reboot
– omstart för den digitala förvaltningen
Slutbetänkande av Utredningen om
effektiv styrning av nationella digitala tjänster
Stockholm 2017
SOU 2017:114
SOU och Ds kan köpas från Norstedts Juridiks kundservice. Beställningsadress: Norstedts Juridik, Kundservice, 106 47 Stockholm Ordertelefon:
Webbadress: www.nj.se/offentligapublikationer
För remissutsändningar av SOU och Ds svarar Norstedts Juridik AB på uppdrag av Regeringskansliets förvaltningsavdelning
Svara på remiss – hur och varför
Statsrådsberedningen, SB PM 2003:2 (reviderad
En kort handledning för dem som ska svara på remiss.
Häftet är gratis och kan laddas ner som pdf från eller beställas på regeringen.se/remisser
Layout: Kommittéservice, Regeringskansliet
Omslag: Elanders Sverige AB
Tryck: Elanders Sverige AB, Stockholm 2018
ISBN
ISSN
Till statsrådet Ardalan Shekarabi
Regeringen beslutade vid regeringssammanträde den 19 maj 2016 att uppdra åt en särskild utredare att analysera och ge förslag till effektiv styrning av utveckling, införande och förvaltning av nationella digi- tala tjänster (dir. 2016:39). Tidigare generaldirektören
Till experter i utredningen förordnades den 24 oktober 2016 kanslirådet Karina Aldén, Finansdepartementet, verksamhetsutveck- laren Emma Bohman, Transportstyrelsen, chefsstrategen digi- talisering Lena Carlsson, Tillväxtverket, juristen Lena Carlsson, Datainspektionen, numera departementssekreteraren Veronica Eckerby, Finansdepartementet, tidigare kanslichefen vid
utvecklaren Magnus Wallström, Skatteverket, kanslirådet Lena Warstrand, Justitiedepartementet, handläggaren Carl Önne, Myndig- heten för samhällsskydd och beredskap, arkitekten Mikael Österlund, eSam.
Anna Fors entledigades från uppdraget som expert från och med den 10 februari 2017 och från och med samma dag förordnades verksamhetsutvecklaren Markus Bill, Försäkringskassan och hand- läggaren Björn Scharin, Post- och telestyrelsen att vara experter i utredningen. Per Mosseby entledigades med verkan från den 1 maj 2017 från uppdraget som expert och från och med samma dag för- ordnades sektionschefen Åsa Zetterberg, Sveriges Kommuner och Landsting att vara expert i utredningen. Den 27 november 2017 entledigades Lena Warstrand från uppdraget att vara expert.
Experterna har bidragit med värdefulla synpunkter på textutkast och på förslagen i betänkandet. Utredningen vill rikta ett särskilt tack till Eva Sartorius, Anna Månsson Nyhlén och Ulf Palmgren för betydelsefulla bidrag till utredningens arbete.
Som huvudsekreterare i utredningen förordnades Christine Annemalm den 22 juni 2016, som sekreterare i utredningen förord- nades Hanna Nilo den 19 augusti 2016, Michiko Muto den 12 september 2016 och Sofia Larsdotter Carlsson den 8 maj 2017. Michiko Mutos anställning upphörde från och med den 31 augusti 2017.
Utredningen som antagit namnet Utredningen om effektiv styr- ning av nationella digitala tjänster, får härmed överlämna sitt slut- betänkande.
Stockholm i december 2017
/Christine Annemalm
Hanna Nilo
Sofia Larsdotter Carlsson
Innehåll
1.2Förslag till lag om infrastruktur för elektronisk
elektronisk identifiering ......................................................... |
1.6Förslag till lag om ändring i lagen (2013:311) om
|
|
identifiering ............................................................................. |
1.7Förslag till förordning med mål för de statliga
myndigheternas digitaliseringsarbete .................................... |
5
Innehåll SOU 2017:114
4.3Översyn av rättsliga förutsättningar för en digitalt
samverkande förvaltning ........................................................ |
|
4.4 En expertgrupp för digitala investeringar ............................. |
6
SOU 2017:114 |
Innehåll |
4.5Skärpta krav och rutiner för svenska
|
identitetshandlingar ................................................................ |
||
Nationell strategi för informations- och cybersäkerhet....... |
|||
En ny säkerhetsskyddslag....................................................... |
|||
Utkontraktering och samordning av |
|||
Offentlig samverkan ............................................................... |
|||
................................................................................... |
|||
Om samverkan ...................– möjligheter och befogenheter |
|||
Samverkan .......................................i ett livscykelperspektiv |
|||
|
Samverkan om idé och utveckling |
||
|
Samverkan i ett förvaltningsstadium |
||
Samverkan .......................................enligt förvaltningslagen |
5.3.1Myndigheterna samverkar inom sina
5.3.2
om samverkan .......................................................... |
5.3.3Avvikande bestämmelser i andra lagar eller
i förordningar........................................................... |
5.4Myndighetsförordningen om statliga myndigheters
samarbete och samverkan ....................................................... |
5.5Förordningen om statliga myndigheters elektroniska
informationsutbyte ................................................................. |
5.6Bestämmelser om kommunernas och landstingens
samverkan ................................................................................ |
||
5.6.2Kommunutredningens förslag om vidgade
möjligheter till avtalssamverkan ............................. |
7
Innehåll |
|
SOU 2017:114 |
|
............................................................... 101 |
6.1Ett tydligt offentligt åtagande är utgångspunkten för
6.2.2Vad kan vara en förvaltningsgemensam digital
6.6.1Förvaltningsövergripande kostnadseffektivitet och förvaltningsgemensamma resurser i en
|
samverkande förvaltning....................................... |
|
6.7 Närmare om statliga myndigheterna under regeringen ..... |
||
|
||
|
sina myndigheter ................................................... |
6.7.2Statsförvaltningen – de förvaltningspolitiska utgångspunkterna för regeringens styrning av
8
SOU 2017:114 |
Innehåll |
7.2 … resultatstyrning ................................................................ |
7.3Förslag till mål för den offentliga förvaltningens
digitaliseringsarbete .............................................................. |
7.3.1Förslag till riksdagsbundet mål för den
|
||
|
||
|
|
|
|
digitaliseringsarbete............................................... |
7.3.3Förslag till mål för de statliga myndigheternas
digitaliseringsarbete............................................... |
7.4Digitaliseringsmyndigheten stödjer regeringen – följer
8.4Avsiktsförklaring mellan staten och Sveriges
9
Innehåll SOU 2017:114
10
13.2.1En elektronisk identitetshandling kan
användas för … ...................................................... |
11
13.5Sätt att anskaffa funktion för elektronisk identitetskontroll är en sak, hur trafiken till följd av
12
SOU 2017:114 |
Innehåll |
14.2 Många initiativ, men vart är vi på väg?................................. |
|
14.2.1 Kvalitetsmärket Svensk |
14.2.2Mer om elektroniska identitetshandlingar på
den svenska marknaden......................................... |
14.3Lagen om infrastruktur för elektronisk identifiering och kvalitetsmärket Svensk elektronisk
14.3.4Kvalitetsmärket Svensk elektronisk
|
identitetshandling .................................................. |
|
|
||
|
||
|
||
|
14.3.7Skyldighet att använda dialogruta för valbara
13
Innehåll SOU 2017:114
15.8.1Den statliga elektroniska identitetshandlingen
är bara för privat bruk … ..................................... |
15.8.2… men kan användas som underlag för arbetsgivaren att skapa en annan elektronisk
14
SOU 2017:114 |
Innehåll |
17.1.2Identifiering med utländsk elektronisk
identitetshandling .................................................. |
17.1.3Skatteverkets rapport, centralt
|
kopplingsregister eller inte?.................................. |
|
|
||
|
||
identitetshandlingar och underskrifter i sina |
||
|
||
|
myndigheternas beredskap.................................... |
17.2.2Vad säger de offentliga myndigheterna själva? .... 305
17.3 Omfattningen av kravet på erkännande .............................. |
17.3.1Vem ska erkänna den elektroniska
identitetshandlingen? ............................................ |
17.3.2När krävs det att utländska elektroniska
|
||
Vad innebär erkännandet?..................................... |
||
17.4 Verksamhetsmässiga konsekvenser ..................................... |
17.4.1De offentliga myndigheterna bör agera
försiktigt................................................................. |
17.4.2Vad berörda offentliga myndigheter
behöver göra .......................................................... |
17.4.3Hur kan de offentliga myndigheterna erbjuda
ännu bättre service? ............................................... |
17.4.4Regeringen ska utse färdledande offentliga
|
myndigheter ........................................................... |
|
|
||
till utländska medborgare på distans automatiseras?.......... |
||
Automatisering av processen ................................ |
17.5.7Framtida utveckling av person- och
samordningsnummer............................................. |
15
Innehåll |
SOU 2017:114 |
17.6.1Digitaliseringsmyndigheten ansvarar för den
svenska offentliga noden ...................................... |
17.6.2Digitaliseringsmyndigheten är personuppgiftsansvarig för behandlingar av
personuppgifter i noden ....................................... |
17.6.3Alla offentliga myndigheter som omfattas av
|
noden ..................................................................... |
|
Incidentrapportering............................................. |
17.6.6Försvarets radioanstalt ska utföra tekniska
18.2.1Behov av elektronisk identitetshandling i
18.3.3Ansvarsfördelning vid anmälan av elektroniska
16
17
Innehåll SOU 2017:114
18
SOU 2017:114 |
Innehåll |
21.8.7Personuppgiftsansvaret för leverantörer av
digitala brevlådetjänster......................................... |
21.8.8Leverantörerna av digitala brevlådetjänster behöver utveckla tjänster för förvaring och
21.11.3Behandling av känsliga personuppgifter
i infrastrukturen för digital post behöver inget
19
23.11Förslag till förordning om ändring i förordningen (2003:770) om statliga myndigheters elektroniska
informationsutbyte (I) ......................................................... |
20
SOU 2017:114 |
Innehåll |
|
|
||
|
||
informationsutbyte (II)........................................................ |
||
Bilagor |
|
|
Bilaga 1 |
Kommittédirektiv 2016:39 ........................................... |
|
Bilaga 2 |
Kommittédirektiv 2016:97 ........................................... |
|
Bilaga 3 |
Europaparlamentets och rådets förordning |
|
|
(EU) nr 910/2014 ......................................................... |
507 |
21
Sammanfattning
Utredningen bedömer att regeringen det senaste året genom en serie olika initiativ har markerat en tydlig förändring av inriktningen av politiken för den digitala förvaltningen. I flera avseenden innebär ini- tiativen en tydlig omprövning av tidigare ställningstaganden. Det som pågår kan därför beskrivas som en omstart – reboot – av politiken för digitalisering inom den offentliga sektorn. De förslag som återges i detta slutbetänkande, liksom förslagen i utredningens delbetänkande, bygger vidare på dessa åtgärder och är avsedda att komplettera dem.
Effektiv styrning
Om styrningen ska vara effektiv måste den riktas direkt till den eller de offentliga myndigheter som ska styras. Styrningen behöver an- passas både till den eller de som ska styras och till den typ av verk- samhet eller de förvaltningsgemensamma digitala funktioner som avses. För detta behöver riksdagen och regeringen använda och utforma en väl balanserad kombination av flera olika styrmedel, både bindande och
Av det skälet bör riksdagen lägga fast ett mål för den offentliga förvaltningens digitalisering. Detta ska ligga till grund för regeringens redovisning till riksdagen och styrningen av de offentliga myndig- heterna. Det bör också finnas ett digitaliseringsmål för alla statliga myndigheter.
23
Sammanfattning |
SOU 2017:114 |
Regeringen behöver fastställa en särskild intern process för att bereda initiativ till samt utvärdera förvaltningsgemensamma digitala funktioner. Regeringen bör vidare besluta om en tidsbestämd över- gripande plan – en strategi – för digitalisering och it i den offentliga förvaltningen samt förnya avsiktsförklaringen om digitalisering med Sveriges Kommuner och Landsting.
Statlig elektronisk identitetshandling
Utredningen bedömer att det bör vara ett statligt åtagande att det finns en tillförlitlig process för grundidentifiering, det vill säga att säkerställa individers identitet. Staten ska också utfärda en elektronisk identitetshandling för att på det viset säkerställa att medborgare och folkbokförda kan få en sådan. Den statliga elektroniska identitets- handlingen ska utfärdas samtidigt med en statlig fysisk identitetshand- ling. Den statliga elektroniska identitetshandlingen ska kunna använ- das för identifiering hos myndigheter men också kunna växlas till en mobil elektronisk identitetshandling. Därmed kan den statliga elektro- niska identitetshandlingen fungera som en backup om t.ex. mobil- telefonen blir obrukbar.
Gränsöverskridande användning av elektroniska identitetshandlingar
Utredningen bedömer att det finns ett behov av att staten säker- ställer att Sverige kan anmäla en elektronisk identitetshandling för användning i Europa enligt
1 Europaparlamentets och rådets förordning (EU) nr 910/2014 av den 23 juli 2014 om elek- tronisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden och om upphävande av direktiv 1999/93/EG.
24
SOU 2017:114 |
Sammanfattning |
Det redan påbörjade nordiska samarbetet är en lämplig början. Regeringen bör ge uppdrag till myndigheter som har särskilt ofta förekommande ärenden rörande nordiska medborgare att delta i och stödja samarbetsprojekt med motsvarande myndigheter i de nordiska och baltiska länderna.
Som ett stöd för arbetet bör Skatteverket få i uppdrag att inrätta ett svenskt register över säkerställda kopplingar mellan europeiska elektroniska identitetshandlingar och svenska personnummer.
Mina meddelanden
Utredningen föreslår att Mina meddelanden ska regleras i en lag om infrastruktur för digital post. Av flera skäl anser utredningen att infrastrukturen Mina meddelanden behöver ännu tydligare reglering än vad som föreslogs i delbetänkandet.2
Anpassningar till dataskyddsförordningen3 och fördelning av per- sonuppgiftsansvaret behöver stöd i lag. Dessutom bör infrastrukturen öppnas upp för privata aktörer som avsändare, vilket också bör regleras i lag.
2SOU 2017:23, digitalforvaltning.nu, s. 33 ff.
3Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).
25
1 Författningsförslag
1.1Förslag till
lag om statlig elektronisk identitetshandling
Härigenom föreskrivs följande.
1 § I denna lag finns bestämmelser om statliga elektroniska iden- titetshandlingar.
2 § En statlig elektronisk identitetshandling kan utfärdas till den som är svensk medborgare eller folkbokförd i Sverige enligt folk- bokföringslagen (1991:481).
3 § En statlig elektronisk identitetshandling innehåller följande upp- gifter om en individ:
–nuvarande efternamn
–nuvarande förnamn
–födelsedatum
–personnummer
Regeringen eller den myndighet som regeringen bestämmer får besluta om att lägga till andra uppgifter om en individ i den elek- troniska identitetshandlingen.
4 § En statlig elektronisk identitetshandling ska utfärdas på den högsta svenska tillitsnivån enligt tillitsramverket i lagen om infra- struktur för elektronisk identifiering och kvalitetsmärket Svensk elektronisk identitetshandling.
En statlig elektronisk identitetshandling ska utformas enligt de tekniska specifikationerna i lagen om infrastruktur för elektronisk
27
Författningsförslag SOU 2017:114
identifiering och kvalitetsmärket Svensk elektronisk identitets- handling.
5 § En statlig elektronisk identitetshandling ska finnas på de fysis- ka identitetshandlingar som regeringen bestämmer.
En statlig elektronisk identitetshandling har samma giltighetstid som den fysiska identitetshandling som den finns på.
6 § Ansökan om en statlig elektronisk identitetshandling ska göras hos de myndigheter (utfärdande myndigheter) som regeringen be- stämmer.
7 § Ansökan om en statlig elektronisk identitetshandling ska göras i samband med ansökan om en fysisk identitetshandling. Uppgif- terna i ansökan ska avges på heder och samvete eller under annan sådan försäkran. Sökanden är skyldig att inställa sig personligen.
8 § Sökanden är skyldig att i samband med ansökan om en statlig elektronisk identitetshandling styrka sin identitet och övriga per- sonuppgifter.
9 § En ansökan om en statlig elektronisk identitetshandling ska avslås om förutsättningarna i 8 § inte är uppfyllda eller det som har föreskrivits av regeringen i fråga om ansökan inte har iakttagits och sökanden inte har följt en uppmaning att avhjälpa bristen.
10 § Regeringen eller de myndigheter som regeringen bestämmer får meddela ytterligare föreskrifter om ansökan och utfärdande av statliga elektroniska identitetshandlingar.
11 § Statliga myndigheter, kommuner och landsting ska erkänna identifiering med den statliga elektroniska identitetshandlingen i de
12 § Användare får använda den statliga elektroniska identitets- handlingen som underlag vid ansökan om en annan elektronisk identitetshandling.
28
SOU 2017:114 |
Författningsförslag |
13 § Regeringen eller de myndigheter som regeringen bestämmer får uppställa villkor för när en statlig elektronisk identitetshandling får användas som underlag för ansökan om en annan elektronisk identitetshandling.
14 § När en statlig elektronisk identitetshandling används som underlag vid ansökan om en elektronisk identitetshandling hos en annan utfärdare av elektroniska identitetshandlingar ska denne in- formera den utfärdande myndigheten.
15 § Den utfärdande myndigheten ska registrera vilka andra elek- troniska identitetshandlingar som har skapats med den statliga elek- troniska identitetshandlingen som underlag.
16 § En statlig elektronisk identitetshandling ska spärras om
–det fanns hinder mot att utfärda den statliga elektroniska iden- titetshandlingen vid tiden för utfärdandet och hindret fortfarande består,
–någon väsentlig uppgift som framgår av den statliga elektro- niska identitetshandlingen är felaktig och inte längre gäller, eller
–någon annan än den som den statliga elektroniska identitets- handlingen är utställd till förfogar över den statliga elektroniska identitetshandlingen.
17 § Om en statlig elektronisk identitetshandling spärras ska den utfärdande myndigheten informera de utfärdare av elektroniska identitetshandlingar, som har använt den statliga elektroniska iden- titetshandlingen som underlag om detta.
18 § Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om förfarandet vid spärr av statliga elek- troniska identitetshandlingar.
19 § Beslut enligt denna lag får överklagas till allmän förvaltnings- domstol.
Prövningstillstånd krävs vid överklagande till kammarrätt.
29
Författningsförslag |
SOU 2017:114 |
20 § Beslut enligt denna lag gäller omedelbart, om inte något annat anges i beslutet.
Denna lag träder i kraft den 1 januari 2020.
30
SOU 2017:114 |
Författningsförslag |
1.2Förslag till
lag om infrastruktur för elektronisk identifiering och kvalitetsmärket Svensk elektronisk identitetshandling
Härigenom föreskrivs följande.
1 § I denna lag finns bestämmelser om infrastruktur för elektro- nisk identifiering och kvalitetsmärket Svensk elektronisk identi- tetshandling.
I infrastrukturen för elektronisk identifiering ingår:
1.tillitsramverk,
2.tekniska specifikationer för elektronisk identifiering,
3.register med utfärdare och förlitande aktörer samt
4.modell för dialogruta med valbara elektroniska identitets- handlingar.
Svensk elektronisk identitetshandling är ett kvalitetsmärke för elektroniska identitetshandlingar som har granskats och godkänts mot tillitsramverket och de tekniska specifikationerna.
2 § I lagen avses med
1. användare: den som har en elektronisk identitetshandling,
2. elektronisk identitetshandling: en värdehandling som en använ- dare kan använda för att identifiera sig elektroniskt,
3. fysisk bärare: en fysisk identitetshandling, en koddosa eller liknande,
4. mobil bärare: exempelvis en smarttelefon eller en surfplatta, 5. förlitande aktör: den som behöver verifiera en användares upp-
gifter vid identifiering mot en
6. utfärdare: den som utfärdar en elektronisk identitetshandling till en användare,
7. tillitsramverk: ett graderat ramverk för tillförlitlighet i utfär- dade elektroniska identitetshandlingar,
8. tillitsnivå: en nivå inom tillitsramverket,
9. tekniska specifikationer: tekniska krav som ställs på elek- tronisk identifiering,
31
Författningsförslag |
SOU 2017:114 |
10. modell för dialogruta med valbara elektroniska identitetshand- lingar: gruppering av elektroniska identitetshandlingar som har kvali- tetsmärket Svensk elektronisk identitetshandling och som presenterar dessa för användaren när denne ska identifiera sig elektroniskt.
Tillitsramverk
3 § Det ska finnas ett tillitsramverk för elektroniska identitets- handlingar, som löpande ska anpassas till väletablerade standarder och utvecklingen i övrigt samt de hot och risker som kan upp- komma på området.
4 § Den myndighet som regeringen bestämmer ska förvalta och utveckla tillitsramverket enligt 3 §.
Tekniska specifikationer
5 § Det ska finnas tekniska specifikationer för elektronisk identi- fiering, som löpande ska anpassas till väletablerade standarder, ut- vecklingen i övrigt, samt de hot och risker som kan uppkomma på området.
6 § Den myndighet som regeringen bestämmer ska förvalta och utveckla de tekniska specifikationerna enligt 5 §.
Kvalitetsmärket Svensk elektronisk identitetshandling
7 § Utfärdare av elektroniska identitetshandlingar kan ansöka om att granskas mot tillitsramverket enligt 3 § och de tekniska specifi- kationerna enligt 5 §. Den som uppfyller kraven på tillitsnivåerna och de tekniska specifikationerna ska godkännas.
8 § Godkända elektroniska identitetshandlingar får som ett tillägg till egen benämning även använda kvalitetsbenämningen Svensk elektronisk identitetshandling.
32
SOU 2017:114 |
Författningsförslag |
9 § Ansökan om att granskas mot tillitsramverket och de tekniska specifikationerna ska göras hos den myndighet som regeringen be- stämmer. Samma myndighet ska godkänna att en elektronisk iden- titetshandling får använda kvalitetsbenämningen Svensk elektronisk identitetshandling.
Register med utfärdare av elektroniska identitetshandlingar och förlitande aktörer
10 § Det ska finnas ett register över utfärdare av elektroniska iden- titetshandlingar med kvalitetsmärket Svensk elektronisk identitets- handling och förlitande aktörer som är anslutna till valfrihets- system enligt lagen om valfrihetssystem i fråga om funktioner för elektronisk identitetskontroll.
11 § Den myndighet som regeringen bestämmer ska förvalta och utveckla registret enligt 10 §.
12 § Förlitande aktörer som är anslutna till valfrihetssystem enligt lagen om valfrihetssystem i fråga om funktioner för elektronisk identitetskontroll ska registreras i registret med utfärdare och för- litande aktörer.
Modell för dialogruta med valbara elektroniska identitetshandlingar
13 § Det ska finnas en modell för dialogruta med valbara elektro- niska identitetshandlingar. En dialogruta med valbara elektroniska identitetshandlingar ska visa de elektroniska identitetshandlingar som ingår i valfrihetssystem som tillhandahålls enligt lagen om valfri- hetssystem i fråga om funktioner för elektronisk identitetskontroll samt den statliga elektroniska identitetshandlingen.
14 § Den myndighet som regeringen bestämmer ska förvalta och utveckla modellen enligt 13 §.
33
Författningsförslag |
SOU 2017:114 |
15 § Statliga myndigheter, kommuner och landsting ska använda modellen för dialogruta med valbara elektroniska identitetshand- lingar i de
16 § Regeringen får besluta om undantag till skyldigheten i 15 § om det finns särskilda skäl.
Denna lag träder i kraft den 1 januari 2020.
34
SOU 2017:114 |
Författningsförslag |
1.3Förslag till
lag om infrastruktur för digital post
Härigenom föreskrivs följande.
Allmänna bestämmelser
1 § Den myndighet som regeringen bestämmer (myndigheten) ska tillhandahålla en infrastruktur för digital post.
2 § Denna lag gäller vid behandling av personuppgifter inom infra- strukturen. Vid sådan behandling gäller lagen endast om behand- lingen är helt eller delvis automatiserad eller om personuppgifterna ingår eller är avsedda att ingå i en strukturerad samling av person- uppgifter som är tillgängliga för sökning eller sammanställning en- ligt särskilda kriterier.
3 § I denna lag avses med
1.ankomstkontroll: att leverantören av brevlådetjänster för digital post utför kontroll mot förmedlingsadressregistret att avsändaren är ansluten.
2.avsändare: offentlig myndighet eller juridisk person som skickar digital post till en mottagare inom infrastrukturen.
3.avsändningskontroll: att avsändaren utför kontroll mot för- medlingsadressregistret att mottagaren är ansluten till infrastruktu- ren, i så fall hos vilken leverantör mottagarens brevlådetjänst för digital post finns samt att avsändaren får sända digital post till mot- tagaren.
4.brevlådetjänster för digital post: den del inom infrastrukturen som lagrar digital post efter att den har gjorts tillgänglig för mot- tagaren.
5.digital post: meddelanden genom digitala kanaler mellan olika aktörer i infrastrukturen.
6.förmedlare: en juridisk person eller en individ som utför upp- drag åt en avsändare genom att vidarebefordra digital post.
7.förmedlingsadressregister: det register som innehåller uppgifter, däribland personuppgifter, om de anslutna i infrastrukturen.
35
Författningsförslag |
SOU 2017:114 |
8.leverantör av brevlådetjänster för digital post: en juridisk per- son eller en individ som tillhandahåller brevlådetjänster för digital post.
9.mottagare: individer och företag som anslutit sig till förmed- lingsadressregistret och i sin brevlådetjänst för digital post tar emot digital post inom infrastrukturen.
10.privat utförare: en juridisk person eller en individ som har hand om en kommunal angelägenhet.
I övrigt gäller definitioner i lagen med kompletterande bestämmel- ser till EU:s dataskyddsförordning (dataskyddslagen).
4 § Infrastrukturen består av förmedlingsadressregister, brevlådor för digital post, valfrihetssystem enligt lagen om valfrihet om elektroniska brevlådor samt vad regeringen, eller den myndighet regeringen bestämmer, har beslutat i form av föreskrifter.
5 § Myndigheten får tillhandahålla brevlådetjänster för digital post till mottagare som enbart tar emot digital post från avsändare enligt 11 §.
6 § Till stöd för förmedling av digital post får myndigheten föra ett förmedlingsadressregister över anslutna enligt
Om rätten att få meddelande från myndighet via infrastrukturen
7 § Om en ansluten mottagare begärt att en statlig myndighet ska sända digital post genom infrastrukturen får detta underlåtas endast om särskilda skäl finns.
36
SOU 2017:114 |
Författningsförslag |
Förhållandet till annan lagstiftning
8 § Denna lag innehåller bestämmelser som kompletterar Europa- parlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).
Vid behandling av personuppgifter enligt denna lag gäller lagen med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats med anslutning till den.
Ändamål
9 § Personuppgifter får bara behandlas om det behövs för att
1.hantera digital post i syfte att kunna utföra en arbetsuppgift inom en författningsreglerad verksamhet hos någon av de som an- slutit sig till infrastrukturen, eller
2.lagra och bearbeta digital post som avses i 1 p. i syfte att erbjuda tilläggstjänster för brevlådeinnehavarna.
10 § Personuppgifter som behandlas eller har behandlats enligt 9 § får även behandlas om det behövs för att fullgöra uppgiftslämnande i överensstämmelse med lag eller förordning.
I ett enskilt fall får personuppgifter som behandlas eller har be- handlats enligt 9 § även behandlas för att tillhandahålla information för något annat ändamål än det som anges, under förutsättning att ändamålet inte är oförenligt med det ändamål för vilket uppgifterna samlades in.
Anslutning
11 § Till infrastrukturen ska som avsändare anslutas myndigheter under regeringen om inte regeringen har beslutat annat. Till infra- strukturen får kommuner och landsting ansluta sig som avsändare. Vidare får privata utförare av kommunala angelägenheter ansluta sig som avsändare enligt vad som föreskrivs i denna lag.
37
Författningsförslag |
SOU 2017:114 |
Regeringen får besluta att som avsändare får företag och organisa- tioner som utför en uppgift av allmänt intresse ansluta sig. Regeringen får besluta om att denna anslutning ska villkoras med att företaget eller organisationen ska ha avtal med leverantör av brevlådetjänster för digital post.
12 § Till infrastrukturen får individer och företag ansluta sig som mottagare om de anmält att de vill ta emot digital post från an- slutna avsändare. Varje mottagare har genom sin anmälan tillgång till en brevlådetjänst för digital post.
13 § Till infrastrukturen får leverantör av brevlådetjänster för digi- tal post ansluta sig.
14 § Den som ansluter sig till infrastrukturen ska registreras i för- medlingsadressregistret.
Avsändnings- och ankomstkontroll
15 § Avsändare ska före sändning av digital post kontrollera i för- medlingsadressregistret om mottagaren är ansluten till infrastruk- turen och i så fall hos vilken leverantör mottagarens brevlådetjänst för digital post finns samt att avsändaren får sända digital post till mottagaren. Om mottagaren inte är ansluten till infrastrukturen eller inte tar emot meddelanden från den aktuella avsändaren får den digitala posten inte sändas via infrastrukturen.
16 § Förmedlare ska före sändning av digital post kontrollera i för- medlingsadressregistret om mottagaren fortfarande är ansluten till infrastrukturen och om avsändaren får sända digital post till mot- tagaren. Om mottagaren inte är ansluten till infrastrukturen eller inte tar emot meddelanden från den aktuella avsändaren får den digitala posten inte sändas via infrastrukturen.
38
SOU 2017:114 |
Författningsförslag |
17 § Leverantör av brevlådetjänster för digital post ska vid ankomst av digital post kontrollera i förmedlingsadressregistret att avsändaren fortfarande är ansluten till infrastrukturen. Om avsändaren inte är ansluten eller har något civilrättsligt avtal med mottagaren om digital brevlådetjänst ska meddelandet inte mottas.
Personuppgiftsansvar
18 § Myndigheten är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför när den tillhandahåller förmedlingsadressregistret.
19 § Avsändaren är personuppgiftsansvarig för behandling av per- sonuppgifter till dess att leverantör av brevlådetjänster för digital post genom ankomstkontroll godkänt mottagandet enligt 17 §.
Avsändaren är vidare personuppgiftsansvarig för behandling av uppgifter som leverantören utför på avsändarens begäran efter att meddelandet gjorts tillgängligt för mottagaren.
20 § Leverantör av brevlådetjänster för digital post är personupp- giftsansvarig för behandling av uppgifter efter att ankomstkontroll genomförts med undantag för förhållanden enligt 19 § andra stycket.
Leverantören är vidare personuppgiftsansvarig för behandling av uppgift som denne erbjuder mottagaren.
Anslutning av privata utförare av kommunala angelägenheter
21 § Privata utförare av kommunala angelägenheter får ansluta sig på begäran av kommun eller landsting som är ansluten till infra- strukturen. När utförarens uppdrag har upphört ska kommunen an- mäla detta till den myndighet som regeringen beslutar för att ta bort registreringen på den privata utföraren som avsändare i förmed- lingsadressregistret.
En förutsättning för anmälan ska vara att kommunen eller lands- tinget är ansluten samt har kommit överens med utföraren att denne ska använda infrastrukturen.
Kommunen eller landstinget ska kontrollera att utföraren an- vänder infrastrukturen på avsett sätt. Om kommunen eller lands-
39
Författningsförslag |
SOU 2017:114 |
tinget finner att utföraren brister härvidlag eller då uppdraget upp- hör ska anmälan återkallas.
Föreskrifter
22 § Regeringen eller den myndighet som regeringen bestämmer får med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om
1.inrättande och drift av infrastrukturen,
2.den längsta tid under vilken personuppgifter får behandlas,
3.säkerhetsåtgärder till skydd för personuppgifter,
4.behörighets- och sökbegränsningar, och
5.vilka verksamheter som regeringen vill ge möjlighet att ansluta som avsändare i infrastrukturen samt villkor för dem.
Ersättning till leverantör av brevlådetjänster för digital post
23 § När myndigheten tillämpar lagen om valfrihet om digitala brev- lådor ska regeringen eller den myndighet regeringen bestämmer fastställa ersättning till leverantör av brevlådetjänster för digital post anslutna enligt 13 §. Vad som där fastställs ska inte tillämpas för den som anslutits enligt 11 § andra stycket.
Denna lag träder i kraft den 1 juli 2019.
40
SOU 2017:114 |
Författningsförslag |
1.4Förslag till
lag om valfrihet om digitala brevlådor
Härigenom föreskrivs följande.
1 § Skatteverket får besluta att tillhandahålla valfrihetssystem för digitala brevlådor enligt lagen om infrastruktur för digital post. Med valfrihetssystem menas ett förfarande där mottagaren har rätt att välja den leverantör som ska utföra tjänsten och som Skatte- verket har godkänt och tecknat avtal med.
2 § När Skatteverket tillhandahåller valfrihetssystem enligt denna lag ska myndigheten tillämpa lagen (2008:962) om valfrihetssystem. I stället för det som sägs i 2 kap. 3 § första meningen, 6 och 7 §§ lagen om valfrihetssystem ska med
1.leverantör avses den som på marknaden tillhandahåller tjäns- ter som nämns i 1 §,
2.tjänst avses sådan tjänst som nämns i 1 §, och
3.upphandlande myndighet avses Skatteverket.
Denna lag träder i kraft den 1 juli 2019.
41
Författningsförslag |
SOU 2017:114 |
1.5Förslag till
lag om ändring i lagen (2016:561) med kompletterande bestämmelser till EU:s förordning om elektronisk identifiering
Härigenom föreskrivs i fråga om lagen (2016:561) med komplet- terande bestämmelser till EU:s förordning om elektronisk identi- fiering att det i lagen ska införas nio nya paragrafer, tre nya rubriker samt en ny rubriknivå med följande lydelse.
Nuvarande lydelse |
Föreslagen lydelse |
|
Tillsynsmyndigheten |
5 §
Tillsynsmyndigheten har rätt att på begäran få de upplysningar och handlingar som behövs för tillsynen.
Tillsynsmyndigheten har också rätt att få tillträde till områden, lokaler och andra utrymmen, dock inte bostäder, där verksamhet som står under tillsyn bedrivs.
Tillsynsmyndigheten har rätt att få biträde av Kronofogdemyn- digheten för tillsyn enligt första och andra styckena.
Avgifter |
Avgifter |
7 §
Regeringen eller, efter regeringens bemyndigande, tillsynsmyn- digheten får meddela föreskrifter om skyldighet för tillhandahållare av betrodda tjänster att betala avgift för tillsynsmyndighetens verk- samhet enligt denna lag.
Överklagande |
Överklagande |
8 §
Tillsynsmyndighetens beslut enligt EU:s förordning om elek- tronisk identifiering och rättsakter som har meddelats med stöd av den förordningen, samt enligt denna lag och föreskrifter som har
42
SOU 2017:114 |
Författningsförslag |
meddelats med stöd av lagen, får överklagas till allmän förvaltnings- domstol.
Prövningstillstånd krävs vid överklagande till kammarrätten.
Noden
9 §
Den myndighet som regeringen utser (nodmyndigheten) ska an- svara för att tillhandahålla en offentlig förbindelsepunkt (nod) för gränsöverskridande elektro- nisk identifiering och att den fun- gerar i enlighet med EU:s förord- ning om elektronisk identifiering och rättsakter som har meddelats med stöd av den förordningen.
Regeringen eller, efter reger- ingens bemyndigande, nodmyn- digheten får meddela föreskrifter om noden.
10 §
För att användare ska kunna identifieras får nodmyndigheten behandla de personuppgifter som kommer till noden. Vilka person- uppgifter som kommer till noden regleras i bilagan till Kommis- sionens genomförandeförordning (EU) 2015/1501.
Nodmyndigheten är person- uppgiftsansvarig för de behand- lingar av personuppgifter som ut- förs i noden.
43
Författningsförslag |
SOU 2017:114 |
11 §
Nodmyndigheten får behandla (tekniska) uppgifter för de aktörer vars uppgifter ska behandlas av noden. Myndigheten får även be- handla de personuppgifter som är nödvändiga för att säkerställa be- hörigheter för aktörernas ombud.
12 §
Alla myndigheter som, för att ge åtkomst till sina nättjänster, omfattas av kraven på elektronisk identifiering enligt EU:s förord- ning om elektronisk identifiering, ska ansluta till den svenska offent- liga noden.
Myndigheter som inte omfattas av förordningens krav får ansluta till den svenska offentliga noden.
13 §
Privata aktörer får ansluta till den svenska offentliga noden.
Regeringen eller, efter reger- ingens bemyndigande, nodmyn- digheten får meddela föreskrifter om skyldighet för privata aktörer att betala avgift för att ansluta till noden enligt denna lag.
14 §
Alla som är anslutna till noden ska utan otillbörligt dröjsmål un- derrätta nodmyndigheten om alla händelser som påverkat funktio- nalitet eller säkerhet i noden.
44
SOU 2017:114 |
Författningsförslag |
Anmälan av svenska medel för elektronisk identifiering
15 §
Den myndighet som reger- ingen utser ansvarar för anmälan av svenska medel för elektronisk identifiering för gränsöverskridan- de elektronisk identifiering enligt EU:s förordning om elektronisk identifiering. (anmälande myn- dighet)
Regeringen eller den myndig- het som regeringen bemyndigar får meddela föreskrifter om hur anmälan ska gå till.
16§
För att kunna anmälas för
gränsöverskridande elektronisk identifiering ska ett svenskt medel för elektronisk identifiering
1.vara kvalitetsgranskat av digitaliseringsmyndigheten,
2.endast utfärdas till medbor- gare eller folkbokförda i Sverige,
3.ingå i valfrihetssystem enligt lagen (2013:311) om valfrihets- system i fråga om tjänster för elektronisk identifiering, och
4.vara utfärdat av en aktör som har tecknat försäkring som täcker ersättning för skada som åsamkats fysiska eller juridiska per- soner avsiktligt eller på grund av oaktsamhet genom underlåtenhet att uppfylla de skyldigheter som avses i artikel 7 i EU:s förordning om elektronisk identifiering.
45
Författningsförslag |
SOU 2017:114 |
17 §
Anmälande myndighet ansva- rar även för att tillfälligt upphäva, återkalla, återinföra och dra till- baka elektroniska identitetshand- lingar vid säkerhetsincidenter en- ligt artikel 10 i EU:s förordning om elektronisk identifiering.
Denna lag träder i kraft den 29 september 2018.
46
SOU 2017:114 |
Författningsförslag |
1.6Förslag till
lag om ändring i lagen (2013:311) om valfrihetssystem i fråga om tjänster för elektronisk identifiering
Härigenom föreskrivs att rubriken till lagen (2013:311) om val- frihetssystem i fråga om tjänster för elektronisk identifiering samt 1, 2, 4, 11, 16, 19 och 22 §§ ska ha följande lydelse.
Nuvarande lydelse |
Föreslagen lydelse |
Lag om valfrihetssystem i fråga om tjänster för elektronisk iden- tifiering
Lag om valfrihetssystem i fråga om funktioner för elektronisk identitetskontroll
|
1 §4 |
|
|
|
|
|
|
I denna lag finns bestämmel- |
|
I denna lag finns bestämmel- |
|||||
ser om tillämpning av valfrihets- |
ser om tillämpning av valfrihets- |
||||||
system i fråga om tjänster för |
system i fråga om funktioner för |
||||||
elektronisk identifiering. |
elektronisk identitetskontroll. |
|
|||||
Lagen gäller när en upphand- |
|
Den myndighet som reger- |
|||||
lande myndighet har |
ingen bestämmer (den upphand- |
||||||
1. beslutat att tillämpa valfri- |
lade myndigheten) ska till- |
||||||
hetssystem i fråga om tjänster för |
handahålla |
valfrihetssystem |
för |
||||
elektronisk identifiering av en- |
funktioner för elektronisk identi- |
||||||
skilda i myndighetens elektro- |
tetskontroll. |
|
|
|
|
||
niska tjänster, |
|
|
Statliga |
myndigheter, kom- |
|||
2. anslutit |
sig till ett system |
muner och landsting med behov |
|||||
för säker elektronisk identifiering |
av |
funktioner |
för |
elektronisk |
|||
som tillhandahålls av den myn- |
identitetskontroll ska ansluta sig |
||||||
dighet som regeringen bestäm- |
till |
valfrihetssystem |
som |
den |
|||
mer, och |
|
upphandlande myndigheten |
till- |
||||
3. uppdragit åt den myndighet |
handahåller. |
|
|
|
|||
som avses i 2 att i den upp- |
|
Regeringen |
får |
besluta |
om |
||
handlande myndighetens namn |
undantag |
från |
skyldigheten i |
||||
administrera |
valfrihetssystemet |
andra stycket om det finns sär- |
|||||
enligt |
skilda skäl. |
|
|
|
|
4 Senaste lydelse 2013:311.
47
Författningsförslag |
SOU 2017:114 |
samband med mål om rättelse enligt 16 § och i förekommande fall vidta rättelse enligt 17 §.
2 §5
Med valfrihetssystem avses i denna lag ett förfarande där den enskilde har rätt att välja den leverantör som ska utföra tjäns- ten och som en upphandlande myndighet har godkänt och teck- nat kontrakt med.
Termerna upphandlingsdoku- ment, kontrakt och upphand- lande myndighet har i denna lag samma betydelse som i lagen (2016:1145) om offentlig upp- handling.
4 §6
En upphandlande myndighet |
När den upphandlande myn- |
som har beslutat att inrätta eller |
digheten har beslutat att inrätta |
förändra ett valfrihetssystem ska |
eller förändra ett valfrihetssystem |
annonsera på en nationell webb- |
ska det annonseras på en natio- |
plats som har upprättats för ända- |
nell webbplats som har upprättats |
målet. Ansökningar ska löpande |
för ändamålet. Ansökningar ska |
begäras in genom sådan annon- |
löpande begäras in genom sådan |
sering. |
annonsering. |
Upphandlingsdokumenten ska |
Upphandlingsdokumenten ska |
finnas tillgängliga på webbplat- |
finnas tillgängliga på webbplatsen |
sen tillsammans med annonsen. |
tillsammans med annonsen. |
5Senaste lydelse 2016:1161.
6Senaste lydelse 2016:1161.
48
SOU 2017:114 Författningsförslag
|
|
|
|
|
|
11 §7 |
|
|
|
|
|
Den upphandlande myndighe- |
Den upphandlande myndighe- |
||||||||||
ten får begära att sökanden visar |
ten får begära att sökanden visar |
||||||||||
att det inte finns någon grund |
att det inte finns någon grund |
||||||||||
för att utesluta denne med stöd |
för att utesluta denne med stöd |
||||||||||
av 10 § första stycket 1, 2 eller 5. |
av 10 § första stycket 1, 2 eller 5. |
||||||||||
Den upphandlande myndig- |
Den upphandlande myndig- |
||||||||||
heten ska som bevis för att det |
heten ska som bevis för att det |
||||||||||
inte finns grund för att utesluta |
inte finns grund för att utesluta |
||||||||||
en sökande godta utdrag ur ett |
en sökande godta utdrag ur ett |
||||||||||
officiellt register |
eller |
annan |
officiellt register |
eller |
annan |
||||||
likvärdig handling när det gäller |
likvärdig handling när det gäller |
||||||||||
ett förhållande som avses i 10 § |
ett förhållande som avses i 10 § |
||||||||||
första stycket 1 eller 2 och intyg |
första stycket 1 eller 2 och intyg |
||||||||||
från en behörig myndighet när |
från en behörig myndighet när |
||||||||||
det gäller ett förhållande som |
det gäller ett förhållande som |
||||||||||
avses i 10 § första stycket 5. |
avses i 10 § första stycket 5. |
||||||||||
Om, i fråga om en sökande |
Om, i fråga om en sökande |
||||||||||
som inte är medborgare i eller |
som inte är medborgare i eller |
||||||||||
bosatt i Sverige, sådana hand- |
bosatt i Sverige, sådana hand- |
||||||||||
lingar |
eller |
intyg som |
avses |
lingar |
eller |
intyg som |
avses |
||||
i andra |
stycket |
inte |
utfärdas |
i andra |
stycket |
inte |
utfärdas |
||||
i sökandens |
hemland |
eller ur- |
i sökandens |
hemland |
eller ur- |
||||||
sprungsland, |
eller |
inte |
omfattar |
sprungsland, |
eller |
inte |
omfattar |
||||
samtliga de fall som avses i 10 § |
samtliga de fall som avses i 10 § |
||||||||||
första stycket 1, 2 och 5, får de |
första stycket 1, 2 och 5, får de |
||||||||||
ersättas med en utsaga som har |
ersättas med en utsaga som har |
||||||||||
avgetts på heder och samvete |
avgetts på heder och samvete |
||||||||||
eller av en liknande försäkran. En |
eller av en liknande försäkran. En |
||||||||||
sådan sökande får också före- |
sådan sökande får också före- |
||||||||||
läggas att visa att det inte finns |
läggas att visa att det inte finns |
||||||||||
grund för att utesluta denne med |
grund för att utesluta denne med |
||||||||||
stöd av 10 § första stycket 3 eller |
stöd av 10 § första stycket 3 eller |
||||||||||
andra stycket. |
|
|
|
andra stycket. |
|
|
|
||||
Om en sökande är registre- |
Om en sökande är registre- |
||||||||||
rad i en officiell förteckning |
rad i en officiell förteckning |
||||||||||
över godkända tjänstetillhanda- |
över godkända tillhandahållare |
7 Senaste lydelse 2013:311.
49
Författningsförslag |
SOU 2017:114 |
hållare i ett land inom Euro- peiska ekonomiska samarbets- området, ska den upphandlande myndigheten utgå från att sö- kanden inte kan uteslutas som leverantör enligt 10 § första stycket
av identitetskontroll i ett land inom Europeiska ekonomiska samarbetsområdet, ska den upp- handlande myndigheten utgå från att sökanden inte kan ute- slutas som leverantör enligt 10 § första stycket
16 §8
En leverantör som gör gällan- de att en upphandlande myndig- het har brutit mot en bestäm- melse i denna lag, får ansöka om rättelse hos allmän förvaltnings- domstol.
Endast den sökande som inte har godkänts får ansöka om rättelse av beslut enligt 12 §.
En ansökan om rättelse ska vara skriftlig.
En leverantör som gör gällan- de att den upphandlande myndig- heten har brutit mot en bestäm- melse i denna lag, får ansöka om rättelse hos allmän förvaltnings- domstol.
Endast den sökande som inte har godkänts får ansöka om rättelse av beslut enligt 12 §.
En ansökan om rättelse ska vara skriftlig.
19 §9
En upphandlande myndighet som inte har följt bestämmelser- na i denna lag ska ersätta sökan- den för därigenom uppkommen skada.
Talan om skadestånd ska väckas vid allmän domstol.
En skadeståndstalan som grundar sig på ett beslut att inte godkänna en sökande ska väckas inom ett år från dagen för be- slutet. Väcks inte talan i tid, är rätten till skadestånd förlorad.
Om den upphandlande myn- digheten inte har följt bestämmel- serna i denna lag ska myndig- heten ersätta sökanden för därigenom uppkommen skada.
Talan om skadestånd ska väckas vid allmän domstol.
En skadeståndstalan som grundar sig på ett beslut att inte godkänna en sökande ska väckas inom ett år från dagen för be- slutet. Väcks inte talan i tid, är rätten till skadestånd förlorad.
8Senaste lydelse 2013:311.
9Senaste lydelse 2013:311.
50
SOU 2017:114 Författningsförslag
|
|
|
22 §10 |
|
|
|
Den myndighet som reger- |
Den myndighet som reger- |
|||||
ingen bestämmer utövar tillsyn |
ingen bestämmer utövar tillsyn |
|||||
över att denna lag följs. |
|
över att denna lag följs. |
|
|||
Tillsynsmyndigheten |
får in- |
Tillsynsmyndigheten |
får in- |
|||
hämta sådana upplysningar som |
hämta sådana upplysningar som |
|||||
är nödvändiga för tillsynen från |
är nödvändiga för tillsynen från |
|||||
en upphandlande myndighet och |
den upphandlande myndigheten |
|||||
från den myndighet som avses i |
och från den myndighet som avses |
|||||
1 § |
andra |
stycket 2. |
Upplys- |
i 1 § |
tredje stycket. |
Upplys- |
ningarna ska i första hand in- |
ningarna ska i första hand in- |
|||||
hämtas genom ett skriftligt för- |
hämtas genom ett skriftligt för- |
|||||
farande. Om det på grund av |
farande. Om det på grund av |
|||||
materialets omfång, brådska eller |
materialets omfång, brådska eller |
|||||
något annat förhållande är lämp- |
något annat förhållande är lämp- |
|||||
ligare, får upplysningarna i stäl- |
ligare, får upplysningarna i stäl- |
|||||
let inhämtas genom besök hos |
let inhämtas genom besök hos |
|||||
den upphandlande myndigheten |
den upphandlande myndigheten |
|||||
eller den myndighet som avses i |
eller den myndighet som avses i |
|||||
1 § andra stycket 2. |
|
1 § tredje stycket. |
|
|||
En upphandlande myndighet |
Den |
upphandlande |
myndig- |
|||
och den myndighet som avses i |
heten och den myndighet som |
|||||
1 § andra stycket 2 är skyldig att |
avses i 1 § tredje stycket är skyl- |
|||||
tillhandahålla |
de upplysningar |
dig att tillhandahålla de upplys- |
||||
som |
tillsynsmyndigheten begär |
ningar som tillsynsmyndigheten |
||||
för sin tillsyn. |
|
begär för sin tillsyn. |
|
Denna lag träder i kraft den 1 januari 2020.
10 Senaste lydelse 2013:311.
51
Författningsförslag |
SOU 2017:114 |
1.7Förslag till
förordning med mål för de statliga myndigheternas digitaliseringsarbete
Härigenom föreskrivs följande
Förordningens tillämpningsområde
1 § Denna förordning gäller för myndigheterna under regeringen.
Mål för de statliga myndigheternas digitaliseringsarbete
2 § Målet för de statliga myndigheternas digitaliseringsarbete är att den statliga förvaltningens användning av digitala medel ska leda till att det blir så enkelt som möjligt för så många som möjligt att utöva sina rättigheter och fullgöra sina skyldigheter samt ta del av den stat- liga förvaltningens service. De statliga myndigheternas användning av digitala medel ska vara säker samt öka kvaliteten och effektivite- ten i den offentliga förvaltningen som helhet.
Redovisning
3 § Myndigheterna ska i sin årsredovisning redovisa sina resultat i förhållande till regeringens mål i 2 § i denna förordning för de stat- liga myndigheternas digitaliseringsarbete. Resultatredovisningen ska lämnas enligt 3 kap. 1 § förordningen (2000:605) om årsredovisning och budgetunderlag.
Denna förordning träder i kraft den 1 januari 2019.
52
SOU 2017:114 |
Författningsförslag |
1.8Förslag till
förordning om infrastruktur för elektronisk identifiering och kvalitetsmärket Svensk elektronisk identitetshandling
Härigenom föreskrivs följande
1 § Digitaliseringsmyndigheten ska förvalta och utveckla tillitsram- verket enligt 3 § lagen om infrastruktur för elektronisk identifier- ing och kvalitetsmärket Svensk elektronisk identitetshandling.
2 § Digitaliseringsmyndigheten ska förvalta och utveckla de tek- niska specifikationerna enligt 5 § lagen om infrastruktur för elektro- nisk identifiering och kvalitetsmärket Svensk elektronisk identitets- handling.
3 § Digitaliseringsmyndigheten ska granska elektroniska identitets- handlingar enligt 9 § lagen om infrastruktur för elektronisk identi- fiering och kvalitetsmärket Svensk elektronisk identitetshandling elektroniska identitetshandlingar samt godkänna att en elektronisk identitetshandling får använda benämningen Svensk elektronisk iden- titetshandling.
4 § Digitaliseringsmyndigheten ska förvalta och utveckla registret med utfärdare av elektroniska identitetshandlingar och förlitande aktörer enligt 10 § lagen om infrastruktur för elektronisk identi- fiering och kvalitetsmärket Svensk elektronisk identitetshandling.
5 § Digitaliseringsmyndigheten ska förvalta och utveckla modellen för dialogruta med valbara elektroniska identitetshandlingar enligt 13 § lagen om infrastruktur för elektronisk identifiering och kvali- tetsmärket Svensk elektronisk identitetshandling.
Denna förordning träder i kraft den 1 januari 2020.
53
Författningsförslag |
SOU 2017:114 |
1.9Förslag till
förordning om infrastruktur för digital post
Härigenom föreskrivs följande.
1 § Skatteverket ska tillhandahålla en infrastruktur för digital post och vara myndigheten enligt lagen om infrastruktur för digital post.
2 § Skatteverket får meddela föreskrifter enligt 23 § lagen om infra- struktur för digital post.
3 § Som avsändare i infrastrukturen för digital post får enligt 24 § 4 p. lagen om infrastruktur för digital post friskolor, banker, för- säkringsföretag, pensionsförvaltare, kreditupplysningsföretag, apo- tek, bilbesiktningsföretag och bostadsföretag ansluta sig.
4 § De avsändare som ansluts enligt 3 § denna förordning ska ha avtalat om att skicka digital post med leverantörerna av brevlåde- tjänster för digital post som är anslutna till infrastrukturen.
Denna förordning träder i kraft den 1 juli 2019.
54
SOU 2017:114 |
Författningsförslag |
1.10Förslag till
förordning om ändring i förordningen (2016:576) med kompletterande bestämmelser till EU:s förordning om elektronisk identifiering
Härigenom föreskrivs i fråga om förordningen (2016:576) med kompletterande bestämmelser till EU:s förordning om elektronisk identifiering att det i förordningen ska införas fyra nya paragrafer med följande lydelse.
