftar i första hand till att förenkla företagens uppgifts- lämnande. Uppgifter om vilka företag som omfattas av ett uppgifts- krav syftar dels till att förenkla genom sök- och filtreringsvariabler, dels till att skapa mera finfördelad statistik om vilka grupper av företag som omfattas av olika krav. Uppgifter om volymer på uppgiftskrav syftar i huvudsak till att vara underlag för att ta fram statistik och identifiera var den största förenklingspotentialen finns.

Innehåll från kartläggning

Här beskrivs innehållet i Uppgiftskravsregistret som det ser ut vid den första lanseringen under våren 2015.

ID – Identifiering för uppgiftskravet för att underlätta sökning för myndigheterna. Visas inte ut mot företaget i tjänsten på verksamt.se.

Uppgiftskrav – Benämning på uppgiftskravet som är så tydlig och enkel att företagen förstår vad uppgiftskravet innebär.

163

Uppgiftslämnarservice för företagen

SOU 2015:33

Verksamhetsområde – Myndighetens verksamhetsområde för uppgifts- kravet, till exempel Jordbruksverket – djurskydd eller Transport- styrelsen – järnväg. Om myndigheten har flera verksamhetsområden eller vill dela upp uppgiftskraven internt så kan detta fält användas för ändamålet. Fältet visas inte ut mot företaget på verksamt.se.

Kravområde – Ett kravområde som myndigheten har definierat. Syftet är att ytterligare kategorisera uppgiftskravet så att listan över möjliga uppgiftskrav som presenteras för företaget inte behöver innehålla irrelevant information. Om Kravområde stämmer överens med Verksamhetsområde kan Verksamhetsområde användas i stället.

Ansvarig myndighet – Myndighet som är ansvarig för ett uppgifts- krav. Samma som kartläggande myndighet utom när man samlar in för en annan myndighets räkning. Om det i lag, förordning eller myndighetsföreskrift framgår att uppgifter i ett uppgiftskrav ska lämnas till en annan myndighet är det den myndigheten som tar emot uppgifterna som är kartläggande myndighet.

Kartläggande myndighet – Myndighet som kartlagt uppgiftskravet. Författningsstöd – Den regel som beskriver innehållet i uppgifts- kravet mest detaljerat. Om det i en föreskrift anges när uppgifts- kravet uppkommer och i en annan vad som ska lämnas gäller alltså det senare författningsstödet.

Författningsstödet ska anges i ett format som underlättar automatiserad behandling. Detta format är uppbyggt genom att författningsförkortningar och relevanta indelningar skiljs åt med mellanslag och att kapitel och paragrafer bara anges numeriskt. För svensk lagstiftning används författningsförkortning, författnings- nummer, kapitel, paragraf, stycke, därefter eventuell bilaga, SJVFS1995:94 15.

Kort beskrivning av uppgiftskravet – För att det ska bli lättare att förstå vad uppgiftskravet handlar om finns en kort beskrivning. Syftet är att företagen ska förstå vad de ska göra och om Uppgifts- kravet berör dem.

164

SOU 2015:33

Uppgiftslämnarservice för företagen

Länk till information om uppgiftskravet – Länk till myndighetens webbplats där information om uppgiftskravet framgår och där företaget kan läsa mer om uppgiftskravet.

Gäller från och med – Datum då uppgiftskravet börjar gälla. Fältet används bara om man vet att ett uppgiftskrav ska börja gälla i fram- tiden.

Gäller till och med – Datum när uppgiftskravet upphör att gälla om det är känt.

Kalenderstyrt – Anger om uppgifter i uppgiftskravet lämnas in en bestämd tidpunkt.

Periodicitet – Anger vid vilken tidpunkt som uppgiften lämnas in om kravet återkommer kalenderstyrt.

Initierande part – Den som ställer upp kravet första gången. Med initierande avses den part som påbörjar handläggningen av ärendet.

Med myndighetsinitierat menas när myndigheten vet om att företaget måste göra något. Myndigheten har i normalfallet känne- dom om att uppgiftskravet har uppstått och agerar på något sätt för att det ska fullgöras. Utanför faller sådant som myndigheten upp- täcker i sin kontroll- eller tillsynsverksamhet.

Med företagsinitierat menas när myndigheten inte vet om vad företaget ska göra och i normalfallet inte agerar utan att företaget först lämnar t.ex. en ansökan. Företaget har det primära ansvaret för att bevaka om uppgiftskravet uppkommer och se till att det fullgörs.

Berör specifik bransch – Anger om uppgiftskravet berör specifik bransch.

Bransch – Anger vilken bransch som berörs i de fall uppgiftskravet riktar sig till specifika branscher. Anges på den översta nivån av SNI2007.

165

Uppgiftslämnarservice för företagen

SOU 2015:33

Arbetsgivare – Anger om uppgiftskravet endast berör arbetsgivare. Med arbetsgivare avses fysisk eller juridisk person som har fysiska personer anställda och som har reglerat ansvar för dessa.

Berör specifika företagsformer – Om uppgiftskravet berör specifika företagsformer.

Företagsform – Om uppgiftskravet endast berör specifik företags- form anges här vilken eller vilka av företagsformerna som avses.

Annan ingivare – Anger om uppgifter som rör uppgiftskravet kan lämnas av ombud för företaget.

Elektronisk blankett – Anger om det finns elektronisk blankett att ladda ner och lämna in med brev, fax eller e-post.

Länk till blankett – Länk direkt till blankett.

E-tjänst – Anger om myndigheten har en e-tjänst som kan användas för uppgiftskravet (automatiserad behandling av uppgifterna där företaget kan navigera, vägledas, ange uppgifter och lämna in online med kvittens). Här avses inte t.ex. pdf-blankett som måste skrivas ut.

Länk till e-tjänst – Länk direkt till e-tjänsten där uppgiftskravet kan fullgöras.

Maskin-till-maskingränssnitt – Anger om myndigheten har ett maskin-till-maskingränssnitt (företaget kan ansluta ett system till ett maskingränssnitt för att lämna uppgifter) som kan användas för insamling av uppgifter i uppgiftskravet.

Övrigt (Hur) – Beskrivning över om det finns övrig relevant information om hur uppgiften samlas in.

Egna noteringar – Möjligt för myndigheten att ange egna noteringar vid behov. Visas inte externt.