6 § Digitaliseringsmyndigheten ska vara nodmyndighet enligt 9 § lagen (2016:561) med kompletterande bestämmelser till EU:s för- ordning om elektronisk identifiering.
Digitaliseringsmyndigheten ska vara kontaktpunkt för Euro- peiska kommissionen i frågor som rör gränsöverskridande elektro- nisk identifiering.
7 § Digitaliseringsmyndigheten får meddela föreskrifter om
1.hur aktörer ska ansluta till noden, och
2.rapportering av händelser som påverkat funktionaliteten eller säkerheten i noden.
8 § Digitaliseringsmyndigheten ska ansvara för anmälningar till kommissionen av svenska medel för elektronisk identifiering för gränsöverskridande elektronisk identifiering enligt EU:s förord- ning om elektronisk identifiering.
9 § Digitaliseringsmyndigheten ska vid större förändringar av det system som den svenska noden omfattar, begära en teknisk säker- hetsgranskning av Försvarets radioanstalt. Granskningsförfarandet får ta max tre månader från det att digitaliseringsmyndigheten ansökt om granskning.
Denna förordning träder i kraft den 29 september 2018.
55
Författningsförslag |
SOU 2017:114 |
1.11Förslag till
förordning om ändring i förordningen (2003:770) om statliga myndigheters elektroniska informationsutbyte (I)
Härigenom föreskrivs att det i förordningen (2003:770) om stat- liga myndigheters elektroniska informationsutbyte ska införas en ny paragraf, 2 a, med följande lydelse.
2 a § Myndigheter får samverka utanför sina verksamhetsområden i frågor om digitalisering av den offentliga förvaltningen.
Denna förordning träder i kraft den 1 januari 2019.
56
SOU 2017:114 |
Författningsförslag |
1.12Förslag till
förordning om ändring i förordningen (2003:770) om statliga myndigheters elektroniska informationsutbyte (II)
Härigenom föreskrivs att 5 § förordningen (2003:770) om stat- liga myndigheters elektroniska informationsutbyte ska upphöra att gälla den 1 juli 2019.
Denna förordning träder i kraft den 1 juli 2019.
57
2Utredningens uppdrag och arbete
2.1Uppdraget
Regeringen beslutade vid regeringssammanträde den 19 maj 2016 att tillkalla en särskild utredare för att analysera och lämna förslag till effektiv styrning av utveckling, införande och förvaltning av natio- nella digitala tjänster. I uppdraget har ingått att, med utgångspunkt i de nationella digitala tjänsterna Mina meddelanden och Svensk e- legitimation, analysera och lämna förslag till utformning av organi- sering och ansvarsfördelning för de nationella digitala tjänsterna, åtgärder och incitament för att uppnå en ökad användning av de natio- nella digitala tjänsterna, och samverkan mellan offentlig och privat sektor i tillhandahållandet av de nationella digitala tjänsterna. Utreda- ren skulle även analysera och lämna förslag om vissa specifika frågor som rör Svensk
I uppdraget har ingått att, i ett delbetänkande senast den 15 mars 2017, redovisa hur privata utförare av offentligfinansierad verksam- het ska kunna ansluta som avsändare inom Mina meddelanden, hur en övergång för privatpersoner och företag till digital myndighetspost kan genomföras i praktiken och förslag till utformning av en ersätt- ningsmodell för de brevlådeoperatörer som tillhandahåller brevlådor inom ramen för Mina meddelanden.
1 Europaparlamentets och rådets förordning (EU) nr 910/2014 av den 23 juli 2014 om elek- tronisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre mark- naden och om upphävande av direktiv 1999/93/EG.
59
Utredningens uppdrag och arbete |
SOU 2017:114 |
Regeringen beslutade vid regeringssammanträde den 24 november 2016 att utvidga uppdraget. I tilläggsdirektivet fick utredaren i upp- drag att analysera hur digitaliseringen i den offentliga sektorn kan stärkas genom att, inom ramen för den befintliga myndighetsstruktu- ren, samla ansvaret för dessa frågor till en myndighet. Enligt uppdra- get skulle utredaren med utgångspunkt i analysen lämna förslag till nödvändiga författningsändringar och övriga åtgärder som krävs för att en myndighet så snart som möjligt ska kunna ges denna uppgift. Utredaren fick dessutom i uppdrag att lämna förslag till en reglering som innebär en skyldighet för lämpliga statliga och kommunala myn- digheter att ansluta sig till tjänsten Mina meddelanden. Den del av uppdraget som avsåg att samla ansvaret för digitaliseringen i den offentliga sektorn skulle redovisas senast den 15 mars 2017. Sam- tidigt förlängdes utredningstiden med två månader till senast den 31 december 2017.
2.2Utredningsarbetet
I arbetet med slutbetänkandet har utredningen genomfört sex möten med expertgruppen. Utredningen har vidare samrått och diskuterat utredningsfrågorna med ett stort antal offentliga myndigheter och organisationer. Utredningen har deltagit vid flera möten med Sveriges Kommuner och Landstings (SKL) beredning för digitalisering och med SKL:s styrgrupp Center för eSamhället. Utredningen har även samrått med Integritetskommittén, Utredningen om rättsliga förut- sättningar för en digitalt samverkande förvaltning, Servicekontorsut- redningen och 2017 års
Utredningen har genomfört två workshops, en om elektronisk identifiering enligt
Utredningen har deltagit i två workshops anordnade av
Utredningen har under hösten 2017 skickat ut en enkät till ett tjugotal offentliga myndigheter som har påbörjat anpassningsarbetet till
60
SOU 2017:114 |
Utredningens uppdrag och arbete |
även skickat en enkät till ett tiotal medlemsstater i EU för att få en uppfattning om hur de ser på anpassningar och krav med anledning av
2.3Utredningens utgångspunkter och inriktning
Tilläggsdirektivet har påverkat utredningens arbete även i de delar som det inte direkt berörde. Utredningen har under arbetets gång erfarit att regeringen avsett genomföra utredningens förslag om ett samlat myndighetsansvar för digitalisering av offentlig verksamhet. Vidare har regeringen beslutat om en ny organisation för statliga lokalkontor från och med den 1 januari 2019 och om att låta utreda frågan om vilka identitetshandlingar staten ska utfärda och vilka myndigheter som ska svara för denna uppgift. Tillsammans har detta varit en viktig inriktning för arbetet med de frågor som behandlas i detta betänkande.
Det bör framhållas att Sverige och den Europeiska Unionen befinner sig i en omfattande förändringsprocess när det gäller digita- lisering. Den digitala mognaden hos unionens medlemsstater skiljer sig betydligt. Tillsammans medför detta svårigheter att göra precisa bedömningar om utvecklingen. Det gäller särskilt den europeiska marknadens vilja att utnyttja olika former av digitala tjänster. Utred- ningen utgår från att den myndighet som ska inleda sitt arbete den 1 september 2018 följer denna utveckling, vägleder myndigheterna och ger strategiskt stöd till regeringen.
Utredningens uppdrag och avgränsning är att lämna förslag till effektiv styrning av nationella digitala tjänster i en samverkande förvaltning, inte att lämna förslag till nya eller fler digitala tjänster. Utredningen har en förvaltningspolitisk utgångspunkt vilket innebär att det är individer och företag som står i fokus för den digitala för- valtningsutvecklingen samtidigt som förvaltningen ska effektivisera och hushålla väl med skattebetalarnas pengar.
Utredningen instämmer i det perspektiv som lyftes av
61
Utredningens uppdrag och arbete |
SOU 2017:114 |
intern angelägenhet utan en vital del av arbetet med att utveckla den nationella digitala infrastrukturen. Digitaliseringen har därför inte bara som syfte att underlätta för individer och företag. Den syftar också till att främja konkurrenskraften.
Med detta breda perspektiv finns det också skäl att uppmärk- samma de risker som följer av en alltmer utvecklad användning och spridning av individrelaterad information. Utredningen har därför valt att integrera frågor om informationssäkerhet, integritetsskydd och personuppgiftsansvar i utvecklingen och genomförandet av den digitala förvaltningen. Dessa frågor har därför kommit att ta en större plats i utredningsarbetet än direktiven gett uttryck för och utredningen lämnar även flera förslag som rör frågor om informa- tionssäkerhet.
2.4Betänkandets disposition
Betänkandet kan delas in i fyra delar, effektiv styrning och informa- tionssäkerhet (kap.
Dessutom bifogar utredningen
2.5Användning av några begrepp
2.5.1digitaliseringsmyndigheten
Regeringen har beslutat att inrätta en myndighet för digitalisering av den offentliga sektorn.2 I skrivande stund är det inte klart vad myn- digheten kommer att ha för namn. I betänkandet benämns myndig- heten digitaliseringsmyndigheten.
2 Dir. 2017:117.
62
SOU 2017:114 |
Utredningens uppdrag och arbete |
2.5.2
Med
Artikel 3 i
2.5.3Medel för att genomföra kärnverksamhet och kommunala angelägenheter
Förvaltningsgemensamma digitala funktioner är, enligt utredningens definition, medel dvs. redskap, verktyg, metoder m.m. för offentliga myndigheter att genomföra sin kärnverksamhet och angelägenheter. På samma sätt används begreppet medel för elektronisk identifiering i
Kärnverksamhet och angelägenheter är en offentlig myndighets huvudsakliga uppgifter enligt instruktionen eller andra styrande dokument. Det kan beskrivas som myndighetens unika verksamhet eller den verksamhet som myndigheten är inrättad för att uträtta. Vad som är att beakta som kärnverksamhet kan variera över tid, med uppgifterna, och utifrån prioriteringar i verksamheterna. Verksamhet som inte är kärnverksamhet kan betraktas som stödverksamhet.3
Det begrepp i kommunallagen som utredningen tolkat som be- skrivning av kommunernas och landstingens kärnverksamhet, eller huvudsakliga uppgifter är kommunala angelägenheter.
3 ESV 2014:49, Effektivisering av kärnverksamheter: Exempel från statliga myndigheter, Statskontoret 2015, Att göra eller köpa? Om outsourcing av statlig kärnverksamhet, Stats- kontoret 2016:19, Mer tid till kärnverksamheten.
63
Utredningens uppdrag och arbete |
SOU 2017:114 |
2.5.4Offentliga myndigheter
Regeringsformen skiljer mellan två typer av offentliga organ: beslut- ande politiska församlingar, till exempel riksdagen och regeringen och myndigheter. Samtliga statliga och kommunala organ, dvs. statliga myndigheter, kommuner och landsting med undantag för de beslut- ande församlingarna är myndigheter.
För att inte tynga texterna i onödan använder utredningen be- greppet offentliga myndigheter som ett samlingsbegrepp för statliga myndigheter, kommuner och landsting. Begreppet offentliga myndig- heter används dock inte konsekvent. I bland väljer utredningen att i stället skriva statliga myndigheter, kommuner och landsting.
I de fall utredningen har använt begreppet myndighet utan närmare precisering, såsom statlig myndighet, framgår det av kontexten vilken typ av myndighet som avses, t.ex. upphandlande myndighet.
64
3Individ och myndighet i det digitala samhället
3.1Den digitala världen är – global!
Regeringen konstaterade i skrivelsen om nationell strategi för infor- mations- och cybersäkerhet1 att digitaliseringen är ett globalt fenomen och påverkar i stort sett alla delar av vårt samhälle. Det medför stora möjligheter, men också risker. Hur vi hanterar riskerna som följer av digitaliseringen har stor betydelse för vår förmåga att upprätthålla och stärka både vårt välstånd och vår säkerhet. I skrivelsen presen- terade regeringen strategiska prioriteringar inom sex olika områden med syfte att motverka hot i form av avsiktliga angrepp från främmande makt, terrorgrupper och kriminell verksamhet.
Brottsförebyggande rådet (BRÅ) har konstaterat att den
Digitaliseringen sätter gränser och formulerar villkor för såväl privata som offentliga aktörer. Ett begränsat antal företag dominerar de flesta marknader. Det gäller både hårdvara och mjukvara.
1Skr. 2016/17:213.
2
3Assessing Russian Activities and Intentions in Recent US Elections, The Central Intelligence Agency (CIA), The Federal Bureau of Investigation (FBI), and The National Security Agency (NSA), CA
4The Economist Fuel of the future Data is giving rise to a new economy,
65
Individ och myndighet i det digitala samhället |
SOU 2017:114 |
Förädlingen innebär att bearbeta dessa uppgifter och generera in- formation om vanor, beteenden och värderingar. Dessa datamängder har ett mycket högt ekonomiskt värde för internetföretagen vilket är förklaringen till varför
Offentliga myndigheter är i hög grad beroende av externa leve- rantörer av tjänster för
Enligt Internetstiftelsen i Sverige har 82 procent av befolkningen över 12 år tillgång till en smartphone. I hälften av fallen handlar det om en Iphone.5 Det betyder att en stor majoritet av befolkningen har möjlighet att använda
Digitaliseringen av förvaltningen innebär att myndighetsutöv- ningen kommer att äga rum i en miljö där många faktorer endast i begränsad utsträckning är påverkbara av den nationella lagstiftaren. Även om motåtgärder kan vara möjliga på
3.2Elektronisk identifiering får ökad betydelse
Användningen av kontanter som betalningsmedel minskar drastiskt. År 2016 använde endast 15 procent av befolkningen kontanter vid sin senaste betalning. Motsvarande andel 2010 var 39 procent. Av be- folkningen har 97 procent tillgång till bankkort, 85 procent har tillgång till internetbank och 61 procent har tillgång till betaltjänsten Swish.7 År 2015 hade alla landsting utom ett, två tredjedelar av komm- unerna och en tredjedel av de statliga myndigheternas
5IIS, Svenskarna och internet 2016, s. 21,
6Se t.ex. Europaparlamentets och Rådets förordning om åtgärder rörande en öppen inter- netanslutning, (EU) 2015/2120 av den 25 november 2015. Syftet med förordningen är bl.a. att skydda slutanvändare genom att fastställa gemensamma regler för att säkerställa att icke- diskriminerande behandling av trafik vid tillhandahållandet av internetanslutningstjänster.
7Riksbanken, Betalningsvanor hos det svenska folket, 2016.
66
SOU 2017:114 |
Individ och myndighet i det digitala samhället |
krävde s.k. tvåfaktorsautentisering, dvs. när lösenord kombineras med ett särskilt medel för identifiering, t.ex. en mobiltelefon.8
I Sverige är vi starkt beroende av
Användandet av elektroniska identitetshandlingar skapar beroen- den och sårbarheter. En elektronisk identitetshandling har begränsad giltighet och kan, på ett mobilt medium, lätt förloras. Den kan raderas av misstag eller i samband med en uppdatering av opera- tivsystemet. Utsätts en mobiltelefon för väta eller annan skada kan all information på den gå förlorad. Återskapandet av en mobil identi- tetshandling från BankID kräver att individen loggar in hos sin bank, vilket kräver en reservmöjlighet att legitimera sig elektroniskt. Indi- viden tvingas därför att skapa strategier för att minska risken att stå utan möjlighet att identifiera sig elektroniskt. Det kan handla om att ha elektroniska identitetshandlingar från samma utfärdare på flera enheter, vilket kan betyda flera mobila enheter. Det kan också handla om att sprida risken genom att ha elektroniska identitetshandlingar från flera utfärdare. För utfärdare gäller att man behöver tillhanda- hålla en alternativ möjlighet till säker inloggning, i bankernas fall att man måste fortsätta att tillhandahålla tekniker som används av få och som egentligen varit tänkt att fasas ut.
För individen kan det vara önskvärt att ha tillgång till en elektro- nisk identitetshandling som kan användas i alla sammanhang. Var- dagstryggheten i det digitala samhället kan paradoxalt nog vara den motsatta, nämligen vikten av att ha tillgång till flera alternativa sätt att identifiera sig elektroniskt. Vidare väcks frågan om det inte be- hövs någon form av basidentitetshandling som är elektronisk, som alla kan få och som är mindre utsatt för de risker som finns med information lagrade på datorer och telefoner och som skulle kunna användas för att återskapa en förlorad elektronisk identitetshandling som lagrats på ett sådant medium.
8RiR 2016:14, Riksrevisionen, Den offentliga förvaltningens digitalisering – En enklare, öppnare och effektivare förvaltning, s. 73.
9IIS, Svenskarna och internet 2016, s. 75.
67
Individ och myndighet i det digitala samhället |
SOU 2017:114 |
3.3Med användaren i fokus
Den gemensamma strategin för företag och offentliga myndigheter är att presentera sina
”mina sidor” som individen behöver bevaka bli en nära nog över- mäktig uppgift.
För individen blir det därför viktigt att någonstans kunna samla sin information eller åtminstone ha en samlad kanal för notiser och påminnelser.10 Det kan handla om påminnelser via SMS och
Fortfarande är det många som föredrar att spara viktiga papper i pärmar. Den enkät som utredningen lät genomföra för ett år sedan visade att det fortfarande är många (32 procent) som vill ha informa- tion från myndigheter via vanlig post. En stor grupp (28 procent) ville dessutom ha informationen både digitalt och på papper.11 Den som går över till digital arkivering vill troligen kunna spara kopior i en lättillgänglig form, dvs. lokalt i datorn eller i någon typ av molntjänst. För företag och offentliga myndigheter räcker det därför inte att enbart presentera information i ett gränssnitt lämpligt för bildskärm, mobiltelefon etc. Informationen måste också kunna presenteras på ett beständigt sätt som kan vara tillgänglig för individen även utan teknisk utrustning.
Med de elektroniska sökhjälpmedel som i dag finns tillgängliga brukar man säga att all världens kunskap ligger bara ett knapptryck bort. Om de offentliga myndigheterna har en webbsida så kommer individen att hitta den förr eller senare. I många länder finns dock
10Mina sidor för privatpersoner. Slutrapport – Behovsanalys, rapport
11SOU 2017:23, s. 331.
68
SOU 2017:114 |
Individ och myndighet i det digitala samhället |
någon form av myndighetsportal. I Danmark finns bruger.dk och i Norge finns norge.no. I Sverige lades motsvarande portal ned i mars 2008 på grund av att den inte var tillräckligt känd och använd.12 På förslag från
Regeringens mål för digitaliseringen av den offentliga förvalt- ningen är en enklare vardag för medborgare, en öppnare förvaltning som stödjer innovation och delaktighet samt högre kvalitet och effektivitet i verksamheten.14 Den förra regeringen hade en liknande formulering15 vilket påverkade
Att tillhandahålla
12Computer Sweden, Myndighetsportalen blev ett praktfiasko,
13KOM (2017) 256 Förslag till Europaparlamentets och rådets förordning om inrättande av en gemensam digital ingång för tillhandahållande av information, förfaranden samt hjälp- och problemlösningstjänster och om ändring av förordning (EU) nr 1024/2012.
14Prop. 2017/18:1, utgiftsområde 2, s. 93.
15Med medborgaren i centrum, Regeringens strategi för en digitalt samverkande statsförvalt- ning, Näringsdepartementet, N2012.37.
16eSam är ett medlemsdrivet program för samverkan mellan 21 myndigheter och SKL för att underlätta och påskynda digitaliseringen av det offentliga Sverige.
17Vägledning för behovsdriven utveckling 1.0, eSam april 2016.
69
Individ och myndighet i det digitala samhället |
SOU 2017:114 |
3.4Utanförskap
Som framgår ovan är individer i Sverige starkt beroende av
Regeringen bedömde i budgetpropositionen för 2018 att digitalt ska vara förstahandsval i den offentliga förvaltningens verksamhet och i den offentliga förvaltningens kontakter med individer och företag. Digitalt som förstahandsval innebär alltså att den offentliga förvaltningen, när det är lämpligt, ska välja digitala lösningar. Digitalt först innebär enligt utredningens bedömning inte att de offentliga myndigheterna utan stöd i författning kan kräva att individer och företag ska vara digitala i sina kontakter med de offentliga myndig- heterna. Däremot ska myndigheter erbjuda
Det är viktigt att lägga fast vissa principiella åtaganden för att inte i onödan stänga ute individer från de offentliga myndigheternas e- tjänster. Ett principiellt exempel är att eftersom allt fler av de statliga myndigheternas, kommunernas och landstingens
18 Förvaltningslagen (2017:900).
70
SOU 2017:114 |
Individ och myndighet i det digitala samhället |
inte har eller kan få en elektronisk identitetshandling. Orsaken till detta skiftar. Möjligheten att bruka elektroniska identitetshandlingar påverkas av vilken modell på utrustning och operativsystem som individen har. En individ kan förlora möjligheten att använda elektro- nisk identitetshandling därför att utrustningens tillverkare inte längre uppdaterar operativsystemet.
Det står dock klart att den digitala förvaltningen innebär att indi- vidernas tillgång till elektroniska identitetshandlingar måste säker- ställas. Det måste därmed vara ett statligt åtagande att alla som behö- ver en elektronisk identitetshandling kan få det.
Sammantaget innebär digitaliseringen att vissa centrala värden, som t.ex. principen om likabehandling, aktivt måste värnas samtidigt som statsmakterna måste vara bredda att ompröva hittills gällande lös- ningar och uppsatta gränser för vad som ska anses vara det offentliga åtagandet.
71
4En omstart för den offentliga förvaltningens digitalisering
Utredningen bedömer:
att regeringen genom en serie olika initiativ har markerat en tydlig förändring av inriktningen av politiken för den digitala förvalt- ningen. Utredningen bedömer att det finns goda möjligheter att ta till vara de möjligheter digitaliseringen innebär samtidigt som utmaningarna kan hanteras.
I flera avseenden innebär initiativen en tydlig omprövning av tidigare ställningstaganden. Det som pågår kan därför beskrivas som en omstart av politiken för digitalisering inom den offentliga sektorn. De förslag som återges i detta betänkande, bygger vidare på dessa åtgärder och är avsedda att komplettera dem.
I budgetpropositionen för år 2015 aviserade den nuvarande reger- ingen sin satsning på att förstärka styrningen och samordningen av den övergripande
4.1En myndighet med samlat ansvar
I budgetpropositionen för år 2018 föreslog regeringen att en ny myn- dighet med uppgift att samordna och stödja den förvaltningsöver- gripande digitaliseringen ska inrättas. Förslaget överensstämmer med utredningens förslag i delbetänkandet digitalforvaltning.nu. Reger-
1 Prop. 2014/15:1, utgiftsområde 2, s. 67.
73
En omstart för den offentliga förvaltningens digitalisering |
SOU 2017:114 |
ingen anför i uppdraget till organisationskommittén att den nya myn- digheten medför förbättrade förutsättningar för en säker, effektiv och innovativ verksamhetsutveckling som utgår från användarnas behov. Den nya myndigheten som placeras i Sundsvall, ska inleda sin verksamhet den 1 september 2018 och övertar uppgifter från
Myndigheten ska bistå regeringen med underlag för utvecklingen av politiken för digitalisering och it inom den offentliga sektorn och verka för en ökad digitalisering av den. Myndigheten ska bl.a. analy- sera och följa upp utvecklingen av den offentliga sektorns digitalise- ring utifrån riksdagens och regeringens övergripande mål på områ- det. Vidare ska myndigheten ansvara för att samordna, utveckla, förvalta och tillhandahålla en nationell digital infrastruktur för den offentliga sektorn, samt främja dess användning. Myndigheten ska kunna meddela föreskrifter om nationell digital infrastruktur, såsom tillämpning av standarder, format och specifikationer för informa- tionsutbyte,
4.2Samordnad organisation för statliga lokalkontor
Från och med den 1 januari 2019 ska Statens servicecenter ansvara för en samlad organisation för lokal statlig service. Uppdraget bygger på den rapport myndigheten lämnade till regeringen i mars 2017.3
Regeringen har gett en särskild utredare i uppdrag4 att analysera och föreslå hur vissa statliga myndigheters lokala serviceverksamheter kan organiseras på ett mer sammanhållet sätt för att säkerställa till- gången till grundläggande statlig service i hela landet. Serviceorganisa- tionen ska bestå av en nationell ledningsfunktion och lokala kontor.
I uppdraget ligger också att ta ställning till bl.a. vilket serviceut- bud som bör finnas vid de lokala kontoren. Utredaren skulle pre-
2Dir 2017:117, Inrättande av en myndighet för digitalisering av den offentliga sektorn.
3Statens servicecenter, En sammanhållen organisation för statlig lokal service, delrapport i regeringsuppdraget om samordning och omlokalisering av myndighetsfunktioner, R:006.
4Dir. 2017:95.
74
SOU 2017:114 |
En omstart för den offentliga förvaltningens digitalisering |
sentera en plan för när de lokala kontoren ska kunna tillhandahålla service som avser Försäkringskassans, Pensionsmyndighetens och Skatteverkets verksamhet. Utredaren skulle även föreslå hur service- organisationen inledningsvis ska vara organiserad, dimensionerad och finansierad. Denna del av uppdraget redovisades i december 2017.5
Vidare ska ytredaren presentera en plan för när tillhandahållande av service som avser Arbetsförmedlingen, Migrationsverket och förarprovsverksamheten vid Trafikverket kan tillhandahållas vid de lokala kontoren samt vid behov föreslå ändringar i uppbyggnaden, dimensioneringen och finansieringen av den utökade serviceorganisa- tionen. Vidare ska utredaren föreslå nödvändiga ändringar av Statens servicecenters instruktion och regleringsbrev. Uppdraget ska slutredo- visas senast den 31 maj 2018.
Regeringen anser att lokal statlig service och digitala lösningar ska komplettera och understödja varandra. Om möjligt och lämpligt ska digitala lösningar vara förstahandsvalet i myndigheternas kontakter med individer och företag. Kontakterna mellan myndigheter och individer eller företag tas emellertid inte enbart via digitala lösningar, utan även genom personliga möten.
Statliga myndigheter kan – var och en för sig – inte upprätthålla en kostnadseffektiv kontorsnärvaro för att ge lokal service i hela landet. De servicekontor som Försäkringskassan, Pensionsmyndig- heten och Skatteverket gemensamt driver har bidragit till att en lokal närvaro har kunnat upprätthållas på många platser. Vid de mindre kontoren är det dock svårt att ge service på ett kostnadseffektivt sätt. Regeringen bedömer att varken frivillig myndighetssamverkan eller en ny reglering om obligatorisk myndighetssamverkan är till- räckligt för att långsiktigt säkra en statlig service med förstärkt lokal närvaro i hela landet. Enligt regeringen krävs det i stället att en statlig myndighet ges i uppdrag att ansvara för en sammanhållen organisa- tion för lokal statlig service.6
Enligt Statens servicecenters förslag ska lokalkontoren bygga på och komplettera, de samverkade myndigheternas
5SOU 2017:109, Servicekontor i ny regim.
6Dir. 2017:95 s. 7.
75
En omstart för den offentliga förvaltningens digitalisering SOU 2017:114
samt digitala och fysiska möten med handläggare från berörda myndigheter.7
4.3Översyn av rättsliga förutsättningar
för en digitalt samverkande förvaltning
En särskild utredare har regeringens uppdrag8 att kartlägga och ana- lysera i vilken utsträckning det finns lagstiftning som i onödan för- svårar digital utveckling och samverkan inom den offentliga förvalt- ningen. Utredaren ska lämna förslag till de författningsändringar som sammantaget bedöms ha störst potential att stödja den fortsatta digitaliseringen av den offentliga förvaltningen. Skyddet av den per- sonliga integriteten och andra sekretesskäl samt informationssäker- het och rättssäkerhet ska vägas in i förslagen.
Utredaren ska vidare analysera den pågående digitala utvecklingen utifrån ett rättsligt perspektiv. Detta för att skapa en förståelse för vilka områden och företeelser som i förlängningen kommer att kräva lagstiftningsåtgärder för att de möjligheter som digitaliseringen och den tekniska utvecklingen skapar för den offentliga förvaltningen ska kunna tas till vara.
Utredaren ska också analysera och lämna förslag till hur den offentliga förvaltningen som helhet kan samverka om behovet av ny eller ändrad lagstiftning för att främja digitaliseringen av förvalt- ningen, och lämna förslag till andra åtgärder som syftar till att skapa bättre förutsättningar för hantering av rättsliga utmaningar inom detta område. Uppdraget ska redovisas senast den 31 mars 2018.
7Statens servicecenter, En sammanhållen organisation för statlig lokal service, delrapport i rege- ringsuppdraget om samordning och omlokalisering av myndighetsfunktioner, R:006, s. 43 f.
8Dir. 2016:98.
76
SOU 2017:114 |
En omstart för den offentliga förvaltningens digitalisering |
4.4En expertgrupp för digitala investeringar
Regeringen har inrättat en särskild expertgrupp med uppdrag9 att stödja myndigheter som avser att göra större strategiska verksam- hetsinvesteringar i immateriella anläggningstillgångar med väsentliga inslag av it och digitalisering. Uppdraget omfattar ett urval invester- ingar hos ett tjugotal myndigheter.
Syftet med expertgruppen är att statliga myndigheter ska bli bättre på att genomföra verksamhetsutveckling och snabbare uppnå önskade resultat av politiska reformer eller förändrade uppgifter.
Expertgruppen ska verka för att statliga myndigheter dels utveck- lar den interna styrningen och kontrollen av sin
Expertgruppens uppdrag kommer att tas över av digitaliserings- myndigheten.10
4.5Skärpta krav och rutiner för svenska identitetshandlingar
För att minska det ökande antalet bedrägerier som begås med hjälp av förfalskade identitetshandlingar har regeringen tillsatt en särskild utredare11 med uppdraget att föreslå hur antalet identitetshandlingar ska begränsas och särskilt överväga om det bör regleras i författning vilka handlingar som ska vara giltiga identitetshandlingar, och vilka krav som ska ställas på en giltig identitetshandling. Vidare ska utreda- ren föreslå hur antalet utfärdare av identitetshandlingar ska begrän- sas samt lämna förslag på utfärdare.
Utredaren ska analysera behovet av en enhetlig reglering av giltiga identitetshandlingar när det gäller processen för ansökan, bakgrunds- kontroll av den sökande, tillverkning av den fysiska handlingen och utlämnande av handlingen. Utredaren ska kartlägga hur verifieringen
9Dir. 2017:62.
10Dir. 2017:117.
11Dir. 2017:90.
77
En omstart för den offentliga förvaltningens digitalisering |
SOU 2017:114 |
av identitetshandlingars äkthet och giltighet görs i dag och lämna förslag på förbättringar.
Slutligen ska utredaren analysera och ta ställning till om fysiska identitetshandlingar bör innehålla en
4.6Nationell strategi för informations- och cybersäkerhet
Regeringen har presenterat en nationell strategi för hur informa- tions- och cybersäkerheten i Sverige ska utvecklas och stärkas.12 I strategin sätter regeringen upp målsättningar inom sex prioriterade områden:
•Säkerställa en systematisk och samlad ansats i arbetet med infor- mations- och cybersäkerhet.
•Öka säkerheten i nätverk, produkter och system.
•Stärka förmågan att förebygga, upptäcka och hantera cyber- attacker och andra
•Öka möjligheterna att förebygga och bekämpa
•Öka kunskapen och främja kompetensutvecklingen.
•Stärka det internationella samarbetet.
Målsättningarna ska bidra till att skapa långsiktiga förutsättningar för samhällets aktörer att arbeta effektivt med informations- och cyber- säkerhet, samt höja medvetenheten och kunskapen i hela samhället.
I anslutning till strategin beslutade regeringen om ett antal myn- dighetsuppdrag.
Regeringen har uppdragit åt Myndigheten för samhällsskydd och beredskap (MSB) att, i samverkan med Sveriges kommuner och lands- ting (SKL),
12 Skr. 2016/17:213, Nationell strategi för samhällets informations- och cybersäkerhet.
78
SOU 2017:114 |
En omstart för den offentliga förvaltningens digitalisering |
analysera informationssäkerhetsarbetet inom landstingens hälso- och sjukvårdsverksamhet. Uppdraget ska redovisas senast 1 oktober 2018.13 Regeringen har vidare uppdragit åt MSB att verka för att de
haft samt, vilka ytterligare åtgärder MSB planerar att vidta.14 Länsstyrelserna och vissa andra myndigheter har, enligt förord-
ningen om krisberedskap och bevakningsansvariga myndigheters åt- gärder vid höjd beredskap, ett särskilt ansvar för att planera och vidta förberedelser för att skapa förmåga att hantera en kris, förebygga sårbarheter och motstå hot och risker.15 Dessa myndigheter ska senast den 1 mars 2018 till regeringen och MSB redovisa en analys och bedömning av informationssäkerheten i de delar av den egna verksam- heten som är nödvändiga för att myndigheten ska kunna utföra sitt arbete. I sammanhanget ska krisberedskapsperspektivet samt planer- ingen för det civila försvaret beaktas.16
Av redovisningen av uppdraget ska det framgå hur myndigheten bedömer informationssäkerheten, vilka hot, sårbarheter och risker som har identifierats samt vilka åtgärder som har vidtagits, respektive kommer att vidtas, i syfte att reducera dessa.17
MSB ska, i samverkan med Försvarsmakten och Säkerhetspolisen, senast den 1 oktober 2018 redovisa en sammanvägd rapport utifrån dessa rapporter.18
4.7En ny säkerhetsskyddslag
Regeringen lämnat ett förslag till lagrådet om en ny säkerhets- skyddslag. Den nya lagen ska gälla för alla som bedriver verksamhet som gäller Sveriges säkerhet, vare sig det är i offentlig eller privat regi. Den nya lagen förtydligar kraven på skydd av verksamheter som
13Ju2017/05789/SSK.
14Ju2017/05789/SSK.
15Förordningen (2015:1052) om krisberedskap och bevakningsansvariga myndigheters åt- gärder vid höjd beredskap.
16Ju2017/05644/SSK.
17Ju2017/05787/SSK.
18Ju2017/05788/SSK.
79
En omstart för den offentliga förvaltningens digitalisering |
SOU 2017:114 |
har betydelse för Sveriges säkerhet och ökar skyddet mot bland annat spioneri och sabotage. Den omfattar bland annat krav på skydd av it- system som har betydelse för Sveriges säkerhet och den innebär tyd- ligare krav på att skydda utländska intressen som Sverige har åtagit sig.
Kraven på verksamheterna som berörs av lagen förtydligas. Verk- samhetsutövarna ska göra en säkerhetsskyddsanalys och utifrån den vidta de åtgärder som behövs – det kan gälla informationssäkerhet, skydd av lokaler och anläggningar samt kontroll av personal. Såväl offentliga som privata aktörer kan söka stöd och råd från tillsyns- myndigheterna Säkerhetspolisen och Försvarsmakten.
Lagen och följdändringarna föreslås träda i kraft den 1 januari 2019.19
4.8Utkontraktering och samordning av
Regeringen har remitterat en promemoria20 med förslag till begräns- ningar i de statliga myndigheternas möjligheter att utkontraktera och överlåta säkerhetskänslig verksamhet. Enligt förslaget ska en statlig myndighet, som avser att genomföra en sådan utkontraktering av den egna verksamheten som innebär krav på säkerhetsskyddsavtal enligt säkerhetsskyddslagen, utföra en särskild säkerhetsanalys av upp- draget och samråda med den tillsynsmyndighet (Säkerhetspolisen eller Försvarsmakten) som är berörd innan ett förfarande för utkontrak- tering inleds.
Vidare har regeringen tillsatt en särskild utredare21 för att kart- lägga behovet av att förebygga att säkerhetsskyddsklassificerade upp- gifter eller i övrigt säkerhetskänslig verksamhet utsätts för risker i samband med utkontraktering, upplåtelse och överlåtelse av sådan verksamhet, och föreslå olika förebyggande åtgärder, t.ex. tillstånds- prövning.
Utredaren ska vidare föreslå ett system med sanktioner i säker- hetsskyddslagstiftningen samt hur en ändamålsenlig tillsyn enligt säkerhetsskyddslagstiftningen ska vara utformad.
19Lagrådsremiss, Ett modernt och stärkt skydd för Sveriges säkerhet – ny säkerhetsskydds- lag, november 2017.
20Skärpt kontroll av statliga myndigheters utkontraktering och överlåtelse av säkerhetskäns- lig verksamhet, Ju 2017/07544/L4.
21Dir. 2017:32, Utkontraktering av säkerhetskänslig verksamhet, sanktioner och tillsyn – tre frågor om säkerhetsskydd.
80
SOU 2017:114 |
En omstart för den offentliga förvaltningens digitalisering |
Regeringen har gett Försäkringskassan i uppdrag22 att åren 2017– 2020 erbjuda vissa myndigheter en samordnad och säker
Försäkringskassan ska lämna en slutredovisning till regeringen senast den 18 december 2020. Slutredovisningen ska innehålla en be- skrivning av vilka åtgärder som genomförts inom ramen för uppdra- get, uppnådda effekter samt risker och eventuella hinder som identi- fierats.
4.9Offentlig samverkan
Den 29 oktober 2015 beslöt regeringen att skriva under en avsiktsför- klaring mellan staten och SKL för en digital förnyelse av det offent- liga Sverige.23 Avsiktsförklaringen anknyter till regeringens inriktning om digitalt först. Den 19 januari 2017 godkände regeringen en med SKL gemensam handlingsplan för utveckling av
SKL har vidtagit åtskilliga åtgärder för att stödja kommunernas digitalisering. Företaget Inera AB som tidigare levererat
22Uppdrag att erbjuda samordnad och säker statlig
23Dnr N2015/07455/EF.
24Dnr S2017/00379/FS.
81
En omstart för den offentliga förvaltningens digitalisering |
SOU 2017:114 |
Kommunutredningen har i ett delbetänkande föreslagit att en kommun eller ett landsting får träffa avtal om att dess uppgifter helt eller delvis ska utföras av en annan kommun eller ett annat landsting. Genom ett sådant avtal får en kommun eller ett landsting utföra uppgifter åt en annan kommun eller landsting utan hinder av lokali- seringsprincipen. Kommunutredningen bedömer att det finns ett behov av att kunna samverka framför allt i fråga om specialisttjänster som innefattar myndighetsutövning, it och digitalisering samt admini- stration.25
4.10Omstart
Som beskrivits i utredningens delbetänkande byggde politiken för den digitala förvaltningen under lång tid på centraliserade lös- ningar.26 Statskontoret hade ett övergripande ansvar och förfogade en period över anslaget för
Sverige ”välja en annan och mer flexibel väg på
Inrättandet av digitaliseringsmyndigheten innebär en påtaglig förändring av vad som gällt under det senaste decenniet. Den nya myndigheten kommer att ha ett större ansvar och en starkare roll än vad Verva hade, men å andra sidan inte den nästan enväldiga position som Statskontoret en gång hade.
25SOU 2017:77 En generell rätt till kommunal avtalssamverkan, delbetänkande av Kommun- utredningen.
26SOU 2017:23 digitalforvaltning.nu.
27SOU 2008:22 Ett stabstöd i tiden, s. 97.
82
SOU 2017:114 |
En omstart för den offentliga förvaltningens digitalisering |
En sådan utmaning är att många
Den ökade medvetenheten om digitaliseringens risker stryker un- der behovet av samordning och centrala funktioner med specifik kom- petens och koordineringsuppgifter. Detsamma gäller tillvaratagandet av möjligheterna att hushålla väl med allmänna medel i samband med
Det digitala samhället kan emellertid inte avstå från analoga kana- ler. Dels kommer en stor grupp människor även i fortsättningen stå utanför på grund av funktionshinder, ålder, ekonomiska barriärer eller bristande intresse, dels finns det behov av analoga reservlösningar när de digitala temporärt inte är tillgängliga. Den nya organisationen för statliga lokalkontor är där en viktig komponent.
För att kommunerna ska klara av den digitala omställningen är det viktigt att det finns gemensamma lösningar och möjlighet till samverkan mellan kommunerna som inte förutsätter inrättandet av särskilda strukturer. Förslaget till samverkansavtal är därför en annan viktig förutsättning för att bygga ut den digitala förvaltningen.
En annan viktig del är systemet för elektronisk identifiering. Överväganden om detta redovisas senare i detta betänkande. Här ska dock konstateras att de fysiska identitetshandlingarnas kvalitet och processen för att fastställa individers identitet är av avgörande bety- delse för den elektroniska identiteten. Grundidentifiering i samband med utfärdande av fysiska
Sammanfattningsvis innebär regeringens initiativ i många fall en betydande omprövning av tidigare ställningstaganden som präglat politiken för den digitala förvaltningen under lång tid.
Flera viktiga komponenter tillförs eller förändras. När de är på plats och börjar verka är det befogat att tala om en omstart av politi- ken för digital förvaltning.
83
5Effektiv styrning av en samverkande förvaltning
5.1Om samverkan – möjligheter och befogenheter
Utredningen bedömer:
att de offentliga myndigheterna i sitt digitaliseringsarbete måste ha stöd i rättsordningen för sina åtgärder. Behoven av samverkan mellan olika aktörer inom ramen för initiativ, utveckling och för- valtning av nationella digitala tjänster skiljer sig åt mellan olika skeden av livscykeln.
I de fall det förväntade digitaliseringsarbetet i samverkan med andra och resultatet av detta inte ryms inom myndigheternas be- fintliga uppdrag och befogenheter, måste det uppmärksammas så att regeringen och i förekommande fall riksdagen kan vidta åt- gärder för att ändra myndigheternas uppdrag och befogenheter.
För att främja utvecklingen av den offentliga sektorns digitali- sering behöver institutionaliserade forum för frivillig samverkan mellan de olika aktörerna inrättas. Det är en lämplig uppgift för den kommande digitaliseringsmyndigheten att tillhandahålla så- dana. Digitaliseringsmyndigheten bör tilldelas särskilda anslags- medel för sådan samverkan.
Utredningen föreslår:
att regeringen – i ljuset av de verksamhetsmässiga begränsningar för samverkan som gällande bestämmelser medför – i förord- ningen om statliga myndigheters elektroniska informationsutbyte ska reglera att statliga myndigheter i frågor om digitalisering av den offentliga förvaltningen, vid behov, får samverka även utanför sina vanliga verksamhetsområden.
85
Effektiv styrning av en samverkande förvaltning |
SOU 2017:114 |
Förslaget genomförs genom 2 a § i förordningen (2003:770) om statliga myndigheters elektroniska informationsutbyte.
att digitaliseringsmyndigheten tilldelas särskilda anslagsmedel för frivillig samverkan mellan olika aktörer för att främja den offentliga sektorns digitalisering.
De nationella digitala tjänsterna ska kunna användas inom hela den offentliga sektorn och syftar till att underlätta elektronisk hantering av ärenden och kontakter med enskilda. Exempel på sådana befintliga tjäns- ter är Mina meddelanden och Svensk
Utredningen ska lämna förslag till effektiv styrning av förvaltnings- gemensamma digitala funktioner i en samverkande förvaltning. Upp- draget är ett av flera regeringsinitiativ som signalerar en övergång från en digital förvaltningsutveckling huvudsakligen driven genom myn- dighetssamverkan till en där regeringen tar en mer aktiv och drivande roll. Denna förändring ändrar dock inte den grundläggande betydelse som samverkan har i sammanhanget. Behovet av samverkan mellan statliga myndigheter minskar inte. Samverkan mellan stat, kommun och landsting måste förstärkas i väsentlig grad. Samverkan mellan offentlig och privat verksamhet har varit avgörande för att inleda upp- byggnaden av den nationella digitala infrastrukturen och kommer att fortsätta vara lika viktig.
En viktig fråga i detta sammanhang är vad som avses med begrep- pet samverkan. Begreppet återkommer i lagar och andra författningar, i särskilda uppdrag och myndighetsinstruktioner, i strategier och av- siktsförklaringar, regleringsbrev m.m. och kan vara generellt eller specifikt och samverkan kan vara frivillig eller obligatorisk. Även om begreppet således ofta används är det svårt att hitta en beskrivning av vad begreppet innebär – i praktiken – och vilka förväntningar givet det formella regelverket som kan ställas på dem som förväntas sam- verka. Till skillnad från denna något diffusa bild vad gäller statsför- valtningen är kommunallagens bestämmelser om hur samverkan mel-
1 Dir. 2016:39, Effektiv styrning av nationella digitala tjänster i en samverkande förvaltning.
86
SOU 2017:114 |
Effektiv styrning av en samverkande förvaltning |
lan kommuner och mellan landsting kan formaliseras och genomföras formellt och i praktiken väsentligt tydligare.2
5.2Samverkan i ett livscykelperspektiv
Av direktiven framgår att utredningen, bl.a. med utgångspunkt i Mina meddelanden och Svensk
Analysen ska utgå från ett livscykelperspektiv för de nationella digitala tjänsterna. Det handlar bland annat om att lämna förslag om hur samverkan och kravställning, eller vidareutveckling av nationella digitala tjänster, ska analyseras utifrån ett livscykelperspektiv, där hela kedjan från utveckling till avveckling ska beaktas.
Begreppet livscykel kommer i det följande att användas såsom det definieras i
5.2.1Samverkan om idé och utveckling
En process som leder till införande eller förändring av ett digitalt medel inom offentlig verksamhet kan inledas huvudsakligen på fyra sätt.
•Det kan vara en direkt konsekvens av en reform. När premiepen- sionen infördes krävde det ett helt nytt stöd för att presentera fondvalsalternativ för pensionsspararna. En reform kan också ini- tieras inom Europeiska Unionen. En följd av
2Kommunallagen (2017:725).
3
4A.a.
87
Effektiv styrning av en samverkande förvaltning |
SOU 2017:114 |
•Det kan uppkomma som en följd av regeringens övergripande ambitioner vad gäller resurshushållning och effektivisering. Ett exempel på detta är inrättandet av Statens servicecenter som stöd- jer statliga myndigheter vad gäller personal- och ekonomiadmini- stration.
•Myndighetens eget arbete med att utveckla sin verksamhet leder givetvis också till framtagande och utveckling av digitala medel. Styrelsen för ackreditering och kontroll, SWEDAC, införde 2004 en fullständigt digital dokumenthantering och digitaliserade helt sitt tillsynsarbete.
•Behovet kan också identifieras genom samverkan mellan myndig- heter och mellan myndigheter och kommuner. Myndigheterna kan identifiera samma behov eller finna att man utifrån olika behov har användning för en gemensam digital lösning. Det kan också vara så att myndigheter har olika roller i en och samma handlägg- ningsprocess och ser fördelar med att digitalisera processen. Mina meddelanden och projektet
Processer som leder till utveckling av digitala medel kan inledas på olika sätt. Även om genomförandet bygger på regeringsuppdrag, for- drar lagstiftning och resurstilldelning så kan den viktiga impulsen till förändringen många gånger härledas till samverkan på myndig- hetsnivå eller samverkan mellan stat och kommun. Även om sam- verkan inte alltid leder till etablerandet av en infrastrukturtjänst så är samverkan en viktig källa till utvecklandet av sådana.
I delbetänkandet underströk utredningen att det finns anledning att inspireras av, ta tillvara och i någon form behålla och utveckla de
5Projekt gemensamt för Försäkringskassan och Inera AB. Avses kunna bli en tjänstelegiti- mation för både stat, kommun och landsting.
6Digital tjänst för ekonomiskt bistånd.
88
SOU 2017:114 |
Effektiv styrning av en samverkande förvaltning |
arbetsmodeller som skapades inom ramen för
Utredningens förslag till instruktion för digitaliseringsmyndigheten innefattade uppgifter att stödja samverkan mellan statliga myndigheter, mellan statliga myndigheter och kommuner och mellan offentliga myndigheter och näringslivet i det digitala utvecklingsarbetet. En annan uppgift var att myndigheten i samverkan med relevanta offentliga myndigheter och aktörer skulle verka för informations- och erfarenhetsutbyte om den nationella digitala infrastrukturen och natio- nella digitala tjänster för att förenkla för enskilda och företag och sä- kerställa en effektiv och ändamålsenlig offentlig förvaltning.
Enligt förslaget skulle myndigheten även samverka med Data- inspektionen, Myndigheten för samhällsskydd och beredskap samt Post- och telestyrelsen i frågor om digitalisering av förvaltningen, personlig integritet och informationssäkerhet.
Av uppdraget till organisationskommittén7 för digitaliserings- myndigheten framgår att en utgångspunkt för myndighetens arbete ska vara att i lämpliga delar ta tillvara kunskap och erfarenheter som eSam upparbetat, bl.a. avseende metoder och processer för samverkan. Myndigheten ska verka för en öppnare förvaltning som stödjer inno- vation och delaktighet, genom att bl.a. statliga myndigheter, kommu- ner och landsting tillgängliggör öppna data, med beaktande av de skyddsbehov som beskrivits ovan. Myndigheten ska vidare främja öppen och datadriven innovation i den offentliga sektorn.
Myndigheten ska samordna och stödja den offentliga sektorns arbete med användardriven verksamhetsutveckling. I detta ingår bl.a. stöd i samband med digitala investeringar. Inom myndigheten ska det finnas ett rådgivande organ som ska bistå myndighetschefen i strate- giska frågor rörande myndighetens verksamhet och vid framtagande av föreskrifter. I rådet ska representanter för statliga myndigheter, kommuner och landsting, SKL, samt Sveriges Standardiseringsför- bund ingå. Utredaren ska även lämna förslag till kompetensprofil för ledamöterna i det nämnda organet.
Utredningen anser att det är viktigt att ta till vara det engage- mang, den innovationskraft och den verksamhetsnära kunskap som finns hos myndigheterna, däribland såväl de stora
7 Dir. 2017:117, Inrättande av en myndighet för digitalisering av den offentliga sektorn.
89
Effektiv styrning av en samverkande förvaltning SOU 2017:114
heterna som små och medelstora myndigheter, kommuner och landsting.
Det är viktigt att frivillig samverkan och erfarenhetsutbyte mellan statliga myndigheter, kommuner och landsting är formellt möjlig och stimuleras. Utredningen menar därför att för att främja utvecklingen av den offentliga sektorns digitalisering behöver institutionaliserade forum för frivillig samverkan mellan de olika aktörerna inrättas. Ut- redningen anser att det är en lämplig uppgift för den kommande digita- liseringsmyndigheten att tillhandahålla sådana. Utredningen anser även att digitaliseringsmyndigheten ska tilldelas särskilda anslagsmedel för sådan samverkan.
Utredningen anser vidare att givet begränsningarna för samverkan enligt gällande bestämmelser finns det ett stort behov av att kunna meddela föreskrifter som avviker från den allmänna regleringen i för- valtningslagen. Utredningen föreslår därför att regeringen – i ljuset av de verksamhetsmässiga begränsningar för samverkan som gällande bestämmelser medför – i förordningen om statliga myndigheters elektroniska informationsutbyte ska reglera att statliga myndigheter får samverka utanför sina verksamhetsområden i frågor om digitali- sering av den offentliga förvaltningen.
5.2.2Samverkan i ett förvaltningsstadium
Effektiv styrning och samverkan i ett förvaltningsstadium innebär, enligt utredningen, att riksdagen och regeringen har fattat beslut om en förvaltningsgemensam digital funktion8 och de samverkande aktö- rernas olika roller, ansvar och uppgifter är formaliserade och utfor- made så att samverkan är möjlig och leder till de önskade effekterna. I sitt remissvar över Förvaltningslagsutredningens betänkande lyfte
Enligt utredningen behöver regeringen särskilt analysera och bedöma om förväntningarna på och eller behovet av samverkan ryms inom ramen för de möjligheter och begränsningar som bl.a. förvalt- ningslagen, myndighetsförordningen och förordningen om de stat-
8 Se resonemang i kapitel 6 om begreppen nationella digitala tjänster och förvaltningsgemen- samma digitala funktioner.
90
SOU 2017:114 |
Effektiv styrning av en samverkande förvaltning |
liga myndigheternas elektroniska informationsutbyte medger. Här kan det eventuellt finnas anledning för regeringen att ompröva för- väntningarna på och/eller behoven av samverkan mellan myndig- heter, eller bedöma om det finns anledning att överväga special- reglering. Se nedan om avvikande bestämmelser i andra lagar eller i förordningar.
5.3Samverkan enligt förvaltningslagen
I september 2017 fattade riksdagen beslut om en ny förvaltningslag som träder i kraft den 1 juli 2018. I sitt förslag till den nya förvalt- ningslagen anförde regeringen att det är angeläget att ge en klar signal om att all offentlig verksamhet – oavsett dess karaktär – ytterst måste grundas på skrivna regler i rättsordningen. Regeringen refere- rade till Förvaltningslagsutredningens genomgång av praxis som gav
en klar indikation på att myndigheterna inte alltid i tillräcklig utsträck- ning tar reda på om att de har stöd i rättsordningen för sina åtgärder. Utvecklingen från en mer klassisk förvaltning mot en förvaltning med ökade inslag av informationsuppgifter och mera kundrelaterade aktivi- teter, t.ex. i form av olika digitala självbetjäningstjänster, har också inne- burit ökade risker i detta avseende. Det är därför angeläget att ge en klar signal om att all offentlig verksamhet, oavsett dess karaktär, ytterst måste grundas på skrivna regler i rättsordningen (prop. 1973:90 s. 397). Skiljelinjen mellan privaträttsliga subjekts principiella rätt till ett fritt agerande och myndigheternas skyldighet att fullgöra bestämda uppgifter i det allmännas tjänst bör alltså tydligt markeras.9
Förvaltningslagen gäller för handläggning av ärenden hos förvaltnings- myndigheterna och handläggning av förvaltningsärenden hos domsto- larna. Enligt den ännu gällande förvaltningslagens bestämmelser gäller, om samverkan mellan myndigheter, att varje myndighet ska lämna andra myndigheter hjälp inom ramen för den egna verksamheten.10
I den nya förvaltningslagen11 finns motsvarande bestämmelse under rubriken Grunderna för god förvaltning.12 Bestämmelsen lyder på följande sätt:
9Prop. 2017/18:180, s. 58.
106 § förvaltningslagen (1998:223).
11Förvaltningslagen (2017:900).
128 § Grunderna för god förvaltning, Samverkan, förvaltningslagen (2017:900).
91
Effektiv styrning av en samverkande förvaltning |
SOU 2017:114 |
En myndighet ska inom sitt verksamhetsområde samverka med andra myndigheter.
En myndighet ska i rimlig utsträckning hjälpa den enskilde genom att själv inhämta upplysningar eller yttranden från andra myndigheter.13
Förvaltningslagsutredningen14 anförde – om samverkan – att alla myn- digheter, både statliga och kommunala, verkar på det ena eller andra sättet i ”det allmännas” och därmed också i ”allmänhetens” tjänst.
Det är alltså väsentligt att deras samlade ansträngningar riktas mot det gemensamma målet att erbjuda medborgarna goda och rättvisa levnadsvillkor. Förvaltningslagsutredningen menade att det förut- sätter att en myndighet inte ser sin uppgift som strikt isolerad från vad en annan myndighet sysslar med utan att båda gör vad de kan för att underlätta för varandra. Denna tanke, som kom till uttryck i den klassiska formuleringen i 47 § i 1809 års regeringsform att myndig- heterna ska ”räcka varandra handen”, avspeglas i modern tappning i
6 § i den nu gällande förvaltningslagen.
Enligt Förvaltningslagsutredningen hade dock den nuvarande för- valtningslagens samverkansbestämmelse fått en utformning, som del- vis döljer bestämmelsens dubbla syfte.
Att ”varje myndighet ska lämna andra myndigheter hjälp inom ramen för den egna verksamheten” leder, enligt Förvaltningslags- utredningen, tankarna till att det främst är fråga om ett internt inom administrationen lämnat bistånd, avsett att t.ex. minska konsekven- serna av en ojämn medelstilldelning eller att tillföra en myndighet någon särskild sakkunskap som den saknar men en annan myndighet besitter. Någon antydan ges inte om att syftet också är att enskilda genom att myndigheterna samarbetar ska besparas ett tidsödande arbete med att vid flera tillfällen själv konsultera flera myndigheter i ett och samma ärende.
Förvaltningslagsutredningen föreslog därför att det budskap som 6 § i den ännu gällande förvaltningslagen får anses innefatta, skulle överföras till en bestämmelse i den nya lagen.
För det första ville Förvaltningslagsutredningen tona ned in- trycket av att det är fråga om en mera tillfällig ”hjälp”, som en myn- dighet kan erbjuda en annan i ett trängt läge, genom att tala om att myndigheterna mera generellt ska ”samverka” med varandra.
138 § förvaltningslagen (2017:900).
14SOU 2010:29, En ny förvaltningslag, betänkande av Förvaltningslagsutredningen.
92
SOU 2017:114 |
Effektiv styrning av en samverkande förvaltning |
För det andra ville Förvaltningslagsutredningen ge en klar indika- tion på att denna samverkan är avsedd att underlätta för individen i kontakterna med myndigheterna. Detta genom att i ett nytt stycke, som saknar motsvarighet i 6 § i den ännu gällande förvaltningslagen, föreskriva att en myndighet ”i den utsträckning som kan anses rimlig bistå den enskilde genom att själv inhämta upplysningar eller yttran- den från andra myndigheter”. En liknande bestämmelse återfinns nu bland de ”allmänna krav på handläggningen av ärenden” som uppställs i 7 § den ännu gällande förvaltningslagen, men Förvaltningslags- utredningen ville alltså se en sådan regel som ett inslag i den service som myndigheterna generellt, inte bara då det är fråga om formlig ärendehandläggning, ska erbjuda.
5.3.1Myndigheterna samverkar inom sina respektive verksamhetsområden
Det är, enligt Förvaltningslagsutredningen, väsentligt att understryka, att samverkan mellan myndigheterna ska försiggå inom deras respek- tive verksamhetsområden och att det däri ligger två begränsningar.
För det första måste en myndighet naturligtvis prioritera sina egna huvuduppgifter och är inte – såsom Förvaltningslagsutred- ningen uttryckte det – tvingad att släppa vad den har för händer så snart en annan myndighet begär assistans. Det är alltid myndigheten själv som avgör, om den kan avsätta resurser för att bistå den andra myndigheten i dess verksamhet.
För det andra ger bestämmelsen inte stöd för några samverkans- projekt som faller utanför respektive myndighets verksamhetsom- råde. Det är, enligt Förvaltningslagsutredningen, viktigt att poäng- tera, att myndigheternas verksamhet enligt legalitetsprincipen styrs av de regler om arbetsuppgifterna som lagstiftaren eller annan norm- givare beslutat. Några nyskapelser i form av särskilda samarbets- organ, som oberoende av fastlagda normer tillåter sig att fatta beslut som svårligen kan härledas till den ena eller andra av de samverkande myndigheterna, får inte förekomma.15
15 SOU 2010:29, En ny förvaltningslag, betänkande av Förvaltningslagsutredningen.
93
Effektiv styrning av en samverkande förvaltning |
SOU 2017:114 |
5.3.2
Det är därmed i praktiken myndigheten som utifrån sina egna in- tressen får bedöma om samverkan kan anses rymmas inom dess verksamhetsområde. Utformningen befäster ett s.k. stuprörstänkande. Begränsningen till verksamhetsområdet borde, enligt delegationens mening, tas bort. Det borde vara de samverkande parternas uppgift att i samband med genomförande av gemensamma förstudier m.m. överväga vilka ekonomiska, legala och andra förutsättningar som måste komma på plats inför olika steg i en samverkansprocess.
Vidare ansåg delegationen att krav på samverkan även med andra än myndigheter borde ingå i en ny förvaltningslag eftersom
16Ds 2010:47.
17Prop. 2009/10:175, Offentlig förvaltning för demokrati, delaktighet och tillväxt.
94
SOU 2017:114 |
Effektiv styrning av en samverkande förvaltning |
I sitt förslag18 till den nya förvaltningslagen argumenterade dock regeringen mot
För det första bör det, enligt regeringen, av bestämmelsen tydligt framgå att det är fråga om en mera generell skyldighet för myndig- heter att samverka med varandra. Eftersom en myndighet alltid måste prioritera sina egna huvuduppgifter avgör den emellertid själv om den kan avsätta resurser för att hjälpa den myndighet som begär assistans. Regeringen framhöll även Förvaltningslagsutredningens för- slag att bestämmelsen – i likhet med nuvarande reglering – inte ska ge stöd för några samverkansprojekt som faller utanför respektive myndighets verksamhetsområde. Regeringen pekade på
Detta utesluter samtidigt inte att man i specialförfattningar eller i för- ordningarna med myndighetsinstruktion även fortsättningsvis vid behov kan ta in särskilda föreskrifter om samverkan som går längre eller annars avviker från förvaltningslagen. Det skulle t.ex. kunna gälla föreskrifter om undantag från begränsningen till myndighetens verksamhetsområde eller om krav på att samverkan i en viss situation ska ske med andra än myndigheter. För det andra bör bestämmelsen ge en klar indikation om att samverkansskyldigheten inte enbart tar sikte på att förvaltningen
18 Prop. 2017/18:180.
95
Effektiv styrning av en samverkande förvaltning |
SOU 2017:114 |
generellt ska bli så enhetlig och effektiv som möjligt utan också är av- sedd att underlätta för den enskilde i kontakterna med myndigheterna.19
Det vill säga att om det i andra lagar eller i förordningar finns någon bestämmelse som avviker från förvaltningslagen, tillämpas den be- stämmelsen.20 Se nedan.
5.3.3Avvikande bestämmelser i andra lagar eller i förordningar
Enligt 3 § i den ännu så länge gällande förvaltningslagen och 4 § i den nya förvaltningslagen gäller att om en annan lag eller en förordning innehåller någon bestämmelse som avviker från denna lag, gäller den bestämmelsen.
Både konstitutionsutskottet och regeringen anförde i bered- ningen av den nya förvaltningslagen att det finns ett stort behov av att kunna meddela föreskrifter om förvaltningsförfarandet som av- viker från den allmänna regleringen i förvaltningslagen.
Redan i förarbetena till 1971 års förvaltningslag framhölls att strävan varit att ge förfarandebestämmelserna karaktär av basregler som normalt skulle kunna tillämpas av det stora flertalet förvalt- ningsorgan i alla instanser och på alla verksamhetsområden. Sam- tidigt konstaterades det att en allmän lag inte kunde utformas så att den passar för alla situationer. På denna punkt skiljer sig inte för- hållandena i dag åt från när förvaltningsrättsreformen genomfördes. I vissa fall finns det behov av att kunna ställa upp högre krav än vad som följer av den allmänna regleringen. I undantagsfall kan det också finnas behov av att göra vissa begränsningar i tillämpningsområdet för någon eller några bestämmelser i lagen. Som en allmän princip bör dock enligt propositionen alltjämt gälla att undantag bara ska förekomma om det kan motiveras av bärande sakliga och funktio- nella skäl.21
19Prop. 2017/18:180, s. 71.
203 § förvaltningslagen (1986:223), 4 § förvaltningslagen (2017:900).
21Prop. 2017/18:180, bet. 2017/18:KU2. jfr prop. 1971:30 del 2 s. 318.
96
SOU 2017:114 |
Effektiv styrning av en samverkande förvaltning |
5.4Myndighetsförordningen om statliga myndigheters samarbete och samverkan
För statliga myndigheter som lyder under regeringen finns det i myndighetsförordningen en generell bestämmelse om samarbete på myndighetens eget initiativ. Av myndighetsförordningen framgår att myndigheten ska verka för att genom samarbete med myndigheter och andra ta till vara de fördelar som kan vinnas för enskilda samt för staten som helhet.22 Syftet är att samordna myndigheternas verksam- het med angränsande verksamheter för att underlätta för enskilda och för att undvika dubbelarbete vid myndigheterna. Ökad samverkan mellan myndigheterna borde, enligt Verksförordningsutredningen, leda till att det blir enklare för medborgare, företag, kommuner m.fl. att ha med statliga myndigheter att göra. Samverkande myndigheter bör leda till en effektivare förvaltning i stort.23
I myndighetsförordningen används inte begreppet samverkan utan där talas det om samarbete. Däremot används både begreppet sam- ordna och samverkan i författningskommentarerna till förordningen.24
5.5Förordningen om statliga myndigheters elektroniska informationsutbyte
Enligt 2 § i förordningen om statliga myndigheters elektroniska in- formationsutbyte framgår kortfattat att en myndighet i sin verksam- het ska främja utvecklingen av ett säkert och effektivt elektroniskt informationsutbyte inom den offentliga förvaltningen.25
226 § myndighetsförordningen (2007:515).
23SOU 2004:23, Från verksförordning till myndighetsförordning, betänkande av Utred- ningen om en översyn av verksförordningen.
24SOU 2004:23, Från verksförordning till myndighetsförordning, betänkande av Utred- ningen om en översyn av verksförordningen.
252 § förordningen (2003:770) om statliga myndigheters elektroniska informationsutbyte.
97
Effektiv styrning av en samverkande förvaltning |
SOU 2017:114 |
5.6Bestämmelser om kommunernas och landstingens samverkan
Reglerna för kommuners och landstings samverkan i form av kom- munalförbund och gemensam nämnd finns i kommunallagen.26 Av lagen framgår att kommuner och landsting får bilda kommunalför- bund och lämna över skötseln av kommunala angelägenheter till sådana förbund. Kommuner och landsting får även besluta om gemen- samma nämnder, dvs. att en nämnd ska vara gemensam med en annan kommun eller ett annat landsting.
Fullmäktige får besluta att en nämnd ska vara gemensam med en annan kommun eller ett annat landsting. En gemensam nämnd till- sätts i någon av de samverkande kommunerna eller landstingen och ingår i denna kommuns eller detta landstings organisation. En gemen- sam nämnd är, i motsats till ett kommunalförbund, inte en egen juridisk person utan ingår i en av de samverkande kommunernas eller landstingens politiska organisation. Denna kommun eller detta lands- ting brukar ofta omnämnas som värdkommunen eller värdlandstinget.
Ett kommunalförbund bildas genom att förbundsmedlemmarnas fullmäktige antar en förbundsordning. Kommunalförbundet är en offentligrättslig juridisk person som har egen rättskapacitet och är fristående i förhållande till sina medlemskommuner. Organisatoriskt är kommunalförbunden uppbyggda på i princip samma sätt som en kommun eller ett landsting.
5.6.1Exempel på samverkan mellan kommuner
Ett exempel på formaliserad samverkan mellan kommuner är Norr- bottens
263 kap
27
98
SOU 2017:114 |
Effektiv styrning av en samverkande förvaltning |
den. Norrbottens
Nämndens inriktning för verksamheten är att med medborgarens fokus och med verksamhetens behov som utgångspunkt stödja kom- munerna i Norrbotten för en snabbare utveckling inom
Norrbottens
•Enklare vardag för privatpersoner och företag,
•Smartare och öppnare förvaltning som stödjer innovation och delaktighet,
•Högre kvalitet och effektivitet i verksamheten.
Syftet med den formaliserade samverkan i Norrbottens
•att minska kostnader för initiativ som kan genomföras gemen- samt,
•att säkra kompetensförsörjning,
•att effektivare utnyttja resurser genom samverkan,
•att bidra till en snabbare utveckling inom
•att implementera intentionerna i den nationella strategin för
5.6.2Kommunutredningens förslag om vidgade möjligheter till avtalssamverkan
Enligt Kommunutredningen finns det en utbredd efterfrågan på att utvidga möjligheterna till kommunal avtalssamverkan. Behovet är brett, men gäller framför allt möjligheten att utnyttja den kompetens som finns hos anställda i andra kommuner. Områden som lyfts fram är bl.a. specialisttjänster som innefattar myndighetsutövning, it och digi- talisering samt administration.
99
Effektiv styrning av en samverkande förvaltning |
SOU 2017:114 |
Kommunutredningen har föreslagit att det i den nya kommunal- lagen ska införas en bestämmelse som ska träda i kraft den 1 juli 2018 och som innebär att en kommun eller ett landsting får träffa avtal om att dess uppgifter helt eller delvis ska utföras av en annan kommun eller ett annat landsting (avtalssamverkan).28 Genom ett sådant avtal får en kommun eller ett landsting utföra uppgifter åt en annan kom- mun eller landsting, utan hinder av vad som anges i kommunallagen om anknytning till kommunens eller landstingets område eller dess medlemmar (lokaliseringsprincipen). Kommuner och landsting får komma överens om att uppdra åt en anställd i den andra kommunen eller det andra landstinget att besluta på kommunens eller landstingets vägnar i ett visst ärende eller en viss grupp av ärenden (extern dele- gering). Vid sådan delegering av ärenden gäller bestämmelserna i kom- munallagen om jäv, vissa begränsningar av möjligheten till delegation, vidaredelegation, brukarmedverkan och anmälan av beslut.
28 SOU 2017:77, En generell rätt till kommunal avtalssamverkan, delbetänkande av Kommun- utredningen.
100
6Effektiv styrning av förvaltningsgemensamma digitala funktioner
6.1Ett tydligt offentligt åtagande
är utgångspunkten för effektiv styrning
Utredningen bedömer:
att det offentliga åtagandet för förvaltningsgemensamma digitala funktioner behöver regleras i författning.
I budgetpropositionen för 2018 anförde regeringen att:
Enskildas, organisationers och företags behov och förväntningar är en utgångspunkt för den offentliga förvaltningen. Dagens snabba samhälls- utveckling innebär att den offentliga sektorn måste vara både förutsebar och anpassningsbar. Det ställer höga krav på en mer sammanhållen styr- ning på flera nivåer.1
I samma budgetproposition bedömde regeringen även att lagstift- ningen måste anpassas ytterligare för att ge tillräckligt stöd för digi- tal utveckling och samverkan inom offentlig sektor.
I delbetänkandet bedömde utredningen att det från regeringens sida har varit ett medvetet val att delegera ansvaret för arbetet med e- förvaltning till myndigheterna. Att arbetet varit framgångsrikt i många avseenden kompenserade, enligt utredningen, inte för de begräns- ningar detta har inneburit. Utredningen konstaterade att regeringen har avstått från att använda de styrinstrument som står till buds, t.ex. genom att inte förtydliga vilka uppdrag myndigheterna har när det gäller digitalisering. Vidare saknas styrande mål för vad som ska
1 Prop. 2017/18:1, utgiftsområde 2, s. 86.
101
Effektiv styrning av förvaltningsgemensamma digitala funktioner |
SOU 2017:114 |
uppnås och preciseringar av vad som ska anses vara offentliga åtagan- den i den nationella digitala infrastrukturen.2
Motsvarande synpunkter har under flera år förts fram av flera andra utredningar i kommittéväsendet liksom i granskningar av Riksrevi- sionen, m.fl.
I budgetpropositionen för 2018 konstaterade regeringen ånyo att styrningen och samordningen inom den offentliga sektorn behöver stärkas så att de besparingar och nyttor som digitalisering medför ska kunna realiseras. Regeringen anförde att flera gemensamma in- satser krävs för att nå regeringens mål för digitaliseringen av den offentliga förvaltningen. En sådan insats är att – huvudsakligen i en- lighet med utredningens förslag i delbetänkandet – inrätta en myn- dighet för digitalisering av den offentliga sektorn.
Utredningens tolkning av regeringens direktiv3 till den särskilda utredare som ska förbereda och genomföra bildandet av den nya myndigheten är, att regeringen nu har påbörjat ett arbete med att utveckla sin styrning av den offentliga förvaltningens digitalisering. Ett arbete som, enligt utredningens mening, måste fortsätta med full kraft för att inte den förvaltningsgemensamma digitala utvecklingen ska bromsas i onödan. Regeringens styrning av den digitala förvalt- ningen måste utvecklas till en effektiv och tydlig process för att skapa goda förutsättningar för den förvaltningsgemensamma digitala ut- vecklingen.
För att säkerställa en mer effektiv styrning av nationella digitala tjänster ska utredningen, enligt direktiven, analysera om det är mer ändamålsenligt med en enhetlig modell för organisering och ansvars- fördelning av förvaltningsgemensamma digitala funktioner.
Utredningen bedömer emellertid att en enhetlig modell för att styra samtliga nuvarande och framtida nationella digitala tjänster på samma sätt inte är ett effektivt sätt att styra. En sådan förutbestämd, enhetlig modell skulle med stor sannolikhet skapa ett stelbent och ineffektivt sätt att styra.
Hur de enskilda nationella digitala tjänsterna styrs och ska styras kommer att variera och måste bedömas från fall till fall beroende på konstitutionella krav, tekniska och ekonomiska förutsättningar, typ av funktion, samverkansbehov mellan olika aktörer etc.
2SOU 2017:23, digitalforvaltning.nu.
3Dir. 2017:117, Inrättande av en myndighet för digitalisering av den offentliga sektorn.
102
SOU 2017:114 |
Effektiv styrning av förvaltningsgemensamma digitala funktioner |
Ett problem är att det inte finns något bindande mål för området digitalisering inom den offentliga sektorn. Utredningen föreslår därför att riksdagen och regeringen ska besluta om sådana mål. Se kapitel 7.
Ett annat problem med den nuvarande styrningen är att det i den offentliga förvaltningen saknas nödvändig författningsreglering av sådana befintliga tjänster som för närvarande benämns nationella digitala tjänster, såsom Mina meddelanden och Svensk
Vad som bör vara ett offentligt åtagande är i varje enskilt fall ett politiskt ställningstagande och ett politiskt beslut. Ett sådant beslut kan inte delegeras eller decentraliseras till offentliga myndigheter.
Några skäl som brukar anges för ett offentligt åtagande är effek- tivare samhällsekonomi, fördelningsmotiv, stabiliseringspolitik samt ansvarstagande för det medborgarna inte själva har kunskap och information nog att sköta själva, dvs. en rad olika mål och motiv som alla kan diskuteras.4 Den privata marknaden kan inte uppfylla alla behov som är viktiga för landet och medborgarna. Vissa kollektiva nyttigheter måste i stället garanteras genom offentliga åtaganden. Offentliga åtaganden kan också motiveras av s.k. externa effekter, dvs. effekter som kan uppstå då någon inte tar önskvärd hänsyn till andra. Även stordriftsfördelar, bristande konkurrens, dålig konsu- mentinformation eller en skev resursfördelning kan motivera offent- liga åtaganden.5
Förvaltningskommittén menade i betänkandet Styra och ställa – förslag till en effektivare statsförvaltning att frågan om vad som bör vara statliga myndighetsuppgifter och därmed ett statligt åtagande bör besvaras utifrån en pragmatisk ansats.
4Den effektiva staten, Statskontorets antologi, 2012.
5Ds 2000:1, Kommittéhandboken.
103
Effektiv styrning av förvaltningsgemensamma digitala funktioner |
SOU 2017:114 |
Utifrån en given politisk ambition vid en viss tidpunkt bör en bedöm- ning göras av de enskilda samhällsområdenas art och förutsättningar, innan det statliga åtagandet i form av myndighetsuppgifter närmare pre- ciseras.6
Förvaltningskommittén bedömde samtidigt att de flesta statliga åta- ganden förutsätter utförande av myndighetsuppgifter i någon form och bedömningar av hur uppgifter bör fördelas måste göras från fall till fall och med iakttagande av de särskilda förutsättningar som råder vid bedömningstillfället. Såväl demokrati- och rättssäkerhets- som effektivitetsargument måste beaktas.
Genom att statsmakterna beslutar om vad som ska vara offentliga åtaganden förtydligas samtidigt gränserna för vad som är myndig- hetsuppgifter, inte enbart i förhållande till enskilda, utan även vad som bör vara förbehållet marknadens aktörer. Detta kan exempelvis ha betydelse för avgöranden om huruvida verksamheter kan sägas vara så kallad egenregiverksamhet eller omfattas av upphandlingsbe- stämmelserna.7
Vad som slutligen bör vara en statlig myndighetsuppgift kan, en- ligt Förvaltningskommittén, med ett förenklat och kortfattat svar sägas kräva en politisk bedömning, som görs utifrån vid en viss tid- punkt gällande förutsättningar, politiska ambitioner, kunskaper och värderingar.8
Befintliga nationella digitala tjänster såsom Mina meddelanden och Svensk
Det finns därför, enligt utredningen, behov av att för var och en av de förvaltningsgemensamma digitala funktionerna närmare ana- lysera och precisera omfattningen av det offentliga åtagandet i för- hållande till de privata aktörernas roll. Med andra ord är det viktigt att för varje förvaltningsgemensam digital funktion fatta beslut om vilken aktör som har ansvar för vad och vad, som både formellt och i praktiken, ska vara ett offentligt åtagande som garanteras av riks- dagen och regeringen.
6SOU 2008:118, Styra och ställa – förslag till en effektivare statsförvaltning.
7Se Kammarrätten i Stockholms dom
8SOU 2008:118, Styra och ställa, slutbetänkande av 2006 års förvaltningspolitiska kommitté.
104
SOU 2017:114 |
Effektiv styrning av förvaltningsgemensamma digitala funktioner |
Till detta hör även det faktum att Sveriges medlemskap i Euro- peiska unionen påverkar på ett flertal områden – i hög grad – inne- hållet i och utförandet av de nationella myndigheternas uppgifter och därmed utformningen av det offentliga åtagandet. Det gemen- samma regelverket för EU:s medlemsstater kan på olika områden begränsa och/eller styra det nationella statliga åtagandet. De offent- liga myndigheterna omfattas bl.a. av ett flertal för medlemsstaterna gemensamma regelverk inom olika politikområden som ställer krav på den nationella digitala förvaltningsutvecklingen och riksdagens och regeringens styrning av den digitala förvaltningen.
Utredningens ambition är att förslagen om effektiv styrning av nationella digitala tjänster ska fungera som ett effektivt stöd för de offentliga myndigheterna att nå och redovisa de resultat som riks- dagen och regeringen beslutat i dessa avseenden. Utmaningen är, givet dessa utgångspunkter, att styra statliga myndigheter, kommuner och landsting mot mål som är gemensamma för hela den offentliga förvaltningen. För detta behöver riksdagen och regeringen – med ett förvaltningsövergripande perspektiv – använda en väl balan- serad kombination av flera olika styrmedel.
6.2Förvaltningsgemensamma digitala funktioner
Utredningen bedömer:
att begreppet förvaltningsgemensamma digitala funktioner på ett bättre sätt än begreppet nationella digitala tjänster, definierar och avgränsar innebörden av sådana digitala medel.
Utredningen föreslår:
att begreppet nationella digitala tjänster bör ersättas av begreppet förvaltningsgemensamma digitala funktioner.
6.2.1Definition och terminologi
I utredningens uppdrag har ingått att, med utgångspunkt i Mina med- delanden och Svensk
105
Effektiv styrning av förvaltningsgemensamma digitala funktioner |
SOU 2017:114 |
dokument från regeringen eller
Enligt utredningens direktiv är nationella digitala tjänster sådana gemensamma digitala lösningar som är av infrastrukturkaraktär och som är en avgörande förutsättning för offentlig
Enligt direktiven ska de nationella digitala tjänsterna utvecklas uti- från medborgarnas behov, vilket förutsätter en bred och omfattande samverkan mellan statliga myndigheter, mellan kommunala myndig- heter, mellan stat och kommun samt mellan den offentliga och den privata sektorn.
Gemensamma digitala lösningar kan, enligt regeringen, vara lös- ningar som används av hela den offentliga sektorn, sektorspecifika lösningar och lösningar som utvecklas i samverkan mellan ett fåtal myndigheter.
I ljuset av detta finner utredningen det vara befogat att överväga om termen nationella digitala tjänster är den lämpligaste för det be- grepp som avses. I uttrycket är det ordet ”nationell” som ska skilja det som avses från digitala tjänster i övrigt och markera att det är fråga om något som sträcker sig utanför den enskilda myndighetens ansvarsområde och kanske även överskrider gränsen för statlig och offentlig verksamhet.
Enligt utredningens uppfattning är det dock fråga om tjänster som ska tillhandahållas av myndigheter eller av enskilda med stöd av för- fattning. Vidare är det utmärkande för deras karaktär att vara gemen- samma och inte bara vara en angelägenhet för en eller ett fåtal offent- liga myndigheter. De är, som regeringen framhåller, gemensamma
106
SOU 2017:114 |
Effektiv styrning av förvaltningsgemensamma digitala funktioner |
digitala lösningar som är av infrastrukturkaraktär och som är en av- görande förutsättning för offentlig
Det framstår därför som mer rättvisande att beskriva de aktuella tjänsterna som ”förvaltningsgemensamma” snarare än ”nationella”. Ordet ”nationell” implicerar också att dess motsats kan vara ”lokal”, ”regional” eller ”internationell” vilket leder tankarna fel.
Även ordet ”tjänst” bör prövas. Det kan diskuteras om ordet ”tjänst” i tillräckligt hög grad anger den särprägel som det här finns behov av att uttrycka.
Utredningen anser att begreppet förvaltningsgemensamma digitala funktioner på ett tydligare sätt definierar och avgränsar innebörden av vad som här avses.
Att en funktion identifieras som en förvaltningsgemensam digital funktion innebär därmed inte automatiskt att det är staten ensam som ska tillhandahålla den eller att den ska tillhandahållas utan kost- nad för brukaren. Detta är en fråga som får avgöras utifrån en be- dömning av varje enskild förvaltningsgemensam digital funktion.
6.2.2Vad kan vara en förvaltningsgemensam digital funktion?
I utredningens direktiv anges Mina meddelanden och elektroniska identitetshandlingar som exempel på förvaltningsgemensamma digi- tala funktioner. Bägge dessa funktioner fanns bland det som
9
107
Effektiv styrning av förvaltningsgemensamma digitala funktioner |
SOU 2017:114 |
15 år frivilligt har lagt in kontaktuppgifter, dvs. mobiltelefonnummer och privat
Det finns ett stort behov, bland annat hos landstingen, av säker kommunikation mellan myndigheter, som dessutom kan integreras med ärendeflöden inom myndigheterna. Systemen behöver kunna hantera behörigheter och elektroniska underskrifter. Försöksverk- samhet pågår på flera håll. System för säker kommunikation mellan myndigheter kan också ses som ett exempel på en förvaltnings- gemensam digital funktion.12
Ytterligare några exempel är standarder för förmedling av infor- mation mellan myndigheter och företag och standarder för förmed- ling av öppna data.
Den nod som ska förmedla gränsöverskridande digital trafik för elektronisk identifiering mellan myndigheter och utfärdare av iden- titetscertifikat med anledning av genomförandet av
6.3All offentlig makt i Sverige utgår från folket
Utredningens överväganden och förslag tar sin utgångspunkt i reger- ingsformen och relevanta
All offentlig makt i Sverige utgår från folket.
Den svenska folkstyrelsen bygger på fri åsiktsbildning och på allmän och lika rösträtt. Den förverkligas genom ett representativt och parla- mentariskt statsskick och genom kommunal självstyrelse.
Den offentliga makten utövas under lagarna.13
10
11Mina kontaktuppgifter en nationell delningstjänst för digitala kontaktuppgifter, Förstudie på uppdrag av Sveriges Kommuner och landsting
12Rapport Säker digital meddelandehantering mellan myndigheter Nuläges- behovs- och marknadsanalys, SKL 2016.
131 kap. 1 § regeringsformen (1974:152).
108
SOU 2017:114 |
Effektiv styrning av förvaltningsgemensamma digitala funktioner |
Till skillnad från de myndigheter som lyder under regeringen är varje kommun och landsting, enligt regeringsformens bestämmelser, en egen juridisk person. Styrelsen i varje kommun och varje landsting är ansvarig inför fullmäktige. Samtliga myndigheter under regeringen ingår i en och samma juridiska person och varje myndighets ledning är ansvarig inför regeringen.
Hur riksdagen och regeringen ska och får styra och följa upp de offentliga verksamheterna och deras resultat, liksom bestämmelserna för det allmännas relation till enskilda utgår från regeringsformens bestämmelser. Utredningens bedömningar och förslag till effektiv styrning av förvaltningsgemensamma digitala funktioner tar därmed sin utgångspunkt i regeringsformens bestämmelser om de offentliga myndigheterna, däribland det kommunala självstyret.
6.3.1Regeringsformen
I regeringsformens första kapitel fastställer riksdagen statsskickets grunder. Riksdagen slår fast att all offentlig makt i Sverige utgår från folket och att den offentliga makten utövas under lagarna.
Den svenska folkstyrelsen bygger på fri åsiktsbildning och på allmän och lika rösträtt. Folkstyrelsen förverkligas genom ett repre- sentativt och parlamentariskt statsskick och genom kommunal själv- styrelse. Den offentliga makten utövas under lagarna.14
Den offentliga makten ska utövas med respekt för alla människors lika värde och för den enskilda människans frihet och värdighet.
Individens personliga, ekonomiska och kulturella välfärd ska vara grundläggande mål för den offentliga verksamheten.
Det allmänna ska främja en hållbar utveckling som leder till en god miljö för nuvarande och kommande generationer.
Det allmänna ska verka för att demokratins idéer blir vägledande inom samhällets alla områden samt värna den enskildes privatliv och familjeliv. Det allmänna ska verka för att alla människor ska kunna uppnå delaktighet och jämlikhet i samhället och för att barns rätt tas till vara m.m.15
141 kap. 1 § regeringsformen (1974:152).
151 kap. regeringsformen (1974:152).
109
Effektiv styrning av förvaltningsgemensamma digitala funktioner |
SOU 2017:114 |
Riksdagen som är folkets främsta företrädare stiftar lag och en lag får inte ändras eller upphävas på annat sätt än genom lag, dvs. ingen annan än riksdagen kan ändra eller upphäva en lag. Riksdagen beslutar om skatt till staten och bestämmer hur statens resurser ska användas. Riksdagen granskar rikets styrelse och förvaltning.16 Regeringen styr riket och är ansvarig inför riksdagen.17
I riket finns kommuner på lokal och regional nivå, dvs. kommu- ner och landsting.18 Kommunerna och landstingen sköter lokala och regionala angelägenheter av allmänt intresse på den kommunala själv- styrelsens grund. På samma grund sköter kommunerna och lands- tingen även de övriga angelägenheter som bestäms i lag.19
För rättskipningen finns det domstolar. Ingen myndighet, inte heller riksdagen, får bestämma hur en domstol ska döma i det en- skilda fallet eller hur en domstol i övrigt ska tillämpa en rättsregel i ett särskilt fall. Ingen annan myndighet får heller bestämma hur dö- mande uppgifter ska fördelas mellan enskilda domare.
Riksdagen får inte fullgöra förvaltningsuppgifter eller rättskip- ningsuppgifter i vidare mån än vad som följer av grundlag20 eller riks- dagsordningen.21 Rättstvister mellan enskilda får inte utan stöd av lag avgöras av andra myndigheter än domstolar.
För den offentliga förvaltningen finns det statliga och kommu- nala förvaltningsmyndigheter.22 Ingen myndighet, inte heller riks- dagen eller en kommuns beslutande organ, får bestämma hur en för- valtningsmyndighet i ett särskilt fall ska besluta i ett ärende som rör myndighetsutövning mot en enskild eller mot en kommun eller som rör tillämpning av lag.
Domstolar, förvaltningsmyndigheter och andra som fullgör offent- liga förvaltningsuppgifter ska i sin verksamhet beakta allas likhet in- för lagen samt iaktta saklighet och opartiskhet.23
161 kap. 4 § regeringsformen (1974:152).
171 kap. 6 § regeringsformen (1974:152).
181 kap. 7 § regeringsformen (1974:152).
1914 kap. regeringsformen (1974:152).
20Regeringsformen, (1974:152), Successionsförordningen (1820:0926), Tryckfrihetsförordningen (1949:105) och Yttrandefrihetsgrundlagen (1991:1469).
21Riksdagsordningen (2014:801). Utöver grundlagarna finns riksdagsordningen, som har en särställning mellan grundlag och vanlig lag. För att ändra den krävs endast ett riksdagsbeslut, men detta måste fattas med kvalificerad majoritet, det vill säga minst tre fjärdedelar av de röstande och mer än hälften av ledamöterna. I riksdagsordningen finns detaljerade bestäm- melser om riksdagen och dess arbetsformer.
221 kap. 8 § regeringsformen (1974:152).
231 kap. 9 § regeringsformen (1974:152).
110
SOU 2017:114 |
Effektiv styrning av förvaltningsgemensamma digitala funktioner |
Förvaltningsuppgifter kan överlämnas åt kommuner och även åt andra juridiska personer och enskilda individer. Om förvaltnings- uppgiften innefattar myndighetsutövning får ett överlämnande end- ast göras med stöd av lag.
6.3.2
Sedan den 1 januari 1995 är Sverige är medlem i Europeiska un- ionen, EU. En bestämmelse om medlemskapet infördes i regerings- formens första kapitel 2010.24
Sverige och de övriga medlemsländerna beslutar tillsammans om nya
En
24Lag (2010:1408).
25Det innebär bland annat att vissa beslut som tidigare fattades i Sveriges riksdag, numera fattas gemensamt tillsammans med övriga
111
Effektiv styrning av förvaltningsgemensamma digitala funktioner |
SOU 2017:114 |
den. Varje enskild medlemsstat har dock rätten att komplettera för- ordningen med nationella regler i viss omfattning.
Exempel på en
Ett annat exempel är Europaparlamentets och rådets dataskydds- förordning kallad GDPR27 med syftet att stärka skyddet för fysiska personer vid behandling av personuppgifter inom Europeiska unio- nen. Förordningen antogs den 27 april 2016 och kommer börja gälla den 25 maj 2018. Den ersätter då Dataskyddsdirektivet från 1995.28 GDPR kommer börja gälla direkt i alla medlemsstater och ersätter då tidigare nationella bestämmelser. I Sverige kommer dataskyddsför- ordningen ersätta personuppgiftslagen.29
Ett
26Europaparlamentets och rådets förordning (EU) nr 910/2014 av den 23 juli 2014 om elek- tronisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden och om upphävande av direktiv 1999/93/EG.
27(EU) nr 2016/679), förkortat GDPR efter engelskans General Data Protection Regulation. Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).
28Dataskyddsdirektivet (95/46/EG).
29Personuppgiftslagen (1998:204).
30 Exempel på
112
SOU 2017:114 |
Effektiv styrning av förvaltningsgemensamma digitala funktioner |
6.4Effektiv styrning
Utredningen bedömer:
att styrningen är effektiv när de offentliga myndigheternas (de styrdas) agerande och resultat stämmer överens med riksdagens och regeringens (de styrandes) direktiv, önskemål och förvänt- ningar. För att uppnå detta måste riksdagens och regeringens styrning riktas direkt till den eller de myndigheter som ska styras. Styrningen behöver anpassas både till den eller de som ska styras och till den typ av verksamhet, eller som i denna utrednings upp- drag, de förvaltningsgemensamma digitala funktioner som avses. För detta behöver riksdagen och regeringen använda och utforma en väl balanserad kombination av flera olika styrmedel.
De krav som demokratin ställer innebär att förvaltningen ska full- göra sina uppgifter i enlighet med de beslut som fattas av riksdagen och regeringen. Förvaltningen ska vara rättssäker vilket innebär att den ska fatta materiellt riktiga beslut på grundval av gällande lagar och andra författningar. Förvaltningen ska vara effektiv vilket inne- bär att åstadkomma avsedda resultat och uppnå fastställda mål på ett kostnadseffektivt sätt. Förvaltningen ska vara medborgarorienterad vilket innebär att myndigheternas verksamhet ska orienteras mot ett påvisbart utbyte för medborgarna.
Resonemangen nedan tar sin huvudsakliga utgångspunkt i riks- dagens och regeringens styrning av kärnverksamheter/angelägenheter. Utredningen menar dock att motsvarande resonemang är direkt till- lämpligt även på riksdagens och regeringens styrning av den offentliga förvaltningens användning av medel för att genomföra sina kärnverk- samheter och kommunala angelägenheter, i detta fall förvaltnings- gemensamma digitala funktioner.
Det finns många definitioner av styrning. Styrning har dock alltid ett syfte eller mål. Det kan vara att förändra en verksamhet eller ett beteende, men också att se till att bevara status quo. Styrning handlar således, med en övergripande definition, om aktiviteter som genom- förs i syfte att uppnå mål med hjälp av valda medel.31
31 Statskontoret 2005:28, Reglering och andra styrmedel, En studie av hur staten styr kom- muner och landsting.
113
Effektiv styrning av förvaltningsgemensamma digitala funktioner |
SOU 2017:114 |
I sitt betänkande Att styra staten – regeringens styrning av sin för- valtning analyserade Styrutredningen regeringens styrning av sin för- valtning.
Styrutredningen pekade på det självklara att styrning bygger på att det finns minst två parter och att den ena parten försöker påverka den andra partens agerande. Styrning går ut på att den styrdas age- rande ska stämma överens med den styrandes direktiv, önskemål och förväntningar.
Den som styr väljer vad styrningen ska riktas mot, dvs. styr- ningen måste ha ett objekt. En förutsättning för styrning är också att den på något sätt förmedlas till myndigheterna. I praktiken handlar det om att styrningen behöver kopplas ihop med det eller de objekt som ska styras.
Styrutredningen betonade att en viktig grundförutsättning i alla diskussioner om styrning (och utvärdering) är att skillnaderna mel- lan myndigheterna är stora. Enligt Styrutredningen är det av central betydelse att styrningen utformas så att dessa skillnader beaktas.32
Den grundläggande styrningen av en myndighet och dess verk- samhet finns i lagar, respektive myndighets instruktion och finansie- ring, m.m. Utgångspunkten är att de förvaltningsuppgifter som föl- jer av vad riksdagen och regeringen har bestämt, ska vara det aktuella statliga åtagandet.
Valet av styrmedel och utformningen av dem bör övervägas och kunna förändras allt eftersom verksamheten utvecklas, de politiska prioriteringarna ändras, om det uppstår nya problem m.m.
Enligt regeringens bedömning33 bör styrningen av förvaltnings- myndigheterna i så hög grad som möjligt vara utformad så att den bäst gynnar syftet med respektive verksamhet. Styrningen av statlig verksamhet bör utvecklas med inriktningen att kombinera olika styr- former för att skapa bästa möjliga förutsättningar för de statliga myn- digheterna att förverkliga regeringens politik, utföra sina uppgifter i övrigt och upprätthålla grundläggande värden.
Styrningen bör vara tydlig, inriktad mot verksamheternas resultat, vara verksamhetsanpassad och ha ett medborgarperspektiv. Tydlig innebär bland annat att myndighetens uppdrag preciseras genom att
32SOU 2007:75, Att styra staten – regeringens styrning av sin förvaltning, betänkande av Styrutredningen.
332009/10:175, bet. 2009/10:FiU38, rskr. 2009/10:315.
114
SOU 2017:114 |
Effektiv styrning av förvaltningsgemensamma digitala funktioner |
uppgifter, regler och i förekommande fall mål och prioriteringar an- ges. Mål och uppgifter till myndigheterna formuleras så att respektive myndighet själv råder över eller har rimliga möjligheter att genom olika åtgärder kunna genomföra uppdraget på ett tillfredsställande sätt. Regeringen har betonat att olika styrmedel såsom ledningsform, utnämningar, instruktion, regleringsbrev, särskilda regeringsbeslut, dialog och möten bör kombineras och användas samordnat för att skapa bästa möjliga förutsättningar för statsförvaltningen att för- verkliga regeringens politik.
För att bestämma styrbehovet och därmed kombinationen av styrmedel måste, enligt Ekonomistyrningsverket (ESV),34 hänsyn tas till verksamhetens tillstånd och verksamhetens natur samt det för- väntade resultatet i det enskilda fallet. Även tidsaspekten är viktig vid valet av styrmedel. En fråga här är om myndigheten och verksam- heten ska styras på kort, medellång eller lång sikt. Valet av styrmedel kan också bero på om en verksamhet eller ett efterfrågat resultat är politiskt prioriterat men även om något inte fungerat som avsett. Valet av styrmedel bör, enligt ESV, även avvägas och anpassas till om det är fler myndigheter och organisationer som ska bidra till ett gemensamt resultat så att styrmedlen underlättar och bidrar till att det gemensamma resultatet kan uppnås.35
I styrning av offentlig verksamhet ingår att följa upp, analysera, utvärdera, bedöma, redovisa och revidera de uppnådda resultaten, hur pengarna har använts osv. Bestämmelserna om resultatredovisning m.m. finns i olika lagar och förordningar för respektive kommuner och landsting, statliga myndigheter, regeringen och riksdagen.
6.4.1Styrobjekten – de offentliga myndigheterna
De offentliga myndigheterna är ett nödvändigt instrument för att genom- föra av riksdagen och regeringen fattade beslut. Styrningen av myndig- heterna är därför av stor betydelse för att statsmakterna ska kunna upp- fylla det politiska mandat väljarna har gett dem.36
34ESV 2007:23, Resultat och styrning i statsförvaltningen.
35A.a.
36SOU 2008:118, Styra och ställa – förslag till en effektivare statsförvaltning, slutbetänkande av 2006 års förvaltningskommitté, s. 59.
115
Effektiv styrning av förvaltningsgemensamma digitala funktioner |
SOU 2017:114 |
Även om det är formella skillnader mellan de offentliga myndighe- terna, dvs. statliga myndigheter, kommuner och landsting, finns det gemensamma bestämmelser som gäller för alla offentliga myndigheter.
Med myndighet menas ett statligt eller kommunalt organ som utför offentliga förvaltningsuppgifter och som en offentligrättslig författning har skapat för detta ändamål, dvs. statliga och kommu- nala förvaltningsmyndigheter samt domstolar. Vad som avses med
”myndighet” bestäms därmed utifrån formerna för verksamheten och inte efter arbetsuppgifternas art eller vilken funktion organet har. Det innebär att även om ett enskilt organ med stöd av regerings- formen37 har fått offentliga arbetsuppgifter eller myndighetsutövning, kan organet inte – enligt regeringsformen – anses vara en myndighet. Att myndighetsbegreppet är organisatoriskt och inte funktionellt innebär också att även sådana myndigheter som inte har myndighets- utövning som sin huvudsakliga uppgift, är myndigheter.38
Regeringen föreslog att det i den nya förvaltningslagen som trä- der i kraft den 1 juli 2018 – efter de inledande paragraferna om lagens tillämpningsområde – skulle införas en rubrik kallad Grunderna för god förvaltning. Riksdagen beslutade i enlighet med regeringens för- slag och bestämmelserna om legalitet, objektivitet och proportiona- litet, service, tillgänglighet och samverkan i den nya förvaltnings- lagen lyder därmed på följande sätt:
En myndighet får endast vidta åtgärder som har stöd i rättsordningen. I sin verksamhet ska myndigheten vara saklig och opartisk. Myndighe- ten får ingripa i ett enskilt intresse endast om åtgärden kan antas leda till det avsedda resultatet. Åtgärden får aldrig vara mer långtgående än vad som behövs och får vidtas endast om det avsedda resultatet står i rimligt förhållande till de olägenheter som kan antas uppstå för den som åtgär- den riktas mot.39
Som skäl för sitt förslag angav regeringen att legalitetsprincipen bru- kar framhållas som ett skydd mot en nyckfull och godtycklig makt- utövning från det allmännas sida. Den är en av de principer som anses känneteckna en rättsstat. I EU:s rättssystem liksom i Europakonven- tionen tillskrivs denna princip en avgörande betydelse.
3712 kap. 4 § regeringsformen (1974:152).
38Prop. 2009/10:224, Ett sammanhängande system för geografisk miljöinformation, s. 28.
395 § Grunderna för god förvaltning, Legalitet, objektivitet och proportionalitet, förvalt- ningslagen (2017:900).
116
SOU 2017:114 |
Effektiv styrning av förvaltningsgemensamma digitala funktioner |
Enligt regeringen är inte legalitetsprincipen enhetligt definierad men den brukar vanligtvis uppfattas som ett krav på att ingripanden mot enskilda ska ha ett klart författningsstöd. I denna betydelse är också legalitetsprincipen grundlagsfäst genom regeringsformens be- stämmelse att ”den offentliga makten utövas under lagarna”. Med uttrycket lagarna som används i regeringsformen avses i detta sam- manhang inte endast sådana lagar som riksdagen har beslutat utan även andra författningar och t.ex. sedvanerätt.
Legalitetsprincipen innebär alltså att myndigheternas maktutöv- ning i vidsträckt mening måste ha stöd i någon av de källor som till- sammans bildar rättsordningen. Utan stöd i lag saknar varje myndig- het befogenheter gentemot medborgarna.
Principen bör, enligt regeringen, gälla för all verksamhet hos myn- digheten. Med det menas att den bör gälla för såväl handläggning av och beslutsfattande i enskilda ärenden som s.k. faktiskt handlande. Avsikten är att hindra myndigheterna att agera helt vid sidan av sina i författning fastställda förpliktelser.
Av den sjätte paragrafen – service – i den nya förvaltningslagen framgår att en myndighet ska se till att kontakterna med enskilda blir smidiga och enkla. Myndigheten ska lämna den enskilde sådan hjälp att han eller hon kan ta till vara sina intressen. Hjälpen ska ges i den utsträckning som är lämplig med hänsyn till frågans art, den enskil- des behov av hjälp och myndighetens verksamhet. Den ska ges utan onödigt dröjsmål.40
Den sjunde paragrafen innehåller en bestämmelse om tillgänglighet och innebär att en myndighet ska vara tillgänglig för kontakter med enskilda och informera allmänheten om hur och när sådana kan tas.41
6.5Styrmedel
Valet av styrmedel och kombinationen av dessa är avgörande för resultatet. Riksdagen och regeringen använder flera olika styrmedel för att styra de offentliga myndigheterna. Vissa av dessa styrmedel såsom lagar, förordningar, uppdrag, finansiering, budgetmedel m.fl. är bindande för myndigheterna.
406 § förvaltningslagen (2017:900).
417 § förvaltningslagen (2017:900).
117
Effektiv styrning av förvaltningsgemensamma digitala funktioner |
SOU 2017:114 |
Regeringen använder även flera icke bindande styrmedel såsom nationella inriktningsdokument, handlingsplaner, överenskommelser m.fl. för att uttrycka sina ambitioner och önskad inriktning av olika frågor, politikområden m.m.
Mål kan vara bindande styrmedel eller icke bindande styrmedel. Om ett mål är bindande eller inte handlar inte om hur målet i sig är utformat. Det är den styrande som bestämmer om målet ska vara bindande för styrobjektet eller inte. Dock gäller att om målet ska vara bindande måste det kopplas ihop med det eller de objekt som ska styras.
6.5.1Bindande styrmedel
Av regeringsformen framgår att bestämmelser ska meddelas av riks- dagen genom lag om de avser
•enskildas personliga ställning och deras personliga och ekono- miska förhållanden inbördes,
•förhållandet mellan enskilda och det allmänna under förutsätt- ning att föreskrifterna gäller skyldigheter för enskilda eller i öv- rigt avser ingrepp i enskildas personliga eller ekonomiska förhål- landen,
•grunderna för kommunernas och landstingens organisation och verksamhetsformer och för den kommunala beskattningen samt
•kommunernas och landstingens befogenheter i övrigt och deras åligganden, m.m.42
Riksdagen kan bemyndiga regeringen att meddela föreskrifter enligt regeringsformens 8 kap.
En föreskrift är en bindande rättsregel som beslutas av en myndig- het och utgår från en lag som beslutats av riksdagen eller en förord-
428 kap. 2 § regeringsformen (1974:152).
438 kap. 7 § regeringsformen (1974:152).
118
SOU 2017:114 |
Effektiv styrning av förvaltningsgemensamma digitala funktioner |
ning som beslutats av regeringen.44 I vissa fall bygger föreskrifter också på
En statlig myndighets roll och uppgifter regleras i myndighetens instruktion som beslutas av regeringen i form av en förordning. In- struktionen innehåller inte en uttömmande beskrivning av en myndig- hets uppgifter utan dessa anges på ett övergripande plan. I instruktio- nen bör myndighetens ansvarsområde, uppgifter, ledningsform och andra för myndigheten specifika förhållanden regleras.
Finansiering och finansiell styrning
I regeringsformens nionde kapitel behandlas riksdagens finansmakt. Finansmakten är rätten att bestämma över statens inkomster och förfoga över statens tillgångar, framför allt genom beslut om utgif- ter. Riksdagen beslutar om en beräkning av statens inkomster och om anslag för bestämda ändamål till ett bestämt belopp. Anslag och inkomster får inte användas på annat sätt än vad riksdagen har be- stämt.
Det är regeringen som inom ramen för riksdagens beslut förvaltar och förfogar över statens tillgångar, om de inte avser riksdagens myndigheter eller i lag har avsatts till särskild förvaltning.
Ytterligare bestämmelser om riksdagens, regeringens och de stat- liga myndigheternas befogenheter och skyldigheter i fråga om finan- siering av verksamheterna finns i riksdagsordningen eller i särskild lag och förordning.45
Kommunernas beskattningsrätt
Av regeringsformens fjortonde kapitel framgår att kommunerna får ta ut skatt för skötseln av sina angelägenheter och att riksdagen, i lag, får besluta att kommuner och landsting ska bidra till kostnaden för
448 kap. 1 § regeringsformen (1974:152).
459 kap. regeringsformen (1974:152).
119
Effektiv styrning av förvaltningsgemensamma digitala funktioner |
SOU 2017:114 |
andra kommuners angelägenheter, om det krävs för att uppnå likvär- diga ekonomiska förutsättningar.46
Ytterligare regler om kommunernas befogenheter och skyldighe- ter i fråga om ekonomisk förvaltning finns i kommunallagen.47
6.5.2Icke bindande styrmedel
Där staten har viljan att styra, men möjligheterna att styra med hjälp av mer detaljerad reglering är begränsade, kan vi förvänta oss ett mer fre- kvent användande av andra styrmedel än reglering.
Annan styrning kan också vara ett första steg: ett försök att åstad- komma den förändring eller utveckling som statsmakterna önskar, utan att de ska behöva använda sig av ett starkare styrmedel som reglering. Riksdag och regering har också att ta hänsyn till den grundlagsreglerade kommunala självstyrelsen och vill helst undvika att inkräkta på den genom reglering. Visar det sig emellertid att den frivilliga vägen genom annan styrning inte fungerar tillfredsställande utifrån statsmakternas perspektiv, t.ex. att de förändringar man vill åstadkomma uppfattas går för långsamt, har riksdag och regering möjlighet att ta till lagstiftning för att nå sitt
Det kan också finnas politiskt strategiska motiv för riksdag och rege- ring att använda sig av annan styrning. Genom att t.ex. tillsätta en natio- nell samordnare tydliggör statsmakterna att en viss verksamhet är viktig. Man markerar att man tar en uppkommen situation eller ett politiskt problem på allvar. Genom att involvera fler aktörer i hanteringen av frå- gan t.ex. genom en överenskommelse med SKL, kan också statsmakter- nas handlande ges ökad legitimitet. Här finns det dock betydande skill- nader mellan olika verksamhetsområden när det gäller hur regeringen väljer att använda sig av annan styrning.48
Det som benämns annan styrning i citatet ovan är icke bindande styrmedel. Enligt Statskontoret är olika typer av nationella inrikt- ningsdokument ett sätt för regeringen att uttrycka sina mål och am- bitioner inom ett område. Nationella strategier, handlingsplaner och handlingsprogram är exempel på nationella inriktningsdokument. Syf- tet med styrning med nationella inriktningsdokument är, enligt Stats- kontoret, att övergripande påverka utvecklingen inom ett område. Det kan även vara fråga om att regeringen vill få draghjälp från aktö-
4614 kap. 4 och 5 §§ regeringsformen (1974:152).
4711 kap. Ekonomisk förvaltning, Kommunallagen (2017:725).
48Statskontoret 2011:22, Tänk efter före, Om viss styrning av kommuner och landsting, s. 28 f.
120
SOU 2017:114 |
Effektiv styrning av förvaltningsgemensamma digitala funktioner |
rer som regeringen har begränsad eller ingen formell möjlighet att styra. Det kan också vara ett sätt att kraftsamla olika aktörer till en viss fråga för att på så sätt stärka samordningen.
Med några undantag är nationella inriktningsdokument normalt sett inte juridiskt bindande. Undantagen är nationella handlingspla- ner som följer den gemensamma lagstiftningen inom EU.49
Exempel på strategier är Med medborgaren i centrum – reger- ingens strategi för en digital samverkande statsförvaltning,50 som regeringen beslutade 2012. Ett annat exempel är strategin För ett hållbart digitaliserat Sverige – en digitaliseringsstrategi51 som reger- ingen beslutade den 18 maj 2017.
Överenskommelser är en uppgörelse mellan två parter t.ex. reger- ingen och SKL, som tillsammans förbinder sig att åstadkomma något. Överenskommelserna är inte formellt bindande och de parter som ingår i överenskommelsen har inte ansvaret för det direkta genom- förandet. Därför blir det svårt att utkräva något formellt ansvar om en överenskommelse bryts.
Statskontoret beskriver överenskommelser som ”ett paket av olika styrmedel” och menar att överenskommelser är ett sätt för reger- ingen att sätta fokus på en fråga eller ange en gemensam inriktning för en fråga eller ett ansvarsområde. Överenskommelser innehåller ofta flera andra styrmedel t.ex. statsbidrag, informationsinsatser och uppföljning.52
Som ett exempel på överenskommelse kan nämnas att regeringen i januari 2017 ingick en överenskommelse med SKL om en hand- lingsplan för samverkan vid genomförande av Vision
49Statskontoret 2016:24, Statens styrning av kommunerna.
50Dnr N2012/06402/ITP.
51Dnr N2017/03643/D.
52Statskontoret 2014, Om offentlig sektor, Överenskommelser som styrmedel.
53S2016/01874/FS.
54Prop. 2017/18:1, utgiftsområde 2, s. 94.
121
Effektiv styrning av förvaltningsgemensamma digitala funktioner |
SOU 2017:114 |
6.6Effektivitet och god hushållning
Den offentliga förvaltningens användning av digitala medel ska leda till ökad kvalitet och effektivitet i den offentliga förvaltningen som helhet.
Den offentliga förvaltningen och domstolarna utgör en betydande makt- apparat. Ett grundläggande krav är att myndigheterna ska tjäna med- borgarna, inte tvärtom. Den grundläggande demokratiska principen om att det är folket som är uppdragsgivare ställer krav på effektivitet och hushållning med statens finanser. Denna utgångspunkt ställer dock även krav på bl.a. myndigheternas kontakt med allmänheten. Kraven på effek- tivitet kan lätt gå ut över servicen till allmänheten, vilken kan vara både tids- och arbetskrävande. Det är viktigt att den enskilde statsanställde utifrån värdegrunden kan hantera denna konflikt. Vidare måste den statligt anställde beakta att legalitetsprincipen alltid är överordnad effek- tiviteten. Nyckelord för den statsanställde är lättillgänglighet, skyldighet att informera och underlätta samt måluppfyllelse.55
Av utredningens direktiv framgår att ytterligare effektivitetsvinster bör kunna göras genom fler innovativa lösningar i offentlig tjänste- produktion och att det finns en stor effektiviseringspotential att ta till vara med hjälp av tekniken. Även Digitaliseringskommissionen konstaterade i sitt betänkande 2015 att digitaliseringen ändrar förut- sättningarna för de offentligt finansierade verksamheterna genom att den erbjuder stora möjligheter till effektivisering och rationalisering och samtidigt högre kvalitet för individen i de tjänster som tillhanda- hålls.56
Enligt kommunallagen är kommuner och landsting skyldiga att ha en god ekonomisk hushållning i sin verksamhet och i sådan verk- samhet som bedrivs genom andra juridiska personer.57
Enligt regeringen har kommuner och landsting stora möjligheter att själva fatta de beslut som behövs för att den egna verksamheten ska bedrivas kostnadseffektivt och med hög kvalitet. Staten har dock, enligt regeringen, ett övergripande ansvar för att samtliga kommuner och landsting har förutsättningar och kapacitet att hantera dessa frå- gor. Bland annat genom att förbättra ramverket för och styrningen av
55Värdegrundsdelegationen 2013, Den gemensamma värdegrunden för de statsanställda s. 25.
56SOU 2015:91, Digitaliseringens transformerande kraft, betänkande av Digitaliserings- kommissionen.
57Kommunallagen (2017:725).
122
SOU 2017:114 |
Effektiv styrning av förvaltningsgemensamma digitala funktioner |
kommunsektorn arbetar regeringen, enligt vad som framgår av bud- getpropositionen för 2018, aktivt med detta inom olika områden.58
Mål för den ekonomiska förvaltningen är att kommuner och lands- ting ska ha en god ekonomisk hushållning i sin verksamhet och i sådan verksamhet som bedrivs genom kommunala bolag, stiftelser, föreningar och privata utförare. Fullmäktige ska besluta om riktlinjer för god ekonomisk hushållning för kommunen eller landstinget.
Av budgeten ska det vidare framgå hur verksamheten ska finan- sieras och hur den ekonomiska ställningen beräknas vara vid budget- årets slut. De finansiella mål som är av betydelse för en god ekono- misk hushållning ska anges.
Budgeten ska även innehålla en plan för verksamheten under budgetåret. I planen ska det anges mål och riktlinjer som är av bety- delse för en god ekonomisk hushållning. Budgeten ska även inne- hålla en plan för ekonomin för en period av tre år. Om fullmäktige beslutar om en utgift under löpande budgetår, ska beslutet även in- nefatta en anvisning om hur utgiften ska finansieras.
Både budgetlagen59 och myndighetsförordningen60 ger uttryck för statsmakternas viljeinriktning eller ambition för hur regeringen och myndigheterna under regeringen ska använda pengarna när de bedriver sina verksamheter. I budgetlagen, som i första hand reglerar regeringens skyldigheter och befogenheter på finansmaktens om- råde, reglerar riksdagen att i statens verksamhet ska hög effektivitet eftersträvas och god hushållning iakttas.
Den tidigare budgetlagsutredningen61 ansåg att kravet på hög effektivitet och god hushållning är grundläggande i statens verk- samhet. Hög effektivitet innebär att den statliga verksamheten ska bedrivas så att av riksdagen avsedda mål nås i så hög grad som möj- ligt inom ramen för tillgängliga resurser. Verksamheten kan då sägas vara ändamålsenligt utformad.
Uttrycket god hushållning har en annan och snävare innebörd och innebär att onödiga utgifter ska undvikas, att verksamheten ska bedrivas med hög produktivitet, att statens medel ska hanteras säkert samt att statens tillgångar i övrigt och skulder ska förvaltas väl.62
58Prop. 2017/18:1, utgiftsområde 25, s. 24.
591 kap. 3 § budgetlagen (2011:203).
603 § Myndighetsförordningen (2007:515).
61SOU 1996:14.
62Prop. 1995/96:220 s. 19 f., prop. 2010/11:40, s. 124.
123
Effektiv styrning av förvaltningsgemensamma digitala funktioner |
SOU 2017:114 |
Uttrycket eftersträvas (hög effektivitet ska eftersträvas) ville den tidigare budgetlagsutredningen använda för att markera att effekti- vitet inte kan nås i absolut bemärkelse. Uppgiften var i stället att successivt och målmedvetet vidta åtgärder som gör att effektiviteten och ändamålsenligheten i verksamheten förbättras. Dock kan kraven på god hushållning sägas vara något mer absoluta än kraven på effektivitet.
Av myndighetsförordningen framgår att myndighetens ledning har ansvar för att myndighetens verksamhet bedrivs effektivt och att den hushållar väl med statens medel.63 Statsförvaltningen ska utnyttja skattemedel ändamålsenligt och inte använda mer resurser än vad som krävs för att uppnå avsedda resultat med rätt kvalitet. Varje myndighet ska sträva efter hög effektivitet men ska samtidigt beakta statens samlade effektivitet. Statsförvaltningen ska ha en väl utvecklad kvalitet, service och tillgänglighet och därigenom bidra till Sveriges utveckling och ett effektivt
Enligt förordningen om statliga myndigheters elektroniska infor- mationsutbyte65 ska en myndighet i sin verksamhet främja utveck- lingen av ett säkert och effektivt elektroniskt informationsutbyte inom den offentliga förvaltningen.
6.6.1Förvaltningsövergripande kostnadseffektivitet och förvaltningsgemensamma resurser
i en samverkande förvaltning
Utredningen bedömer:
att en effektiv finansiell styrning och finansiering av förvalt- ningsgemensamma digitala funktioner innebär att riksdagen och regeringen måste styra resurserna utifrån ett förvaltningsöver- gripande perspektiv.
633 § myndighetsförordningen (2007:515).
64Budgetlagen (2011:203), förvaltningslagen (1986:223), myndighetsförordningen (2007:515), prop. 2009/10:175, bet. 2009/10:FiU38, rskr. 2009/10:315.
652 § förordningen (2003:770) om statliga myndigheters elektroniska informationsutbyte.
124
SOU 2017:114 |
Effektiv styrning av förvaltningsgemensamma digitala funktioner |
att kraven på kvalitet och effektivitet i de förvaltningsgemen- samma digitala funktionerna måste tillgodoses och bedömas på en förvaltningsövergripande nivå.
En aspekt som skulle behöva belysas ytterligare är finansieringsfrågan vid utveckling av lösningar som är gemensamma för flera myndigheter. Effektiviserings- och resultatkrav på varje enskild myndighet riskerar att leda till att initiativ inte kommer till stånd när kostnaden uppstår i en myndighet och nyttan uppkommer i en annan, oavsett nyttan för sam- hället i stort eller för den enskilda medborgaren.66
Av beskrivningen ovan framgår att riksdagens och regeringens be- stämmelser om hushållning och effektiv hantering av skattebetalar- nas pengar riktar sig till respektive offentlig myndighet, inte till förvaltningen som helhet. Undantaget är den sjätte paragrafen i myndighetsförordningen som anger att myndigheten ska lyfta blicken från enbart den egna verksamheten och verka för att genom samarbete med andra myndigheter och andra ta till vara de fördelar som kan vinnas för enskilda samt för staten som helhet.67
I budgetpropositionen för 2015 sade regeringen att arbetet med att modernisera och effektivisera den offentliga sektorn för att ge bättre service åt medborgarna till en lägre kostnad är viktigt och att en ökad samordning och digital samverkan över myndighetsgrän- serna har en stor utvecklingspotential i den offentliga förvaltningen. Bristande samverkan mellan myndigheter skapar inte bara problem för enskilda medborgare och företagare som kommer i kontakt med det offentliga. Det kan även medföra onödiga kostnader för staten.68
Statens servicecenter är ett exempel på statliga förvaltningsgemen- samma resurser, dvs. resurser som är tillgängliga för alla myndigheter i statsförvaltningen. Statens servicecenter69 har till uppgift att efter överenskommelse med myndigheter under regeringen mot avgift till- handahålla tjänster som gäller administrativt stöd åt myndigheterna.
66Polismyndighetens remissvar
676 § myndighetsförordningen (2007:515).
68Prop. 2014/15:1, utgiftsområde 22, s. 148.
69Förordningen (2012:208) med instruktion för Statens servicecenter.
125
Effektiv styrning av förvaltningsgemensamma digitala funktioner SOU 2017:114
infördes även ett avgiftsfritt utbyte av grunddata mellan statliga myndigheter.
De grunddata som omfattas av utbytet är uppgifter i folkbokfö- ringsregistret, näringslivsregistret, vägtrafikregistret, fastighetsregist- ret och viss geografisk information. Fram till och med 2016 har de registeransvariga myndigheterna fakturerat andra myndigheter för efterfrågade uppgifter. Regeringen bedömde dock att denna ordning är ineffektiv i att ett avgiftsuttag mellan myndigheter ökar de admini- strativa kostnaderna och bidrar till att myndigheter använder mellan- händer, med risk för sämre registerkvalitet. De anslag som finansierar Mina meddelanden,
Avgiftsfinansiering i statlig verksamhet anses ha två huvudsakliga syften, nämligen att ersätta annan finansieringskälla eller att påverka efterfrågan på varan eller tjänsten. Ett av de vanligaste argumenten för att införa en avgift är att det anses vara rimligt att den som utnyttjar en verksamhet också betalar för den. En avgift kan öka kostnadsmed- vetandet hos både producent och konsument och höja produktivite- ten. En avgift kan öka varans eller tjänstens värde för konsumenten.
Inomstatliga avgifter tas ut mellan statliga myndigheter. Intäk- terna från avgifterna som betalas mellan myndigheter har inte någon statsfinansiell effekt. Avgiftsfinansiering av en vara eller tjänst som enbart berör olika myndigheter är alltså fråga om interndebiteringar eller en metod att omfördela resurser inom staten. Det innebär i princip att de varor och tjänster som produceras hos en myndighet avgiftsfinansieras och att anslagsmedel i stället anvisas och tilldelas den myndighet som köper och använder tjänsten eller varan.70
ESV har konstaterat att i många fall är ett avgiftsfritt utlämnande mer kostnadseffektivt både för myndigheten och för användarna eftersom avgiftsuttag i sig medför en kostnad.71 Med det menas att med avgiftsfinansiering följer även administration av avgiftshanter- ingen och de administrativa kostnaderna för att ta ut avgiften kan bli så höga att det inte lönar sig att ta ut någon avgift.
70ESV 2009:39, Förslag till utvecklad finansiell styrning.
71ESV 2015:63, Avgiftsförordningen och
126
SOU 2017:114 |
Effektiv styrning av förvaltningsgemensamma digitala funktioner |
Argument som talar emot avgiftsfinansiering är att den kan leda till en oönskad minskning av efterfrågan av tjänsten. En avgift kan även innebära att syftet med verksamheten inte uppnås eftersom det ligger i samhällets eller statsmakternas intresse att så många som möj- ligt får ta del av tjänsten. Enligt utredningens bedömning är avgifts- finansiering av förvaltningsgemensamma digitala funktioner en vare sig tillräckligt förutsägbar, stabil eller långsiktig finansieringsform för att funktionerna, på ett effektivt sätt, ska kunna leverera de förväntade resultaten.
Digitaliseringsmyndigheten som utredningen föreslog i sitt del- betänkande är tänkt att vara en förvaltningsgemensam resurs för hela den offentliga sektorn. I förslaget ingår att digitaliseringsmyndighe- ten ska vara anslagsfinansierad och att myndighetens tjänster ska vara kostnadsfria för de offentliga myndigheterna.72 Utredningen argumenterade att finansieringen av digitaliseringsmyndighetens sam- lade ansvar bör ge myndigheten långsiktiga och stabila förutsätt- ningar att stödja förvaltningens utveckling och öka den samverkan inom hela den offentliga förvaltningen som riksdagen och regeringen vill uppnå. Utredningen föreslog därför att samtliga uppgifter i sam- ordningsuppdraget ska finansieras med anslagsmedel.
I budgetpropositionen för 2018 föreslog regeringen att riksdagen skulle besluta om att anvisa ett förvaltningsanslag för digitaliserings- myndigheten. Ändamålet med anslaget skulle vara att anslaget får an- vändas för digitaliseringsmyndighetens förvaltningsutgifter. Anslaget får användas för utgifter för styrning, samordning och uppföljning av digitaliseringen av den offentliga förvaltningen samt för den nationella digitala infrastrukturen. Anslaget får användas för utgifter för
Utredningen noterar att det av regeringens direktiv till den sär- skilda utredare som ska inrätta digitaliseringsmyndigheten framgår att utredaren får lämna förslag på verksamhet som kan bli föremål för avgifter.74 Den avgiftsbelagda verksamheten ska ha målet full kost-
72Anslagsfinansieringen som enligt förslaget ska föras över från
73Prop. 2017/18:1, utgiftsområde 2, bet. 2017/18:FiU2, rskr. 2017/18:128 och 129.
74Dir. 2017:117, Inrättande av en myndighet för digitalisering av den offentliga sektorn.
127
Effektiv styrning av förvaltningsgemensamma digitala funktioner |
SOU 2017:114 |
nadstäckning och får inte gynna eller missgynna vissa användare. Av direktiven framgår inte om det är fråga om avgifter för frivillig upp- dragsverksamhet eller om det är fråga om offentligrättsliga avgifter.
ESV har framhållit att det finns ett behov av att ta fram en lång- siktigt hållbar finansieringsmodell som tar sikte på att öka den sam- verkan mellan de statliga myndigheterna som riksdagen och reger- ingen vill uppnå för att främja den digitala förvaltningen. ESV menar att finansiell styrning med anslag kan öka denna samverkan.75
Bestämmelserna om finansiell styrning med anslag innebär dess- utom att verksamheten blir mer transparent, att finansieringsbeslu- ten måste bli föremål för noggrann budgetberedning och beslut i hela styrkedjan och att det finns möjligheter för statsmakterna att utöva ett yttre effektiviseringstryck på verksamheterna.
Avseende avgiftsfinansiering myndigheter emellan, dvs. avgifter för frivillig uppdragsverksamhet, har utredningen inte någon annan uppfattning än ESV i denna fråga utan menar att anslagsfinansiering av förvaltningsgemensamma digitala funktioner är den bättre och mer effektiva finansieringslösningen för alla inblandade aktörer.
Utredningen menar att avgiftsfinansiering offentliga myndigheter emellan kan verka hämmande för den önskade utvecklingen och för- valtningen av förvaltningsgemensamma digitala funktioner som riks- dagen och regeringen eftersträvar. Avgiftsfinansiering riskerar att verk- samheten inte utförs på ett effektivt sätt för staten som helhet utan kan till och med innebära att myndigheter som har behov av myn- dighetens avgiftsbelagda tjänster av ekonomiska och andra skäl av- står från dem.
6.7Närmare om statliga myndigheterna under regeringen
Under regeringen lyder den statliga förvaltningsorganisationen, dvs. Justitiekanslern och andra statliga förvaltningsmyndigheter som inte är myndigheter under riksdagen.76 Domstolarna ingår i också i den statliga myndighetsorganisationen under regeringen. Domstolarna är dock inte förvaltningsmyndigheter. Till skillnad från kommuner och
75Ekonomistyrningsverkets redovisning av uppdraget Finansieringslösningar för gemensamma digitala tjänster
7612 kap.1 § regeringsformen (1974:152).
128
SOU 2017:114 |
Effektiv styrning av förvaltningsgemensamma digitala funktioner |
landsting ingår de statliga myndigheterna under regeringen i en och samma juridiska person.
Det finns flera olika utgångspunkter för att räkna antalet myn- digheter under regeringen. Av Statskontorets redovisning av den offentliga sektorns utveckling framgår att det i januari 2017 fanns 343 statliga myndigheter under regeringen. Dessa myndigheter är förvaltningsmyndigheter och domstolar som lyder under regeringen och som regeringen har utfärdat en förordning med instruktion för, eller som styrs av en särskild lag. I denna grupp myndigheter ingår inte myndigheter med tidsbegränsade uppdrag.77
I Arbetsgivarverkets redovisning av antalet myndigheter under regeringen ingår endast myndigheter med egna anställda. År 2017 hade, enligt Arbetsgivarverket, 212 myndigheter under regeringen egna anställda.
ESV i sin tur redovisar antalet myndigheter som ingår det i den statliga redovisningsorganisationen. Av redovisningen som uppda- teras löpande framgår att det i november 2017 ingick 218 statliga myndigheter i den statliga redovisningsorganisationen. Av dessa var 215 myndigheter som lyder under regeringen.78 Förteckningen inne- håller uppgifter om myndighetsidentitet, organisationsnummer, de- partementstillhörighet, årsredovisningsskyldighet och om tillstånd att rekvirera ingående mervärdeskatt.
Även Statistiska centralbyrån för ett register över statliga myn- digheter – det allmänna myndighetsregistret. Sammantaget omfat- tade myndighetsregistret 458 myndigheter i januari 2018.79
Statistiska centralbyråns uppdrag att föra registret framgår av förordningen om det allmänna förordningsregistret.80 Enligt förord- ningen ska registret innehålla uppgifter om domstolar, affärsverk och övriga förvaltningsmyndigheter samt myndigheterna i utrikesrepre- sentationen.81
77Statskontoret 2017, Den offentliga sektorn i korthet 2017, dnr
78ESV webbplats
79www. scb.se
80Förordningen (2007:755) om det allmänna myndighetsregistret.
811 § förordningen (2007:755) om det allmänna myndighetsregistret.
129
Effektiv styrning av förvaltningsgemensamma digitala funktioner |
SOU 2017:114 |
6.7.1Regeringen väljer hur mycket den vill styra sina myndigheter
Enligt regeringen är myndigheternas fristående ställning och långt- gående befogenheter att besluta om hur de egna uppgifterna ska lösas viktiga i den svenska förvaltningen och medför många fördelar. Den lägger också grunden till att myndigheterna på ett självständigt sätt ska kunna sköta sin dagliga verksamhet effektivt och rättssäkert. Den svenska förvaltningsmodellen är en förutsättning för en effektiv och utvecklingsinriktad statsförvaltning. Regeringen har samtidigt betonat att det är lika viktigt att varje myndighet, samtidigt som den har långtgående befogenheter att bestämma hur den organiserar sitt arbete, är en del av staten som helhet. Det är därför viktigt med en väl fungerande samordning och samverkan mellan myndigheterna.82
Varje regering väljer hur mycket den vill styra sina myndigheter. Förvaltningskommittén uttryckte det på följande sätt:
Även om en stor del av de statliga myndigheternas verksamhet, m.m. regleras av riksdagen i olika lagar har myndigheterna under reger- ingen en lydnadsrelation till regeringen men inte direkt till riksdagen eller medborgarna, och inte heller till ett enskilt statsråd. Riksdagen och regeringen styr de statliga myndigheterna huvudsakligen genom författningar – riksdagen genom lagar och budgetbeslut och reger- ingen genom förordningar och budgetreglering. Dessa lagar och för- ordningar kan vara generella eller specifika. Det generella regelverket består bl.a. av förvaltningslagen, myndighetsförordningen och för- ordningen om budgetunderlag och årsredovisning.84
Alla statliga myndigheter under regeringen ska – som regel – ha en instruktion. Instruktionen är en förordning som regeringen be- slutar med stöd av den s.k. restkompetensen, dvs. sådan normgiv- ning som inte tillkommer riksdagen genom grundlag. En myndig- hets instruktion är oftast myndighetsspecifik men kan även vara
82Skr. 2013/14:155, bet. 2013/14:FiU37, rskr. 2013/14:300.
83SOU 2007:75, Att styra staten – regeringens styrning av sin förvaltning, betänkande av Styrutredningen, s. 45 f.
84Förvaltningslagen (2017:900), myndighetsförordningen (2007:515), förordningen (2000:605) om budgetunderlag och årsredovisning.
130
SOU 2017:114 |
Effektiv styrning av förvaltningsgemensamma digitala funktioner |
gemensam för flera myndigheter med liknande verksamhet, eller för flera myndigheter inom samma förvaltningsområde.
Gemensamma instruktioner finns för bl.a. länsstyrelserna och olika typer av domstolar såsom tingsrätter, förvaltningsrätter m.fl.
Med instruktionen bestämmer regeringen en myndighets upp- gifter, ledningsform och andra förhållanden som är specifika för myndigheten.
Regeringen brukar varje år – i budgetpropositionen – redovisa sina utgångspunkter och ambitioner för sin styrning av sina myndig- heter. Så även i budgetpropositionen för 2018 där regeringen fram- höll att enskildas, organisationers och företags behov och förvänt- ningar är en utgångspunkt för den offentliga förvaltningen.
Regeringen anförde att
dagens snabba samhällsutveckling innebär att den offentliga sektorn måste vara både förutsebar och anpassningsbar. Det ställer höga krav på en mer sammanhållen styrning på flera nivåer. Regeringen vill värna och ut- veckla den svenska förvaltningsmodellen, med en stor tillit och ett långt- gående delegerat ansvar till de statliga myndigheterna. Styrningen ska därför vara långsiktig, strategisk, verksamhetsanpassad och utgå från ett helhetsperspektiv, med tillit och förtroende som grund. Med tillits- baserad styrning avser regeringen en styrning som både tydliggör vad som ska uppnås och ger ett så stort handlingsutrymme som situationen tillåter för den som ska utföra verksamheten. En tillitsbaserad styrning omfattar även en uppföljning och efterhandskontroll, som både ger till- räckliga underlag för fortsatt styrning och upplevs vara meningsfull och legitim av den som ska kontrolleras.
Behovet av samordning har i flera fall ökat och styrningen behöver i en del fall bli mer sammanhållen, t.ex. genom att utgå från verksamhetsom- råden snarare än enskilda myndigheter. Lokalisering och digitalisering är exempel på områden där ett helhetsperspektiv medför fördelar för staten som helhet, vilket också avspeglas i regeringens styrning.
Medborgarnas förtroende för det allmänna är även fortsättningsvis en grundläggande förutsättning för den statliga förvaltningen och dess förmåga att möta förändringar.85
Ansvaret för den enskilda myndighetens interna organisation är i regel delegerat till myndighetens ledning. Regeringen har dock det övergripande ansvaret för att den statliga förvaltningen bedrivs rätts-
85 Prop. 2017/18:1, utgiftsområde 2, 5 Statlig förvaltningspolitik, s. 86.
131
Effektiv styrning av förvaltningsgemensamma digitala funktioner |
SOU 2017:114 |
säkert och effektivt och att myndigheterna har en likvärdig service och tillgänglighet för alla medborgare och företag.86
6.7.2Statsförvaltningen – de förvaltningspolitiska utgångspunkterna för regeringens styrning av sina myndigheter
Regeringens förvaltningspolitik som omfattar alla myndigheter under regeringen ska tydliggöra statsförvaltningens särprägel, statens an- svar och uppgifter och uppdraget att tjäna demokratin. Förvaltnings- politiken syftar till en rättssäker och effektiv statsförvaltning och till att utveckla förvaltningen som helhet och dess samlade nytta för medborgare och företag.
Den statliga förvaltningspolitiken innefattar främst frågor och generella principer, oavsett verksamhetsområde. Den statliga för- valtningspolitiken omfattar styrning, ledning, organisation och ut- veckling av de statliga myndigheterna samt vissa övergripande frågor om relationen mellan stat och kommun, inklusive regional ansvars- fördelning. Kommunerna och landstingen omfattas annars inte av den statliga förvaltningspolitiken. Samtidigt finns det många berör- ingspunkter mellan den statliga förvaltningen och de kommunala och landstingskommunala förvaltningarna.
Ur ett
Målet för den statliga förvaltningspolitiken som riksdagen beslu- tade 2010 är
En innovativ och samverkande förvaltning som är rättssäker och effek- tiv, har väl utvecklad kvalitet, service och tillgänglighet och som där- igenom bidrar till Sveriges utveckling och ett effektivt
86Prop. 2009/10:175.
87Skr. 2013/14:155, bet. 2013/14:FiU37, rskr. 2013/14:300.
88Prop. 2009/10:175, bet. 2009/10:FiU38, rskr. 2009/10:315.
132
SOU 2017:114 |
Effektiv styrning av förvaltningsgemensamma digitala funktioner |
6.7.3Om allmänhetens förtroende
Regeringens förvaltningspolitiska skrivelse till riksdagen i mars 2014 inleds med orden
En väl fungerande offentlig förvaltning är av avgörande betydelse för medborgarnas välfärd liksom för samhällsekonomin och den ekonomiska tillväxten.89
I samma skrivelse framhåller regeringen också betydelsen av att det allmänna har förtroende för de statliga myndigheterna, landstingen och kommunerna. Att den offentliga förvaltningen åtnjuter medbor- gares och företags förtroende är en förutsättning för att verksam- heten ska fungera. Viljan att gemensamt finansiera den offentliga verksamheten förutsätter att medborgare och företag litar på att skattemedel används på ett ansvarsfullt sätt.90
Medborgarna ska ha förtroende för den statliga förvaltningen och känna tillit till dem som arbetar där. De anställda måste ha gott om- döme, integritet och goda kunskaper om den lagstiftning som är grunden för statsförvaltningens verksamhet. Det är dock inte till- räckligt att myndigheterna handlar opartiskt, omsorgsfullt och i övrigt korrekt i formell mening. De måste också lämna snabba, enkla och entydiga besked och hjälpa medborgare och företag att utöva sina rättigheter och fullgöra sina skyldigheter.
6.8Närmare om kommuner och landsting
Sveriges kommuner har ett brett uppdrag och olika roller av skiftande
89Skr. 2013/14:155, s. 11, bet. 2013/14:FiU37, rskr. 2013/14:300.
90Skr. 2013/14:155, s. 11, bet. 2013/14:FiU37, rskr. 2013/14:300.
133
Effektiv styrning av förvaltningsgemensamma digitala funktioner |
SOU 2017:114 |
betydande ansvar för välfärd och lokal samhällsutveckling samt ha goda förutsättningar att möta framtida utmaningar.91
Kommuner och landsting har ansvaret för en stor del av den offent- liga förvaltningen i Sverige. Varje landsting omfattar ett län om inte något annat är särskilt beslutat. Det finns 290 kommuner och 20 landsting (Gotlands kommun har ett landstingsansvar). Samtliga kommuner följer samma lagstiftning och har i huvudsak samma ansvar och uppgifter. Den enhetliga modellen bidrar till en begriplig och funktionellt utformad samhällsorganisation samt medverkar till en effektiv offentlig förvaltning och en tydlig ansvarsfördelning. Samtidigt finns stora skillnader mellan landets kommuner, vilket påverkar deras möjligheter att hantera sina uppgifter. Kommunerna och landstingen varierar starkt både till befolkning (antalet medlem- mar i kommunen) och yta. Antalet invånare i kommunerna varierade 2016 mellan knappt 2 500 invånare i Bjurholms kommun till drygt 936 000 invånare i Stockholms kommun. Av tabellen nedan framgår att majoriteten av alla kommuner har som högst 25 000 invånare.
Källa: Finansdepartementet, Ds 2017:60, Genomförande av webbtillgänglighetsdirektivet.
Till ytan varierade kommunernas storlek mellan nio kvadratkilo- meter (Sundbybergs kommun) till drygt 19 000 kvadratkilometer (Kiruna kommun).
Bland landstingen hade 2016 Stockholms läns landsting flest in- vånare, nästan 2 269 000 och Jämtlands läns landsting det minsta an- talet, 129 000 invånare.92 Som framgår av tabellen nedan är det endast tre landsting som har över 1 miljon invånare.
91Dir. 2017:13, Stärkt kapacitet i kommunerna för att möta samhällsutvecklingen.
92Skr. 2016/17:102, utvecklingen inom den kommunala sektorn.
134
SOU 2017:114 |
Effektiv styrning av förvaltningsgemensamma digitala funktioner |
|
|
|
|
|
|
|
|
|
|
|
|
|
Källa: Finansdepartementet, Ds 2017:60, Genomförande av webbtillgänglighetsdirektivet .
Kommunernas och landstingens skiftande storlek tillsammans med bland annat skillnader i inkomstförhållanden och ålderssammansätt- ning skapar, trots skatteutjämning och statsbidrag, betydande olik- heter i kommunernas förmåga att tillhanda digitala tjänster. Sam- tidigt är kraven på vad kommunen eller landstinget ska utföra, som framförts ovan, lika. Denna obalans mellan förmåga och krav är en av digitaliseringens största utmaningar.
Kommunerna och landstingen är till skillnad från staten förvalt- ning genom förtroendevalda. Som framgår ovan är en kommun eller ett landsting en egen juridisk person.
Kommunernas och landstingens ställning, organisation och verk- samhet är, förutom i regeringsformen, reglerad i kommunallagen och ett stort antal författningar – speciallagar – med inriktning på sär- skilda verksamheter samt
Enligt regeringsformen sköter kommunerna och landstingen lokala och regionala angelägenheter av allmänt intresse på den kommunala självstyrelsens grund. På samma grund sköter kommunerna och lands- tingen även de övriga angelägenheter som riksdagen har bestämt i lag.93
Den kommunala självstyrelsen syftar ytterst till att stärka demo- kratin och göra den offentliga verksamheten mer effektiv. Staten kan tilldela kommunerna uppgifter och utformar styrningen av deras verk- samhet. Statens styrning syftar till att säkerställa dels att kom- munerna utför de tilldelade uppgifterna i enlighet med nationellt fastställda mål och krav, dels att den offentliga servicen är likvärdig och rättssäker.94 Sverige ratificerade 1989 den Europeiska konventio- nen om kommunalt självstyre.95
9314 kap. 2 § regeringsformen (1974:152).
94Dir. 2017:13, Stärkt kapacitet i kommunerna för att möta samhällsutvecklingen.
95Prop. 1988/89:119, bet. 1988/89:KU32, rskr. 1988/89:251.
135
Effektiv styrning av förvaltningsgemensamma digitala funktioner |
SOU 2017:114 |
Det finns inte någon lagfäst definition av vad som avses med kom- munal självstyrelse men principen om kommunal självstyrelse gäller för all kommunal verksamhet, även den som är föremål för särskild re- glering. Dock är det möjligt att föreskriva skyldigheter för kommuner och landsting i speciallagstiftning i de fall detta motiveras av vikten av att åstadkomma en reglering som ger likvärdig service för invånarna oberoende av var de är bosatta. En inskränkning i den kommunala självstyrelsen bör, enligt regeringsformen, inte gå utöver vad som är nödvändigt med hänsyn till de ändamål som har föranlett den.96
Vid en eventuell inskränkning av det kommunala självstyret måste den så kallade proportionalitetsprincipen beaktas.97
Av kommunallagen framgår att kommuner och landsting får ha hand om angelägenheter av allmänt intresse som har anknytning till kommunen eller landstingets område eller deras medlemmar.98 Där- emot får kommuner och landsting inte ha hand om sådana angelägen- heter som enbart staten, en annan kommun, ett annat landsting eller någon annan ska ha hand om.99
För kommuner och landsting gäller likställighetsprincipen som in- nebär att kommuner och landsting ska behandla sina medlemmar lika, om det inte finns sakliga skäl till något annat.100
Många viktiga samhällsfunktioner är obligatoriska uppgifter för kommunerna och landstingen. Exempel på obligatoriska uppgifter finns inom t.ex. plan- och byggväsendet, skolväsendet, socialtjänsten samt inom hälso- och sjukvården.101 Kommunerna och landstingen kan även bedriva frivillig verksamhet på t.ex. kultur- och fritidsom- rådet. De största verksamheterna i kommunerna är utbildning och vård och omsorg. Landstingens dominerande verksamheter är hälso- och sjukvård.102
Kommunerna bedriver en stor del av sin verksamhet i egen regi. Kommuner och landsting får driva näringsverksamhet om den drivs
9614 kap. 3 § regeringsformen (1974:152).
97Prop. 2009/10:80, bet. 2009/10:KU19, rskr. 2009/10:304.
982 kap. 1 § kommunallagen (2017:725).
992 kap. 2 § kommunallagen (2017:725).
1002 kap. 3 § kommunallagen (2017:725).
101Se bl.a. Hälso- och sjukvårdslagen (2017:30), Socialtjänstlagen (2001:453), Skol- lagen (2010:800), Plan- och bygglagen (2010:900).
102Skr. 2016/17:102, utvecklingen inom den kommunala sektorn.
136
SOU 2017:114 |
Effektiv styrning av förvaltningsgemensamma digitala funktioner |
utan vinstsyfte och syftar till att tillhandahålla allmännyttiga anlägg- ningar eller tjänster åt medlemmarna.103
Kommuner och landsting har även möjlighet att bedriva viss verksamhet i andra juridiska personer som t.ex. aktiebolag. Även verksamheter i sådana juridiska personer omfattas av de kommunala kompetensreglerna. Det innebär att kommuner och landsting, med de begränsningar som framgår av lag, får överlämna skötseln av kom- munala angelägenheter till kommunala bolag, stiftelser, föreningar och till privata utförare.104 Fullmäktige ska för varje mandatperiod anta ett program med mål och riktlinjer för sådana kommunala ange- lägenheter som utförs av privata utförare. I programmet ska det också fastställas hur fullmäktiges mål och riktlinjer ska följas upp och hur allmänhetens insyn ska tillgodoses.105
Med köp av verksamhet avses, utöver upphandlad verksamhet där kommuner och landsting behåller huvudmannaskapet, även bidrag som ges till enskilda huvudmän inom skolväsendet. Köpen görs från föreningar, stiftelser, privata företag och enskilda personer, men även från andra kommuner, landsting, kommunalförbund och i viss ut- sträckning från staten.
6.8.1Fullmäktiges och styrelsens uppgifter
I kommuner och landsting är fullmäktige ansvarig för verksamhetens resultat, kvalitet och innehåll. Kommunfullmäktige och landstings- fullmäktige beslutar i ärenden av principiell beskaffenhet eller annars av större vikt för kommunen eller landstinget, främst mål och rikt- linjer för verksamheten, budget, skatt och andra viktiga ekonomiska frågor, nämndernas organisation och verksamhetsformer, årsredo- visning och ansvarsfrihet m.m.106
Fullmäktige prövar varje år om verksamheten är ändamålsenlig och effektiv i nämnder, beredningar, kommunalförbund och finansi- ella samordningsförbund samt indirekt i kommunala företag.
Styrelsen ska leda och samordna förvaltningen av kommunens eller landstingets angelägenheter och ha uppsikt över övriga nämn-
1032 kap. 7 § kommunallagen (2017:725).
1043 kap.
1055 kap. 3 § kommunallagen (2017:725).
1065 kap. 1 § kommunallagen (2017:725).
137
Effektiv styrning av förvaltningsgemensamma digitala funktioner |
SOU 2017:114 |
ders och eventuella gemensamma nämnders verksamhet. Styrelsen ska också ha uppsikt över kommunal verksamhet som bedrivs i bo- lag, privata utförare, stiftelser och föreningar, dvs. sådana juridiska personer som avses i kommunallagens 10 kap.
6.8.2Kommuner och landsting i statsbudgeten
Kommuner och landsting finansieras till en mindre del av statsbidrag från statsbudgeten. Den huvudsakliga finansieringen av kommuner- nas verksamheter är kommunernas egna skatteintäkter.
Statsbudgetens bidrag till finansieringen av kommunernas och landstingens verksamheter finns inom ramen för utgiftsområde 25 Allmänna bidrag till kommuner och därutöver inom respektive ut- giftsområde som finansierar riktade statsbidrag till kommuner och landsting.
Det av riksdagen beslutade målet för utgiftsområde 25 Allmänna bidrag till kommuner är att skapa goda och likvärdiga ekonomiska förutsättningar för kommuner och landsting som bidrar till en effek- tiv kommunal verksamhet med hög kvalitet. Målet riktar sig inte till kommunerna och landstingen utan är ett mål för inriktningen och ändamålet med statens generella statsbidrag inom utgiftsområdet.
Statsbidrag
Statsbidrag innebär att en statlig myndighet betalar ut ett bidrag till en annan juridisk person, till exempel en privaträttslig organisation eller kommunal verksamhet.
Statsbidragen till kommuner och landsting består av både gene- rella bidrag och riktade bidrag. Enligt nationalräkenskaperna uppgick statsbidragen till kommuner och landsting 2016 till 185 miljarder kronor. Av beloppet utgjordes 90 miljarder kronor av generella stats- bidrag och 96 miljarder kronor av riktade statsbidrag.107
107Prop. 2017/18:1, utgiftsområde 25.
138
SOU 2017:114 |
Effektiv styrning av förvaltningsgemensamma digitala funktioner |
De generella statsbidragen är anslagsmedel som utbetalas på stats- budgetens utgiftssida från utgiftsområde 25 Allmänna bidrag till kommuner och utgör ett allmänt stöd till kommuner och landsting.
De generella statsbidragen är ett instrument för att bidra till kom- munernas och landstingens möjlighet att driva verksamheten utifrån lokala förutsättningar.
Med riktade statsbidrag menas här statsbidrag avsedda för kon- sumtion från anslag under andra utgiftsområden än utgiftsom- råde 25. De riktade statsbidragen utbetalas från flera olika utgiftsom- råden. Till skillnad från de generella statsbidragen är de riktade stats- bidragen avgränsade till vissa verksamheter eller prestationer. De kräver i regel någon form av motprestation och återrapportering. Antingen måste de sökas eller så fördelas de enligt en prestations- modell. De flesta statsbidragen är ensidigt beslutade av staten, men vissa regleras genom överenskommelser mellan staten och SKL.
Enligt Statskontoret kan det finnas flera motiv för statsmakterna att besluta om riktade statsbidrag. Ett motiv har varit att staten har ansett att det finns behov av att öka styrningen av verksamheterna för att nå de nationella målen. I sin analys av statens styrning av kommunal verksamhet underströk Statskontoret att det från flera håll har riktats kritik mot en alltför stor användning av riktade stats- bidrag som styrmedel. En del av kritiken handlar om den ökning av administration bidragen i allmänhet skapar, men kritiken handlar också om att de riktade bidragen skapar osäkra förutsättningar för kommuner och landsting att planera sin verksamhet.108
108 Statskontoret 2016:24, Statens styrning av kommunerna.
139
7Mål för den offentliga förvaltningens digitaliseringsarbete
Utredningen bedömer:
Digitaliseringen är en av samtidens mest påtagliga omvandlings- processer. Den offentliga förvaltningen är en viktig aktör. Statens åtagande i den digitala infrastrukturen är av avgörande betydelse inte bara för medborgarnas välfärd utan även för innovationer och näringslivsutveckling. Det är därför rimligt att digitaliseringsarbe- tet får en plats i den demokratiska processen för styrning och an- svarsutkrävande. Det bör därför finnas ett av riksdagen beslutat gemensamt mål för den offentliga förvaltningens digitaliserings- arbete. Målet ska vara bindande för regeringen i regeringens styr- ning av sina myndigheter och i förekommande fall i sin styrning av kommuner och landsting. Målet bör även vara ett riktmärke för riksdagen i riksdagens beslut om bestämmelser för kommuner och landsting.
Utredningen föreslår:
att regeringen ska föreslå riksdagen att för den offentliga förvalt- ningens digitaliseringsarbete besluta om målet att
Den offentliga förvaltningens användning av digitala medel ska leda till att det blir så enkelt som möjligt för så många som möjligt att utöva sina rättigheter och fullgöra sina skyldigheter samt ta del av förvaltningens service. Den offentliga förvaltningens användning av digitala medel ska vara säker samt öka kvaliteten och effektiviteten i den offentliga förvaltningen som helhet.
141
Mål för den offentliga förvaltningens digitaliseringsarbete |
SOU 2017:114 |
att regeringen för de statliga myndigheternas digitaliserings- arbete beslutar om målet att
Den statliga förvaltningens användning av digitala medel ska leda till att det blir så enkelt som möjligt för så många som möjligt att utöva sina rättigheter och fullgöra sina skyldigheter samt ta del av den statliga förvaltningens service. De statliga myndigheternas an- vändning av digitala medel ska vara säker samt öka kvaliteten och effektiviteten i den offentliga förvaltningen som helhet.
Förslaget genomförs genom förordningen med mål för de statliga myndigheternas digitaliseringsarbete.
att digitaliseringsmyndigheten ska stödja regeringens arbete med en samlad analys och bedömning av resultatet av den offent- liga sektorns digitaliseringsarbete i förhållande till förslaget till riks- dagens mål. Digitaliseringsmyndighetens analys och bedömning av resultatet redovisas i den årliga rapport som utredningen föreslagit.
att regeringen ger digitaliseringsmyndigheten ett särskilt upp- drag att utforma en metod och process för denna uppgift.
7.1Mål och …
Digitalisering och it inom offentlig förvaltning redovisas i budget- propositionen för 2018 inom utgiftsområde 2. Området har tidigare redovisats under utgiftsområde 22, Kommunikationer. Området digitalisering och it inom offentlig förvaltning omfattar frågor om digitalisering och it inom den offentliga förvaltningen, digital mognad,
Att området digitalisering och it inom offentlig förvaltning flyttats från utgiftsområdet 22 till utgiftsområde 2 innebär att dessa frågor inte längre omfattas av det – inom utgiftsområde 22 – riksdagsbundna målet för digitaliseringspolitiken, dvs. det mål som tidigare benämndes målet för
142
SOU 2017:114 |
Mål för den offentliga förvaltningens digitaliseringsarbete |
Inom utgiftsområde 2 Samhällsekonomi och finansförvaltning finns i dag två riksdagsbundna mål. Dessa är dels målet för finans- marknaden, dels målet för den statliga förvaltningspolitiken.
Området digitalisering inom den offentliga sektorn ingår inte i något av de delområden som dessa mål omfattar. Enligt vad som framgår av budgetpropositionen för 2018 betyder det att det inte längre finns något av riksdagen beslutat mål för området digitali- sering inom den offentliga sektorn. Regeringen lämnade i budget- propositionen för 2018 inte heller något förslag till mål för området för riksdagen att besluta om.
I budgetpropositionen för 2018, liksom i budgetpropositionen för 2017 informerade dock regeringen riksdagen om det mål som regeringen beslutat för detta delområde. Regeringens mål är en enklare vardag för medborgare, en öppnare förvaltning som stödjer innovation och delaktighet samt högre kvalitet och effektivitet i verksamheten.
Regeringen bedömde att ”digitalt” ska vara förstahandsval i den offentliga förvaltningens verksamhet och i kontakter med privatper- soner och företag. Digitalt först innebär, enligt regeringen, att den offentliga förvaltningen, när det är lämpligt, ska välja digitala lös- ningar vid utformningen av sin verksamhet. Samtidigt ska säkerheten och skyddet för den personliga integriteten säkerställas. Med det i beaktande ska det, enligt regeringen, vara enkelt att komma i kontakt med det offentliga Sverige och uppgifter ska om det är möjligt bara behöva lämnas en gång. Den offentliga förvaltningen ska vara effek- tiv och samarbeta och när det är lämpligt och om möjligt ska den återanvända information, uppgifter och gemensamma lösningar. Den offentliga förvaltningen ska verka för öppenhet, innovation och delaktighet i digitala lösningar.1
Eftersom regeringen i budgetpropositionen endast informerat riksdagen om sitt mål för den digitala offentliga förvaltningen och riksdagen därmed inte beslutat om regeringens mål är detta mål att betrakta som en redovisning av regeringens egna ambitioner för digi- taliseringen inom den offentliga sektorn. Budgetpropositionen är ett dokument som regeringen lämnar till riksdagen. Budgetproposi- tionen är inte ett dokument som riktar sig till regeringens myndig- heter eller till kommuner och landsting. Regeringens information om målet i budgetpropositionen är inte bindande styrning för de
1 Prop. 2017/18:1, utgiftsområde 2.
143
Mål för den offentliga förvaltningens digitaliseringsarbete |
SOU 2017:114 |
statliga myndigheterna som lyder under regeringen. För att målet ska vara bindande för myndigheterna måste det finnas med i ett dokument som riktar sig direkt till myndigheterna.
För närvarande finns inte något generellt styrande mål och åter- rapporteringskrav för de statliga myndigheternas digitaliseringsarbete. Utredningen har gått igenom regeringens regleringsbrev till myndig- heterna 2017 och konstaterar att regeringen, med några undantag, inte omsätter sitt eget mål för digitaliseringen av den offentliga förvalt- ningen i de statliga myndigheternas regleringsbrev.
7.2… resultatstyrning
Av budgetlagens bestämmelser framgår att regeringen i budgetpro- positionen ska lämna en redovisning av de resultat som uppnåtts i verksamheten i förhållande till de mål som riksdagen beslutat, s.k. utgiftsområdesmål. Denna resultatredovisning ska vara anpassad till utgiftsområdena.2 I budgetpropositionen redovisar, analyserar och bedömer regeringen resultaten (måluppfyllelsen) i förhållande till de mål som riksdagen beslutat. Riksdagens bedömning av resultaten och återkoppling till regeringen med anledning av det, finns i respektive riksdagsutskotts budgetbetänkande. Därutöver följer varje utskott upp och utvärderar riksdagsbeslut inom utskottets ämnesområde.3
Bestämmelsen i budgetlagen utesluter inte att regeringen kan lämna resultatredovisningar även i andra sammanhang. Enligt reger- ingen kan det tvärtom vara naturligt att regeringen redovisar fördju- pade analyser av olika verksamheter i skrivelser och i särpropo- sitioner. Detta är särskilt motiverat på sektorsövergripande områden där verksamheten bedrivs och finansieras från flera olika utgiftsom- råden. Det kan även vara lämpligt på områden där andra styrmedel än ekonomiska sådana används i stor omfattning, t.ex. lagstiftning. Riks- dagen kan även begära resultatinformation för olika verksamheter när behov finns.
De myndigheter under regeringen som ingår i den statliga redo- visningsorganisationen ska senast den 22 februari varje år lämna en årsredovisning till regeringen som bl.a. ska innehålla en resultatredo-
210 kap. 3 § budgetlagen (2011:203).
34 kap. 8 § regeringsformen (1974:152).
144
SOU 2017:114 |
Mål för den offentliga förvaltningens digitaliseringsarbete |
visning. I resultatredovisningen ska myndigheterna redovisa och kom- mentera verksamhetens resultat i förhållande till de uppgifter som framgår av myndighetens instruktion eller, i förekommande fall, till vad som anges i regleringsbrev eller andra regeringsbeslut.4
De statliga myndigheternas resultatredovisningar är viktiga under- lag för regeringens analys och bedömning av myndigheternas verk- samheter och resultat och för regeringens resultatredovisning till riksdagen.
Exempel – mål och återrapporteringskrav i regleringsbrev för 2017
De mål som regeringen beslutat i statliga myndigheters reglerings- brev är bindande styrning för de aktuella myndigheterna. Utred- ningen har gått igenom regeringens regleringsbrev till myndighe- terna 2017 och konstaterar att regeringen, med några undantag, inte omsätter sitt eget mål för digitaliseringen av den offentliga för- valtningen i de statliga myndigheternas regleringsbrev.
Under rubriken Mål och återrapporteringskrav i Bolagsverkets re- gleringsbrev för 2017 framgår att Bolagsverket ska tillhandahålla be- hovsanpassad och lättillgänglig information och service av hög kvalitet för företag och medborgare så att företags och medborgares kontakter med myndigheten blir enklare och effektivare. Digitala tjänster ska utformas, så långt det är möjligt och där det är relevant, så att de är förstahandsvalet i medborgares, organisationers och företagskontak- ter med Bolagsverket. Bolagsverket ska i budgetunderlaget redogöra för de insatser som har genomförts eller som Bolagsverket planerar att genomföra fram till 2020 för att utveckla myndighetens digitala tjäns- ter samt göra information och service behovsanpassad och lättill- gänglig. Redogörelsen ska innehålla kostnader och förväntad nytta med insatserna.
Under samma rubrik framgår även att Bolagsverket ska redovisa hur myndigheten under 2017 har arbetat för att öka anslutningen av relevanta meddelandeflöden till Mina meddelanden inom myndig- hetens ansvarsområde.
4 3 kap. 1 § förordningen (2000:605) om budgetunderlag och årsredovisning.
145
Mål för den offentliga förvaltningens digitaliseringsarbete |
SOU 2017:114 |
Under rubriken Uppdrag framgår dessutom att Bolagsverket ska ansvara för basförvaltning avseende den gemensamma
I Migrationsverkets regleringsbrev för 2017, under rubriken mål och återrapporteringskrav, finns ett mål för digitalisering som inne- bär betydande produktivitetsökningar. I anslutning till målet – som enligt utredningens bedömning avser myndighetens interna verk- samhetsutveckling – anför regeringen att
I sin återrapportering ska Migrationsverket redovisa måluppfyllel- sen och genomförda insatser för att uppnå målet. Särskild vikt ska läggas vid insatsernas konsekvenser för verksamheten i termer av effekthemtagning. Effekterna av anslutningen till Mina meddelanden ska också redovisas. Effekter i form av förbättrad service till mål- grupper och effektivitetsvinster i handläggningen ska särskilt be- aktas. I återrapporteringen ska Migrationsverket även tydliggöra vilka förutsättningar som krävs för att fler målgrupper ska kunna få information genom tjänsten.
I länsstyrelsernas regleringsbrev för 2017 framgår under rubriken mål och återrapporteringskrav att länsstyrelserna (avser alla länssty- relser) ska arbeta för att inom sina verksamhetsområden bidra till att uppfylla regeringens mål för digitalisering om en enklare vardag för medborgare och företag, en öppnare förvaltning som stödjer inno- vation och delaktighet samt högre kvalitet och effektivitet i verksam- heten.
Enligt ett uppdrag i regleringsbrevet ska länsstyrelserna till Bo- verket redovisa hur långt de har kommit i övergången till en digi- taliserad ärendeprocess dels när det gäller tillhandahållande av underlag för kommunernas fysiska planering, dels gällande ärendehantering som följer av kommunernas planering och bygglovsverksamhet. Läns- styrelserna ska beskriva utvecklingen i förhållande till den redovisning
146
SOU 2017:114 |
Mål för den offentliga förvaltningens digitaliseringsarbete |
som länsstyrelserna lämnade till Boverket 2016 och effekterna av denna utveckling.
Under rubriken mål och återrapporteringskrav i Livsmedels- verkets regleringsbrev för 2017 står att Livsmedelsverket ska redo- visa hur myndigheten under året har arbetat för att öka anslutningen av relevanta meddelandeflöden inom myndighetens ansvarsområde till Mina meddelanden, samt andra större framsteg i myndighetens digitaliseringsarbete.
7.3Förslag till mål för den offentliga förvaltningens digitaliseringsarbete
Om ett mål är bindande eller inte handlar inte om hur målet i sig är utformat. Det är den styrande som bestämmer om målet ska vara bindande för styrobjektet eller inte. Dock gäller att om målet ska vara bindande måste det kopplas ihop med det eller de objekt som ska styras. Inom ramen för den ekonomiska styrningen i staten beskrivs mål vanligen som önskade framtida resultat eller tillstånd vid en viss framtida tidpunkt.5 Dessa tillstånd bör främst vara lokaliserade utanför den agerande aktörens verksamhet, dvs. i sam- hället som helhet eller hos individer i samhället. Mål bör i första hand avse effekter eller utfall av verksamheten. I vissa fall kan det dock finnas skäl att formulera mål som avser utvecklingsområden inom en verksamhet.6 När målen beslutats av riksdagen och reger- ingen är det viktigt att mål och ambitioner når ut till ansvariga inom statsförvaltningen.7
I delbetänkandet8 betonade utredningen behovet av tydliga och styrande mål och sin avsikt att återkomma till denna fråga i slut- betänkandet. I delbetänkandet föreslog utredningen även att reger- ingen ska lägga fast ett för alla myndigheter tydligt och styrande mål för när den digitala förvaltningen ska vara genomförd inom staten, dvs. ett tidsbestämt mål. Tidsbestämningen skulle kunna tillämpas
5ESV 2006:7, Måluppfyllelseanalys, Hur måluppfyllelse, effekter och effektivitet kan under- sökas och rapporteras.
6SOU 2015:43, Vägar till ett effektivare miljöarbete, slutbetänkande av Miljömyndighets- utredningen.
7Prop. 2009/10:175, s. 99.
8SOU 2017:23, digitalforvaltning.nu, delbetänkande av Utredningen om effektiv styrning av nationella digitala tjänster.
147
Mål för den offentliga förvaltningens digitaliseringsarbete |
SOU 2017:114 |
olika för olika statliga myndigheter eftersom deras förutsättningar i digitaliseringsarbetet varierar. Utredningen menar dock att det inte hindrar att samtliga statliga myndigheter omfattas av ett och samma gemensamma mål för sitt digitaliseringsarbete, tvärtom är det av flera olika skäl, viktigt att alla myndigheter under regeringen har samma mål och återrapporteringskrav för sitt digitaliseringsarbete. Ett tungt vägande skäl är att enskilda i så stor utsträckning som möjligt ska få så likvärdig service som möjligt oavsett myndighet. Ett annat skäl är att underlätta samverkan mellan myndigheterna.
Utredningen menar dessutom att inte endast myndigheterna under regeringen utan alla offentliga myndigheter bör omfattas av ett och samma mål för sitt digitaliseringsarbete. Detta för att en- skilda individer i sina kontakter med de offentliga myndigheterna ska kunna förvänta sig att i sina kontakter bli bemötta och få lik- värdig service oavsett offentlig myndighet.
Det är även viktigt eftersom en betydande del av de offentliga myndigheternas digitaliseringsarbete handlar om att analysera vilka processer som kan stödjas av och effektiviseras med digitala medel oavsett om det avser myndigheternas externa eller interna kontakter. Men det är också viktigt eftersom de offentliga myndigheterna i sitt digitala utvecklingsarbete förväntas effektivisera och samverka med andra myndigheter och för att utvecklingen går i riktning mot att den offentliga förvaltningen har en större andel gemensamma (digi- tala) resurser.
Myndigheterna behöver därför på ett så konkret sätt som möjligt veta vad det är de ska sträva mot, också för att kunna bedöma om de uppfyller sina skyldigheter eller inte. Ett samlat och tydligt grepp om den offentliga förvaltningens digitalisering måste innebära att det står klart för de inblandande instanserna vad som förväntas av dem. De författningsförslag som utredningen lämnar innebär dessutom att det offentliga åtagandet avseende förvaltningsgemensamma digi- tala funktioner utvidgas i betydande omfattning. För att riksdagens och regeringens styrning och resultatredovisning av de offentliga myndigheternas digitaliseringsarbete – och inte minst styrningen av förvaltningsgemensamma digitala funktioner – ska kunna vara så effektiv som möjligt bedömer utredningen att de ska omfattas av ett för hela den offentliga förvaltningen gemensamt mål som riksdagen beslutat.
148
SOU 2017:114 |
Mål för den offentliga förvaltningens digitaliseringsarbete |
7.3.1Förslag till riksdagsbundet mål för den offentliga förvaltningens digitaliseringsarbete
Det mål som utredningen föreslår att riksdagen ska besluta om öve- rensstämmer delvis med det mål som regeringen redovisar som sitt under rubriken mål i avsnittet om Digitalisering och it inom offentlig förvaltning i budgetpropositionen för 2018.9 Det mål som regeringen redovisar i budgetpropositionen är dock, med några undantag, inte ett bindande mål för de statliga myndigheterna som lyder under regeringen, än mindre för övriga myndigheter i den offentliga förvaltningen, dvs. kommuner och landsting. Utredningen föreslår att målet ska vara
Den offentliga förvaltningens användning av digitala medel ska leda till att det blir så enkelt som möjligt för så många som möjligt att utöva sina rättigheter och fullgöra sina skyldigheter samt ta del av förvaltning- ens service. Den offentliga förvaltningens användning av digitala medel ska vara säker samt öka kvaliteten och effektiviteten i den offentliga förvaltningen som helhet.
Utredningens förslag till riksdagens beslut om mål för den offent- liga förvaltningens digitaliseringsarbete innebär – om det genom- förs – att det blir direkt bindande för regeringen. Det innebär bl.a. att regeringen i budgetpropositionen till riksdagen ska redovisa den offentliga förvaltningens resultat i förhållande till det av riksdagen beslutade målet.10
Av budgetlagens bestämmelser framgår att regeringen i budget- propositionen ska lämna en redovisning av de resultat som uppnåtts i verksamheten i förhållande till de mål som riksdagen beslutat, s.k. utgiftsområdesmål. Denna resultatredovisning ska vara anpassad till utgiftsområdena.11
9Prop. 2017/18:1, utgiftsområde 2, s. 93.
1010 kap. 3 § budgetlagen (2011:203).
1110 kap. 3 § budgetlagen (2011:203).
149
Mål för den offentliga förvaltningens digitaliseringsarbete |
SOU 2017:114 |
7.3.2Utredningen rekommenderar mål för kommunernas och landstingens digitaliseringsarbete
SKL, som inte är en myndighet utan en politiskt styrd privaträttslig arbetsgivar- och intresseorganisation för alla kommuner, landsting och regioner i landet har utformat mål för sitt arbete att driva på, stödja och samordna medlemmarna för att ta vara på digitaliser- ingens möjligheter. SKL strävar sedan de beslutades 2011 mot tre övergripande mål för framtidens digitala samhälle:
•en enklare vardag för privatpersoner och företag,
•smartare och öppnare förvaltning stödjer innovation och del- aktighet,
•högre kvalitet och effektivitet i verksamheten.
Dessa mål ingår i SKL:s strategi för att digitalisera samhället och att förbättra den kommunala sektorns förutsättningar för utveckling av
SKL:s mål är inte bindande för kommuner och landsting. Inte heller riksdagens beslut om mål för utgiftsområden – däribland det mål som utredningen föreslår att riksdagen ska besluta – innebär att de är bindande styrmedel för kommuner och landsting. För att styrningen av digitaliseringsarbetet i hela den offentliga sektorn ska kunna sträva mot samma mål vill utredningen i ljuset av avsikts- förklaringen mellan staten och SKL för en digital förnyelse av det offentliga Sverige, rekommendera fullmäktige i kommuner och landsting att utforma egna mål i samma anda som de mål som ut- redningen föreslår att riksdagen och regeringen ska besluta.
Kommun- och landstingsstyrelsen lämnar en årsredovisning till fullmäktige efter varje avslutat verksamhetsår. Bestämmelserna om kommunernas och landstingens bokföring och årsredovisning finns i lagen om kommunal redovisning.12 Där framgår bl.a. att årsredovis- ningens förvaltningsberättelse ska innehålla en utvärdering av om de av fullmäktige beslutade målen och riktlinjerna, som är av betydelse för en god ekonomisk hushållning, har uppnåtts och följts.
12 11 kap. kommunallagen (2017:725), lagen (1997:614) om kommunal redovisning.
150
SOU 2017:114 |
Mål för den offentliga förvaltningens digitaliseringsarbete |
7.3.3Förslag till mål för de statliga myndigheternas digitaliseringsarbete
Riksdagens beslut om mål för utgiftsområden innebär dock inte att de är bindande för de statliga myndigheterna som lyder under reger- ingen. En förutsättning för att målen ska vara direkt bindande för myndigheterna under regeringen är att de finns med i något av de styrdokument som riktas direkt till dem. Utredningen föreslår där- för att regeringen – i en ny förordning som ska gälla för myndighe- terna under regeringen – ska besluta om ett mål för digitaliseringen av myndigheterna och om myndigheternas resultatredovisning i för- hållande till målet.
Utredningen bedömer att det är viktigt att regeringen beslutar om ett långsiktigt mål, dvs. ett mål som ska vara styrande för de statliga myndigheternas digitaliseringsarbete i tre år eller längre. Det innebär att regeringen bör besluta om ett mål i ett styrdokument som inte – såsom regleringsbrevet – är begränsat till ett budgetår.
Det är också viktigt att alla statliga myndigheter omfattas av ett och samma mål för digitaliseringsarbetet eftersom resultatet, dvs. effekterna av digitaliseringsarbetet handlar om myndigheternas ser- vice och kontakter med enskilda och att enskilda bör kunna förvänta sig samma service och möjligheter till kontakt oavsett myndighet. Ett annat styrdokument är den förordning med instruktion som regeringen beslutar om för alla statliga myndigheter. Även om alla statliga myndigheter har en instruktion är varje instruktion myndig- hetsspecifik och inte ett generellt styrmedel som gäller lika för alla myndigheter. Av instruktionen framgår den specifika myndighetens uppdrag och uppgifter m.m. som formuleras i termer som svarar mot den specifika myndighetens befogenheter. Risken med att föra in ett förvaltningsgemensamt mål för de statliga myndigheternas digitaliser- ingsarbete i instruktionen är att det skulle komma att anpassas till den specifika myndighetens uppdrag och därmed förlora den förvaltnings- övergripande inriktningen. Utredningen förordar därför att regeringen i en särskild förordning som gäller för alla statliga myndigheter som lyder under regeringen beslutar om ett gemensamt och förvaltnings- övergripande mål för digitaliseringsarbetet.
Utredningens förslag till mål för de statliga myndigheternas digi- taliseringsarbete är att den statliga förvaltningens användning av digitala medel ska leda till att det blir så enkelt som möjligt för så många
151
Mål för den offentliga förvaltningens digitaliseringsarbete |
SOU 2017:114 |
som möjligt att utöva sina rättigheter och fullgöra sina skyldigheter samt ta del av den statliga förvaltningens service. De statliga myndigheternas användning av digitala medel ska vara säker samt öka kvaliteten och effektiviteten i den offentliga förvaltningen som helhet.
De myndigheter som enligt förslaget omfattas av regeringens för- ordning med mål för digitaliseringsarbetet ska varje år till regeringen redovisa verksamhetens resultat i förhållande till målet i sina årsredo- visningar. Resultatet ska redovisas i enlighet med 3 kap. 1 § förord- ningen om årsredovisning och budgetunderlag.13
Målen ska tillämpas från och med 2019
Utredningen anser att målen bör vara beslutade och tillämpas fr.o.m. budgetåret 2019. Därmed ska regeringen respektive myndigheterna under regeringen lämna resultatredovisningen av måluppfyllelsen år 2020.
7.4Digitaliseringsmyndigheten stödjer regeringen
– följer upp och analyserar
Utredningen föreslog i delbetänkandet att det ska ingå i den kom- mande digitaliseringsmyndighetens uppdrag att i en rapport till reger- ingen senast den 15 mars årligen redovisa och analysera den offent- liga sektorns digitalisering. Rapporten ska även, enligt förslaget, spegla utvecklingen inom kommuner och landsting. I uppdraget ingår att analysera om de insatser som genomförs leder till regeringens mål och om insatserna är i linje med regeringens prioriteringar och vid behov föreslå åtgärder eller förändrade regelverk.
Utredningen bedömer att det i detta uppdrag även bör ingå att stödja regeringens arbete med en samlad analys och bedömning av resultatet av samtliga offentliga myndigheters digitaliseringsarbete i förhållande till förslaget till riksdagens mål för detta och att denna analys och bedömning redovisas i den årliga rapporten.
Utredningen föreslår att regeringen ger digitaliseringsmyndig- heten ett särskilt uppdrag att utforma en metod och process för denna uppgift.
13 3 kap. 3 § förordningen (2000:605) om årsredovisning och budgetunderlag.
152
8En övergripande plan
– ett ramverk – för förvaltningsgemensamma digitala funktioner
8.1Digitalisering, infrastruktur och styrning
Den digitala infrastrukturen beskrivs ofta som bestående av en hård och mjuk del. Till hårda infrastrukturen hör teknisk utrustning för att förmedla elektroniska signaler som bredbandsnät och mobilmaster. Dit hör också den tekniska utrustning som företag och hushåll behö- ver för att kommunicera och bearbeta information som datorer, mobiltelefoner m.m. samt utrustning för lagring och förmedling.
Som delar av den mjuka infrastrukturen brukar nämnas lagar och annan form av reglering som standarder, branschöverenskommelser m.m. Organisation och rollfördelning är andra viktiga delar av den mjuka infrastrukturen. Leverantörer av olika former av generella tjäns- ter är en annan central del. Hit kan man räkna söktjänster, sociala medier och liknande som används för privat bruk men även av företag och myndigheter. Det finns också särskilda infrastrukturtjänster som huvudsakligen stödjer företag och myndigheter såsom autentiserings- och verifieringstjänster, meddelandeförmedlingstjänster, informations- behandlings- och lagringstjänster samt katalogtjänster. Till den mjuka infrastrukturen kan även räknas befolkningens digitala kompetens. Digital kompetens innefattar, enligt Digitaliseringskommissionen, säker och kritisk användning av informationssamhällets teknik i ar- betslivet, på fritiden och för kommunikationsändamål. Den under- byggs av användning av datorer för att hämta fram, bedöma, lagra, producera, redovisa och utbyta information samt för att kommunicera
153
En övergripande plan – ett ramverk – för förvaltningsgemensamma digitala funktioner SOU 2017:114
och delta i samarbetsnätverk via internet.1 Digital kompetens är också i vilken utsträckning man är förtrogen med digitala verktyg och tjäns- ter samt har förmåga att följa med i den digitala utvecklingen och dess påverkan på ens liv.
Digital kompetens innefattar kunskaper att söka information, kommunicera, interagera och producera digitalt, färdigheter att an- vända digitala verktyg och tjänster, förståelse för den transformering som digitaliseringen innebär i samhället med dess möjligheter och risker samt motivation att delta i utvecklingen.2
Den digitala infrastrukturen, både den hårda och mjuka, har inte en upphovsman eller ägare utan är resultatet av många olika aktörers ansträngningar. Det offentligas förutsättningar för att reglera och styra över hela denna infrastruktur har vissa begränsningar särskilt vad gäller globala tjänsteleverantörer. Samtidigt är lagar och myndig- heter en del av infrastrukturen och de politiska ambitionerna för digitaliseringen avgörande för den framtida samhällsutvecklingen.
Vilken roll det offentliga ska spela i infrastrukturen är beroende av hur väl statsmakterna förmår att samla och utnyttja de resurser man förfogar över, dvs. hur pass effektiv styrningen av den offentliga verksamheten är.
8.2Ramverk för styrning av den digitala förvaltningen
Utredningen bedömer:
att det är avgörande för den effektiva styrningen av förvaltnings- gemensamma digitala funktioner att beslutsprocesserna får ett snabbare förlopp.
Utredningen föreslår:
att Regeringskansliet fastställer en intern process för att bereda initiativ till förvaltningsgemensamma digitala funktioner, utvär- dera dem och i förekommande fall inom ramen för de ordinarie processerna, bereda nödvändiga beslutsunderlag.
1SOU 2015:28, Gör Sverige i framtiden – digital kompetens, delbetänkande av Digitaliserings- kommissionen.
2Digitaliseringskommissionen. SOU 2015:28, Gör Sverige i framtiden – digital kompetens, delbetänkande av Digitaliseringskommissionen.
154
SOU 2017:114 En övergripande plan – ett ramverk – för förvaltningsgemensamma digitala funktioner
Till ramverket hör de mål som riksdagen och regeringen beslutar och den uppföljning och resultatredovisning som följer av detta. Lagstift- ning som omfattar offentliga myndigheter är en viktig del av infra- strukturen och därför också en central del i styrningsramverket.
Hit hör också formerna för samverkan mellan myndigheter och mellan statliga myndigheter och kommuner och landsting. Utveck- lingen av förvaltningens digitala kompetens genom kompetensut- veckling av chefer och medarbetare i offentlig verksamhet kan även nämnas i sammanhanget.
Samordnande myndigheter har en mycket central roll i ramverket för digital styrning. Regeringen har föreslagit att en digitaliserings- myndighet ska inrättas från den 1 september 2018. Även andra myn- digheter har viktiga roller i den digitala styrningen. Det gäller till exempel Datainspektionen, MSB och PTS. En viktig framgångsfak- tor är att digitaliseringsmyndigheten har ett ansvar att utveckla och förvalta den offentliga
I direktiven till organisationskommittén för bildandet av digi- taliseringsmyndigheten skriver regeringen att en utgångspunkt för myndighetens arbete ska vara att i lämpliga delar ta tillvara kunskap och erfarenheter som
Ramverket måste även reglera roller och samverkan. Vidare måste det ange vad som ska vara ett statligt åtagande i form av förvaltnings- gemensamma digitala funktioner. Förvaltningsgemensamma digitala funktioner under utveckling liksom andra större förvaltningsöver- gripande utvecklingsprojekt samlas i en nationell utvecklingsportfölj.
Till utvecklingsportföljen måste knytas beredningsprocesser för att fånga upp och ta till vara på de offentliga myndigheternas initiativ
3Direktoratet for forvaltning og IKT.
4Vägledande principer för digital samverkan,
5Dir 2017:117 Inrättande av en myndighet för digitalisering av den offentliga sektorn.
155
En övergripande plan – ett ramverk – för förvaltningsgemensamma digitala funktioner SOU 2017:114
till förvaltningsgemensamma digitala innovationer. Sådana processer behövs dels på myndighetsnivå och bör enligt utredningens mening tas fram och drivas av den kommande myndigheten för digitali- sering, dels på behörig beslutsnivå.
8.3En tidsbestämd strategi
Utredningen föreslår:
att regeringen beslutar om en tidsbestämd övergripande plan – en strategi – för digitalisering och it i den offentliga förvaltningen.
År 2012 presenterade regeringen sin Strategi för en digitalt samverk- ande statsförvaltning.6 Strategin som ännu inte är avslutad skulle underlätta regeringens arbete med att utveckla statsförvaltningen, och i det sammanhanget vara regeringens plan för förvaltningsgemen- samma
Utredningen menar att det nu är hög tid att avsluta denna strategi och ersätta den med en ny övergripande plan – en ny tidsbestämd strategi – för digitalisering och it inom den offentliga förvaltningen. Strategin bör bl.a. innehålla tydliga milstolpar för när föreslagna offentliga åtaganden och andra åtgärder ska finnas på plats. Skälen till det är flera. Dels är den nu gällande strategin till stora delar över- spelad. Jämfört med 2012 har den offentliga förvaltningen 2018 ett nytt utgångsläge för sitt digitala utvecklingsarbete. Utredningen kan dock samtidigt konstatera att flera av strategins förvaltningsgemen-
6 Näringsdepartementet 2012, N2012/6402/ITP, Regeringens strategi för en digitalt sam- verkande statsförvaltning – Med medborgaren i centrum.
156
SOU 2017:114 En övergripande plan – ett ramverk – för förvaltningsgemensamma digitala funktioner
samma utvecklingsprojekt – som när strategin beslutades bedömdes vara särskilt viktiga för statsförvaltningens förmåga att samverka digitalt fortfarande – efter mer än fem år – inte har genomförts fullt ut. Bland dessa förvaltningsgemensamma utvecklingsprojekt finns bl.a. Svensk
Frågor om digitalisering och it inom den offentliga förvaltningen är i dag överflyttade från politiken för informationssamhället inom utgiftsområde 22 till utgiftsområde 2. Inom utgiftsområde 2 är digi- talisering och it inom den offentliga förvaltningen ett eget delområde och är, som framgått, för närvarande i avsaknad av ett riksdags- bundet mål.
Utredningen föreslår att regeringen – i denna omstart av politi- ken för digital förvaltning – beslutar om en ny tidsbegränsad strategi för hela den offentliga förvaltningen tillsammans med det förslag till riksdagsbundet mål för hela den offentliga förvaltningen som ut- redningen lämnar i detta betänkande.
Utredningen menar att en strategi med milstolpar för när olika beslut och åtgärder bör vara genomförda ska vara tidsbegränsad till tre år. Exempel på milstolpar är de förslag för effektiv styrning av förvaltningsgemensamma digitala funktioner som utredningen läm- nar i detta betänkande. Däri ingår bl.a. riksdagens och regeringens beslut om förslagen till de olika författningar som avgränsar och tyd- liggör det offentliga åtagandet och styrningen av förvaltningsgemen- samma digitala funktioner som utredningen presenterar avseende Mina meddelanden och statlig elektronisk identitetshandling liksom de kompletterande bestämmelser till EU:s förordning om elektro- nisk identifiering som utredningen föreslår.
Andra exempel på milstolpar är Regeringskansliets beslut om nödvändiga processer för att bereda och bedöma förslag till nya förvaltningsgemensamma digitala funktioner och andra förvaltnings- gemensamma digitala tjänster samt att digitaliseringsmyndigheten är etablerad och har börjat leverera resultat i förhållande till sin instruk- tion. För att sätta ett yttre tryck på digitaliseringsarbetet inom den
7 Prop. 2011/12:1, bet. 2011/12:TU1, rskr. 2011/12:87.
157
En övergripande plan – ett ramverk – för förvaltningsgemensamma digitala funktioner SOU 2017:114
offentliga förvaltningen och för att den effektiva styrningen av för- valtningsgemensamma digitala funktioner ska kunna komma på plats utan ytterligare fördröjning är tre år en lämplig tidsrymd. Därefter bör regeringen utvärdera effekterna och vidta de korrigerande åtgär- der som behövs för att styra utvecklingen mot önskat mål.
8.4Avsiktsförklaring mellan staten och Sveriges Kommuner och Landsting
Utredningen föreslår:
att regeringen tar initiativ till en förnyad avsiktsförklaring mellan staten och Sveriges Kommuner och Landsting för digitalisering och it i den offentliga sektorn.
I oktober 2015 beslöt regeringen att skriva under en avsiktsförkla- ring mellan staten och SKL,8 för en digital förnyelse av det offentliga Sverige. Syftet med avsiktsförklaringen var att tydliggöra hur part- erna kan stärka förutsättningarna för digital samverkan mellan staten, kommuner och landsting genom att peka ut ett antal om- råden för fördjupat samarbete.9 Parterna ska verka för ett gemensamt budskap om digital förnyelse av det offentliga Sverige. Avsiktsför- klaringen syftar dessutom till att öka förutsättningarna för en stärkt styrning och uppföljning av digitaliseringen av det offentliga Sverige och verka för ett gemensamt budskap.
Parterna menar att det behövs mer gemensamma digitala funk- tioner för att stödja utvecklingen av medborgarcentrerade lösningar. Därför ska myndigheterna i större utsträckning dela och tillsammans utveckla digitala lösningar. För att underlätta samverkan är det, en- ligt avsiktsförklaringen, viktigt att lösa ut frågor om bland annat förvaltningsgemensamma specifikationer för hela den offentliga sektorn, en långsiktig förvaltning av den nationella infrastrukturen och juridiska förutsättningar för en digital förnyelse av det offentliga
8Sveriges Kommuner och Landsting, SKL, är inte en myndighet utan en politiskt styrd privaträttslig arbetsgivar- och intresseorganisation för alla kommuner, landsting och regioner i landet.8 Samtliga Sveriges landsting, kommuner och regioner är medlemmar i SKL. Med- lemskapet är dock frivilligt och kan avslutas.
9
158
SOU 2017:114 En övergripande plan – ett ramverk – för förvaltningsgemensamma digitala funktioner
Sverige. Parterna kommer att fortsätta driva dessa frågor inom ramen för avsiktsförklaringen.
Avsiktsförklaringen gäller till och med utgången av 2018. Då ska behovet av en förnyad avsiktsförklaring utvärderas.
Utredningen anser att det är viktigt att regeringen och SKL som en del av en tidsbegränsad övergripande plan – en strategi – för digi- talisering och it inom den offentliga förvaltningen, undertecknar en ny avsiktsförklaring. Syftet är att på så sätt tillsammans stärka och skapa synergier i det förvaltningsgemensamma arbetet med att digi- talisera den offentliga förvaltningen mot ett gemensamt mål.
Enligt utredningen är det för sent att göra en sådan utvärdering efter utgången av 2018. En förnyad avsiktsförklaring behövs innan dess. Parterna har möjlighet att i samförstånd revidera avsiktsförkla- ringen under innevarande period.
159
9Informationssäkerhet – en naturlig del i digitaliseringen
Utredningen bedömer:
För att digitaliseringen och dess effekter ska åtnjuta alla aktörers, inklusive individernas, förtroende och leva upp till förvänt- ningarna om trygghet och säkerhet måste informationssäkerhets- arbetet inom offentliga myndigheter styras på ett mer kraftfullt sätt och därmed genomsyra samtliga digitaliseringsprocesser. En kombination av krav på ett systematiskt och riskbaserat infor- mationssäkerhetsarbete, incidentrapportering och tillsyn tillsam- mans med ett ändamålsenligt stöd ska säkerställa att samhällets aktörer ges möjlighet att hantera och prioritera informations- säkerhetsbehoven.
Utredningen föreslår:
att regeringen inleder ett arbete att samordna och strukturera reg- lering inom informationssäkerhetsområdet,
att regeringen ger digitaliseringsmyndigheten i uppdrag att ta fram och mäta nyckeltal för informationssäkerhetsrelaterade aspekter i syfte att följa informationssäkerhetsmognaden i förhållande till digitaliseringen,
att regeringen tar fram rättsliga krav som omfattar samtliga offentliga myndigheter att införa ett systematiskt och riskbaserat informationssäkerhetsarbete och ge MSB i uppdrag att utreda hur tillsyn över informationssäkerhetsområdet och incidentrapporte- ring kan genomföras.
161
Informationssäkerhet – en naturlig del i digitaliseringen |
SOU 2017:114 |
Digitaliseringen är något som ofta drivs genom att visa på nytta, t.ex. genom att förenkla processer där individer har kontakt med det all- männa. Därmed frigörs resurser som annars hade lagts på admini- strativt arbete.
Digitaliseringen medför att offentliga myndigheter allt mer är att betrakta som informationsförädlare och sålunda måste ha tillgång till, och kunna behandla, information. Detta ställer krav på ett struk- turerat arbetssätt för att säkerställa att den information som be- handlas hanteras på ett säkert sätt. Med säker hantering avses både att säkra tillgång till öppen information och att information som inte är öppen ska skyddas. När det uppstår brister i informationssäker- heten kan följden bli omfattande konsekvenser både för samhället i stort och för individers integritet. Tilliten till digitaliseringen kan äventyras.
Det är ofta svårt att motivera investeringar i informationssäkerhet eftersom det sällan ger en synbar eller upplevd nytta direkt vid inve- steringstillfället. Informationssäkerhet kan t.o.m. av vissa betraktas som något som endast fördyrar, försvårar och riskerar att försena och till och med stoppa projekt. Många organisationer undviker där- för att sätta sig in i vilka värden säker hantering av information ger på längre sikt.
Inte sällan betraktas också informationssäkerhetsfrågor som en- bart
Informationssäkerhet ska genomsyra alla processer som handlar om digitalisering. Detta har påpekats även i tidigare utredningar och rapporter.
Under 2015 lämnades ett betänkande av NISU 20141 till reger- ingen. Ett av förslagen i denna utredning var att det bör etableras en nationell modell för att styra samhällets informationssäkerhet.
Även Riksrevisionen2 har påpekat att det behövs en starkare styr- ning från regeringen gentemot myndigheterna, så att nödvändiga
1SOU 2015:23, Informations- och cybersäkerhet i Sverige – Strategi och åtgärder för säker information i staten, betänkande av NISU 2014.
2RiR 2016:8, Informationssäkerhetsarbete på nio myndigheter – En andra granskning av informationssäkerhet i staten.
162
SOU 2017:114 |
Informationssäkerhet – en naturlig del i digitaliseringen |
säkerhetsåtgärder verkligen blir genomförda. Att enbart ta fram ett övergripande regelverk är inte tillräckligt för att säkerheten ska bli god. Om regeringen inte efterfrågar information om myndigheternas informationssäkerhet och inte framhåller vikten av god informa- tionssäkerhet bedömer Riksrevisionen att myndigheternas ledningar inte heller kommer att prioritera frågan.
Regeringen har efter sin beredning av NISU:s betänkande och Riksrevisionens rapport tagit fram en nationell cybersäkerhetsstrategi3 i vilken det framgår att det ska tas fram en nationell modell till stöd för ett informationssäkerhetsarbete. Huvudsyftena med strategin är att bidra till att skapa långsiktiga förutsättningar för samhällets aktörer att arbeta effektivt med informations- och cybersäkerhet samt att höja medvetenheten och kunskapen i hela samhället. Regeringen vill genom strategin även stödja de insatser och det engagemang som redan finns i samhället för att stärka informations- och cybersäkerheten. Strategin omfattar därmed hela samhället, det vill säga statliga myndigheter, kommuner och landsting, företag, organisationer och individer.
9.1Fragmenterad styrning av informationssäkerhet
Arbetet med informationssäkerhet är i dag till stor del varje organi- sations eget ansvar. I och med att organisationer i dag är allt mer beroende av andra för sin informationshantering, exempelvis i de förvaltningsgemensamma digitala funktionerna, är det nödvändigt med samordnade åtgärder för att reducera risker och behålla säker- hetsnivån. Möjligheterna att ytterligare kraftigt öka resurserna som läggs ned på informationssäkerhetsarbetet är dock begränsade inom många organisationer.
Som utredningen konstaterade i delbetänkandet4 är det nationella informationssäkerhetsarbetet i dag uppdelat i olika, delvis överlap- pande, ansvarsområden, både på departements- och på myndighets- nivå. Detta gör att det i dag saknas ett enhetligt arbetssätt och en- hetligt regelverk för samhällets informationssäkerhetsarbete och det finns få gemensamma krav på informationssäkerhet. Expert- och sektorsmyndigheter har, utifrån sitt specifika ansvarsområde eller
3Skr. 2016/17:213, Nationell strategi för samhällets informations- och cybersäkerhet.
4SOU 2017:23, digitalforvaltning.nu. s.
163
Informationssäkerhet – en naturlig del i digitaliseringen |
SOU 2017:114 |
expertområde, gett ut föreskrifter som i olika grad har bäring på informationssäkerhet.
Genom att fler aktörer – utan samordning – utfärdar regler på området finns en stor risk att fragmenteringen av kravställningen på området ökar. Detta får inte sällan till resultat att erfarenheter och kunskap som finns inte nyttjas effektivt, att de resurser som alloke- ras inte används inom de områden där bristerna är som störst och att utfärdade informationssäkerhetskrav fördröjs eller aldrig blir utförda på grund av oklara ansvarsförhållanden.
Det fragmenterade arbetet leder till att det saknas gemensamma riktlinjer för vilket skydd olika typer av informationstillgångar minst bör ha. Detta leder till att samma typ av information riskerar att få helt olika skydd beroende på var i förvaltningssystemet som den hanteras. Detta innebär inte sällan även effektivitetsbrister då lös- ningar får olika utformning vilket skapar en minskad interopera- bilitet som i sin tur leder till en ökad kostnad.
Mot bakgrund av detta anser utredningen att bristen av sam- ordnat rättsligt stöd medför svårigheter att säkerställa att offentliga aktörer har rätt förutsättningar i sitt arbete med att genomföra och förvalta digitaliseringsarbetet på ett sådant sätt att de tjänster som erbjuds uppfyller tillräckliga krav på tillgänglighet, riktighet och konfidentialitet.
9.2Att reglera informationssäkerhet
I dagsläget har MSB föreskriftsrätt över statliga myndigheters arbete med informationssäkerhet. Av MSB:s föreskrifter om statliga myn- digheters informationssäkerhet5 framgår att
Varje myndighet ska bedriva ett systematiskt och riskbaserat informa- tionssäkerhetsarbete med stöd av ett ledningssystem för informations- säkerhet. I detta arbete ska standarderna ISO/IEC 27001:2014 och ISO/IEC 27002:2014 beaktas. Tillräckliga resurser ska tilldelas för infor- mationssäkerhetsarbetet samt löpande och regelbunden information lämnas till myndighetsledningen.6
5MSBFS 2016:1, Myndigheten för samhällsskydd och beredskaps föreskrifter om statliga myndigheters informationssäkerhet mars 2016.
67 § MSBFS 2016:1.
164
SOU 2017:114 |
Informationssäkerhet – en naturlig del i digitaliseringen |
Nyckelorden i paragrafen är ”ledningssystem”, ”systematiskt” och ”riskbaserat”. Att informationssäkerhetsarbetet ska bedrivas som ett ledningssystem betyder att det ska ingå som en naturlig del i den dagliga verksamheten och inriktas och styras av organisationens led- ning. Systematiken innebär att arbetet ska ha en tydlig struktur, be- drivas genom att ställa upp mål på kort och lång sikt och i syfte att planera, genomföra, kontrollera, följa upp, utvärdera och förbättra säkerheten i verksamhetens informationshantering.
Att ett informationssäkerhetsarbete ska vara riskbaserat innebär att det är den aktuella situationen och den aktuella informations- mängden som ställer de exakta kraven på informationssäkerhets- arbetet och de säkerhetsåtgärder som införs. En riskbedömning som genomförs i en organisation som har en informationsmängd på papper är troligen helt skild från den riskbedömning en annan organisation där samma typ av informationsmängd behandlas i ett digitaliserat och uppkopplat system.
Som framgår ovan finns det i dag en reglering inom informations- säkerhetsområdet. Den är dock inte heltäckande och den siktar in sig på de specifika expert- och sektorsmyndigheternas ansvarsområden.
Ett aktivt informationssäkerhetsarbete är en förutsättning för en fortsatt digitalisering. Det ska ses som ett baskrav i alla organisa- tioners informationshantering. I dag finns inom andra områden krav på ett systematiskt och riskbaserat arbete, t.ex. miljö och arbets- miljö. För arbetsmiljön gäller Arbetsmiljöverkets föreskrifter om systematiskt arbetsmiljöarbete.7 Det är ett ledningssystem och har till sin struktur många likheter med andra standardiserade lednings- system. Det finns dock en viktig skillnad – det är ett lagkrav att ha ett systematiskt arbetsmiljöarbete8 som omfattar alla arbetsgivare, medan kravet på ett systematiskt och riskbaserat informationssäker- hetsarbete endast omfattar statliga myndigheter genom en föreskrift.
Målbilden för styrning inom informationssäkerhetsområdet torde vara att få motsvarande effekt av styrningen som på områdena för t.ex. miljö och arbetsmiljö. Det skulle kunna vara att ta fram lagkrav på att införa ledningssystem för informationssäkerhet (LIS) för att höja medvetenheten om området samt att få kravet att träffa samtliga offentliga myndigheter. Det kan också leda till att ge mandat för
7Arbetsmiljöverkets föreskrifter om systematiskt arbetsmiljöarbete (AFS 2001:1).
83 kap. 2 a § arbetsmiljölagen (1977:1160).
165
Informationssäkerhet – en naturlig del i digitaliseringen |
SOU 2017:114 |
Utredningen menar att alla offentliga myndigheter ska bedriva ett systematiskt och riskbaserat informationssäkerhetsarbete med stöd av ett ledningssystem för informationssäkerhet. Detta för att enskil- da individer i sina kontakter med offentliga myndigheter ska kunna förvänta sig en säker informationshantering, oavsett myndighet.
9.3Tillsyn, revision och uppföljning
Utredningen har inte kunnat finna någon samordnad tillsyn av det systematiska informationssäkerhetsarbetet. Viss tillsyn finns såsom Post- och telestyrelsen (PTS) inom området elektronisk kommu- nikation9, Datainspektionen för personuppgifter10 samt Försvars- makten och Säkerhetspolisen gällande säkerhetsskyddet11.
När det gäller kommuner, de som kanske kommer att erbjuda flest digitala tjänster, finns inte några lagkrav på att arbeta systema- tiskt med informationssäkerhet, inga krav på att rapportera inciden- ter och inte heller någon tillsyn.
Inom vissa delar av det offentligas verksamhet kommer tillsynen utökas i och med att
Vid införande av tillsyn är det viktigt att regleringens olika delar samspelar så att det inte uppstår en obalans mellan dem.14 Om t.ex. vissa delar av tillsynsverksamheten är detaljerat reglerad med avse- ende på vilka prestationer en tillsynsmyndighet ska åstadkomma
97 kap. lagen (2003:389) om elektronisk kommunikation.
1043 § personuppgiftslagen (1998:204).
1131 § säkerhetsskyddslagen (1996:627).
12Direktiv (2016/1148/EU) om åtgärder för en hög gemensam nivå på säkerhet i nätverks- och informationssystem i hela unionen.
13Handlingsplan för skydd av samhällsviktig verksamhet (MSB597) – december 2013.
14Statskontoret 2012, Tänk till om tillsynen – Om utformningen av statlig tillsyn.
166
SOU 2017:114 |
Informationssäkerhet – en naturlig del i digitaliseringen |
medan andra delar har mer övergripande målformuleringar finns en risk att den detaljerade regleringen får en starkt styrande inverkan på tillsynen, med den konsekvensen att annan mer strategiskt inriktad tillsyn får stå tillbaka. Det finns också en stor risk att organisationer som är utsatta för tillsyn fokuserar arbetet på de delar som granskas mer specifikt och att arbetet att jobba med informationssäkerhet över hela linjen får stå tillbaka.
De uppföljningar som har gjorts inom området informations- säkerhet har bland annat visat att myndigheternas granskning av sitt eget informationssäkerhetsarbete behöver effektiviseras.15 Gransk- ningen kan bedrivas med olika metoder och på olika nivåer. Den kan också behöva kombineras med rapportering av resultatet av genom- förda granskningar för att uppnå avsedd effekt. Olika alternativa vägar för att stärka både granskning och rapportering av informa- tionssäkerhetsarbetet bör övervägas.
Utredningen förslog i delbetänkandet att digitaliseringsmyndig- heten ska följa upp och analysera utvecklingen av den offentliga sek- torns digitalisering och användningen av nationella digitala tjänster baserad på nyckeltal och myndigheters rapportering till regeringen.16 På samma sätt bör även informationssäkerhetsarbetet följas upp genom att digitaliseringsmyndigheten tar fram nyckeltal som mäter informationssäkerhetsmognaden i de organisationer som mäts gällan- de digitaliseringen.
Utredningen bedömer även att alla offentliga myndigheter bör omfattas av en för hela den offentliga förvaltningen gemensam regle- ring gällande tillsyn av informationssäkerhetsarbetet med tillhörande incidentrapportering. Hur denna tillsyn och incidentrapportering ska utformas ligger utanför denna utrednings område och bör ut- redas närmare. Utredningen föreslår att regeringen ger MSB, som i dag är ansvarig för att ta emot rapportering från statliga myndig- heter, i uppdrag att utreda hur tillsyn och incidentrapportering inom informationssäkerhetsområdet kan genomföras för samtliga offentliga myndigheter.
15MSB remissvar över SOU 2015:23 Informations- och cybersäkerhet i Sverige, dnr
16SOU 2017:23, digitalforvaltning.nu.
167
10Förvaltningsgemensamma digitala funktioner
och elektronisk identifiering
Utredningen bedömer:
att området för elektronisk identifiering är underreglerat,
att
att regelverk som anvisar hur offentliga myndigheter elektro- niskt ska kontrollera individers identitet är en förvaltnings- gemensam digital funktion.
Enligt utredningens direktiv finns det behov av att analysera om- fattningen av det offentliga åtagandet i förhållande till de privata aktörernas roll och lämna förslag på vidareutveckling av modellen för elektroniska identitetshandlingar för att långsiktigt tillgodose den offentliga sektorns och användarnas behov samt främja inno- vation på den privata marknaden. Utredningen ska bland annat lämna förslag på långsiktig utformning processen för grundidenti- fiering, utfärdande av elektroniska identitetshandlingar och organi- sering av attribut- och behörighetstjänster som medger att elek- troniska identitetshandlingar kan användas i olika roller, särskilt i tjänsten. I följande kapitel
169
Förvaltningsgemensamma digitala funktioner och elektronisk identifiering |
SOU 2017:114 |
10.1Elektronisk identifiering
– ett underreglerat område
Elektronisk identifiering är en förutsättning för att offentliga myndigheter ska kunna utveckla
–den elektroniska identitetshandling som individen har, hur den utformas, vem som utfärdar den liksom hur den kan användas samt
–relationer mellan användaren, den som har en
Området för elektronisk identifiering omfattar många olika delar, där olika aktörer är inblandade. Det är viktigt att elektronisk identifiering omgärdas av ett legalt och säkerhetsmässigt nät. För att elektronisk identifiering ska fungera måste det också finnas på plats utdelade ansvar för olika uppdrag. En framgångsfaktor är om det är lätt för inblandade aktörer att veta vem som har ett ansvar och vad som ska eller kan göras. Utredningen kommer i följande kapitel att återkomma till den författningsreglering som finns i dag och de pågående initiativen på området samt det förslag som ut- redningen lämnar. Utredningen kan emellertid redan här konstatera att området för elektronisk identifiering är underreglerat. För att komma fram till vilka delar och således vilket regelverk som skapar en eller flera förvaltningsgemensamma digitala funktioner måste varje del analyseras för sig. Nedan följer i korthet vilka delar som utredningen bedömer vara förvaltningsgemensamma och vars regel- verk utgör förvaltningsgemensamma digitala funktioner. Först vill utredningen emellertid uppmärksamma begreppet
170
SOU 2017:114 |
Förvaltningsgemensamma digitala funktioner och elektronisk identifiering |
10.2Elektronisk identitetshandling i stället för
Den identitetshandling som individer använder för att identifiera sig elektroniskt kallas för
En identitetshandling syftar till att visa en individs identitet och kan användas för att kontrollera att individen är den som han eller hon utger sig för att vara. Identitetskontrollen görs genom att jämföra individen med identitetshandlingen.
Utredningen menar att identitet och behörighet ska skiljas åt. Behörigheter kommer av att uppgifterna om en individ på identitets- handlingen kombineras med ett regelverk, exempelvis att individen får köpa alkoholdrycker3 eller att någon är legitimerad för ett visst yrke, exempelvis läkare.4 För att avgöra om en individ får köpa vin är det mer intressant om individen överensstämmer med regelverket, dvs. är över 20 år gammal, än vem individen är. För att veta om en individ är legitimerad läkare måste uppgifter om individen kopplas samman med uppgifter i registret över legitimerad hälso- och sjukvårdspersonal.
Utfärdare av elektroniska identitetshandlingar vill skilja uppgifter om en individs identitet från uppgifter om dennes behörighet. Detta eftersom behörigheter kan variera snabbt från en dag till en annan, medan identitetsuppgifterna är bestående. Utredningen menar därför att begreppet
1www.saob.se/artikel/?seek=legitimation&pz=1,
2
33 kap. 7 § Alkohollagen (2010:1622).
4Socialstyrelsen ansvarar för ett register över legitimerad hälso- och sjukvårdspersonal (HoSp). Registret innehåller aktuella uppgifter om legitimerad hälso- och sjukvårdspersonal. Upp- gifterna kan användas för upplysningar om personals behörighet till apotek, arbetsgivare och allmänhet samt för tillsyn. Uppgifterna används också för statistik.
171
Förvaltningsgemensamma digitala funktioner och elektronisk identifiering |
SOU 2017:114 |
blanda samman frågor om identitet och behörighet. I det följande kommer utredningen därför att utgå från begreppet elektronisk iden- titetshandling.
10.3Elektroniska identitetshandlingar är en förvaltningsgemensam digital funktion
Utredningen menar att identitetshandlingar är en förvaltnings- gemensam angelägenhet. Det är viktigt för enskilda individer, offent- liga myndigheter och marknadens aktörer att veta vilka identitets- handlingar som går att lita på samt vad de kan användas till. Detta gäller för fysiska såväl som elektroniska identitetshandlingar. Elektro- niska identitetshandlingar är en förvaltningsgemensam digital funk- tion, som bör författningsregleras. Utredningen återkommer med be- dömningar och förslag hur en sådan författningsreglering ska se ut.
10.4Sätt för offentliga myndigheter att elektroniskt kontrollera individers identitet är en förvaltningsgemensam digital funktion
För att individer ska kunna använda sina elektroniska identitets- handlingar hos offentliga myndigheter måste en offentlig myndig- het ha etablerat en relation till utfärdaren av den elektroniska iden- titetshandlingen. Etableringen av relationen mellan utfärdare och offentliga myndigheter med behov av en funktion för elektronisk identifiering är alltså redan författningsreglerad. För offentliga myndigheter etableras denna relation ofta genom upphandling och ibland genom att de beslutar om valfrigetssystem enligt lagen (2013:311) om valfrihetssystem i fråga om tjänster för elektronisk identifiering. Utredningen bedömer att det finns behov att staten anvisar offentliga myndigheter ett sätt att anskaffa funktionen för elektronisk identifiering. Det är alltså en förvaltningsgemensam angelägenhet att säkerställa att individer kan använda samma elek- troniska identitetshandling hos alla offentliga myndigheter. Utred- ningen menar att ett regelverk som säkerställer detta är en för- valtningsgemensam digital funktion och återkommer till detta i senare kapitel.
172
11 Processen för grundidentifiering
11.1Vad betyder grundidentifiering?
Utredningen bedömer:
att grundidentifiering syftar till att koppla ihop en individ med uppgifter i folkbokföringsregistret och resulterar i en identitets- handling.
Av utredningens direktiv framgår inte vad som menas med processen för grundidentifiering. Utredningen bedömer att det inte heller finns någon enhetlig definition av begreppet. Det används för att beskriva flera olika företeelser, i bland förfarandet när en individ kopplas ihop med registrerade uppgifter om individen för första gången, i bland förfarandet när en individ ansöker om en ny identitetshandling men redan har en befintlig identitetshandling av samma eller annat slag att visa upp, i bland för den allra första registreringen som staten gör av en individ. I det senare fallet kan det t.ex. handla om registreringen av ett nyfött barn i samband med förlossningen eller av en individ som ansöker om asyl i Sverige.
Utredningen kommer inte i det följande att förhålla sig till registre- ring av uppgifter om en individ, alltså det som görs när en individ folk- bokförs eller registreras som asylsökande. Utredningen kan emeller- tid konstatera att det påtalats brister i dessa processer, bl.a. Riksrevi- sionen har framfört kritik.1
I vissa fall används begreppet grundidentifiering synonymt med ursprungsidentifiering. Utredningen kommer inte att använda begrep- pet ursprungsidentifiering. I stället använder utredningen begreppet grundidentifiering, men eftersom det används för så många olika före-
1 Folkbokföringen – ett kvalitetsarbete i uppförsbacke, RiR 2017:23.
173
Processen för grundidentifiering |
SOU 2017:114 |
teelser är det viktigt att beskriva hur utredningen valt att tolka be- greppet. Den tolkningen utgör nämligen basen för de förslag som utredningen lämnar.
Grundidentifiering finns inte som ord i Svenska akademins ord- bok. Där finns emellertid en beskrivning av ordet identifiera, enligt följande
Uppfatta l. betrakta (ngt) såsom identiskt (med ngt annat), uppfatta l. betrakta (två l. flera ting l. begrepp o. d.) såsom (i grunden) samma sak; ”sätta likhetstecken mellan”, likställa (två l. flera ting)
fastställa (ngns l. ngts) identitet, fastställa vem en given person l. vad en given sak är; igenkänna (ngn l. ngt ss. ngt). Lyckas identifiera en förbry- tare med hjälp av fingeravtryck.
Givet denna utgångspunkt kan aktörer förhålla sig på olika sätt till begreppet identifiera. En individ kan styrka sin identitet genom att identifiera sig. Andra, exempelvis en offentlig myndighet eller en annan privat aktör, kan identifiera någon genom att kontrollera hans eller hennes identitet. Att identifiera sig eller identifiera någon be- skrivs sammantaget som identifiering. I begreppet identifiering ligger alltså både det som individen gör och den kontroll som en annan aktör vidtar. Identifiering kan göras i många sammanhang och i relation till aktörer av olika slag.
För att identifieringen ska vara säker och tillförlitlig måste det vara bestämt vilka uppgifter om en individ som ska visas upp eller kontrolleras. I detta led kommer identitetshandlingar in. I dess mest renodlade syfte är tanken med en identitetshandling att den kopplar ihop registrerade uppgifter med fysiska kännetecken (oftast ett foto- grafi). Denna koppling dokumenteras på ett (plast)kort eller liknande, som kan användas vid identifiering, alltså för att individen ska kunna identifiera sig och för att någon annan ska kunna kontrollera indivi- dens identitet. Kontrollen genomförs genom att jämföra uppgifter på identitetshandlingen med den individ som man har framför sig.
Utredningen menar att det förfarande som leder fram till en iden- titetshandling och som innebär att en individ ska styrka sin identitet är en process som innefattar grundidentifiering.
174
SOU 2017:114 |
Processen för grundidentifiering |
11.2Grundidentifiering – ett statligt ansvar
Utredningen bedömer:
att en process för utfärdande av identitetshandling, där grund- identifiering ingår, ska innefatta följande principer:
•ansökan om en identitetshandling måste göras vid ett person- ligt besök hos den utfärdande aktören,
•individen ska styrka sin identitet på ett tillförlitligt sätt,
•den utfärdande aktören ansvarar för att dokumentera fysiska kännetecken genom att åtminstone ta ett fotografi av individen,
•identitetshandlingen lämnas ut vid ett personligt besök hos utfärdaren.
Utredningen föreslår:
att grundidentifiering ska förbehållas den identifiering som staten utför i samband med utfärdande av de identitetshandlingar som följer principerna för grundidentifiering som utredningen har preciserat.
En tillförlitlig grundidentifiering är en förutsättning för tilliten till elektroniska identitetshandlingar.
Utredningen menar att grundidentifiering är ett led i processen att utfärda en identitetshandling. I dag utfärdar såväl statliga som privata aktörer identitetshandlingar. De statligt utfärdade handlingar
2 Fortsatt försörjning av tjänster för
175
Processen för grundidentifiering |
SOU 2017:114 |
som används som identitetshandlingar är passet, det nationella iden- titetskortet, identitetskortet för folkbokförda i Sverige och körkor- tet. Privata aktörer, men också vissa offentliga aktörer, utfärdar identitetskort med s.k.
Utredningen har analyserat några av de befintliga grundidentifie- ringsprocesserna.4 Av genomgången framgår att processerna skiljer sig åt – olika krav ställs inför utfärdande av olika identitetshandlingar. Detta gäller såväl för de fysiska identitetshandlingar som staten re- spektive privata aktörer utfärdar som för elektroniska identitetshand- lingar.
I nästan alla processer gäller att individen ska styrka sin identitet. Då handlar det om att sammanföra registrerade uppgifter om en viss individ med en viss fysisk person. Med registrerade uppgifter avses framför allt sådana uppgifter som framgår av folkbokföringsregistret. Sättet som individen kan styrka sin identitet på skiljer sig åt. Har individen redan en viss sorts identitetshandling är den ofta tillräcklig för att styrka identiteten. Om individen saknar identitetshandling av visst bestämt slag krävs att andra personer med vissa närmare angivna kopplingar till individen intygar dennes identitet.5
Det som skiljer sig åt mellan de olika identitetshandlingarna är primärt ansöknings- och utlämnandeprocessen. Där ställs i många fall krav på att individen ska inställa sig personligen hos den utfär- dande aktören vid såväl ansökan som utlämnande. I vissa fall finns det dock inga sådana krav, exempelvis är det möjligt att hämta ut ett körkort via ett postombud.6 Ytterligare en sak som skiljer sig åt mellan de olika identitetshandlingarna är hur uppgifter om individen dokumenteras, dvs. i vissa fall ansvarar utfärdaren för att fotografera eller ta fingeravtryck av individen, i andra fall kan individen ta med
3Att ett identitetskort har
4Passlagen (1978:302), förordningen (2005:661) om nationellt identitetskort, lagen (2015:899) om identitetskort för folkbokförda i Sverige, körkortsförordningen (1998:980),
5Skatteverkets föreskrifter om identitetskort, SKVFS 2009:14 och Rikspolisstyrelsens före- skrifter och allmänna råd om polismyndigheternas hantering av pass och nationellt identi- tetskort, RPSFS 2009:14, FAP
68 kap. 3 § körkortsförordningen (1998:980) samt Transportstyrelsens föreskrifter om utläm- nande av körkort, TSFS 2014:17.
176
SOU 2017:114 |
Processen för grundidentifiering |
sig eller skicka in ett fotografi som har tagits av annan men som ofta ska uppfylla vissa kriterier.7
Utredningen bedömer att det inte är alla processer som leder fram till identitetshandlingar som innehåller grundidentifiering. För att en process ska innehålla grundidentifiering bedömer utredningen att vissa styrande principer ska vara uppfyllda. Dessa principer är följande:
•ansökan om en identitetshandling måste göras vid ett personligt besök hos den utfärdande aktören,
•individen ska styrka sin identitet på ett tillförlitligt sätt,
•den utfärdande aktören ansvarar för att dokumentera fysiska kännetecken genom att åtminstone ta ett fotografi av individen, samt
•identitetshandlingen ska lämnas ut vid ett personligt besök hos utfärdaren.
Utredningen bedömer att det är staten som ska ansvara för grund- identifiering av individer i Sverige. Detta ställningstagande bygger dels på att det redan finns statliga identifieringsprocesser som innefattar grundidentifiering som uppfyller de principer som utredningen be- dömer ska gälla, dels på att statliga myndigheter finns tillgängliga över stora delar av landet. Utredningen konstaterar att Polismyndigheten och Skatteverket i dag är de myndigheter som utfärdar identitets- handlingar i enlighet med de principer som utredningen beskrivit ovan. De båda myndigheterna har en god spridning över landet och redan i dag etablerade processer för ansökan och utlämnande, liksom per- sonal som är utbildad för att lösa uppgiften.
Utredningen lämnar inte några förslag på vilka myndigheter som ska ansvara för grundidentifieringen. Detta eftersom 2017 års ID- kortsutredning, som ska lämna sitt betänkande senast den 29 mars 2019, har till uppgift att se över vilka identitetshandlingar som ska finnas i Sverige och även vilka myndigheter som ska ansvara för att ge ut dessa identitetshandlingar.8
76 § passlagen (1978:302), 3 § andra stycket förordningen (2005:661) om nationellt identi- tetskort, 2 § lagen (2015:899) om identitetskort för folkbokförda i Sverige, samt 3 kap. 15 § körkortsförordningen (1998:980) och
82017 års
177
12Statlig elektronisk identitetshandling
12.1Vad är en elektronisk identitetshandling?
En elektronisk identitetshandling används av individer för att identi- fiera sig och av den som ska kontrollera identiteten för att få bekräf- tat vem som har identifierat sig. Det finns olika sätt att för lagstift- ningsändamål beskriva vad en elektronisk identitetshandling är. Man kan förhålla sig till modeller och tekniska specifikationer. Det är en utmaning att undvika att genom en för detaljrik beskrivning skapa inlåsningseffekter där teknisk utveckling försvåras. Den beskrivning av vad en elektronisk identitetshandling är som finns i propositionen Myndigheters tillgång till tjänster för elektronisk identifiering utgår exempelvis från en viss teknisk lösning:
De
Det elektroniska certifikatet är en informationsstruktur som innehåller uppgifter som utfärdaren har valt att koppla till
1 Prop. 2012/13:123, s. 17.
179
Statlig elektronisk identitetshandling |
SOU 2017:114 |
Utredningen anser att det är viktigt att så långt det är möjligt försöka beskriva elektronisk identifiering på ett teknikneutralt sätt.
12.1.1Vem du är …
En elektronisk identitetshandling består av unika uppgifter om en viss individ.2 Hur dessa unika uppgifter är sammansatta modell- mässigt skiljer sig åt, beroende på utfärdare av elektronisk identitets- handling. Utredningen vill här framhålla att beskrivningen endast utgår från uppgifterna om individen.3 En elektronisk identitets- handling kan användas av innehavaren för att på ett säkert sätt identi- fiera sig gentemot exempelvis
12.1.2… inte detsamma som vad du får göra
Det är viktigt att särskilja identitetsuppgifter från vad individen får göra. Identitetsuppgifter är beständiga, medan behörigheter löpande kan ändras. Med andra ord är det viktigt att inte låta det som kallas för behörighets- och åtkomstuppgifter ingå i den elektroniska identi- tetshandlingen. Sådana uppgifter finns i stället i de tjänster som indi- viden identifierar sig mot och det är den som tillhandahåller tjäns- terna som bestämmer vilken behörighet individen har. Genom att särskilja identitetsuppgifter och organisatorisk tillhörighet, roll eller ställning underlättas möjligheter för individer att förflytta sig över organisationsgränser samt att ändra roll och arbetsuppgifter utan att den elektroniska identitetshandlingen för den skull behöver bytas ut.
2 Se K6.4 i Tillitsramverk för Svensk
3 Jfr s.k. färdiga elektroniska handlingar i 2 kap. 3 § andra stycket tryckfrihetsförordningen samt resonemang i prop. 2001/02:70, s. 22, Offentlighetsprincipen och informationstekniken och SOU 2010:4, allmänna handlingar i elektronisk form, s. 33, SOU 2010:4, allmänna hand- lingar i elektronisk form, s. 33.
180
SOU 2017:114 |
Statlig elektronisk identitetshandling |
Utredningen återkommer till detta i kapitlet Arbetstagare, student, ställföreträdare – och elektronisk identifiering.
12.2Begreppet elektronisk identitetshandling
Utredningen bedömer:
att det är missvisande att beskriva elektroniska identitetshand- lingar på olika tillitsnivåer med ett och samma begrepp.
Utredningen föreslår:
att regeringen ger digitaliseringsmyndigheten i uppdrag att arbeta fram olika begrepp för att beskriva elektroniska identitetshand- lingar på olika tillitsnivåer.
Vissa regler i tillitsramverket skiljer sig åt, beroende på vilken tillitsnivå en viss elektronisk identitetshandling (i tillitsramverket be- nämnd
I tillitsramverket finns regler som tar sikte på hur en individ, som ansöker om en elektronisk identitetshandling, ska identifieras och hur en elektronisk identitetshandling ska lämnas ut till individen. Huvudregeln är att detta ska göras vid personliga besök. För vissa
4Tillitsramverk för Svensk
5Fortsatt försörjning av tjänster för
6Se punkten K5.8 i
7Lagen (1998:527) om det statliga personadressregistret och Vägledning till uppfyllande av tillitsramverkets krav för Svensk
181
Statlig elektronisk identitetshandling |
SOU 2017:114 |
tillitsnivåer är det möjligt att både ansöka om och få en elektronisk identitetshandling utlämnad till sig på distans.8
Det finns alltså ingen enhetlig process för utfärdande av elektro- niska identitetshandlingar. Det leder till att begreppet elektronisk identitetshandling har karaktären av ett samlingsnamn för alla tillits- nivåer, trots att det ställs olika krav på en identitetshandling beroende på tillitsnivå. Utredningen bedömer att det är missvisande att beskriva elektroniska identitetshandlingar på olika tillitsnivåer med ett och samma begrepp. Därtill kommer också den bedömning som utred- ningen gör i följande avsnitt, som innebär att elektroniska identitets- handlingar på åtminstone tillitsnivå 3 och 4 utgör elektroniska urkun- der. Elektroniska identitetshandlingar på dessa tillitsnivåer bör således skiljas ut begreppsmässigt. En tanke kan vara att reservera begreppet elektronisk identitetshandling för tillitsnivå 3 och 4, medan det på lägre tillitsnivåer kan användas ett annat begrepp. Utredningen före- slår därför att digitaliseringsmyndigheten arbetar fram andra begrepp för att beskriva elektroniska identitetshandlingar på olika tillitsnivåer.
12.3Elektronisk identitetshandling är en värdehandling
Av 2 kap. 3 § tryckfrihetsförordningen9 följer att med handling för- stås framställning i skrift eller bild samt upptagning som kan läsas, avlyssnas eller på annat sätt uppfattas endast med tekniskt hjälpme- del. Handlingsbegreppet omfattar alltså s.k. konventionella hand- lingar (framställning i skrift eller bild) och elektroniska handlingar (upptagning som kan läsas, avlyssnas eller på annat sätt uppfattas endast med tekniskt hjälpmedel). Elektroniska handlingar kan vara sammanställningar (potentiella handlingar) eller s.k. färdiga elektro- niska handlingar.10 Med en färdig elektronisk handling menas en så- dan elektronisk handling som utställaren har gett ett bestämt, fixerat innehåll som går att återskapa gång på gång.
Utredningen menar att elektroniska identitetshandlingar, givet vissa förutsättningar, kan vara elektroniska urkunder. I brottsbalken
8Se punkterna
9Tryckfrihetsförordningen (1949:105).
10Se mer om färdiga elektroniska handlingar i prop. 2001/02:70, s. 22, Offentlighetsprincipen och informationstekniken och SOU 2010:4, Allmänna handlingar i elektronisk form, s. 33.
182
SOU 2017:114 |
Statlig elektronisk identitetshandling |
beskrivs en elektronisk urkund som en handling som upprättats till bevis eller annars är av betydelse som bevis och som har en utställar- angivelse och originalkaraktär.11
En utställarangivelse ska enligt propositionen ha en inte obetydlig grad av säkerhet. Utställarangivelser i ordbehandlingsprogram och namn eller adressangivelser i ordinära
En elektronisk identitetshandling är avsedd att användas för att peka ut en viss individ med hög grad av säkerhet. Utredningen bedömer att åtminstone elektroniska identitetshandlingar på tillits- nivå 3 och 4 är att betrakta som elektroniska urkunder. Därmed är de också värdehandlingar, som användaren bör hantera med samma försiktighet som deras fysiska motsvarigheter. Av brottsbalken följer vidare att den som obehörigen, genom att skriva eller på liknande sätt ange en annan persons namn eller på annat sätt, framställer en falsk urkund eller ändrar eller fyller ut en äkta urkund döms, om åtgärden innebär fara i bevishänseende, för urkundsförfalskning.13
12.4Identifiering med en elektronisk identitetshandling
En fysisk eller mobil bärare av en elektronisk identitetshandling kan vara ett s.k. smartkort som kan lagra elektronisk information i ett chip på kortet.14 En mobil bärare är exempelvis en smarttelefon, surfplatta eller dator. Då finns den elektroniska identitetshandlingen som en fil på en dator eller en applikation i mobiltelefonen.
1114 kap. 1 § brottsbalken (1962:700).
12Kommentar till 14 kap. 3 § brottsbalken, Zeteo,
13Jfr Högsta domstolens dom den 22 december 2017 i mål
14Ett smartkort definieras som ett kort i fickstorlek med inbyggda kretsar som kan processa information. Detta anger att det kan ta emot indata som bearbetas och levereras som utdata. https://sv.wikipedia.org/wiki/Smartkort,
183
Statlig elektronisk identitetshandling |
SOU 2017:114 |
12.5Utformning av elektroniska identitetshandlingar på olika tillitsnivåer
En elektronisk identitetshandling består, som beskrivits, av uppgifter som entydigt kan kopplas till en fysisk person. Uppgifterna ska kunna användas av individen för att identifiera sig och av den förlitande aktören för att kontrollera individens identitet. Individ och använ- dare används i dessa sammanhang som synonyma begrepp.
Autentisering är en elektronisk process som gör det möjligt att bekräfta den elektroniska identifieringen för fysisk eller juridisk per- son, eller ursprunget för och integriteten hos uppgifter i elektronisk form.15 Det finns tre huvudsakliga faktorer som man använder för att individers elektroniska identitetshandlingar ska vara säkra; någon- ting man vet (i praktiken koder), någonting man är (biometriska upp- gifter) och någonting man har (t.ex. en dator, koddosa, mobiltelefon eller aktivt kort).16 Ju fler av dessa som kombineras, desto större kontroll över den elektroniska identitetshandlingen kan individen ha. Aktiveringsmekanismen och personlig kod ska utformas så att det är osannolikt att en utomstående kan forcera skyddet, ens på maskinell väg.17 Det innebär att komplexitetskraven på den personliga koden måste utformas så att resurserna som krävs för att röja den står i proportion till den elektroniska identitetshandlingens övriga säker- hetsegenskaper, innebärande att denna del inte ska vara en svagare länk än någon annan i del i kedjan av säkerhetskontroller.18
Det tillitsramverk som
15Artikel 3, punkten 5 Europaparlamentets och Rådets förordning (EU) nr 910/2014 av den
23juli 2014 om elektronisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden och om upphävande av direktiv 1999/93/EG,
16Vägledning för uppfyllande av tillitsramverkets krav för Svensk
17Se K6.2 i
18Vägledning för uppfyllande av tillitsramverkets krav för Svensk
184
SOU 2017:114 |
Statlig elektronisk identitetshandling |
till dessa tillitsnivåer. Tillitsnivå 1 kan vara ett konto som någon regi- strerar själv på internet, utan att styrka sin identitet. Den tillitsnivån omfattas alltså inte av
12.5.1Tillitsnivå 2
Elektroniska identitetshandlingar på tillitsnivå 2 ska enligt
12.5.2Tillitsnivå 3
Elektroniska identitetshandlingar på tillitsnivå 3 ska enligt
12.5.3Tillitsnivå 4
Elektroniska identitetshandlingar på tillitsnivå 4 ska enligt
19Se K6.1 i
20Vägledning för uppfyllande av tillitsramverkets krav för Svensk
21Vägledning för uppfyllande av tillitsramverkets krav för Svensk
22Se K6.1 i
185
Statlig elektronisk identitetshandling |
SOU 2017:114 |
12.5.4Gemensamt för tillitsnivå 3 och 4
I de fall tvåfaktorsautentisering krävs (nivå 3 och 4) bör koder kom- bineras med innehav (fysisk kontroll) av en lagrad datastruktur. Av den anledningen är personliga koder den huvudregel som bör tilläm- pas, men andra lösningar kan godtas då säkerheten i övrigt upprätt- hålls genom andra kompletterande kontroller.23 Utöver dessa krav finns det också krav i tillitsramverket på att det ska finnas möjlighet för användaren att på eget initiativ kunna byta eller begära ny per- sonlig kod.
12.6Processer för utfärdande av elektroniska identitetshandlingar
Av
En elektronisk identitetshandling utfärdas enligt tillitsramverket efter ansökan från en individ. Individen kallas då sökande.
12.6.1Identifiering
Utgångspunkten är att utfärdare ska kontrollera sökandens identitet vid ett personligt besök, på likvärdigt sätt som vid utgivning av en fullgod identitetshandling. Med detta avses att identitetskontrollen följer en dokumenterad process och utförs av särskilt utbildad perso- nal i utfärdarens organisation. Det förväntas också att identitetskon- trollen i samband med utfärdande av den elektroniska identitets- handlingen grundas i att individen har en fullgod identitetshandling med vilken hon eller han kan styrka sin identitet.24
23Vägledning för uppfyllande av tillitsramverkets krav för Svensk
24Vägledning till uppfyllande av tillitsramverkets krav för Svensk
186
SOU 2017:114 |
Statlig elektronisk identitetshandling |
För elektroniska identitetshandlingar på tillitsnivå 2 och 3 är det emellertid möjligt att kontrollera en individs identitet på distans en- ligt de närmare bestämmelserna i tillitsramverket.25
12.6.2Utlämnande
Även förfarandet vid utlämnande av en elektronisk identitetshand- ling skiljer sig åt beroende på tillitsnivå. Liksom vid identifiering vid ansökan om en elektronisk identitetshandling medger tillitsram- verket att elektroniska identitetshandlingar på tillitsnivå 2 och 3 kan lämnas ut på distans under vissa förutsättningar. Identitetshandlingar på tillitsnivå 4 kan inte lämnas ut på distans.26
Utlämnandet av en elektronisk identitetshandling är en särskilt kritisk fas i utfärdandeprocessen. Det kan finnas risker att den som ska lämna ut en elektronisk identitetshandling utsätts för otillbörliga påtryckningar, liksom att det inte genomförs en tillräckligt säker iden- titetskontroll i samband med utlämnandet av en elektronisk identi- tetshandling till en individ.27
12.7En statlig elektronisk identitetshandling
Utredningen föreslår:
att staten utfärdar en elektronisk identitetshandling
att staten skapar en säker grundidentifieringsprocess som kan användas av andra aktörer.
Många individer i Sverige har redan en eller flera elektroniska identi- tetshandlingar. Befolkningen är, som grupp betraktad, van att identi- fiera sig elektroniskt.
På den svenska marknaden för elektroniska identitetshandlingar finns en dominant marknadsaktör; BankID. Det finns uppgifter om
25Se K5.11 i
26Se K.6.6 i
27Vägledning för uppfyllande av tillitsramverkets krav för Svensk
187
Statlig elektronisk identitetshandling |
SOU 2017:114 |
att cirka 7,5 miljoner personer har BankID och att antalet använd- ningstillfällen med BankID uppskattas till 2,5 miljarder under 2017. När det gäller den offentliga sektorns del i den totala användningen kan dock konstateras att den är 7,1 procent, varav kommuner och landsting står för 1,9 procent och statliga myndigheter för 5,2 pro- cent.28 Utredningen anser att det är på grund av BankID som den svenska befolkningen har en utbredd vana att identifiera sig elektro- niskt och att svenska
Trots den goda vanan hos befolkningen att identifiera sig elektro- niskt finns det utmaningar på den svenska marknaden för elektro- niska identitetshandlingar.
En utmaning är att en aktör har en så stor marknadsandel (jfr statistiken från BankID ovan). Det leder till att andra aktörer har svårare att ta marknadsandelar.
En annan utmaning är grundidentifieringen. För att elektroniska identitetshandlingar ska vara tillförlitliga måste aktörer på markna- den vara säkra på att en elektronisk identitetshandling pekar på rätt individ. En kritisk fas i utfärdandet av elektroniska identitetshand- lingar är grundidentifieringen, dvs. den identifiering som görs när en individ ska styrka sin identitet för utfärdande av en identitets- handling. En annan kritisk fas är i samband med utlämnandet, dvs. när en individ hämtar ut sin elektroniska identitetshandling.29 Det är viktigt att dessa kritiska faser hålls samman av en ansvarig aktör, för att minska risken för att en individ får ut en identitetshandling med uppgifter om en annan person än honom eller henne själv. Krav i tillitsramverket på fysisk identitetskontroll medför att utfärdare måste finnas tillgängliga på många ställen i landet och ha personal som kan utföra en identitetskontroll på ett tillförlitligt sätt.30
Ytterligare en aspekt är att det ur ett beredskaps- och kontinui- tetsperspektiv finns behov av riskspridning genom att etablera ett komplement till det i dag dominerande systemet med bankutgivna elektroniska identitetshandlingar.
Det är också önskvärt att ha en elektronisk basidentitet som individen kan vara säker på kan användas för att identitetsväxla. Det innebär att individen kan använda en elektronisk identitetshandling
28
29Vägledning för uppfyllande av tillitsramverkets krav för Svensk
30Framtida spelplan för
188
SOU 2017:114 |
Statlig elektronisk identitetshandling |
på tillitsnivå 3 och 4 som underlag vid ansökan om en annan elektro- nisk identitetshandling på tillitsnivå 3 eller lägre. Det är dessutom önskvärt att veta att det ska finnas minst en svensk elektronisk iden- titetshandling som kan anmälas för användning för gränsöver- skridande identifiering enligt
Utredningen menar att det är ett statligt ansvar att grundidentifiera individer och utfärda fysiska identitetshandlingar. Det är viktigt att hålla samman grundidentifieringen med utfärdandet av en elektronisk identitetshandling. Mot den bakgrunden bedömer utredningen att staten ska utfärda en elektronisk identitetshandling. En sådan statlig elektronisk identitetshandling ska ses som ett grundläggande under- lag som kan användas antingen för identifiering i
Krav på den statliga elektroniska identitetshandlingen
Utredningen bedömer att de krav som ska ställas på en statlig elek- tronisk identitetshandling är följande.
•En statlig elektronisk identitetshandling ska vara en säker och till- förlitlig elektronisk identitetshandling på den högsta tillgängliga tillitsnivån.
•En statlig elektronisk identitetshandling ska vara en stabil lösning, som inte är beroende av att individer själva har vare sig dator, kortläsare eller mobiltelefon.
•En statlig elektronisk identitetshandling ska kunna användas hos
alla offentliga myndigheter, men tanken är inte att en statlig
31 Se vidare avsnitt 18.2.
189
Statlig elektronisk identitetshandling |
SOU 2017:114 |
elektronisk identitetshandling ska vara den enda elektroniska iden- titetshandlingen som individer har.
•En statlig elektronisk identitetshandling ska finnas på en fysisk bärare.
•En statlig elektronisk identitetshandling ska kunna användas som en
12.7.1Särskild grundidentifiering eller utnyttja befintlig?
Utredningen bedömer:
att det är lämpligt att utnyttja befintliga grundidentifieringar i sta- ten för att utfärda en elektronisk identitetshandling.
Utredningen konstaterar:
att frågan om vilken eller vilka fysiska identitetshandlingar som ska bära den statliga elektroniska identitetshandlingen hanteras av 2017 års
Utredningen bedömer att det ska vara ett offentligt åtagande att grundidentifiera individer och utfärda en elektronisk identitetshand- ling. För att åstadkomma detta finns det enligt utredningen i huvudsak två olika tillvägagångssätt. Det ena är att etablera en särskild grund- identifiering i staten som resulterar i en elektronisk identitetshandling, som fästs på en nyetablerad fysisk bärare. För denna nya grundidenti- fiering skulle någon statlig myndighet ansvara. Det andra är att ut- nyttja befintliga statliga grundidentifieringar.
När det gäller det första alternativet bedömer utredningen att det inte är aktuellt. Att etablera en helt ny process för att utfärda en elek- tronisk identitetshandling, med tillkommande ansvar för en myn- dighet och dessutom att få tillräcklig spridning på den elektroniska identitetshandlingen hos befolkningen, är vare sig lämpligt eller ett effektivt sätt att hantera de offentliga resurserna.
Utredningen anser i stället att befintliga statliga grundidentifie- ringar ska utnyttjas. Det medför att de fysiska identitetshandlingar som staten utfärdar bör vara bärare av den statliga elektroniska iden- titetshandlingen.
190
SOU 2017:114 |
Statlig elektronisk identitetshandling |
De befintliga statliga processer som innefattar grundidentifiering och som utredningen bedömer lämpliga, utifrån de principer som utredningen bedömer ska gälla och det nuvarande regelverket, är de som gäller för passet, det nationella identitetskortet och identitets- kortet för folkbokförda i Sverige.32
I augusti 2017 tillsattes 2017 års
Utredningen har samrått med 2017 års
12.7.2Den statliga elektroniska identitetshandlingen ska vara på den högsta tillitsnivån
Utredningen bedömer:
att staten inte ska utfärda mobila elektroniska identitetshandlingar.
Utredningen föreslår:
att statliga elektroniska identitetshandlingar ska vara på den högsta tillitsnivån, i dag tillitsnivå 4.
32 Passlagen (1978:302) med tillhörande passförordningen (1979:664), förord-
ningen (2005:661) om nationellt identitetskort och lagen (2015:899) om identitetskort för folkbokförda i Sverige med tillhörande förordningen (2015:904) om identitetskort för folkbokförda i Sverige.
191
Statlig elektronisk identitetshandling |
SOU 2017:114 |
Tillitsnivån förutsätter fysisk bärare
Tillitsnivå 4 förutsätter i dag att den elektroniska identitetshandlingen finns på en fysisk bärare, exempelvis ett smartkort. Utredningen anser att någon eller några av de befintliga utfärdandeprocesser som innefattar grundidentifiering ska utnyttjas för att utfärda en elektro- nisk identitetshandling. Ur dessa processer kommer fysiska identi- tetshandlingar som kan, eller bör kunna, bära en elektronisk identi- tetshandling.
Utredningen lämnar inte förslag på en mobil statlig elektronisk identitetshandling
Utredningen har tidigare beskrivit att en elektronisk identitetshand- ling kan finnas som en fil på en dator eller en applikation i mobiltele- fonen. Bland de som i dag använder sig av BankID, är det 90,9 pro- cent som har mobilt BankID. Antalet utfärdade mobila BankID var i september 2017 nästan 6,5 miljoner, jämfört med i januari 2015 när det var drygt 3 miljoner.33 De mobila lösningarna för elektroniska identitetshandlingar är alltså tilltalande för många. De erbjuder möj- ligheter att sköta sina ärenden gentemot banker, statliga myndig- heter och andra aktörer var som helst.
Genom en mobil lösning för den statliga elektroniska identitets- handlingen skulle användandet givetvis underlättas. Utredningen be- dömer emellertid den statliga elektroniska identitetshandlingen ska vara ett komplement och inte konkurrent till redan existerande eller kommande mobila plattformar. Det bästa sättet att stödja innovation är att lämna öppet för olika aktörer att presentera sina lösningar och låta brukarnas val avgöra. Ur ett nationellt säkerhetspektiv är det viktigt att undvika starka beroenden av enskilda aktörer och tekniska lösningar. Mobilitetstrenden i Sverige är stark34 och många invånare i Sverige har en smart mobil, surfplatta och/eller dator. Här finns det utrymme för fler aktörer.
33Statistik från BankID, oktober 2017.
34Internetstiftelsen i Sverige (IIS) har konstaterat att 85 procent av befolkningen har tillgång till en smart mobil, vilket är en ökning i förhållande till år 2016 då 81 procent hade tillgång till en smart mobil. Vidare har 93 procent tillgång till en dator hemma, IIS rapport Sven- skarna och internet 2017 – undersökning om svenskarnas internetvanor, s. 10.
192
SOU 2017:114 |
Statlig elektronisk identitetshandling |
12.7.3Ska ansvariga statliga myndigheter själva utveckla den elektroniska identitetshandlingen?
Utredningen föreslår:
att de statliga myndigheter som ges i uppdrag att tillhandahålla en statlig elektronisk identitetshandling också ges i uppdrag att sam- verka i genomförandet av detta uppdrag.
att den statliga elektroniska identitetshandlingen ska vara statlig egendom och att ansvariga statliga myndigheter ska kunna be- stämma över dess användning, oavsett om de tillhandahåller den själva eller upphandlar den.
Polismyndigheten ansvarar för att utfärda pass och nationella identi- tetskort. Skatteverket ansvarar för att utfärda identitetskort för folk- bokförda. Varken Polismyndigheten eller Skatteverket tillverkar de bärare av identitetshandlingarna som passet, det nationella identitets- kortet eller identitetskortet för folkbokförda finns på. Dessa bärare upphandlas av respektive myndighet.
På Skatteverkets identitetskort för folkbokförda finns en elektro- nisk identitetshandling. I dag utfärdas den av AB Svenska Pass och tidigare av Telia. Den elektroniska identitetshandlingen är upphand- lad av Skatteverket, men utfärdas av AB Svenska Pass i eget namn.
Utredningen lämnar inte förslag på vilka statliga myndigheter som ska utfärda en elektronisk identitetshandling. Oavsett vilken myndighet det blir bedömer utredningen att de statliga myndig- heter som ges i uppdrag att ta fram en statlig elektronisk identitets- handling måste samverka om hur den utformas. Det kan finnas olika leverantörer av fysiska identitetshandlingar, men knappast mer än en leverantör av den statliga elektroniska identitetshandlingen. Det är viktigt att den statliga elektroniska identitetshandlingen ges ut under ett enhetligt namn. Dessutom menar utredningen att det är de ansvariga myndigheterna som, oavsett leverantör av den elektro- niska identitetshandlingen, måste kunna bestämma över hur den elektroniska identitetshandlingen får användas. Utredningen läm- nar också förslag om att den statliga elektroniska identitetshand- lingen ska följa det tillitsramverk och de tekniska specifikationer som digitaliseringsmyndigheten tar fram enligt förslaget till lag om infrastruktur och kvalitetsmärket Svensk elektronisk identitets- handling. Se mer om det nedan.
193
Statlig elektronisk identitetshandling |
SOU 2017:114 |
12.7.4Den statliga elektroniska identitetshandlingen
– en del av en fysisk identitetshandling
eller en egen handling?
Utredningen föreslår:
att den statliga elektroniska identitetshandlingen ska särregleras i förhållande till de författningar som reglerar dess fysiska bärare.
Den statliga elektroniska identitetshandlingen ska utformas på ett sätt så att den blir en elektronisk urkund. Den ska därmed vara en egen handling, som använder en fysisk identitetshandling som bärare. Den elektroniska identitetshandlingen kräver emellertid tekniska hjälpmedel för att kunna användas för identifiering. Den går inte att uppfatta okulärt. Det finns därför enligt utredningens bedömning goda skäl att särreglera den statliga elektroniska identitetshand- lingen, och inte låta den ingå som en delmängd i informationen på fysiska identitetshandlingar.
Utredningen bedömer att den statliga elektroniska identitetshand- lingen måste omgärdas av en egen författningsreglering Detta för att veta vilka uppgifter om en individ som samlas in i grundidentifie- ringsprocessen i syfte att ingå i respektive identitetshandling.
12.7.5Den statliga elektroniska identitetshandlingen och
Utredningen föreslår:
att den statliga elektroniska identitetshandlingen ska anmälas för gränsöverskridande identifiering (användning inom Europa) en- ligt
Den statliga elektroniska identitetshandlingen som utredningen före- slår bör vara rustad för användningsområden som kommer att utvecklas inom den närmsta framtiden. Genom
194
SOU 2017:114 |
Statlig elektronisk identitetshandling |
är tänkbara. Situationen kan jämföras med att staten utfärdar pass till svenskar som vill resa utomlands.
För att säkerställa att det ska finnas tillgång till åtminstone en sådan elektronisk identitetshandling anser utredningen att det offent- liga åtagandet när det gäller den statliga elektroniska identitetshand- lingen ska omfatta att den ska kunna användas för gränsöverskri- dande identifiering.
Det finns även säkerhetsskäl för att Sverige bör anmäla en statligt utfärdad elektronisk identitetshandling för gränsöverskridande iden- tifiering. Mer om detta i kapitel 18.
12.8Lag om statlig elektronisk identitetshandling
Utredningen föreslår:
att det införs en lag om statlig elektronisk identitetshandling.
att målgruppen för den statliga elektroniska identitetshand- lingen ska vara svenska medborgare och de som är folkbokförda i Sverige.
Förslaget genomförs genom lagen om statlig elektronisk iden- titetshandling.
Utredningen föreslår en lag om statlig elektronisk identitetshand- ling. Utöver att reglera vad en statlig elektronisk identitetshandling är, samt hur den får användas, föreslår utredningen bl.a. att alla offentliga myndigheter som kräver att individer ska identifiera sig elektroniskt ska godkänna identifiering med den statliga elektroniska identitetshandlingen.
Målgruppen för en statlig elektronisk identitetshandling kan delas in på olika sätt. Indelning kan göras utifrån individers behov. Då framförs oftast att individer behöver en elektronisk identitets- handling för sina privata ärenden och en annan som de använder i tjänsten. En annan indelning, som delvis överlappar, är vem individen är i relation till något annat objekt, exempelvis relationen individen har i förhållande till staten, en annan individ eller en organisation. En tredje indelning är vad individen har rätt att göra, exempelvis framföra ett fordon eller utöva en viss yrkesroll.
Utredningen föreslår att målgruppen för en statlig elektronisk identitetshandling ska vara densamma som målgruppen för de fysiska
195
Statlig elektronisk identitetshandling |
SOU 2017:114 |
identitetshandlingar som staten utfärdar, och vars primärsyfte inte är att utvisa en viss behörighet. Utredningen bedömer att det bör krävas att en individ har en viss form av anknytning till det svenska samhället för att få en statlig elektronisk identitetshandling. För de fysiska identitetshandlingarna bedömde 2007 års
12.8.1Personidentitetsuppgifter i den statliga elektroniska identitetshandlingen
Utredningen föreslår:
att det i lagen regleras vilka personidentitetsuppgifter som ska finnas i en statlig elektronisk identitetshandling.
I de författningar som reglerar passet, det nationella identitetskortet och identitetskortet för folkbokförda i Sverige saknas bestämmelser som anger vilka uppgifter om en person som ska finnas i respektive identitetshandling.36 Det som regleras är i stället att sökanden (indi- viden) ska styrka sin identitet och – när det gäller passet och det nationella identitetskortet – sitt svenska medborgarskap. Sedan finns det regler för hur detta ska gå till. Vilka uppgifter om en individ som
35SOU 2007:100,
36Passlagen (1978:302) med tillhörande passförordningen (1979:664), förordningen (2005:661) om nationellt identitetskort och lagen (2015:899) om identitetskort för folkbokförda i Sverige med tillhörande förordningen (2015:904) om identitetskort för folkbokförda i Sverige.
196
SOU 2017:114 |
Statlig elektronisk identitetshandling |
ska ingå i respektive identitetshandling framgår bl.a. av internatio- nella regelverk och standarder på området.
Utredningen anser att det är viktigt att beskriva vilka personiden- titetsuppgifter som den statliga elektroniska identitetshandlingen ska innehålla. Utredningen föreslår att den statliga elektroniska identi- tetshandlingen ska finnas på en fysisk bärare, som är en fysisk identi- tetshandling. Det innebär att grundidentifieringen är densamma för den fysiska och den elektroniska identitetshandlingen. Utredningen anser att det då är viktigt att veta vilka uppgifter om en individ som får behandlas i respektive identitetshandling. Därför bedömer utred- ningen att det bör regleras i lag vilka uppgifter om en individ som ska ingå i den elektroniska identitetshandlingen. Utredningen bedömer att de i lagen angivna uppgifterna är minimum och att regeringen eller den myndighet som regeringen bestämmer får besluta om att andra uppgifter också får ingå. Sådana andra uppgifter beskrivs som attribut.
Den identitetsbeteckning som huvudsakligen används för individer i Sverige i dag är personnummer. Personnumret innehåller födelse- tid, födelsenummer och kontrollsiffra. För att få ett personnummer måste man vara folkbokförd i Sverige och för att bli folkbokförd måste man vara antingen svensk medborgare eller ha uppehållsrätt eller uppehållstillstånd här.37 Utöver personnumret är ofta förnamn och efternamn viktigt för att veta vem en person är.
I en genomförandeförordning till
37
38Kommissionens genomförandeförordning (EU) 2015/1501 av den 8 september 2015 om interoperabilitetsramverket enligt artikel 12.8 i Europaparlamentets och rådets förordning (EU) nr 910/2014 om elektronisk identifiering och betrodda tjänster för elektroniska tran- saktioner på den inre marknaden.
197
Statlig elektronisk identitetshandling |
SOU 2017:114 |
I sammanhanget vill utredningen uppmärksamma frågan om det ska ingå biometriska uppgifter i den elektroniska identitetshand- lingen. Biometriska uppgifter om en individ, kan vara fingeravtryck eller digitala fotografier ur vilka biometrisk data kan uttolkas. Sådana uppgifter skapar förutsättningar för säkrare fysiska och elektroniska identitetshandlingar. I svenska pass finns numera biometriska upp- gifter om passinnehavaren lagrad. Med hjälp av dessa går det att med större säkerhet säga att den som identifierar sig överensstämmer med den uppvisade identitetshandlingen. Det minskar också risken för att annan än innehavaren använder identitetshandlingen i bedrägligt syfte. Att använda biometriska uppgifter kan emellertid också inne- bära risker för den personliga integriteten.
Utredningen bedömer att det noga bör övervägas om elektroniska identitetshandlingar ska innehålla biometriska uppgifter. Frågan om identitetshandlingar ska innehålla biometriska uppgifter ingår i upp- draget till 2017 års
12.8.2Den statliga elektroniska identitetshandlingen
och förslaget om lag om infrastruktur för elektronisk identitetskontroll och kvalitetsmärket Svensk elektronisk identitetshandling
Utredningen föreslår:
att det i lagen anges att den statliga elektroniska identitetshand- lingen ska vara på den högsta svenska tillitsnivån enligt tillitsram- verket i lagen om infrastruktur för elektronisk identifiering och kvalitetsmärket Svensk elektronisk identitetshandling,
att elektronisk identitetskontroll av den statliga elektroniska identitetshandlingen ska utformas enligt tekniska specifikationer i lagen om infrastruktur för elektronisk identifiering och kvali- tetsmärket Svensk elektronisk identitetshandling,
att det i lagen särskilt ska anges att den statliga elektroniska iden- titetshandlingen ska finnas på de fysiska identitetshandlingar som regeringen bestämmer,
att den statliga elektroniska identitetshandlingen ska ha samma giltighetstid som den fysiska identitetshandling som den finns på.
198
SOU 2017:114 |
Statlig elektronisk identitetshandling |
Utredningen lämnar i kapitel 14 förslag på en lag om infrastruktur för elektronisk identifiering och kvalitetsmärket Svensk elektronisk identitetshandling. Utredningen bedömer att infrastrukturen ska be- stå bl.a. av det tillitsramverk och de tekniska specifikationer som E- legitimationsnämnden ansvarar för att ta fram i dag. Utredningen bedömer att dessa delar ska författningsregleras och att digitaliser- ingsmyndigheten ska ges i uppdrag att utveckla och förvalta dem.
Utredningen bedömer att den statliga elektroniska identitets- handlingen ska uppfylla de krav som ställs också på andra utfärdare av elektroniska identitetshandlingar för att kunna få kvalitetsmärket Svensk elektronisk identitetshandling. Ansvaret för den statliga elek- troniska identitetshandlingen kan komma att fördelas på flera stat- liga myndigheter beroende på vilken fysisk identitetshandling som den statliga elektroniska identitetshandlingen ska finnas på och vilka statliga myndigheter som i framtiden kan komma att utfärda sådana. Oavsett vilken statlig myndighet som ansvarar för att utfärda den statliga elektroniska identitetshandlingen ska kvalitetskraven vara desamma.
Högsta tillitsnivån och tekniska specifikationer
Utredningen föreslår att den statliga elektroniska identitetshand- lingen ska vara på den högsta tillitsnivån enligt tillitsramverket samt att den ska följa de tekniska specifikationer som utredningen lämnar förslag på att digitaliseringsmyndigheten ska utveckla och förvalta.
Utredningen har övervägt om det i lagen ska beskrivas vad den högsta tillitsnivån innebär. Tillitsnivåer är föremål för utveckling och ska anpassas efter de rådande standarder som finns på området (se närmare om utredningens förslag till lag om infrastruktur för elek- tronisk identifiering och kvalitetsmärket Svensk elektronisk identi- tetshandling). Utredningen bedömer att det inte är lämpligt att i lag ange vad som krävs för vissa tillitsnivåer. Sådana bedömningar bör vara en uppgift för den statliga myndighet som utvecklar och för- valtar tillitsramverket.
199
Statlig elektronisk identitetshandling |
SOU 2017:114 |
De fysiska bärare som regeringen bestämmer
Utredningen bedömer att det är viktigt att i lagen ange att den eller de fysiska bärare som kan innehålla en statlig elektronisk identi- tetshandling är någon eller några av de fysiska identitetshandlingar som staten utfärdar. Detta för visa att den statliga elektroniska iden- titetshandlingen inte ska vara föremål för en egen grundidentifier- ingsprocess, utan i stället vara resultatet av samma process som för den eller de fysiska identitetshandlingar som staten utfärdar.
Som nämnts är frågan om vilka fysiska identitetshandlingar som ska finnas föremål för arbetet i 2017 års
Giltighetstid
I och med att den fysiska bäraren ska vara en fysisk identitetshand- ling föreslår utredningen att giltighetstiden för den elektroniska identitetshandlingen ska vara densamma som för den fysiska identi- tetshandlingen.
12.8.3Ansökan och utlämnande
Utredningen föreslår:
att ansökan om den statliga elektroniska identitetshandlingen ska lämnas hos den eller de myndigheter (utfärdande myndigheter) som regeringen bestämmer,
att ansökan om den statliga elektroniska identitetshandlingen ska lämnas i samband med ansökan om en fysisk identitetshandling, att sökanden är skyldig att styrka sin identitet och övriga person- uppgifter,
att ansökan ska avslås under vissa förutsättningar.
200
SOU 2017:114 |
Statlig elektronisk identitetshandling |
Den statliga elektroniska identitetshandlingen ska dela grundidenti- fieringsprocess med en fysisk identitetshandling. Utredningen har övervägt att föreslå hänvisningar till bestämmelser om ansökan i författningar som gäller för de fysiska bärarna. Eftersom frågan om vilka fysiska identitetshandlingar som ska finnas i Sverige är föremål för analys av 2017 års
12.8.4Den statliga elektroniska identitetshandlingen ska erkännas för identifiering hos alla statliga myndigheter, kommuner och landsting
Utredningen föreslår:
att alla offentliga myndigheter ska erkänna identifiering med den statliga elektroniska identitetshandlingen.
Den statliga elektroniska identitetshandlingen måste kunna använ- das. För att den ska kunna användas måste det ha etablerats en relation mellan den som ska kontrollera individens identitet och den som har utfärdat den elektroniska identitetshandlingen. Antingen den statliga myndigheten eller en av denne anlitad underleverantör måste under identitetshandlingens giltighetstid kunna intyga individens identitet i relation till de som ska kontrollera identiteten.
Utredningen anser att den statliga elektroniska identitetshand- lingen ska fungera i alla
201
Statlig elektronisk identitetshandling |
SOU 2017:114 |
Med en sådan bestämmelse kan det hävdas att den statliga elek- troniska identitetshandlingen kan vara konkurrenshämmande. Ut- redningen bedömer emellertid att syftet med den statliga elektro- niska identitetshandlingen inte är att etablera en konkurrent till övriga elektroniska identitetshandlingar. Den statliga elektroniska identitetshandlingen kommer exempelvis inte att uppfylla individers behov av mobila lösningar. Individer kommer därmed att vilja använda den statliga elektroniska identitetshandlingen för att växla till sig en annan identitetshandling. Utfärdaren av den andra identitetshandlingen kan då lita på att den grundidentifiering som staten gjort av individen är så säker som möjligt.
12.8.5Den statliga elektroniska identitetshandlingen
ska kunna användas som underlag för identitetskontroll av andra utfärdare
Utredningen föreslår:
att den statligt utfärdade elektroniska identitetshandlingen ska kunna användas som underlag för att utfärda andra elektroniska identitetshandlingar,
att regeringen eller de myndigheter som regeringen bestämmer får ställa upp villkor för när den statliga elektroniska identitets- handlingen får användas som underlag för ansökan om en annan elektronisk identitetshandling.
Genom att skapa en statligt kontrollerad process för grundidenti- fiering samt ansökan och utfärdande av den statliga elektroniska identitetshandlingen med högsta tillitsnivå menar utredningen att det finns förutsättningar för andra aktörer att lita på den statliga elektroniska identitetshandlingen. Fysiska identitetshandlingar som staten utfärdar accepteras normalt sett av andra aktörer i samhället. Utredningen anser att staten ska erbjuda en elektronisk motsvarig- het till detta.
Utredningen föreslår att den statligt utfärdade elektroniska iden- titetshandlingen ska kunna användas som underlag för att utfärda andra elektroniska identitetshandlingar på tillitsnivåer som tillåter att sökanden identifierar sig på distans. Individen ska alltså kunna an- söka om andra elektroniska identitetshandlingar elektroniskt och
202
SOU 2017:114 |
Statlig elektronisk identitetshandling |
identifiera sig med den statliga elektroniska identitetshandlingen. Andra utfärdare av elektroniska identitetshandlingar kan därmed erbjuda sina kunder ett helt elektroniskt ansökningsförfarande, genom att exempelvis tillåta att en individ identifierar sig med den statliga elektroniska identitetshandlingen mot en
Utredningen menar att det kommer att finnas starka incitament för individer att skaffa andra elektroniska identitetshandlingar än den statliga. Det starkaste incitamentet bedömer utredningen vara att den statliga elektroniska identitetshandlingen endast ska finnas på en fysisk bärare. Det innebär att individer som vill använda sin statliga elektroniska identitetshandling måste ha en kortläsare eller liknande för att kunna använda den. För vissa kommer det att fungera, men för många kommer det att framstå som trubbigt i jämförelse med dagens mobila lösningar.
Hur långt sträcker sig den utfärdande myndighetens ansvar för identifiering som användaren gör i samband med ansökan om en annan elektronisk identitetshandling?
Utredningen bedömer att den utfärdande myndighetens ansvar om- fattar att verifiera identiteten hos en användare som ansöker om en annan elektronisk identitetshandling. Därefter har den utfärdande myndigheten inte något ansvar för den andra utfärdarens fortsatta hantering av uppgifterna om en individ. Med detta menar utred- ningen att myndighetens ansvar sträcker sig till att leverera det iden- titetsintyg som skapas när en annan utfärdare vill kontrollera en indi- vids identitet.
Föreskriftsrätt
Regeringen eller de myndigheter som regeringen bestämmer behöver kunna ta fram närmare villkor för hur den statliga elektroniska iden- titetshandlingen ska få användas som underlag för andra elektroniska identitetshandlingar. Det kan exempelvis närmare behöva regleras vilka krav som ska ställas på utfärdare som vill använda den statliga
203
Statlig elektronisk identitetshandling |
SOU 2017:114 |
elektroniska identitetshandlingen som underlag för sin ansökan. Ut- redningen lämnar inte förslag på sådana föreskrifter eftersom de bör utformas utifrån vilka de ansvariga utfärdande myndigheterna blir.
12.8.6Den statliga elektroniska identitetshandlingen och andra utfärdare
Utredningen föreslår:
att den utfärdande myndigheten ska registrera vilka andra elektro- niska identitetshandlingar som har skapats med den statliga elek- troniska identitetshandling som underlag.
Den statliga elektroniska identitetshandlingen är avsedd att vara en individs elektroniska basidentitetshandling. Det är viktigt att andra utfärdare och förlitande aktörer kan lita på den. Utredningen menar att den utfärdande myndigheten behöver veta vilka andra identitets- handlingar som har skapats med den statliga elektroniska identitets- handlingen som underlag. Om den statliga elektroniska identitets- handlingen spärras ska den utfärdande myndigheten informera de andra utfärdarna om detta. Syftet med att skapa en sådan kedja är att hålla kopplingen mellan basidentiteten och efterföljande identitets- handlingar intakt. På så sätt skapas ett system till vilket både för- litande aktörer och användare kan fästa tilltro.
12.8.7Spärr av den statliga elektroniska identitetshandlingen
Utredningen föreslår:
att det i lagen införs regler om när den statliga elektroniska identi- tetshandlingen ska spärras,
att regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om förfarandet vid spärr av statliga elektro- niska identitetshandlingar.
De författningar som styr fysiska identitetshandlingar innehåller bestämmelser om när en identitetshandling ska återkallas eller spärras. Utredningen bedömer att det måste finnas en liknande bestämmelse i den nu föreslagna lagen. Bestämmelsen är utformad utifrån de mot-
204
SOU 2017:114 |
Statlig elektronisk identitetshandling |
svarande bestämmelser som finns i passlagen, förordningen om nationellt identitetskort och lagen om identitetskort för folkbok- förda i Sverige. Denna kan dock behöva ses över av 2017 års
12.8.8Processuella bestämmelser
Utredningen föreslår:
att beslut enligt lagen får överklagas till allmän förvaltningsdom- stol,
att beslut enligt lagen gäller omedelbart, om inte något annat anges i beslutet.
Den statliga elektroniska identitetshandlingen ska som nämnts dela utfärdandeprocess med dess fysiska bärare. Utredningen har övervägt att föreslå hänvisningar till bestämmelser om ansökan i författningar som gäller för de fysiska bärarna. Eftersom frågan om vilka fysiska identitetshandlingar som ska finnas i Sverige är föremål för analys av 2017 års
12.8.9Personuppgiftsbehandling
Utredningen bedömer:
att den statliga elektroniska identitetshandlingen bör omfattas av samma registerförfattning som gäller för den fysiska identitets- handlingen.
Utredningen lämnar inte förslag på vilken fysisk identitetshandling som ska vara bärare av den statliga elektroniska identitetshandlingen.
205
Statlig elektronisk identitetshandling |
SOU 2017:114 |
Inte heller lämnar utredningen förslag på vilken myndighet som ska ansvara för att utfärda den statliga elektroniska identitetshandlingen. Regeringens ställningstaganden i dessa delar är beroende av de för- slag som 2017 års
Även om utredningen inte lämnar förslag på bärare eller utfärdande myndighet har utredningen bedömt att den grundidentifierings- process som leder fram till passet, det nationella identitetskortet re- spektive identitetskortet för folkbokförda i Sverige är tillräckligt säker även för den statliga elektroniska identitetshandlingen. Bestäm- melserna om personuppgiftsbehandling för dessa identitetshandlingar finns i dag i passlagen, förordningen om nationellt identitetskort och lagen om identitetskort för folkbokförda i Sverige.
I promemorian Passdatalag39 föreslogs en lag om behandling av personuppgifter i passmyndigheternas och Utrikesdepartementets passverksamhet. Syftet med den föreslagna lagen var att göra det möj- ligt för passmyndigheterna och Utrikesdepartementet att behandla personuppgifter på ett ändamålsenligt sätt i myndigheternas passverk- samhet och att skydda människor från att deras personliga integritet kränks vid sådan behandling. Den föreslagna lagen var tänkt att ersätta de särregler om personuppgiftsbehandling som finns i passlagen och passförordningen. Promemorian innehöll också förslag till en förord- ning om behandling av personuppgifter i passmyndigheternas verk- samhet avseende nationella identitetskort. Förordningen föreslogs ersätta de särregler om personuppgiftsbehandling som finns i förord- ningen om nationella identitetskort.
Utredningen konstaterar att promemorians förslag inte har lett till lagstiftning. Datainspektionen var positiv till förslaget om pass- datalag, men pekade i sitt remissvar på några brister i förslaget.40
Utredningen bedömer att det är angeläget att frågan om person- uppgiftsbehandling regleras. Utredningen bedömer också att det är en fråga som bör tas tillsammans med en bedömning av hur person- uppgiftsbehandlingen för den fysiska bäraren av den statliga elektro- niska identitetshandlingen ska utformas. Det är visserligen två olika sorters handlingar som en eller flera myndigheter kommer att utfärda (en fysisk och en elektronisk). Utredningen föreslår också att re-
39Ds 2015:44.
40Remissvar
206
SOU 2017:114 |
Statlig elektronisk identitetshandling |
gleringen av den statliga elektroniska identitetshandlingen ska vara skild från regleringen av den fysiska identitetshandlingen. Utred- ningen bedömer ändå att bestämmelserna om personuppgiftsbehand- ling bör hållas samman. Den verksamhet som bestämmelserna om personuppgiftsbehandling ska omfatta är den för utfärdande av identi- tetshandlingar, och då bör det vara samma författning som reglerar för vilka ändamål en personuppgiftsbehandling får göras.
12.8.10 Ikraftträdande
Utredningen föreslår:
att lagen träder i kraft den 1 januari 2020.
Utredningen bedömer att en statlig elektronisk identitetshandling är efterfrågad. Inte minst med beaktande av att Sverige vill kunna an- mäla en statlig elektronisk identitetshandling för gränsöverskridande identifiering (användning inom Europa) enligt
207
13Myndigheters sätt att anskaffa funktioner för elektronisk identitetskontroll
Utredningen bedömer:
att individer ska ges samma identifieringsmöjligheter oavsett vilken statlig myndighet, kommun eller landsting som de ska identifiera sig elektroniskt mot,
att det som i dag benämns tjänst för elektronisk identifiering bör benämnas funktion för elektronisk identitetskontroll.
Elektronisk identifiering har vuxit fram ur en innovativ marknad, där marknadens aktörer har haft möjlighet att utveckla, testa och mark- nadsföra nya lösningar. Den svenska befolkningen har en hög digital mognad. För många ingår användningen av en elektronisk identitets- handling i vardagen. I takt med utvecklingen har också fler behov till- godosetts genom nya marknadslösningar. Exempelvis kan nämnas att mobila lösningar för elektronisk identifiering tagits fram ur en be- hovsdriven utvecklingsprocess. De privata aktörernas innovationer har varit gynnsamma för det offentliga Sverige, där förvaltningen har kunnat dra nytta av marknadslösningarna. Det finns, givet BankID:s dominerande ställning, en förväntan hos individer att de ska kunna använda sitt BankID för att identifiera sig inte bara mot sin bank utan också mot offentliga myndigheter.
Elektronisk identifiering är fråga om ett samspel mellan flera olika aktörer. En förutsättning för att en individ ska kunna använda en viss elektronisk identitetshandling i en
209
Myndigheters sätt att anskaffa funktioner för elektronisk identitetskontroll |
SOU 2017:114 |
nedan). Avtalet består av dels en rätt att ställa fråga om identiteten hos en individ, dels att utfärdaren/leverantören ska svara med ett identitetsintyg. I dag benämns avtalets innehåll som en tjänst för elektronisk identifiering.
Utredningen har tidigare analyserat begreppet identifiering och kommit fram till att det omfattar såväl att en individ identifierar sig som den kontroll som någon gör av individens identitet. Eftersom den nu aktuella tjänsten inte omfattar individen som avtalspart, och definieras som en förvaltningsgemensam digital funktion, bedömer utredningen att den bör kallas funktion för elektronisk identitetskontroll eftersom den syftar till att den som har en
Det finns i dag inget enhetligt sätt för offentliga myndigheter att anskaffa en funktion för elektronisk identitetskontroll. Varje offentlig myndighet bestämmer själv hur den ska göra. Det leder till att indi- vider kan mötas av olika alternativ för att identifiera sig elektroniskt hos olika offentliga myndigheter.
Enligt utredningen bör målsättningen vara att individer inte ska behöva ha olika elektroniska identitetshandlingar beroende på vilken offentlig myndighet som de ska identifiera sig mot. Att individer kan välja att ha flera elektroniska identitetshandlingar är en annan sak. Utredningen bedömer dessutom att det är viktigt att det för individer är tydligt vilka elektroniska identitetshandlingar som de kan använda sig av för att identifiera sig elektroniskt mot offentliga myndigheter.
För att stimulera utveckling av
210
SOU 2017:114 |
Myndigheters sätt att anskaffa funktioner för elektronisk identitetskontroll |
13.1”Peka med hela handen”
Utredningen har i sitt arbete träffat företrädare för statliga myndig- heter, kommuner och landsting och pratat om hur de ser på sättet att anskaffa funktioner för elektronisk kontroll. Det har inte varit en enhetlig bild, men på det stora hela anser de företrädare som utred- ningen träffat att regelverket för anskaffning av funktioner för elek- tronisk identitetskontroll är komplicerat. Eftersom avtal som myndig- heterna sluter är mångåriga och dessutom förlängningsbara har också risker med att under lång tid vara fastlåst i ett avtal lyfts fram. Det har beskrivits som svårt för upphandlande myndigheter att avgöra vilket alternativ som är bäst för verksamheten.
13.2Vad kan en elektronisk identitetshandling användas till?
En elektronisk identitetshandling kan utfärdas av olika aktörer men syftet är alltid detsamma – att intyga identitetsuppgifterna hos en indi- vid. En elektronisk identitetshandling kan också användas för olika åtgärder. eSamverkansprogrammet (eSam) har närmare beskrivit detta.1 I det följande beskriver utredningen i korthet vad en elektronisk identitetshandling kan användas till. Beskrivningarna utgår från eSams vägledning, men använder de begrepp som utredningen har bedömt ska användas.
13.2.1En elektronisk identitetshandling kan användas för …
… tillträde
En elektronisk identitetshandling kan användas för att få tillgång till uppgifter som lämnats ut till honom eller henne i exempelvis en e- tjänst och få skydd mot att någon annan släpps in under sken av att vara den som har identifierat sig.
1 eSam:s skrivelse Juridisk vägledning för införande av
211
Myndigheters sätt att anskaffa funktioner för elektronisk identitetskontroll |
SOU 2017:114 |
… uppgiftslämnande
En elektronisk identitetshandling kan användas för att lämna in upp- gifter elektroniskt och få skydd mot att någon annan lämnar uppgif- ter under sken av att vara användaren.
… indirekt underskrift
En elektronisk identitetshandling kan användas som ett led för att skapa en s.k. indirekt underskrift hos t.ex. en myndighet med en från den elektroniska identitetshandlingen fristående underskriftstjänst. Med detta menas en underskrift för att skydda en elektronisk hand- ling mot förfalskning och förnekande av underskrift på motsvarande sätt som om handlingen hade undertecknats på papper.2 Beroende på den typ av
13.2.2Identifiering och inloggning är inte samma sak
Utredningen bedömer:
att elektronisk identifiering och inloggning, som begrepp, bör skiljas åt.
Den som ska kontrollera identiteten är ofta den som har en
2Om elektroniska handlingar, se vidare
3Bl.a. www.forsakringskassan.se/,
212
SOU 2017:114 |
Myndigheters sätt att anskaffa funktioner för elektronisk identitetskontroll |
loggning. Risken är annars att individen betraktar identifieringen endast som ett sätt att logga in, och inte är uppmärksam på att han eller hon faktiskt använder sig av en elektronisk värdehandling, se också avsnitt 12.3.4 Utredningen lämnar därför ett förslag som inne- bär att det måste tydliggöras för individen att när han eller hon använder sig av en elektronisk identitetshandling så identifierar han eller hon sig.
13.3Process för elektronisk identifiering
Den aktör som har
När en individ använder sin elektroniska identitetshandling för att identifiera sig i en
Användaren anger vilken |
Den förlitande aktören skickar |
elektronisk identitetshandling |
en begäran om identitetsintyg |
som hen vill använda för att |
till utfärdaren av den |
identifiera sig mot en |
elektroniska |
hos en viss förlitande aktör. |
identitetshandlingen. |
Användarens behörighet att se uppgifter och vidta åtgärder i e- tjänsten styrs av den förlitande aktören, och finns alltså inte i den elektroniska identitetshandlingen.
Utfärdaren av den elektroniska identitetshandlingen skickar ett identitetsintyg till den förlitande aktören.
Användaren släpps in i e- tjänsten.
En individ som använder sin elektroniska identitetshandling, kallas för användare. När avtal av detta slag sluts mellan en utfärdare och en offentlig myndighet kallas utfärdaren för leverantör.
4
213
Myndigheters sätt att anskaffa funktioner för elektronisk identitetskontroll |
SOU 2017:114 |
13.3.1Val av identitetshandling i en
En användare som vill identifiera sig mot en
Användare
[Vill identifiera sig med viss elektronisk
ID 1
ID 2
ID 3 ID 4
Förlitande aktör
[har en
Avtal
Utfärdare av elektronisk identitetshandling
[har utfärdat en elektronisk identitetshandling till användaren]
En
För att en användare ska kunna identifiera sig elektroniskt måste han eller hon ha en elektronisk identitetshandling. Användare måste ansöka om en sådan hos någon utfärdare av elektroniska identitets- handlingar. Mellan utfärdaren och användaren sluts ett avtal.5 Det finns flera utfärdare av elektroniska identitetshandlingar i Sverige
5 Läs mer om detta avtal i eSam:s skrivelse Juridisk vägledning för införande av
214
SOU 2017:114 |
Myndigheters sätt att anskaffa funktioner för elektronisk identitetskontroll |
i dag. Bankernas BankID är den som används mest, men det finns också andra utfärdare av elektroniska identitetshandlingar.6
För att en förlitande aktör ska kunna erbjuda användaren elektro- nisk identifiering måste den förlitande aktören ha slutit avtal om en funktion för elektronisk identitetskontroll med en eller flera utfärdare av elektroniska identitetshandlingar. Dessa avtal kan – för offentliga myndigheter slutas på flera sätt. Utredningen återkommer till detta.
13.3.2Fråga till utfärdaren om identitetsuppgifter
Användare |
Förlitande aktör |
|
[Behöver kontrollera Identiteten]
Utfärdare av elektronisk identitetshandling
Fråga om användaren
När användaren har valt vilken elektronisk identitetshandling som han eller hon vill använda för att identifiera sig, måste den förlitande aktören kontrollera användarens identitet. Detta görs genom att den förlitande aktören ställer en fråga till utfärdaren/leverantören om
6 AB Svenska Pass, Telia, Freja eID.
215
Myndigheters sätt att anskaffa funktioner för elektronisk identitetskontroll |
SOU 2017:114 |
användarens uppgifter stämmer.7 Utfärdaren har ett åtagande att in- tyga personens identitet under den elektroniska identitetshandlingens livslängd.
13.3.3Svar med ett s.k. identitetsintyg
Användare |
|
Förlitande aktör |
|
|
|
Identitetsintyg
Utfärdare av elektronisk identitetshandling
[Ska validera användarens identitet]
I det föregående steget ställde den förlitande aktören en fråga till ut- färdaren om användarens identitet. Utfärdaren svarar genom att skicka ett s.k. identitetsintyg, som innehåller de uppgifter som den för- litande aktören behöver för att lita på att användaren är den som han eller hon utger sig för att vara. Ett identitetsintyg är en elektronisk handling som garanterar spårbarhet och säkerhet i
7 I sammanhanget bör den konstruktion som BankID har valt särskilt uppmärksammas. I dag har
216
SOU 2017:114 |
Myndigheters sätt att anskaffa funktioner för elektronisk identitetskontroll |
I bland kan en annan aktör än utfärdaren/leverantören skicka identitetsintyget. Denna aktör kallas för identitetsintygsutfärdare.
13.3.4Tillträde till
Användare
Förlitande aktör
[släpper in användaren i
När den förlitande aktören har tagit emot identitetsintyget kan användaren släppas in i
13.3.5Behörighet finns i systemen, inte i den elektroniska identitetshandlingen
Den elektroniska identitetshandlingen bör inte innehålla uppgifter om användarens behörighet eller roll. Med behörighet avses vad använd- aren får göra, dvs. vilken åtkomst och rätt att vidta åtgärder som han eller hon har. Sådana uppgifter bör finnas hos den förlitande aktören i register, som kan ändras utan att den elektroniska identitetshand- lingen behöver ändras. Med behörighet avses också uppgifter om företrädarskap, exempelvis att en användare tecknar ett visst företags firma. Sådana uppgifter finns normalt sett i andra myndigheters regis- ter, vem som exempelvis tecknar ett företags firma finns i bolagsregist-
8 eSam:s skrivelse Juridisk vägledning för införande av
217
Myndigheters sätt att anskaffa funktioner för elektronisk identitetskontroll |
SOU 2017:114 |
ren.9 Den sortens uppgifter kan
13.4Närmare om relationen mellan förlitande aktör och utfärdare av elektronisk identitetshandling
Statliga myndigheter, kommuner och landsting behöver i regel an- skaffa funktioner för elektronisk identitetskontroll från andra aktörer, dvs. utfärdare av elektroniska identitetshandlingar.10 I de samman- hangen kallas den aktör som säljer funktionen för elektronisk identi- tetskontroll för leverantör. Statliga myndigheter, kommuner och lands- ting med behov av funktioner för elektronisk identitetskontroll har i dag tre valmöjligheter. De kan antingen
•upphandla en funktion för elektronisk identifiering på egen hand,
•avropa en funktion för elektronisk identifiering på ramavtal som Kammarkollegiet tillhandahåller, eller
•besluta om att tillhandahålla valfrihetssystem samt ansluta sig till det system för säker elektronisk identifiering som
De två första möjligheterna omfattas av lagen (2016:1145) om offent- lig upphandling (LOU), medan användning av den tredje möjligheten regleras i lagen (2013:311) om valfrihetssystem i fråga om tjänster för elektronisk identifiering (eLOV). I det följande beskrivs i korthet vad de olika alternativen innebär. Utredningen återkommer med bedöm- ning av om alternativen är ömsesidigt uteslutande, eller om de kan vara parallella.
9Bolagsverket ansvarar för att registrera uppgifter om företag, bl.a. ansvarar Bolagsverket för aktiebolagsregistret och handelsregistret i vilka det finns uppgifter om aktiebolag respektive handelsbolag, enkla bolag, enskilda näringsidkare, kommanditbolag, trossamfund som utövar näringsverksamhet och ideella föreningar som utövar näringsverksamhet.
10Det finns exempel på myndigheter som har tagit fram egna lösningar för elektronisk iden- tifiering. Huddinge kommun har t.ex. utvecklat en egen elektronisk identitetshandling för sina anställda.
218
SOU 2017:114 |
Myndigheters sätt att anskaffa funktioner för elektronisk identitetskontroll |
13.4.1Offentlig upphandling – upphandlande myndighet tilldelar kontrakt eller avropar på ramavtal
Regler om offentlig upphandling ska tillämpas när en upphandlande myndighet eller enhet tilldelar en leverantör ett kontrakt eller ingår ramavtal för varor, tjänster, byggentreprenader samt bygg- och tjänste- koncessioner. Offentlig upphandling syftar till att beskriva hur sådana kontrakt eller ramavtal sluts. Regler om offentlig upphandling bygger på
Svenska domstolar är skyldiga att följa
Den 26 februari 2014 antogs tre nya
11Artikel 18 i
12SOU 2016:78, Ordning och reda i välfärden, s. 488 ff.
13Europaparlamentets och rådets direktiv 2014/24/EU av den 26 februari 2014 om offentlig upphandling och om upphävande av direktiv 2004/18/EG (nya klassiska direktivet), Europa- parlamentets och rådets direktiv 2014/25/EU om upphandling av enheter som är verksamma på områdena vatten, energi, transporter och posttjänster och om upphävande av direk-
tiv 2004/17/EG (nya försörjningsdirektivet) samt Europaparlamentets och rådets direk- tiv 2014/23/EU av den 26 februari 2014 om tilldelning av koncessioner (koncessionsdirektivet).
14 Lagen (2007:1091) om offentlig upphandling och lagen (2007:1092) om upphandling inom områdena vatten, energi, transporter och posttjänster.
219
Myndigheters sätt att anskaffa funktioner för elektronisk identitetskontroll |
SOU 2017:114 |
Tilldelning av kontrakt
En upphandlande myndighet ska tilldela den leverantör vars anbud är det ekonomiskt mest fördelaktiga för myndigheten ett kontrakt.15 Vilket anbud som är det ekonomiskt mest fördelaktiga ska utvärde- ras på någon av grunderna
•bästa förhållandet mellan pris och kvalitet,
•kostnad eller
•pris.
Myndigheten ska i något av upphandlingsdokumenten ange den grund för utvärdering av anbud som den avser att använda. En följd av dessa bestämmelser är att genom upphandling kan endast en leverantör tilldelas kontraktet.
Av
Ramavtal
Kammarkollegiet ansvarar för att upphandla samordnade ramavtal som är avsedda för andra statliga myndigheter.17 Inom området infor- mationsteknik gäller ansvaret för den offentliga förvaltningen. I upp- giften ingår att tillhandahålla stödverksamhet för inköp vid avrop från de samordnade ramavtal som Kammarkollegiet har upphandlat. Kammarkollegiet ska verka för att bästa möjliga villkor skapas för myndigheternas anskaffning av varor och tjänster. Inom området in- formationsteknik ska myndigheten särskilt beakta förvaltningsgemen-
1516 kap. 1 § LOU.
16
178 a § förordningen (2007:824) med instruktion för Kammarkollegiet.
220
SOU 2017:114 |
Myndigheters sätt att anskaffa funktioner för elektronisk identitetskontroll |
samma standarder samt intresset av innovationer och teknikneutrala lösningar. Kammarkollegiet ansvarar för ramavtal där bl.a. elektro- nisk identifiering och
Det är möjligt att avropa funktioner för identifiering på Kammar- kollegiets ramavtal Programvaror och tjänster Informationsförsörj- ning 2014
Av
Ändringar i ett kontrakt
Ett kontrakt eller ett ramavtal får ändras utan en ny upphandling, om det exempelvis rör sig om ändringar som är av mindre värde eller om det finns en ändrings- eller optionsklausul med visst innehåll i något av upphandlingsdokumenten i den ursprungliga upphandlingen.20 En ändring får också göras genom en kompletterande beställning under vissa förhållanden eller om den inte är väsentlig.21
18eSam:s Juridiska vägledning för införande av
19
2017 kap.
2117 kap. 14 § LOU.
221
Myndigheters sätt att anskaffa funktioner för elektronisk identitetskontroll |
SOU 2017:114 |
13.4.2Valfrihetssystem i fråga om funktioner för elektronisk identifiering
Vad är ett valfrihetssystem?
Utredningen har i delbetänkandet beskrivit de befintliga regelverken för valfrihetssystem.22 När valfrihetssystem får anordnas är särskilt reglerat i lag. I dag finns det fem lagar som reglerar under vilka för- hållanden och på vilket sätt upphandlande myndigheter får anordna valfrihetssystem. 23
Valfrihetssystem bygger på att det är individen som har möjlighet att välja vilken, bland många, leverantörer som erbjuder det bästa alternativet. Med valfrihetssystem avses alltså ett förfarande där indi- viden har rätt att välja leverantör bland de leverantörer som en statlig myndighet, kommun eller landsting har godkänt och tecknat kontrakt med för att få en tjänst utförd. Det är den som köper tjänsten – den statliga myndigheten, kommunen eller landstinget – som bestämmer villkor – krav – för hur ett kontrakt ska fullgöras liksom grunderna för den ekonomiska ersättningen. En leverantör ansöker om att få an- slutas till valfrihetssystemet. Den statliga myndigheten, kommunen eller landstinget ska godta alla leverantörer som uppfyller de fastställda kraven. När godkännande lämnats tecknar den statliga myndigheten, kommunen eller landstinget kontrakt med leverantören.
I valfrihetssystem finns det ingen priskonkurrens mellan leveran- törerna, eftersom ersättningen är bestämd på förhand. Det är vidare möjligt för leverantörer att ansluta sig till valfrihetssystemet löpande och den som anordnar valfrihetssystem måste löpande annonsera på en nationell webbplats för valfrihetssystem.
22SOU 2017:23, digitalforvaltning.nu, s. 230 f.
23Lagen (2008:962) om valfrihetssystem, LOV, som gäller för vissa tjänster inom hälso- och sjukvård och socialtjänster, lagen (2010:536) om valfrihet hos Arbetsförmedlingen, lagen (1993:1651) om läkarvårdsersättning och lagen (1993:1652) om ersättning för fysioterapi samt lagen (2013:311) om valfrihetssystem i fråga om tjänster för elektronisk identifiering.
222
SOU 2017:114 |
Myndigheters sätt att anskaffa funktioner för elektronisk identitetskontroll |
Lagen (2013:311) om valfrihetssystem i fråga om tjänster för elektronisk identifiering
eLOV trädde i kraft år 2013. Lagen utformades med lagen (2008:962) om valfrihetssystem (LOV) som förebild. LOV reglerar valfrihets- system för tjänster inom hälsovård och socialtjänster. I förarbetena till LOV angavs att det kontrakt som tilldelades var att bedöma som en tjänstekoncession som inte omfattades av de då gällande EU- rättsliga upphandlingsdirektiven.24
Regeringen uttalade i förarbetena till eLOV att upphandling av det som då kallades för
24Prop. 2008/09:29 s. 55 ff och artikel 17 i Europaparlamentets och rådets direktiv 2004/18/EG om samordning av förfarandena vid offentlig upphandling av byggentreprenader, varor och tjänster.
25Prop. 2012/13:123, s. 31.
26SOU 2010:104, s. 114.
223
Myndigheters sätt att anskaffa funktioner för elektronisk identitetskontroll |
SOU 2017:114 |
eLOV kom att utformas som en helt fristående författning från LOV. Regeringen bedömde att skillnaderna mellan funktioner för elektronisk identifiering (som utredningen föreslår ska heta elektro- nisk identitetskontroll) och de tjänster som omfattas av LOV gjorde att det inte framstod som ändamålsenligt att skapa en lag som i huvudsak hänvisade till bestämmelserna i LOV. Vidare bedömde regeringen att en sådan lagteknisk lösning skulle skapa otydligheter och bli svåröverskådlig.27
Valfrihetssystem är ett sätt bland många
När eLOV:en infördes bedömde regeringen att det borde vara upp till varje offentlig myndighet att själv avgöra om det fanns ett sådant behov att valfrihetssystem borde inrättas. Regeringen bedömde att det inte borde finnas hinder för en offentlig myndighet att upp- handla tjänster för elektronisk identifiering på annat sätt eller för att upphandla tilläggstjänster för specifika behov, utöver vad som omfat- tas av redan inrättade valfrihetssystem.28
eLOV gäller när en upphandlande myndighet har beslutat att tillämpa valfrihetssystem i fråga om funktioner för elektronisk identifiering av enskilda i myndighetens elektroniska tjänster, anslutit sig till ett system för säker elektronisk identifiering som tillhandahålls av den myndighet som regeringen bestämmer och uppdragit åt den myndig- heten att i den upphandlande myndighetens namn administrera val- frihetssystemet, föra talan i samband med mål om rättelse och i före- kommande fall vidta rättelser.29
27Prop. 2012/13:123, s. 35.
28Prop. 2012/13:123, s. 34.
291 § eLOV.
301 a § förordningen (2010:1497) med instruktion för
224
SOU 2017:114 |
Myndigheters sätt att anskaffa funktioner för elektronisk identitetskontroll |
skulle inta rollen som ombud för de upphandlande myndigheterna. Regeringen anförde följande:
En följd av att
Valfrihetssystem enligt eLOV
Sedan eLOV trädde i kraft har
•Valfrihetssystemet för Svensk
•eID Övergångstjänst 2016 och
•2017
De första två är stängda för nytillträde, men leveransavtalen i eID 2016 Övergångstjänst löper ut den 31 december 2018. Det tredje – 2017 E- legitimering – är det som utfärdare och myndigheter kan ansluta sig till i dag.32 I det följande beskrivs de olika valfrihetssystemen närmare.
31Prop. 2012/13 :123, s. 36.
32Uppgifterna har lämnats av
225
Myndigheters sätt att anskaffa funktioner för elektronisk identitetskontroll |
SOU 2017:114 |
Valfrihetssystem för Svensk
Valfrihetsystem eID 2016 Övergångstjänst är ett gällande valfri- hetssystem där leveransavtalen löper ut den 31 december 2018. Detta valfrihetssystem är stängt för nytillträde. Den tekniska metoden för identitetsintygen väljs av leverantörerna och det finns inga centrala tjänster. Transaktionspriset för ett identitetsintyg är 17 öre. Totalt 37 myndigheter har anslutit sig och bland dem finns Försäkrings- kassan och Pensionsmyndigheten, vilket motsvarar 55 procent av den offentliga transaktionsvolymen. Enligt uppgifter från
Valfrihetssystem 2017
33 Enligt uppgift från
226
SOU 2017:114 |
Myndigheters sätt att anskaffa funktioner för elektronisk identitetskontroll |
identifiering på tillitsnivå 3. Den tekniska metoden för identitets- intygen följer SAML 2.0 enligt
13.4.3Valfrihetssystem är ändamålsenligt
Utredningen bedömer:
att valfrihetssystem för elektronisk identitetskontroll är både funktionellt och effektivt,
att köp av funktion för elektronisk identitetskontroll ska inriktas på eLOV.
Såväl egen upphandling som avrop på ramavtal ställer höga krav på myndigheterna för att konkretisera och specificera kravställningen. Om en statlig myndighet, kommun eller ett landsting väljer egen upphandling enligt LOU kan ett kontrakt endast tilldelas en leve- rantör. Därmed skapar vanlig upphandling inte förutsättningar för en marknad där individer ska kunna välja vilken utfärdare av elek- troniska identitetshandlingar som de bedömer vara bäst. I stället är det den offentliga myndigheten som genom sin kravställning väljer åt individen. Sett utifrån individens perspektiv, och med beaktande av att statliga myndigheter, kommuner och landsting i regel upp- handlar sina funktioner separat från varandra, kan det medföra att individer måste ha flera elektroniska identitetshandlingar, inte efter eget val utan på grund av att upphandlingsförfaranden har resulterat i att olika utfärdare tilldelats kontrakt hos olika offentliga myndigheter.
Valfrihetssystem har tagits fram som ett sätt att säkra att det är individen som ska ha valmöjligheterna. I delbetänkandet föreslog ut- redningen en lag om valfrihet för elektroniska brevlådor,35 just för att
34Enligt uppgift från
35Lagen benämns i detta betänkande lagen om valfrihet om digitala brevlådor.
227
Myndigheters sätt att anskaffa funktioner för elektronisk identitetskontroll |
SOU 2017:114 |
säkerställa att individen ska ha möjlighet att, bland flera leverantörer av elektroniska brevlådor, själva välja den leverantör som individen uppfattar tillhandahåller den bästa kvaliteten.36 Utredningen har så- ledes tidigare bedömt, och bedömer alltjämt, att valfrihetssystem är ett ändamålsenligt sätt för statliga myndigheter, kommuner och landsting att anskaffa digitala funktioner.
Genom valfrihetssystem skapas möjlighet för leverantörer att an- sluta sig löpande. Det gör att nya innovativa lösningar kan anslutas under valfrihetssystemens livstid. Valfrihetssystem, som administreras av en myndighet, innehåller också en för de ansluta myndigheterna gemensam kravbild gentemot leverantörerna. Detta leder till att leve- rantörerna inte behöver specialanpassa sina lösningar utifrån en speci- fik offentlig myndighets behov. De ges därmed möjlighet till mer standardiserade och gemensamma funktioner för hela förvaltningen.
Utredningen bedömer att det genom valfrihetssystem skapas för- utsebarhet för både offentliga myndigheter och leverantörer, liksom att det ger individen möjlighet att välja bland flera leverantörer.
eLOV är en redan befintlig författning och
Valfrihetssystemet eID Övergångstjänst 2016 är det valfrihets- system som varit mest framgångsrikt genom att Swedbank, Handels- banken och Nordea – således lösningen BankID – samt Telia funnits med liksom flera offentliga myndigheter. Där fanns dock inga tek- niska specifikationer med. Svårigheter tycks alltså finnas när tekniska specifikationer inkluderas i villkoren för valfrihetssystem eftersom det då ställer krav på leverantörerna att de ska anpassa sig.
Utredningen bedömer att det finns utvecklingsmöjligheter när det gäller valfrihetssystem för elektronisk identitetskontroll.
36 digitalforvaltning.nu, SOU 2017:23, s. 233.
228
SOU 2017:114 |
Myndigheters sätt att anskaffa funktioner för elektronisk identitetskontroll |
13.5Sätt att anskaffa funktion för elektronisk identitetskontroll är en sak, hur trafiken till följd av funktionen sedan flödar är en annan
Förlitande aktörer ska kunna ställa frågan om en individ och få ett identitetsintyg tillbaka. Som beskrivits ingår dessa delar i en funktion för elektronisk identitetskontroll, som utredningen beskrivit att för- litande aktörer kan anskaffa på olika sätt. De olika sätten svarar samtliga på frågan hur den statliga myndigheten, kommunen eller landstinget anskaffar funktionen. För att leverantörer ska veta vad de har att förhålla sig till sätter den upphandlande myndigheten upp villkor för funktionen. Resultatet blir ett kontrakt mellan den för- litande aktören och en leverantör.
Med trafik menar utredningen mellan vilka aktörer som frågor respektive identitetsintyg skickas. Det mest renodlade sättet att göra detta på är att utfärdaren skickar identitetsintyget direkt till den för- litande aktören. Emellertid är det inte alltid så det går till. I bland är det en underleverantör till utfärdaren som skickar identitetsintyget, efter att ha anpassat identitetsintyget till ett intyg som är anpassat för den förlitande aktörens
13.6Ändringar i eLOV
13.6.1Tjänst för elektronisk identifiering blir funktion för elektronisk identitetskontroll
Utredningen föreslår:
att den tjänst som beskrivs i eLOV ska kallas funktion för elek- tronisk identitetskontroll,
att lagens namn ändras från lag om valfrihetssystem i fråga om tjänster för elektronisk identifiering till lag om valfrihetssystem i fråga om funktioner för valfrihetssystem.
Förslaget genomförs genom lag om ändring av lag om valfri- hetssystem i fråga om funktion för elektronisk identitetskontroll.
37 eSam:s skrivelse Juridisk vägledning för införande av
229
Myndigheters sätt att anskaffa funktioner för elektronisk identitetskontroll |
SOU 2017:114 |
Utredningen anser att den tjänst som i eLOV kallas för elektronisk identifiering i stället bör heta funktion för elektronisk identitets- kontroll.
Utredningen har tidigare motiverat varför begreppet förvalt- ningsgemensam digital funktion ska användas. Som en följd av det resonemanget föreslår utredningen att begreppet tjänst i eLOV ska bytas ut mot funktion.
Som beskrivits innefattar funktionen att en förlitande aktör kan ställa fråga om en användares identitet till en leverantör och att leverantören svarar med ett identitetsintyg. Syftet med funktionen är att den förlitande aktören ska kontrollera identiteten på en använ- dare. Funktionen måste anskaffas i förväg, alltså innan användaren ens är inblandad. Utredningen har använt begreppet identifiering för att beskriva såväl att någon identifierar sig som kontroll av annans identitet. Givet innehållet i den funktion som förlitande aktör måste anskaffa, föreslår utredningen att funktionen ska kallas elektronisk identitetskontroll.
Utredningens bedömning leder till att namnet på eLOV måste ändras, liksom de bestämmelser i lagen som beskriver det som nu kallas tjänst och det som utredningen föreslår ska kallas funktion för elektronisk identifiering.
13.6.2Statliga myndigheter, kommuner och landsting ska ansluta sig till valfrihetssystem
Utredningen föreslår:
att alla statliga myndigheter, kommuner och landsting med e- tjänster som kräver elektronisk identifiering ska ansluta sig till valfrihetssystem som digitaliseringsmyndigheten tillhandahåller.
Utredningen anser att den valmöjlighet som statliga myndigheter, kommuner och landsting har ska ersättas av en skyldighet att ansluta sig till de valfrihetssystem för elektronisk identifiering som digitali- seringsmyndigheten tillhandahåller. På detta sätt bedömer utred- ningen att det skapas en tydlighet för såväl statliga myndigheter som kommuner och landsting hur de ska gå till väga för att anskaffa en funktion för elektronisk identitetskontroll.
230
SOU 2017:114 |
Myndigheters sätt att anskaffa funktioner för elektronisk identitetskontroll |
Utredningen har övervägt alternativet att inte lägga fram detta förslag och låta det befintliga regelverket vara som det är i dag, med samtliga sätt att anskaffa funktioner för elektronisk identifiering valbara. Därmed skulle det fortsatt vara upp till statliga myndigheter, kommuner och landsting att själva besluta om de vill anordna valfri- hetssystem. Vid en sammantagen bedömning anser utredningen emel- lertid att det ur ett förvaltningsövergripande perspektiv är mest effek- tivt om alla statliga myndigheter, kommuner och landsting anvisas ett sätt för anskaffning av funktion för elektronisk identitetskontroll.
Genom ett anvisat och ensat sätt för alla offentliga myndigheter att anskaffa funktioner för elektronisk identitetskontroll skapas förut- sättningar för att individer ges samma valmöjligheter när de ska identifiera sig elektroniskt vare sig detta görs hos en statlig myndighet, kommun eller landsting. Det gör att utredningen bedömer att det är motiverat med ett förslag att statliga myndigheter, kommuner och landsting ska ansluta sig till valfrihetssystem. En sådan skyldighet måste regleras i lag.
13.6.3En myndighet ges ansvar att tillhandahålla valfrihetssystem för allas räkning i stället för ombudsrelationer
Utredningen föreslår:
att digitaliseringsmyndigheten ska tillhandahålla valfrihetssystem för funktioner för elektronisk identifiering,
att digitaliseringsmyndigheten i eLOV benämns den upphand- lande myndigheten.
Utredningen bedömer att det är naturligt att en myndighet utför uppgiften att tillhandahålla valfrihetssystem för de övriga statliga myndigheternas, kommunernas och landstingens räkning. Detta går att åstadkomma med den modell som finns i dag, som bygger på att
231
Myndigheters sätt att anskaffa funktioner för elektronisk identitetskontroll |
SOU 2017:114 |
Ett ombud agerar på uppdrag av annan och ska företräda dennes intressen enligt de instruktioner som ges.38 Instruktioner ges i form av en fullmakt, som kan vara såväl muntlig som skriftlig. När det gäller relationer mellan offentliga objekt brukar fullmakten vara i form av överenskommelser med angivande av hur ansvaret fördelas. Det kan finnas skriftliga fullmakter med mycket vidsträckt behörighet att företräda exempelvis ett bolag. Sådana fullmakter brukar kallas generalfullmakter. Uttrycket generalfullmakt förekommer inte i någon lagbestämmelse men används i praktiken för att beteckna att behörig- heten är mycket omfattande. Något hinder att utrusta ett ombud med en sådan vidsträckt fullmakt finns inte.
Med dagens utformning av eLOV är det varje upphandlande myn- dighet som anordnar valfrihetssystem och överlåter åt
Enligt modellen är det varje statlig myndighet, kommun eller landsting som ska betala den i valfrihetssystemet avtalade ersättningen till leverantören.
Statliga myndigheter, kommuner eller landsting som ansluter sig till valfrihetssystem som
Eftersom en statlig myndighet, en kommun eller ett landsting inte har möjlighet att påverka det närmare innehållet i valfrihetssystemet bedömer utredningen att det finns anledning att ifrågasätta om det finns behov av att etablera en sådan ombudsrelation, eller om det går att hitta andra sätt att reglera ansvar och rollfördelning.
Ett exempel på en situation där staten har beslutat att en viss myndighet ska stödja andra myndigheter är Statens servicecenters
38Jfr om rättegångsombud i NJA II 1943 s. 151, där det bl.a., framgår att en part blir bunden av de processhandlingar som ett ombud företar under förutsättning att dessa ligger inom fullmaktens gränser. Jfr också 2 kap. 10 § lagen (1915:218) om avtal och andra rättshand- lingar på förmögenhetsrättens område.
395 § förordningen (2010:1497) med instruktion för
232
SOU 2017:114 |
Myndigheters sätt att anskaffa funktioner för elektronisk identitetskontroll |
ansvar för att tillhandahålla tjänster som gäller administrativt stöd åt statliga myndigheter.40 Statens servicecenter tillhandahåller bl.a. löne- relaterade tjänster. Regeringen gav i regleringsbrevet41 för 2016 Statens servicecenter i uppdrag att redovisa en uppdaterad plan för vilka myn- digheter som planeras att anslutas till de lönerelaterade tjänsterna 2017 och 2018.42 Regeringen har vidare beslutat att vissa myndigheter ska ansluta sig till de lönerelaterade tjänster som Statens servicecenter an- svarar för.43 Här har regeringen alltså styrt vissa statliga myndigheter till att använda de lönerelaterade tjänster som Statens servicecenter till- handahåller. I promemorian som föregick förordningen konstaterades följande:
I de lönerelaterade bastjänster som tillhandahålls av Statens servicecenter ingår handläggande uppgifter, kundsupport och tillgång till systemstöd, inklusive drift, underhåll och förvaltning. I systemstödet ingår upphand- ling och införande av nya systemstöd samt viss utbildning av personal. Myndigheterna behöver således inte ha egen personal för hantering av dessa uppgifter, och inte heller ha egna licenser eller avtal om system- stöden. Myndigheterna behöver dock utföra vissa moment, såsom leve- rans av löneunderlag samt uppföljning av tjänsteleveranser.
Enligt bestämmelserna i myndighetsförordningen ansvarar varje myn- dighet inför regeringen för verksamheten och för att den bedrivs effek- tivt och enligt gällande rätt. Dessa bestämmelser innebär att Statens ser- vicecenter är ansvarigt för att de tjänster som tillhandahålls myndig- heterna är effektiva och att de myndigheter som ansluter sig till tjän- sterna är ansvariga för att t.ex. korrekta uppgifter ges till servicecentret och för att följa upp tjänsteleveranser. Den närmare ansvarsfördelningen mellan Statens servicecenter och anslutande myndigheter bestäms i de enskilda överenskommelserna, där även formerna för samverkan rörande bl.a. intern styrning och kontroll regleras. Det är Statens servicecenters och de anslutande myndigheternas gemensamma ansvar att se till att överenskommelserna blir ändamålsenligt utformade. En central uppfölj- ning och utvärdering av anslutningarna bör dock ske i ett senare skede.44
401§ förordningen (2012:208) med instruktion för Statens servicecenter.
41Regleringsbrev för budgetåret 2016 för Statens servicecenter, Fi 2015/05652/RS.
42Regeringen har uttalat att styrningen av anslutningen av myndigheter till Statens service- center behöver stärkas. Regeringen har därför aviserat att anslutningen till Statens service- centers lönerelaterade bastjänster ska förordningsregleras. Syftet är att påskynda arbetet med att effektivisera statens administrativa stödverksamhet och skapa ett ökat fokus på myn- digheternas kärnverksamhet, prop. 2015/16:1 utg. omr. 2, s. 53.
431 § förordningen (2015:665) om statliga myndigheters användning av Statens service- centers tjänster.
44Myndigheters användning av Statens servicecenters tjänster, Finansdepartementet Avdel- ningen för offentlig förvaltning, april 2015, s. 10 f.
233
Myndigheters sätt att anskaffa funktioner för elektronisk identitetskontroll |
SOU 2017:114 |
Den konstruktion som regeringen valt för Statens servicecenter innefattar såvitt utredningen kan bedöma inte att Statens service- center anses vara ombud i relation till de myndigheter som regeringen beslutat ska ansluta sig till de lönerelaterade tjänsterna. Där handlar det i stället om att Statens servicecenter tillhandahåller de lönerela- terade tjänsterna åt myndigheterna.
Utredningen har analyserat
Utredningen föreslår att digitaliseringsmyndigheten ska vara av- talspart i relation till leverantörerna. Utredningen menar att detta för- slag inte medför någon ändring i sak av vad
Förslaget ska därtill kopplas samman med utredningens förslag om lag om infrastruktur för elektronisk identifiering och kvalitets- märket Svensk elektronisk identitetshandling. Utredningen föreslår i kapitel 14 att digitaliseringsmyndigheten bl.a. ska tillhandahålla ett register med utfärdare och förlitande aktörer. Registret skapar förut- sättningar för att trafiken – alltså frågan om en användares identitets- uppgifter och svaret i form av identitetsintyget – flödar på ett kor- rekt sätt. Det blir digitaliseringsmyndigheten som ska bestämma vill-
45 Enligt direktiv 2017:117 ska
234
SOU 2017:114 |
Myndigheters sätt att anskaffa funktioner för elektronisk identitetskontroll |
koren för valfrihetssystemen. Utredningen bedömer att villkor bör kunna skapas som inriktas på hur trafiken mellan leverantör och förlitande aktör ska flöda, samt de närmare villkoren för ansvars- utkrävande till följd av fel i trafiken mellan förlitande aktör och leverantör.
I lagen kommer digitaliseringsmyndigheten att benämnas den upphandlande myndigheten, se emellertid utredningens förslag om översyn av eLOV.
13.6.4Undantag från skyldigheten att ansluta sig
Utredningen föreslår:
att regeringen får besluta om undantag från skyldigheten för statliga myndigheter, kommuner och landsting att ansluta sig till valfrihetssystem om det finns särskilda skäl.
Utredningen bedömer att det måste finnas möjlighet för statliga myndigheter, kommuner och landsting att undantas från skyldig- heten att ansluta sig till valfrihetssystem som digitaliseringsmyndig- heten tillhandahåller. Sådant undantag kan beviljas om det finns särskilda skäl. Utredningen bedömer att sådana särskilda skäl kan vara att den statliga myndigheten, kommunen eller landstinget är bunden av befintliga avtalsvillkor som gör att den inte kan ansluta sig till valfrihetssystem eller att den måste genomföra omfattande tek- niska anpassningar av sina egna system innan den kan följa de villkor som gäller inom valfrihetssystem.
13.7Ersättningsmodell
Utredningen föreslår:
att dagens ersättningsmodell för funktion för elektronisk identi- tetskontroll ändras på så sätt att utfärdare av elektroniska identi- tetshandlingar ska fakturera Kammarkollegiet för det antal iden- titetsintyg som statliga myndigheter, kommuner och landsting har begärt inom ramen för valfrihetssystem.
235
Myndigheters sätt att anskaffa funktioner för elektronisk identitetskontroll |
SOU 2017:114 |
att Kammarkollegiet tilldelas anslagsmedel för den ersättning som ska betalas till leverantörer för statliga myndigheters, kommuners och landstings användning av funktion för elektronisk identitets- kontroll.
I dag fakturerar leverantören varje månad respektive statlig myndig- het, kommun eller landsting för det antal identitetsintyg som har förmedlats inom ramen för valfrihetssystem. Ersättningsmodellen bygger på en s.k. tickkostnad, dvs. att varje identitetsintyg ersätts med en viss, på förhand, angiven summa. Det har framkommit att detta sätt att fakturera är otympligt och ineffektivt för leveran- törerna som dels måste veta mängden trafik som respektive statliga myndighet, kommun eller landsting har begärt, dels måste ha en faktureringsorganisation för detta. Modellen är även administrativt otymplig för de offentliga myndigheterna. Utredningen bedömer att det finns anledning att förenkla ersättningsmodellen.
Utredningen föreslår inte någon ändring i sättet som ersättningen ska beräknas. Däremot föreslår utredningen ändringar som tar sikte på hur leverantörer ska fakturera för de statliga myndigheternas, kom- munernas och landstingens användning.
Utredningen menar att den ersättning som ska betalas för an- vändning av den förvaltningsgemensamma funktionen för elektro- nisk identitetskontroll ska vara en förvaltningsgemensam utgift.
Utredningen föreslår att dagens ersättningsmodell för funktion för elektronisk identitetskontroll ändras på så sätt att leverantörer ska fakturera Kammarkollegiet för det totala antal identitetsintyg som statliga myndigheter, kommuner och landsting har begärt inom ramen för valfrihetssystem. Det innebär att de offentliga myndig- heterna inte själva faktureras av leverantören, utan att leverantören ersätts av Kammarkollegiet. För leverantörerna medför det att de inte behöver analysera hur stor del av den totala användningen som en viss statlig myndighet, kommun eller landsting har stått för under en viss tid.
Kammarkollegiet har till uppgift att ansvara för bl.a. betalning av statens utgifter, om något annat inte följer av särskilda föreskrifter.46 Utredningen bedömer att det är lämpligt att Kammarkollegiet har
46 5 § förordningen (2007:824) om instruktion för Kammarkollegiet. Ny lydelse av bestäm- melsen träder i kraft den 1 januari 2018.
236
SOU 2017:114 |
Myndigheters sätt att anskaffa funktioner för elektronisk identitetskontroll |
denna uppgift, trots att Kammarkollegiet inte är avtalspart. Utred- ningen bedömer att denna uppgift bör rymmas inom Kammarkolle- giets befintliga instruktionsenliga uppdrag. Kammarkollegiets upp- gifter i denna del bör anslagsfinansieras.
13.8Krav på kvalitetsmärket Svensk elektronisk identitetshandling
Utredningen föreslår:
att det i upphandlingsdokumentet för valfrihetssystemet ska ingå krav på att elektroniska identitetshandlingar ska ha kvalitetsmärket Svensk elektronisk identitetshandling för att utfärdaren ska få an- sluta sig till valfrihetssystem.
Ett valfrihetssystem bygger på att en aktör uppställer vilka villkor som gäller för en viss vara eller tjänst och att den ekonomiska ersätt- ningen är bestämd på förhand. Alla leverantörer som uppfyller vill- koren ska godtas. I eLOV beskrivs att den upphandlande myndig- heten ska annonsera valfrihetssystem på en nationell webbplats samt att där ska såväl annonsen som upphandlingsdokumenten finnas.47 Begreppet upphandlingsdokument i eLOV har samma betydelse som i LOU och avser varje dokument som en upphandlande myndighet använder för att beskriva eller fastställa innehållet i upphandlingen.48 Med upphandlingsdokument menas bl.a. annonser om upphandling, förhandsannonser, tekniska specifikationer, förslag till kontrakts- villkor och upplysningar om allmänt tillämpliga skyldigheter samt eventuella kompletterande dokument.49
Utredningen kommer i det följande att beskriva vad som menas med kvalitetsmärket Svensk elektronisk identitetshandling. Kort- fattat ska kvalitetsmärket Svensk elektronisk identitetshandling tjäna som en signal för individer om vilka elektroniska identitetshand- lingar som har genomgått ett granskningsförfarande. Elektroniska identitetshandlingar innehåller uppgifter om individer som bör om- gärdas av krav på säkerhet. Kvalitetsmärket syftar till att säkerställa
474 § eLOV.
481 kap. 23 § LOU.
49Prop. 2015/16:195 s. 944.
237
Myndigheters sätt att anskaffa funktioner för elektronisk identitetskontroll |
SOU 2017:114 |
detta. En kvalitetsmärkning medför emellertid inte att en utfärdare får sälja elektronisk identitetskontroll till offentliga myndigheter. Om kvalitetsmärket ska fylla det syfte som utredningen avser måste det finnas en koppling mellan det sätt som utredningen bedömer att statliga myndigheter, kommuner och landsting ska anvisas för an- skaffning av funktion för elektronisk identitetskontroll och kvalitets- märket.
Utredningen har övervägt olika alternativ. Ett alternativ är att kvalitetsmärket endast skulle avse de elektroniska identitetshandlingar som finns i valfrihetssystem. Det alternativet har emellertid utred- ningen valt bort eftersom det kan hända att det finns utfärdare som inte riktar sin verksamhet alls mot den offentliga sektorn, men som ändå vill erbjuda sina kunder en kvalitetsmärkt elektronisk identi- tetshandling.
Utredningen föreslår i stället att digitaliseringsmyndigheten i upp- handlingsdokumenten ska ställa krav på att leverantörer som ansluter sig ska ha kvalitetsmärket Svensk elektronisk identitetshandling för att få delta. Någon ändring i lagtexten bedöms inte vara nödvändig för genomförandet av detta förslag.
13.9Rättslig översyn av eLOV
Utredningen föreslår:
att regeringen låter göra en rättslig översyn av eLOV.
Välfärdsutredningen uttalade i sitt betänkande Ordning och reda i välfärden att anordnande av valfrihetssystem är en form av auktori- sationssystem som kan utformas mer fristående från de detaljerade krav som upphandlingsdirektiven uppställer. Därför föreslog Väl- färdsutredningen en ny lag om valfrihetssystem som skulle ersätta LOV och att terminologin och strukturen tydligare skulle anpassas till att det är fråga om nationell lagstiftning och inte en upphand- lingslagstiftning.50 Tilldelning av kontrakt inom ramen för ett val- frihetssystem omfattas alltså inte av upphandlingsdirektivens defini-
50 SOU 2016:78, Välfärdsutredningen, s. 583.
238
SOU 2017:114 |
Myndigheters sätt att anskaffa funktioner för elektronisk identitetskontroll |
tion av offentlig upphandling, men omfattas av de allmänna upphand- lingsrättsliga principerna.
Utredningen bedömer att förståelsen av de olika sätten att anskaffa funktioner för elektronisk identitetskontroll skulle under- lättas om lagstiftaren valde att betona att det i eLOV är fråga om nationell lagstiftning. På samma sätt som föreslagits för LOV behöver terminologin i eLOV ses över, bl.a. kallas den myndighet som tillhandahåller valfrihetssystem för den upphandlande myndig- heten. En sådan begreppsanvändning kan leda tanken fel.
Utredningen vill dessutom uppmärksamma frågan om förslaget att digitaliseringsmyndigheten ska anordna valfrihetssystem i fråga om funktioner för elektronisk identifiering och att offentliga myn- digheter ska ansluta sig till detta medför att upphandling enligt LOU är utesluten för elektronisk identitetskontroll.
Oavsett om en offentlig myndighet upphandlar enligt LOU eller anordnar ett valfrihetssystem så syftar själva anskaffningen till att lösa frågan hur aktören ska gå till väga för att köpa den beskrivna funk- tionen. Av
De nu förda resonemangen tyder ändå på att det är otydligt hur eLOV ska tolkas i förhållande till upphandlingslagstiftningen. Sådan otydlighet inverkar på samtliga inblandade aktörer och bidrar till att området blir svårt att omfamna. Utredningen föreslår därför att regeringen låter göra en rättslig översyn av eLOV. I det samman- hanget är det också lämpligt att bedöma om alla valfrihetssystem kan samlas i en och samma lag.
51 Falk Pharma,
239
14En infrastruktur
för elektronisk identifiering
14.1Dagens reglering
Det finns i dag två författningar som reglerar elektronisk identifiering; lagen (2013:311) om valfrihetssystem i fråga om tjänster för elektro- nisk identifiering (eLOV) och instruktionen för
Utredningen om bildande av en
1Det finns också andra myndigheter som har uppdrag inom området. Post- och telestyrelsen har tillsynsansvar för
2SOU 2010:104,
3Förordningen (2010:1497) med instruktion för
44 § eLOV.
51 b § förordningen (2010:1497) med instruktion för
241
En infrastruktur för elektronisk identifiering |
SOU 2017:114 |
Visionen är att:
–Svensk
–Svensk
Målen är:
–att bidra till utveckling och användning av flera
–flera utfärdare av svensk
–att villkoren är transparenta, förutsägbara och kostnadseffektiva,
–att övergången från dagens lösning till svensk
På senare år har
–Alla ska kunna få tillgång till säkra
–Det ska vara enkelt och säkert för digitala tjänster att inkludera
–Det ska vara kostnadseffektivt för offentlig sektor med
6Årsberättelse för 2015
7
242
SOU 2017:114 |
En infrastruktur för elektronisk identifiering |
I dessa föreskrifter menas med infrastrukturen för Svensk
Det saknas författningar som närmare anger vad som ska tas fram inom ramen för exempelvis
Utredningen bedömer att när det gäller elektronisk identifiering finns det ett stort behov av regelverk. Detta gäller inte bara tekniska regelverk, som beskriver hur system ska överföra budskap till varan- dra och som är en absolut förutsättning för digital kommunikation, utan också en författningsreglering som beskriver ansvar och upp- gifter samt organisatoriska frågor. Utredningen bedömer vidare att det är viktigt med en sammanhållen syn på vad det offentliga åtagandet omfattar.
14.2Många initiativ, men vart är vi på väg?
Utredningen bedömer:
att det finns många pågående initiativ som utan tydlig styrning riskerar att bli kontraproduktiva.
8
243
En infrastruktur för elektronisk identifiering |
SOU 2017:114 |
Det finns många pågående initiativ när det gäller elektroniska iden- titetshandlingar i samhället. De privata aktörerna, med BankID i täten, har tagit ett stort ansvar för att säkra att den svenska befolk- ningen har tillgång till elektroniska identitetshandlingar som kan användas i hela den offentliga förvaltningen. Utredningen kan kon- statera att vissa initiativ är samordnade medan andra ger intryck av att vara ovetande om varandra. Den bild som presenteras nedan har föranlett utredningens slutsats att det finns behov av att peka ut vilka delar som ska vara föremål för det offentliga åtagandet.
14.2.1Kvalitetsmärket Svensk
Svensk
Den utfärdare som vill få kvalitetsmärket på sin
I
I dag finns det två godkända kvalitetsgranskade elektroniska iden- titetshandlingar, Huddinge kommun på tillitsnivå 3 och AB Svenska
244
SOU 2017:114 |
En infrastruktur för elektronisk identifiering |
Pass på tillitsnivå 4. Den elektroniska identitetshandling som Huddinge kommun har tagit fram är avsedd att tillmötesgå behov av att utfärda elektroniska identitetshandlingar till tjänstemännen i kommunen. Den elektroniska identitetshandling som AB Svenska Pass tillhandahåller har Skatteverket upphandlat och den finns på de identitetskort för folkbokförda i Sverige som Skatteverket utfärdar. Den elektroniska identitetshandlingen fungerar dock inte ännu i alla myndigheters
14.2.2Mer om elektroniska identitetshandlingar på den svenska marknaden
BankID
BankID är den mest förekommande lösningen för elektronisk iden- tifiering i Sverige.10 BankID finns som tre olika lösningar; mobilt BankID, BankID på fil och BankID på kort.
Mobilt BankID innebär att användaren har sin elektroniska iden- titetshandling i en mobiltelefon eller surfplatta. För att kunna hämta och använda mobilt BankID krävs att användaren har installerat
Det finns i dag elva banker som utfärdar BankID.12 Vilka lösningar som de olika bankerna erbjuder sina kunder skiljer sig åt mellan bankerna.
Danske Bank, Nordea och Swedbank utfärdar alla tre BankID- lösningar, alltså BankID på fil, på kort och mobilt BankID.
Handelsbanken och SEB utfärdar BankID på kort och Mobilt BankID.
9www.skatteverket.se,
1090 procent av befolkningen i åldrarna
11Ett smartkort är ett kort som är försett med ett chip på vilket elektronisk information kan lagras.
12Danske Bank, Nordea, Swedbank, Handelsbanken, SEB, Ica Banken, Ålandsbanken, Ikano Bank, Länsförsäkringar, Skandia och Sparbanken, www.bankid.com,
245
En infrastruktur för elektronisk identifiering |
SOU 2017:114 |
Ica Banken och Ålandsbanken utfärdar endast mobilt BankID medan Ikano Bank endast utfärdar BankID på fil.
Länsförsäkringar, Skandia och Sparbanken syd utfärdar BankID på fil och mobilt BankID.13
Bankerna stöds av företaget Finansiell
AB Svenska Pass
Skatteverkets identitetskort för folkbokförda i Sverige innehåller en elektronisk identitetshandling som från och med september 2017 utfärdas av AB Svenska Pass.
Telia
Telia utfärdar också elektronisk identitetshandling som kan användas av individer för elektronisk identifiering mot bl.a.
Freja eID
Företaget Verisec utfärdar en elektronisk identitetshandling som heter Freja eID.16 Enligt uppgift från
13www.bankid.com,
14www.bankid.com,
15www.telia.se,
16www.verisec.com/sv/autentisering/frejaeid/,
246
SOU 2017:114 |
En infrastruktur för elektronisk identifiering |
Fler pågående aktiviteter
Utöver det som beskrivits i det föregående kan utredningen kon- statera att följande aktiviteter identifierats under utredningens arbete.
•Försäkringskassan kommer under 2018 att lansera mobila
•Försäkringskassan och Inera AB arbetar med att ta fram en ny gemensam funktion för elektroniska identitetshandlingar i tjäns- ten;
•Projektet
14.3Lagen om infrastruktur för elektronisk identifiering och kvalitetsmärket Svensk elektronisk identitetshandling
Utredningen bedömer:
att det arbete som
att det finns andra framtida funktioner som också bör författ- ningsregleras.
Utredningen föreslår:
att funktionerna ska regleras i lag och att den myndighet som regeringen bestämmer ska ansvara för att dessa funktioner för- valtas och utvecklas.
Förslaget genomförs genom lagen om infrastruktur för elek- tronisk identifiering och kvalitetsmärket Svensk elektronisk iden- titetshandling.
Tekniken utvecklas hela tiden, liksom sättet att använda sig av de tekniska hjälpmedel som finns. En utmaning vid författningsreglering är därför att hålla författningstexter så teknikneutrala som möjligt. Utredningen bedömer att det är viktigt att inte låsa författningstexten
247
En infrastruktur för elektronisk identifiering |
SOU 2017:114 |
vid en viss teknik, samtidigt som det är viktigt att författningsreglera sådana funktioner som ska vara ett offentligt åtagande. Utgångs- punkter för utredningens förslag är att de ska vara tillåtande, gräns- sättande och skapa förutsättningar för utveckling, men också ramar för vad som gäller för de olika inblandade aktörerna.
Uppgifter i lag, inte i instruktion
Utredningen har tidigare konstaterat att flera av de uppgifter som E- legitimationsnämnden i dag utför, inte framgår uttryckligen av nämn- dens instruktion. Utredningen bedömer att förekomsten av tillitsram- verk och tekniska specifikationer borgar för transparens i förhållande till aktörerna på marknaden. Det bör därför framgå av lag att dessa funktioner ska finnas, liksom att det är ett statligt ansvar att tillhan- dahålla dem. Utredningen bedömer därför att det arbete som
Vilka funktioner
Utredningen har ovan bedömt att lagen huvudsakligen ska peka ut vilka funktioner som staten bör ta ansvar för att tillhandahålla, samt vem som ska ansvara för dessa. De funktioner som utredningen be- dömer att lagen ska omfatta är tillitsramverket och tekniska specifi- kationer för elektroniska identitetshandlingar, kvalitetsmärket Svensk elektronisk identitetshandling, ett register med utfärdare av elektro- niska identitetshandlingar som har kvalitetsmärket samt en funktion med valbara elektroniska identitetshandlingar.
Ansvar för att utveckla och förvalta funktionerna
Av direktiven till organisationskommittén framgår att regeringen avser att föra över
17 Dir. 2017:117.
248
SOU 2017:114 |
En infrastruktur för elektronisk identifiering |
ensstämmer med det förslag som utredningen tidigare lämnat. Vad utredningen här föreslår innebär ingen förändring av myndighets- uppdraget.
14.3.1Begrepp
Utredningen bedömer:
att begrepp som används för att beskriva elektronisk identifiering och vilka aktörer som är inblandade måste vara enhetliga.
Utredningen föreslår:
att det i lagen förs in en begreppslista.
Det förekommer många olika begrepp i sammanhang med elektro- nisk identifiering. Det är också många olika yrkeskategorier som ska tolka och förstå de begrepp som avses. Med en begreppslista i lag menar utredningen att det skapas en större tydlighet för samtliga in- blandade aktörer. De begrepp som utredningen bedömer ska ingå i lagen, med begreppsförklaringar är:
1.användare: den som har en elektronisk identitetshandling,
2.elektronisk identitetshandling: en värdehandling som en användare kan använda för att identifiera sig elektroniskt,
3.fysisk bärare: en fysisk identitetshandling, en koddosa eller liknande,
4.mobil bärare: exempelvis en smarttelefon eller en surfplatta,
5.förlitande aktör: den som behöver verifiera en användares upp- gifter vid identifiering mot en
6.utfärdare: den som utfärdar en elektronisk identitetshandling till en användare,
7.tillitsramverk: ett graderat ramverk för tillförlitlighet i utfärdade elektroniska identitetshandlingar,
8.tillitsnivå: en nivå inom tillitsramverket,
9.tekniska specifikationer: tekniska krav som ställs på en elektronisk identifiering,
249
En infrastruktur för elektronisk identifiering |
SOU 2017:114 |
10. modell för dialogruta med valbara elektroniska identitetshandlingar: gruppering av elektroniska identitetshandlingar som har kvalitets- märket Svensk elektronisk identitetshandling och som presenterar dessa i en dialogruta för användaren när denne ska identifiera sig elektroniskt.
14.3.2Tillitsramverk
Utredningen bedömer:
att ett tillitsramverk som är gemensamt för offentliga och privata aktörer skapar förutsättningar för säkra och tillförlitliga elektro- niska identitetshandlingar.
Utredningen föreslår:
att det i lag anges att det ska finnas ett tillitsramverk samt
att digitaliseringsmyndigheten ges i uppgift att förvalta och ut- veckla tillitsramverket.
En elektronisk identitetshandling ska vara utformad, skyddas och an- vändas enligt en viss tillitsnivå. Utfärdare av elektroniska identitets- handlingar ska tillämpa sådana regler och rutiner att det utifrån tillämplig tillitsnivå finns fog för att lita på de elektroniska identi- tetshandlingar som tillhandahålls.
250
SOU 2017:114 |
En infrastruktur för elektronisk identifiering |
14.3.3Tekniska specifikationer
Utredningen föreslår:
att det i lag ska anges att det ska finnas tekniska specifikationer för elektronisk identitetskontroll, dvs. identitetsintyg kopplade till användning av elektroniska identitetshandlingar, samt
att digitaliseringsmyndigheten ges i uppdrag att utveckla och förvalta sådana tekniska specifikationer.
Elektronisk identitetskontroll kräver att utfärdare av elektroniska identitetshandlingar och förlitande aktörer samverkar. Ju enhetligare sätt att angripa elektronisk identitetskontroll på, desto högre grad av effektivitet skapas. Utredningen bedömer att det är lämpligt att en myndighet ansvarar för att ta fram tekniska specifikationer som gäller för elektronisk identitetskontroll på marknaden. Detta i syfte att underlätta för samtliga aktörer, alltså för såväl utfärdare som för- litande aktörer.
Liksom för tillitsramverket ska de tekniska specifikationer som tas fram vara följsamma mot väletablerade standarder och utveck- lingen i övrigt samt de hot och risker som kan uppkomma på om- rådet. De tekniska specifikationerna ska också utformas på så sätt att regler om regler om personuppgiftshantering beaktas.
Utredningen bedömer att förekomsten av tekniska specifika- tioner ska regleras i lag. Den närmare utformningen av de tekniska specifikationerna, dvs. förvaltningen och utvecklingen av dem ska lämnas till digitaliseringsmyndigheten.
14.3.4Kvalitetsmärket Svensk elektronisk identitetshandling
Utredningen bedömer:
att individer måste ges bättre möjligheter att kunna avgöra vilka elektroniska identitetshandlingar som är säkra och tillförlitliga, att en kvalitetsmärkning av elektroniska identitetshandlingar kan bidra till att individer lättare kan välja bland flera utfärdare.
251
En infrastruktur för elektronisk identifiering SOU 2017:114
Utredningen föreslår:
att staten ska ansvara för att granska elektroniska identitetshand- lingar mot tillitsramverket och elektronisk identitetskontroll mot de tekniska specifikationerna.
att det i lag anges att det ska finnas ett kvalitetsmärke för elek- troniska identitetshandlingar som heter Svensk elektronisk iden- titetshandling,
att digitaliseringsmyndigheten ges i uppgift att kvalitetsgranska elektroniska, samt
att digitaliseringsmyndigheten ges i uppgift att marknadsföra kvalitetsmärket.
Kvalitetsmärket heter i dag Svensk
Utredningen har tidigare beskrivit att det finns en spretighet på marknaden för elektroniska identitetshandlingar. Vissa elektroniska identitetshandlingar, de som AB Svenska Pass och Huddinge kom- mun, utfärdar är kvalitetsmärkta. Andra, som BankID, är inte kvali- tetsmärkta men har trots det en mycket hög andel användare.
Det är få utfärdare av elektroniska identitetshandlingar som låter sig granskas av
En anledning är att individer ännu inte frågar efter kvalitetsmärkta elektroniska identitetshandlingar. Kvalitetsmärket är sannolikt inte känt bland allmänheten, och vanan att använda sig av etablerade lös- ningar för elektronisk identifiering innefattar inte sådana elektroniska identitetshandlingar som är kvalitetsmärkta. BankID har som ovan beskrivits inte låtit sig granskas av
252
SOU 2017:114 |
En infrastruktur för elektronisk identifiering |
En annan anledning är, enligt utredningen, att en granskning i sig inte leder till att den elektroniska identitetshandlingen kan användas hos statliga myndigheter, kommuner och landsting eller på den privata marknaden. Det finns ingen direkt koppling mellan att få kvalitets- märket och att få sälja sin funktion till en viss målgrupp. En ut- färdare av elektroniska identitetshandlingar kan alltså låta bli att låta sig granskas och kan ändå sälja sina funktioner för elektronisk identi- fiering till offentliga myndigheter, såväl inom ramen för valfrihets- system enligt eLOV, som inom ramen för upphandlingsförfaranden enligt LOU.
Vad som nu beskrivits föranleder utredningen att dra slutsatsen att kvalitetsmärket i dag saknar status, både hos individer men också hos utfärdare av elektroniska identitetshandlingar. Slutsatsen kan föranleda olika åtgärder. Det första är givetvis ett ifrågasättande om det alls ska finnas något kvalitetsmärke för elektroniska identitets- handlingar i Sverige. Såsom regelverket ser ut i dag menar utred- ningen att det finns goda skäl att överväga det alternativet. Utred- ningen bedömer emellertid att det finns anledning att behålla och stärka kvalitetsmärket. Skälen till det är följande.
En elektronisk identitetshandling är en värdehandling. Den an- vänds för att visa en individs identitet elektroniskt, utan att individen behöver visa upp sin person. Hela det digitala samhället bygger på att inblandade aktörer kan lita på att individer är de som de utger sig för att vara elektroniskt. En elektronisk identitetshandling kan ses som en elektronisk urkund om den har en utställarangivelse som kan kontrolleras på ett tillförlitligt sätt.18
Mot den bakgrunden är det viktigt att de elektroniska identitets- handlingar som utfärdare tillhandahåller är säkra och tillförlitliga. Det är också viktigt att individer vet vilka elektroniska identitetshand- lingar, och vilka utfärdare, som de kan lita på. Detsamma gäller för förlitande aktörer. Kvalitetsmärket kan tjäna sådana syften.
18 Jfr 14 kap. 1 § brottsbalken (1962:700): En elektronisk handling som upprättats till bevis eller annars är av betydelse som bevis och som har en utställarangivelse som kan kontrolleras på ett tillförlitligt sätt. Härmed avses enligt propositionen att angivelsen ska ha en inte obetydlig grad av säkerhet, vilket i nuvarande skede i
253
En infrastruktur för elektronisk identifiering |
SOU 2017:114 |
Utredningen anser därför att kvalitetsmärket tjänar ett angeläget syfte i det digitala samhället, och i synnerhet för den digitala offent- liga förvaltningen. Därför föreslår utredningen att kvalitetsmärket och uppgiften att utfärda detta författningsregleras i den nu föreslagna lagen.
Ansökan
Utredningen föreslår att digitaliseringsmyndigheten ska granska elektroniska identitetshandlingar. Granskningen ska göras mot så- väl tillitsramverket som de tekniska specifikationerna. En elektro- nisk identitetshandling som motsvarar de krav som ställs får som tillägg till sitt eget namn använda kvalitetsmärket Svensk elektro- nisk identitetshandling.
Det är i dag
Utredningen menar att prövningen ska göras mot tillitsramverket vilket innebär att elektroniska identitetshandlingar på samtliga tillits- nivåer som tillitsramverket omfattar kan få kvalitetsmärket. Utred- ningen föreslår att prövningen också ska göras mot de tekniska specifikationer som tas fram. Det blir en skillnad i förhållande till i dag när prövningen endast görs mot tillitstramverket. Utredningen menar emellertid att det på detta sätt blir tydligare för såväl leverantörer som förlitande aktörer vilken teknik som ska användas för de identitets- intyg som skickas på begäran av den förlitande aktören. Utredningen anser att det borde leda till en bättre förutsebarhet på marknaden för samtliga inblandade aktörer.
254
SOU 2017:114 |
En infrastruktur för elektronisk identifiering |
14.3.5Register med utfärdare av elektroniska identitetshandlingar och förlitande aktörer
Utredningen föreslår:
att det i lagen anges att det ska finnas ett register med uppgift om utfärdare av elektroniska identitetshandlingar med kvalitetsmärket Svensk elektronisk identitetshandling och förlitande aktörer som är anslutna till valfrihetssystem enligt lagen om valfrihetssystem i fråga om funktion för elektronisk identitetskontroll,
att digitaliseringsmyndigheten ges i uppgift att förvalta och utveckla ett sådant register, samt
att den närmare regleringen av vilka uppgifter som ska finnas i registret måste tas fram i samband med utvecklingen av registret.
Utredningen bedömer att det behövs ett register med de utfärdare av elektroniska identitetshandlingar som har kvalitetsmärket Svensk elektronisk identitetshandling och de förlitande aktörer som är an- slutna till valfrihetssystem enligt eLOV. Ett sådant register kan bestå bl.a. av uppgifter om de anslutna aktörernas elektroniska adresser. Utredningen föreslår att digitaliseringsmyndigheten ska ges i uppgift att ta fram och förvalta ett sådant register. Registrets utformning, vilka uppgifter som behöver behandlas, vem som ska ges åtkomst till upp- gifterna och hur åtkomsten ska regleras är frågor som bör ingå i upp- giften. Utgångspunkten bör vara att personuppgifter inte ska behandlas i registret. Undantag från den huvudregeln kan behöva göras för de som är ombud för aktörerna i registret. En annan utgångspunkt för registret bör vara att det inte ska innehålla information om den kom- munikation som förekommer mellan användare och förlitande aktörer.
Utredningen lämnar inget förslag till reglering av personupp- giftsansvaret när det gäller detta register eftersom det förslag utred- ningen lämnar avser ett kommande register. Utredningen vill emeller- tid framhålla vikten av att ett register av detta slag förhåller sig till dataskyddsförordningen.19 Det måste alltså parallellt med utveck- lingen av registret tas fram ett förslag om hur eventuella person- uppgifter i det ska behandlas.
19 Förordning (EU) 2016/679 om skydd för enskilda personer med avseende på behov av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).
255
En infrastruktur för elektronisk identifiering |
SOU 2017:114 |
14.3.6Modell för dialogrutor med valbara elektroniska identitetshandlingar
Utredningen bedömer:
att en individs användarupplevelse vid elektronisk identifiering ska vara densamma, oavsett vilken offentlig myndighet som indi- viden vill identifiera sig elektroniskt mot.
att det av användarupplevelsen ska framgå att individen identifie- rar sig för åtkomst till en
Utredningen föreslår:
att det i lag anges att det ska finnas en modell för hur dialogrutor för valbara elektroniska identitetshandlingar ska se ut, samt
att digitaliseringsmyndigheten ges i uppgift att utveckla och för- valta modellen.
När individer använder
Källa: www.forsakringskassan,se
256
SOU 2017:114 |
En infrastruktur för elektronisk identifiering |
Källa: www.skatteverket.se
Anledningen till att det ser olika ut är att varje myndighet själv be- stämmer hur denna dialogruta ska se ut. Dessutom kan de olika alter- nativen för identifiering också skilja sig åt mellan myndigheterna eftersom det i dagsläget inte är samordnat vilka funktioner för elektro- nisk identifiering, alltså vilka elektroniska identitetshandlingar, som myndigheterna ska använda sig av. I Norge ser det ut som följer när en individ ska identifiera sig i
257
En infrastruktur för elektronisk identifiering |
SOU 2017:114 |
Källa: www.altinn.no
Individer ska känna igen sig oavsett offentlig myndighet
Utredningen lämnar förslag om att alla offentliga myndigheter ska erkänna den statliga elektroniska identitetshandlingen, liksom att de ska ansluta sig till de valfrihetssystem som digitaliseringsmyndigheten anordnar. Därmed skapas förutsättningar för att offentliga myndig- heter kommer att erbjuda individer samma valmöjligheter för elektro- nisk identifiering. De alternativ för elektronisk identifiering som där- med skapas bör erbjudas individer på ett för offentliga myndigheter ensat sätt. Utredningen bedömer att det är lämpligt att individer som ska använda sig av
258
SOU 2017:114 |
En infrastruktur för elektronisk identifiering |
för valbara elektroniska identitetshandlingar ska såväl den statliga elektroniska identitetshandlingen finnas som alternativet ”foreign eID” dvs. utländsk elektronisk identitetshandling. Det alternativet ska väljas av de användare som har en elektronisk identitetshandling som är anmäld för gränsöverskridande identifiering enligt eIDAS- förordningen.20 Därtill bedömer utredningen att alla de elektroniska identitetshandlingar som finns inom valfrihetssystem ska visas i dialogrutan.
Utredningen föreslår därför att digitaliseringsmyndigheten ska ta fram en modell för hur en dialogruta för valbara elektroniska iden- titetshandlingar21 ska se ut. Denna modell ska sedan kunna användas av offentliga myndigheter för att ta fram egna dialogrutor som ger förutsättningar för att individer får samma användarupplevelse oavsett vilken offentlig myndighet det handlar om. Det blir alltså digitaliser- ingsmyndighetens uppgift att ta fram modellen för dialogrutan, medan respektive offentlig myndighet ska ansvara för att tillhandahålla sin en dialogruta. Utredningen bedömer att det kan vara lämpligt att digita- liseringsmyndigheten verkar för att mindre offentliga myndigheter samverkar om framtagandet av dialogrutan.
Information om att en individ identifierar sig elektroniskt
Utredningen bedömer också att de dialogrutor för valbara elektro- niska identitetshandlingar som tillhandahålls utifrån modellen ska inne- hålla information om att individen identifierar sig för att få komma åt en
20Dessa användare behöver en egen gemensam dialogruta där de får välja land och därefter dirigeras via den svenska noden för bekräftelse av identiteten.
21Tidigare kallad anvisningstjänst.
22
259
En infrastruktur för elektronisk identifiering |
SOU 2017:114 |
om att användaren identifierar sig genom att använda någon av de alternativa elektroniska identitetshandlingar som visas.
14.3.7Skyldighet att använda dialogruta för valbara elektroniska identitetshandlingar
Utredningen föreslår:
att offentliga myndigheter som kräver att användare av
att regeringen får besluta om undantag för en offentlig myndighet att använda den modell för hur dialogrutor för valbara elektroniska identitetshandlingar ska se ut, om det finns särskilda skäl.
Modellen ska användas …
Utredningen bedömer att det är viktigt ur ett användarperspektiv att individer får samma upplevelse av dialogen att välja elektronisk identi- tetshandling oavsett vilken offentlig myndighet de vänder sig till. Utredningen har övervägt på vilket sätt offentliga myndigheter ska styras till att ensa användarupplevelsen av valbara elektroniska iden- titetshandlingar. Härvid har utredningen övervägt att reglera detta genom föreskriftsrätt eller lagstiftning. För att det ska få genomslag på alla offentliga myndigheter har utredningen kommit fram till att lag- formen är den mest ändamålsenliga. Den betonar att det är fråga om att säkerställa att alla individer som ska identifiera sig mot offentliga myndigheter möts av samma dialogruta, i vilken de elektroniska iden- titetshandlingar som finns inom ett valfrihetssystem presenteras, liksom den statliga elektroniska identitetshandlingen.
Utredningen har vidare övervägt hur en bestämmelse för offentliga myndigheter ska utformas. Härvid kan konstateras att en bestämmelse kan skilja sig åt beroende på om det avser en statlig myndighet, en kommun eller ett landsting. Exempelvis skulle det kunna regleras att statliga myndigheter ska använda modellen, medan kommuner och landsting får använda den. En sådan utformning påminner då om det sätt som utredningen föreslår att statliga myndigheter, kommuner
260
SOU 2017:114 |
En infrastruktur för elektronisk identifiering |
och landsting ska respektive får ansluta sig till infrastrukturen för Mina meddelanden. Bestämmelsen skulle också kunna utformas uti- från hur stor volym en statlig myndighet, en kommun eller ett lands- ting står för när det gäller elektronisk identifiering. Det är då tänkbart att utforma regelverket på så sätt att stora offentliga myndigheter ska använda modellen, medan små får använda den.
En dialogruta för valbara elektroniska identitetshandlingar är någonting som alla offentliga myndigheter med
… om det inte finns särskilda skäl
Många offentliga myndigheter är i dag bundna av avtal för tjänster för elektronisk identifiering. Dessa avtal har slutits på olika sätt, vid olika tidpunkter och med olika lång bindningstid. Det gör att offentliga myndigheter kan ha svårt att följa bestämmelsen som utredningen föreslår under den tid som de är bundna av andra avtal. Utredningen bedömer att avtal som hindrar att en offentlig myn- dighet använder sig av modellen kan vara särskilda skäl.
261
En infrastruktur för elektronisk identifiering |
SOU 2017:114 |
14.3.8Ikraftträdande
Utredningen föreslår:
att den föreslagna lagen ska träda i kraft den 1 januari 2020.
Lagen reglerar många av de uppgifter som
262
15Arbetstagare, student, ställföreträdare – och elektronisk identifiering
15.1Identitetshandling i tjänsten eller behörighetskontroller?
Individer behöver identifiera sig i många sammanhang. I vissa fall är det tillräckligt att identifiera sig, dvs. visa vem man är. I andra fall måste man visa vem man är i en viss kontext, exempelvis att man är anställd hos en viss arbetsgivare. I de fallen uppkommer ofta fråga om en åtgärd som en individ vidtar är i tjänsten eller som privat- person. Att en individ förekommer i en viss kontext är heller inte unikt för relationen arbetstagare och arbetsgivare. Personer som stu- derar har en relation till sin skola, liksom personer som agerar som ombud1 eller ställföreträdare2 har en relation till sin uppdragsgivare.
I samtliga nämnda fall är det intressant att bedöma vem som ska ha information om detta; individen, den som ska kontrollera iden- titeten eller den som utfärdar en identitetshandling.
Kontext innebär en relation mellan en individ och något annat; en organisation, ett företag eller en annan person. I stället för kontext kan man beskriva det som att individen intar olika roller. I utredningen ingår främst att lämna förslag som avser elektroniska identitetshand- lingar i tjänsten.
1Med ombud menar utredningen exempelvis den som uppträder som rättegångsombud eller agerar på fullmakt för en individ.
2Med ställföreträdare menar utredningen här exempelvis den som för talan för en person som saknar processhabilitet (t.ex. en förvaltare) eller den som tecknar en juridisk persons firma.
263
Arbetstagare, student, ställföreträdare – och elektronisk identitiering |
SOU 2017:114 |
15.2Processen för identifiering när en individ har en roll eller ställning
Utredningen har i tidigare kapitel beskrivit hur den elektroniska iden- tifieringsprocessen ser ut gentemot en
Inom
3eSam:s rapport En effektiv informationsförsörjning, s. 63.
4Ett exempel på hur lagstiftningen kan sägas ha följt principen om organisationstillit är 45 kap.
4§ rättegångsbalken. Av bestämmelsen följer att en stämningsansökan som huvudregel ska vara egenhändigt undertecknad. En stämningsansökan som ges in elektroniskt ska emellertid vara undertecknad med en sådan elektronisk underskrift som avses i artikel 3 i
264
SOU 2017:114 |
Arbetstagare, student, ställföreträdare – och elektronisk identitiering |
tagande myndigheten behöver därför inte göra några särskilda kon- troller av avsändande tjänsteman.
15.3Vad är behörighets- och attributstjänster?
15.3.1
I betänkandet
Genom attributsintyg ska myndigheters och företags
Utredningen om bildande av en
5SOU 2010:104,
6SOU 2010:104,
265
Arbetstagare, student, ställföreträdare – och elektronisk identitiering |
SOU 2017:114 |
15.3.2eSam
eSam har i sin rapport En effektiv informationsförsörjning beskrivit följande om identitetshantering och behörighetshantering.
Områden som identitetshantering och behörighetshantering blir därmed centrala och behöver en gemensam utformning för hur det ska fungera såväl mellan offentliga aktörer som mellan offentliga aktörer, privatper- soner och företag. Privatpersoner kan agera i olika roller mot det offent- liga; t.ex. som ordförande i en samfällighet, firmatecknare i ett bolag eller som privatperson. Privatpersoner kan även agera som ombud i olika former för andra privatpersoner, vilket även behöver kunna hanteras digitalt. Informationsförsörjningen behöver generellt ha stöd för att urskilja i vilken roll en enskild person har kontakt med det offentliga och vilka förutsättningar som föreligger i den specifika rollen.7
eSam anför vidare i samma rapport att det behöver tydliggöras om en gemensam attributstjänst för hantering av roller i relation till be- hörigheter kan vara en effektiv och ändamålsenlig lösning.
15.4Identifiering i en
eller annan identifieringslösning?
Utredningen om bildande av en
Utredningen bedömer att den beskrivning av attributstjänster som Utredningen om bildande av en
7eSam, En effektiv informationsförsörjning s. 32.
8SOU 2010:104,
266
SOU 2017:114 |
Arbetstagare, student, ställföreträdare – och elektronisk identitiering |
Ovan har utredningen beskrivit att det inte är alla elektroniska identifieringar som ska göras mot
15.5Viktigt att utgå från praktiska fall, men dessa är inte generiska
Utredningen instämmer i den bedömning som Utredningen om bil- dande av en
97 § förvaltningslagen (1986:223). Motsvarande bestämmelse finns också i 8 § andra stycket i den nya förvaltningslagen (2017:900) som träder i kraft den 1 juli 2018.
1033 kap. rättegångsbalken (1942:740).
1112 kap. rättegångsbalken (1942:740.
12Det ska dock påpekas att många domstolar också inhämtar sådana uppgifter från centrala register, om inte annat för att kontrollera att uppgifterna stämmer. Motsvarande bestämmelse som i FL saknas dock i RB.
267
Arbetstagare, student, ställföreträdare – och elektronisk identitiering |
SOU 2017:114 |
15.6Något om behörighetshantering
Utredningen kan vidare konstatera att frågan om behörigheter är komplex. Behörigheter kan bedömas utifrån olika perspektiv och behörighet handlar i bland också om befogenhet. En individ – tjänsteman eller ombud – kan vara behörig att vidta vissa åtgärder i tjänsten eller inom ramen för sitt uppdrag. I de fallen bestäms be- hörigheten av arbetsgivaren eller huvudmannen, som också är den som bäst kan förmedla information om behörigheten till andra. En sådan förmedling kan göras genom en behörighetstjänst. Behörighet kan också bestämmas hos mottagaren och handlar då främst om vilken information en utomstående kan få åtkomst till.
15.7Pågående initiativ
När det gäller behovet av att kunna identifiera individer i en kontext med elektroniska medel finns det flera pågående arbeten. Vissa initiativ gäller utfärdande av elektroniska identitetshandlingar. Andra gäller att skapa identitetsfederationer. De pågående initiativen inne- fattar inte endast elektronisk identifiering i tjänsten, utan också elek- tronisk identifiering i skolans värld och i högskolesektorn.
15.7.1Elektroniska identitetshandlingar i en kontext
Myndighets CA
Försäkringskassan har arbetat med
13 CA står för Certificate Authority, dvs. en certifikatutfärdare,
268
SOU 2017:114 |
Arbetstagare, student, ställföreträdare – och elektronisk identitiering |
säkringskassan som ansvarar för drift, förvaltning och vidareutveck- ling av lösningen, i samverkan med anslutna myndigheter.14
Enligt uppgifter från Försäkringskassan15 är kostnaderna för MCA fördelade på en utvecklingskostnad och en driftskostnad. Dessa prognostiseras för varje år. Den totala summan för 2017 är 185 kro- nor per användare, och av det beloppet fördelar sig 150 kronor på driftskostnader och 35 kronor på nyutveckling. Beloppen är föremål för revidering och att de sätts utifrån hur många som använder dem.
SITHS
Inera AB16 har tagit fram
Inera AB19 och Försäkringskassan har sedan februari 2016 på eget initiativ drivit ett samverkansprojekt som handlar om tjänsten E- identitet för offentlig sektor. Avsikten med samverkansprojektet är att ersätta både SITHS och Försäkringskassans MCA.
14
15Telefonmöte den 27 september 2017 mellan utredningen och Försäkringskassan.
16Inera ägs av SKL Företag, landsting, regioner och kommuner. Genom att erbjuda kom- petens inom digitalisering stödjer Inera ägarnas verksamhetsutveckling. Inera koordinerar och utvecklar gemensamma digitala lösningar till nytta för invånare, medarbetare och beslutsfattare.
17Dvs. att en persons identitet kontrolleras med tvåfaktorsautentisering.
18
19Inera ägs i dag av SKL Företag AB samt landsting och regioner. Under 2017 har nästan samtliga kommuner i Sverige valt att köpa aktier i Inera AB och därmed också bli delägare.
269
Arbetstagare, student, ställföreträdare – och elektronisk identitiering |
SOU 2017:114 |
sektor innebär att identifieringslösningen kan användas tillsammans med annan infrastruktur och s.k. lokala identity providers (IdP:er) så länge den lokala lösningen följer referensarkitekturen.20
Huddinge kommun
Huddinge kommun utfärdar elektroniska identitetshandlingar till sina anställda, som kan användas i tjänsten för samverkan med myn- digheter och medborgare. Deras lösning har granskats och godkänts av
15.7.2Identitetsfederationer
En identitetsfederation syftar till att undvika att förlitande aktör måste sluta bilaterala avtal med varje utfärdare av en elektronisk identitetshandling. Syftet med identitetsfederationen är alltså att en aktör utses som ansvarig för federationen, och att varje aktör som vill ansluta sig till federationen måste följa ett uppställt regelverk – såväl tekniskt som tillitsbaserat – samt åtar sig att genomgå prövning och granskning med avseende på säkerhet och uppfyllelse av upp- ställda regelverk.
Sambi
Sambi21 stödjer rollbaserad åtkomst till
En viktig poäng med Sambi är att känsliga uppgifter som använ- darnamn och lösenord inte behöver skickas över internet. De lagras inte heller hos tjänsteleverantören. Inloggningen sker hos användar- organisationen som förser tjänsten med relevant information för be-
20
21Sambi är ett samarbete mellan eHälsomyndigheten, Inera och IIS (Internetstiftelsen i Sverige).
270
SOU 2017:114 |
Arbetstagare, student, ställföreträdare – och elektronisk identitiering |
slut om åtkomst. Sambi är ett samarbete mellan eHälsomyndigheten, Inera och Internetstiftelsen i Sverige.
SWAMID
SWAMID är en identitetsfederation som omfattar de flesta läro- säten, forskningsinstitut och andra myndigheter som är relaterade till svensk forsknings- och utbildningssektor. SWAMID drivs av SUNET.22 SWAMID innehåller uppgifter om både individen och vilken roll denne har, vilket oftast är student eller anställd.
Skolfederationen
Skolfederationen har en standardiserad inloggningslösning för att förenkla konto- och lösenordshanteringen för såväl användarna på skolsidan, som för leverantörer av olika läromedel, tjänster och system. Med Skolfederation kan eleverna använda en enda inlogg- ning, single
15.8Skilj på tjänsteutövning och privata ärenden
Utredningen bedömer:
Arbetstagare ska inte använda sina privata elektroniska identi- tetshandlingar i tjänsten. Det är arbetsgivares ansvar att säker- ställa att arbetstagare kan identifiera sig elektroniskt i tjänsten.
Utredningen har i föregående avsnitt beskrivit att det finns olika sätt för arbetsgivare att lösa elektronisk identifiering för arbetstagare inom sin organisation och i relation till andra. Sättet som det löses på
22www.sunet.se/swamid/,
23www.skolfederation.se/om/,
271
Arbetstagare, student, ställföreträdare – och elektronisk identitiering |
SOU 2017:114 |
är en teknisk fråga. Tekniken bör emellertid följa de strukturer som finns i fråga om ansvar för att arbetstagare har de medel som behövs för att utföra sin tjänst.
På de allra flesta arbetsplatser finns det digitala verksamhetsstöd. Arbetstagare kan behöva identifiera sig elektroniskt mot dessa, men också mot andra organisationers
15.8.1Den statliga elektroniska identitetshandlingen är bara för privat bruk …
Utredningen föreslår att alla statliga myndigheter, kommuner och landsting ska godta identifiering med den statliga elektroniska iden- titetshandlingen. Detta kan tolkas på så sätt att den statliga elek- troniska identitetshandlingen kan användas av individer också för att identifiera sig i tjänsten. Utredningen menar emellertid att den statliga elektroniska identitetshandlingen inte ska användas av indi- vider i tjänsten, med det undantag som redovisas i det följande.
Om en arbetsgivare kräver att en anställd använder privat utrust- ning i arbetet måste detta framkomma av anställningsavtalet. Annars gäller principen att arbetsgivaren tillhandahåller den utrustning arbetet kräver. Vad gäller
Den statliga elektroniska identitetshandlingen kan tillhandahållas antingen genom upphandling eller genom att en myndighet utvecklar den själv. I fallet upphandling kan det innebära att den leverantör staten
272
SOU 2017:114 |
Arbetstagare, student, ställföreträdare – och elektronisk identitiering |
väljer får en dominerande ställning även på marknaden för identitets- handlingar i tjänsten. Om den elektroniska identitetshandlingen leve- reras av en myndighet innebär det i stället att staten konkurrerar med leverantörer på denna marknad.
I de flesta fall torde arbetsgivare vilja att det fysiska kort som den elektroniska identitetshandlingen finns på även optiskt förmedlar den behörighet arbetstagaren har, t.ex. genom företagsnamn, avdelning osv. Arbetstagarens behörighet kan nämligen behöva bedömas i så- dana sammanhang där kortet inte kan läsas elektroniskt.
Sammantaget innebär detta att det inte är lämpligt att arbetstagare använder samma elektroniska identitetshandling i tjänsten som de använder privat. En arbetsgivare som kräver att en anställd – i sin tjänsteutövning – ska identifiera sig elektroniskt gentemot det egna verksamhetsstödet eller i
15.8.2… men kan användas som underlag för arbetsgivaren att skapa en annan elektronisk identitetshandling
Som arbetsgivare behöver man i många fall kontrollera identiteten hos sina anställda, åtminstone i samband med att de anställs. I de fall arbetsgivaren kontrollerar identiteten på en arbetstagare görs det genom att individen visar upp en fysisk identitetshandling. I bland måste arbetsgivaren också göra säkerhetskontroller på individen. De fysiska identitetshandlingar som staten utfärdar har alltså en betydelse i den identitetskontroll som arbetsgivare gör av sina arbetstagare. Nu är det oftast så att anställningsförfaranden innefattar personliga besök hos arbetsgivaren, men utredningen bedömer att den statliga elektro- niska identitetshandlingen på sikt kan användas på motsvarande sätt.
273
Arbetstagare, student, ställföreträdare – och elektronisk identitiering |
SOU 2017:114 |
15.9Organisering och ansvarsfördelning
Utredningen föreslår:
att regeringen ger digitaliseringsmyndigheten i uppdrag att när- mare bedöma om
Utredningen bedömer att det är viktigt med samordning av elektro- nisk identifiering i tjänsten. De lösningar som tas fram ska fungera såväl inom den egna organisationen som i relation till andra aktörer.
Det som Försäkringskassan och Inera AB tar fram inom ramen för
274
16 eIDAS – syfte och innebörd
Enligt utredningens direktiv ska de rättsliga, ekonomiska och verk- samhetsmässiga konsekvenserna för svenska offentliga myndigheter av att erkänna anmälda europeiska elektroniska identitetshandlingar och elektroniska underskrifter i nationella
16.1Skälen till
I skälen till
1 Europaparlamentets och Rådets förordning (EU) nr 910/2014 av den 23 juli 2014 om elek- tronisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre mark- naden och om upphävande av direktiv 1999/93/EG.
275
eIDAS – syfte och innebörd |
SOU 2017:114 |
Skälen till förordningen är inte tvingande reglering och ska därför inte blandas samman med förordningens artiklar som följer efter skälen. För förståelsen av
Förtroende för nätmiljön (skäl
Medlemsstaterna vill genom förordningen bygga upp förtroendet för nätmiljön för att främja den ekonomiska och sociala utvecklingen. Bristande förtroende, särskilt på grund av upplevd brist på rättssäker- het, anses göra att konsumenter, företag och offentliga myndigheter tvekar att utföra transaktioner på elektronisk väg och att använda nya tjänster. Genom att i förordningen tillhandahålla en gemensam grund för ett säkert elektroniskt samspel mellan medborgare, företag och offentliga myndigheter vill medlemsstaterna öka förtroendet för elektroniska transaktioner på den inre marknaden. Därigenom ska effektiviteten hos offentliga och privata nättjänster, elektronisk affärs- verksamhet och
Ömsesidigt erkännande av elektronisk identifiering (skäl 9 och 12)
Det konstateras att medborgare i de flesta fall inte kan använda sin elektroniska identifiering för att autentisera sig2 i en annan medlems- stat därför att de nationella systemen för elektronisk identifiering i deras land inte är erkända i andra medlemsstater. Detta elektroniska hinder utestänger enligt skälen tillhandahållare av
2 Autentisering innebär en elektronisk process som gör det möjligt att bekräfta den elek- troniska identifieringen för en fysisk eller juridisk person, eller ursprunget för och integri- teten hos uppgifter i elektronisk form.
276
SOU 2017:114 |
eIDAS – syfte och innebörd |
Medlemsstaternas självbestämmande (skäl
Förordningen syftar inte till att ingripa i fråga om elektroniska identi- tetshanteringssystem och tillhörande infrastrukturer som inrättats i medlemsstaterna. Syftet är att se till att säker elektronisk identifie- ring och autentisering för åtkomst till gränsöverskridande nättjänster som erbjuds av medlemsstaterna är möjlig.
Medlemsstaterna bör fortsättningsvis ha rätt att för elektronisk identifiering använda eller införa medel för åtkomst till nättjänster. De bör ha möjlighet att själva bestämma om de vill engagera den pri- vata sektorn i tillhandahållandet av dessa medel. De bör inte vara skyldiga att anmäla sina system för elektronisk identifiering till kom- missionen. Det ankommer på medlemsstaterna att välja om de till kommissionen vill anmäla alla, några eller inga av de elektroniska identifieringssystem som används på nationell nivå för att få åtkomst till åtminstone offentliga nättjänster eller särskilda nättjänster.
Principer och gränser för ömsesidigt erkännande (skäl 14)
Förordningen bör innehålla villkor för vilka medel för elektronisk identifiering som måste erkännas och hur systemen för elektronisk identifiering bör anmälas. Dessa villkor syftar till att hjälpa medlems- staterna att bygga upp det förtroende som krävs för varandras system för elektronisk identifiering. Principen om ömsesidigt erkän- nande bör gälla om den anmälande medlemsstatens system för elek- tronisk identifiering uppfyller villkoren för anmälan och om anmälan har offentliggjorts. Principen om ömsesidigt erkännande bör dock en- dast avse autentisering för en nättjänst. Åtkomsten till nättjänsten och dess slutliga leverans till användaren bör vara nära kopplad till rätten att ta emot sådana tjänster enligt villkoren i nationell lagstiftning.
Skadeståndsansvar (skäl 18)
I förordningen bör det föreskrivas skadeståndsansvar för den anmäl- ande medlemsstaten, den aktör som utfärdar medlet för elektronisk identifiering och den aktör som har hand om autentiseringsförfaran- det vid underlåtenhet att uppfylla relevanta skyldigheter enligt förord- ningen. Förordningen bör dock tillämpas i enlighet med nationella
277
eIDAS – syfte och innebörd |
SOU 2017:114 |
bestämmelser om skadeståndsansvar. Den ska därför inte påverka tillämpningen av nationella bestämmelser om t.ex. definition av skada eller relevanta tillämpliga förfaranderegler exempelvis om bevisbörda.
Säkerhet och samarbete (skäl
Säkerheten i system för elektronisk identifiering är enligt skälen avgörande för ett tillförlitligt gränsöverskridande ömsesidigt erkän- nande av medel för elektronisk identifiering. Mot denna bakgrund bör medlemsstaterna samarbeta med avseende på säkerheten och interoperabiliteten i systemen för elektronisk identifiering på unions- nivå.
Medlemsstaternas samarbete bör underlätta den tekniska inter- operabiliteten för de anmälda systemen för elektronisk identifiering i syfte att främja en hög nivå av förtroende och en säkerhetsnivå som är anpassad till risknivån. Ett utbyte av information och bästa praxis mellan medlemsstaterna med sikte på ömsesidigt erkännande bör bidra till detta samarbete.
Betrodda tjänster (skäl
Liksom när det gäller artiklarna handlar en stor del av skälen till förordningen om betrodda tjänster. Någon allmän skyldighet att an- vända dem eller att installera en accesspunkt för alla befintliga be- trodda tjänster bör enligt skälen inte skapas. I synnerhet bör förord- ningen inte gälla tillhandahållande av tjänster som endast används inom slutna system mellan en avgränsad uppsättning deltagare, och som inte påverkar tredje man. Endast betrodda tjänster som till- handahålls för allmänheten och som påverkar tredje man behöver uppfylla förordningens krav.
På grund av den snabba tekniska utvecklingen bör förordningen omfatta en strategi som är öppen för innovation. Förordningen bör även vara teknikneutral.
I övrigt behandlar skälen bl.a. tillsynsorgan, skadeståndsansvar och säkerhetsfrågor när det gäller betrodda tjänster.
278
SOU 2017:114 |
eIDAS – syfte och innebörd |
16.2Allmänna bestämmelser
Förordningens första kapitel behandlar syfte, tillämpningsområde och definitioner. I artikel 1 anges att i syfte att säkerställa en väl funge- rande inre marknad och uppnå en lämplig säkerhetsnivå för medel för elektronisk identifiering och betrodda tjänster fastställs i förord- ningen
a)de villkor på vilka medlemsstaterna erkänner medel för elektronisk identifiering av fysiska och juridiska personer som omfattas av ett anmäl system för elektronisk identifiering hos en annan medlems- stat,
b)regler för betrodda tjänster, i synnerhet elektroniska transaktioner, och
c)en rättslig ram för elektroniska underskrifter, elektroniska stämp- lar, elektronisk tidsstämpling, elektroniska dokument, elektro- niska tjänster för rekommenderade leveranser och certifikattjän- ster för autentisering av webbplatser.
I artikel 2 följer en beskrivning av förordningens tillämpningsområde och artikel 3 innehåller definitioner av 41 centrala begrepp som an- vänds i förordningstexten och i genomförandeakterna. Artikel 4 be- skriver inremarknadsprincipen som bl.a. innebär att produkter och betrodda tjänster som överensstämmer med förordningen ska om- fattas av fri rörlighet på den inre marknaden. Av artikel 5 följer att per- sonuppgifter ska behandlas i enlighet med dataskyddsdirektivet.3 Dess- utom ska användningen av pseudonymer vid elektroniska transaktioner inte förbjudas.
16.3Elektronisk identifiering
Förordningens andra kapitel behandlar elektronisk identifiering och inleds med artikel 6 om ömsesidigt erkännande. Enligt första punk- ten har offentliga organ (myndigheter) skyldighet att erkänna andra
3 Direktiv 95/46/EG. Dataskyddsdirektivet kommer den 25 maj 2018 ersättas av Europa- parlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).
279
eIDAS – syfte och innebörd |
SOU 2017:114 |
medlemsstaters elektroniska identitetshandlingar för gränsöverskri- dande autentisering i
a)den elektroniska identitetshandlingen är utfärdad inom ramen för ett system för elektronisk identifiering som ingår i kommis- sionens förteckning enligt artikel 9,
b)tillitsnivån för den elektroniska identitetshandlingen motsvarar en tillitsnivå som är lika hög eller högre än den tillitsnivå som den offentliga myndigheten i fråga kräver för åtkomst till den aktuella
c)den offentliga myndigheten i fråga använder tillitsnivån väsentlig eller hög i samband med åtkomst till nättjänsten.
Det innebär alltså en skyldighet för offentlig sektor att erkänna andra anmälda elektroniska identitetshandlingar för gränsöverskri- dande autentisering om tillitsnivån på den utländska notifierade elektroniska identitetshandlingen är minst nivå väsentlig och minst samma eller högre än vad som krävs nationellt, och det nationellt krävs minst tillitsnivå väsentlig.4
Enligt andra punkten får en offentlig myndighet erkänna en elek- tronisk identitetshandling som ingår i kommissionens förteckning och som motsvarar tillitsnivå låg. Det är alltså valfritt för den offentliga myndigheten.
Artikel 7 beskriver vad som krävs för att ett system för elektro- nisk identifiering ska kunna anmälas enligt artikel 9.1. Bland annat följande villkor ska vara uppfyllda:
a)Den elektroniska identitetshandlingen ska vara utfärdad
i)av den anmälande medlemsstaten,
ii)på uppdrag av den anmälande medlemsstaten, eller
iii)oberoende av den anmälande medlemsstaten och erkännas av den medlemsstaten.
4 Tillitsnivå väsentlig har bedömts motsvara svensk tillitsnivå 3, se avsnitt 12.7 om svenska tillitsnivåer.
280
SOU 2017:114 |
eIDAS – syfte och innebörd |
Anmälan av privata utfärdare av elektroniska identitetshandlingar är alltså tillåtet om den elektroniska identitetshandlingen är godkänd i den anmälande medlemsstaten.
b)Den elektroniska identitetshandlingen ska kunna användas för att få åtkomst till åtminstone en tjänst som tillhandahålls av en offentlig myndighet och som kräver elektronisk identifiering i den anmälande medlemsstaten.
c)Den elektroniska identitetshandlingen ska uppfylla kraven för åt- minstone en av de tillitsnivåer som anges i den genomförandeakt som avses i artikel 8.3.
Därefter regleras fördelning av ansvar mellan anmälande medlemsstat och den aktör som utfärdar elektroniska identitetshandlingar när det gäller personidentifieringsuppgifter och tilldelning av elektroniska identitetshandlingar. Den anmälande medlemsstaten ska se till att en autentiseringstjänst erbjuds samtliga förlitande aktörer. Tjänsten får förenas med särskilda villkor för den privata sektorn och ska vara kostnadsfri för förlitande aktörer i den offentliga sektorn.
I artikel 8 beskrivs systemet med tillitsnivåer för elektroniska identitetshandlingar. Tillitsnivåerna låg, väsentlig eller hög ska speci- ficeras för anmälda elektroniska identitetshandlingar. Vad varje tillits- nivå innebär förtydligas i en genomförandeförordning.5
Artikel 9 handlar om hur elektroniska identitetshandlingar anmäls till kommissionen för att kunna inkluderas i förteckningen av elek- troniska identitetshandlingar som ska erkännas i medlemsstaternas offentliga
5 Kommissionens genomförandeförordning (EU) 2015/1502 av den 8 september 2015 om fastställande av tekniska minimispecifikationer och förfaranden för tillitsnivåer för medel för elektronisk identifiering i enlighet med artikel 8.3 i Europaparlamentets och rådets förord- ning (EU) nr 910/2014 om elektronisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden.
281
eIDAS – syfte och innebörd |
SOU 2017:114 |
information om den eller de enheter som hanterar registreringen av de unika personuppgifterna. I övrigt krävs också bl.a. uppgift om system för tillfälligt upphävande eller återkallelse av den anmälda elektroniska identitetshandlingen.
En medlemsstat får själv lämna in begäran till kommissionen om att ta bort en elektronisk identitetshandling från förteckningen. Fler definitioner av hur anmälan och avanmälan ska gå till finns i ett genomförandebeslut.6
Artikel 10 behandlar säkerhetsincidenter och vilka åtgärder som ska vidtas om en anmäld elektronisk identitetshandling utsätts för intrång eller delvis äventyras på ett sätt som påverkar tillförlitlig- heten i systemets gränsöverskridande autentisering. Den anmälande medlemsstaten ska då utan dröjsmål tillfälligt upphäva eller återkalla denna gränsöverskridande autentisering eller de berörda utsatta delarna och informera andra medlemsstater och kommissionen. När incidenten har åtgärdats kan den gränsöverskridande autentiseringen återinföras och de andra medlemsstaterna ska informeras om det. Om problemet inte har åtgärdats efter tre månader ska den elektro- niska identitetshandlingen dras tillbaka.
I artikel 11 berörs frågor om skadeståndsansvar. I princip bär varje aktör skadeståndsansvar för det man ansvarar för. Den anmä- lande medlemsstaten har skadeståndsansvar för skada som åsamkats genom dess underlåtenhet att uppfylla sina skyldigheter enligt arti- kel 7. Den aktör som utfärdat den elektroniska identitetshandlingen har skadeståndsansvar för skada som åsamkats genom underlåtenhet att uppfylla sina skyldigheter enligt artikel 7. Den aktör som handhar autentiseringsförfarandet har skadeståndsansvar för skada som åsam- kats genom underlåtenhet att säkerställa korrekt handhavande av autentisering enligt artikel 7.
Ovanstående regler ska enligt artikel 11.4 tillämpas i enlighet med nationella regler om skadeståndsansvar. Det är dock inte specificerat vilka nationella regler som avses. Det kan vara reglerna i den med- lemsstat som ansvarar för den elektroniska identitetshandlingen eller i den eller de medlemsstater där incident har uppstått.
6 Kommissionens genomförandebeslut (EU) 2015/1984 av den 3 november 2015 om förut- sättningar, format och förfaranden för anmälan enligt artikel 9.5 i Europaparlamentets och rådets förordning (EU) nr 910/2014 om elektronisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden.
282
SOU 2017:114 |
eIDAS – syfte och innebörd |
Artikel 12 behandlar samarbete och interoperabilitet. Anmälda elektroniska identitetshandlingar ska följa ett interoperabilitetsramverk som ska uppfylla vissa kriterier. Det ska vara teknikneutralt, följa euro- peiska och internationella standarder och främja integritetsskydd samt säkerställa persondataskydd.
Vidare anges i artikel 12 att medlemsstaterna ska samarbeta när det gäller säkerhet, tillitsnivåer och interoperabilitet. De ska utbyta er- farenheter inom områden som berör sakkunnighetsbedömningar, minimikrav på teknik för interoperabilitet och minimikrav på attribut.
Vidare definitioner när det gäller interoperabilitet och samarbete finns i en genomförandeförordning.7
Genomförandeförordningen innehåller regler om bland annat tek- niska minimikrav rörande tillitsnivåer och kartläggning av nationella tillitsnivåer för anmälda medel för elektronisk identifiering som utfär- dats inom ramen för anmälda system för elektronisk identifiering, tekniska minimikrav på interoperabilitet, minimuppsättningen av per- sonidentifieringsuppgifter som är unika för en fysisk eller juridisk person, gemensamma standarder för operativ säkerhet och bestäm- melser för tvistlösning.
16.4Betrodda tjänster
Förordningens kapitel III om betrodda tjänster omfattar 32 artiklar indelade i åtta avsnitt. Nedan följer en översiktlig beskrivning av reglernas innebörd.
16.4.1Allmänna bestämmelser
Artikel 13 behandlar skadeståndsansvar och bevisbörda när det gäller betrodda tjänster. Även här ansvarar varje aktör för åsamkad skada.
Kvalificerade tillhandahållare av betrodda tjänster har bevisbörda för att visa att skadan uppstått utan avsikt eller oaktsamhet hos den kvalificerade tillhandahållaren. Däremot är det den som gör gällande
7 Kommissionens genomförandeförordning (EU) 2015/1501 av den 8 september 2015 om interoperabilitetsramverket enligt artikel 12.8 i Europaparlamentets och rådets förordning (EU) nr 910/2014 om elektronisk identifiering och betrodda tjänster för elektroniska tran- saktioner på den inre marknaden.
283
eIDAS – syfte och innebörd |
SOU 2017:114 |
skada som har bevisbördan för avsikt eller oaktsamhet hos en icke- kvalificerad tillhandahållare av betrodda tjänster.
Reglerna ska tillämpas i enlighet med nationella bestämmelser om skadeståndsansvar men inte heller när det gäller betrodda tjänster specificerar förordningen vilken medlemsstats nationella bestämmel- ser som ska gälla.
De allmänna bestämmelserna innehåller även artiklar som behand- lar vissa internationella aspekter, tillgänglighet för personer med funk- tionshinder och sanktioner.
16.4.2Tillsyn
I artikel 17 finns regler om tillsynsorgan. Medlemsstaterna ska utse ett tillsynsorgan. Tillsynsorganet ska utöva tillsyn över kvalificerade tillhandahållare av betrodda tjänster och även vid behov vidta åtgär- der avseende
Tillsynsorganen ska enligt artikel 18 samarbeta och ge varandra bistånd men har också möjlighet att under vissa förutsättningar vägra sådant bistånd.
Artikel 19 innehåller regler om säkerhetskrav på tillhandahållare av betrodda tjänster. Enligt första punkten ska kvalificerade och icke kvalificerade tillhandahållare av betrodda tjänster vidta lämpliga tek- niska och organisatoriska åtgärder för att hantera säkerhetsriskerna hos de betrodda tjänster som de tillhandahåller. Åtgärderna ska säker- ställa att säkerhetsnivån står i proportion till graden av risk.
Enligt 19.2 ska kvalificerade och icke kvalificerade tillhandahållare av betrodda tjänster, utan otillbörligt dröjsmål och under alla omstän- digheter inom 24 timmar efter upptäckt, underrätta tillsynsorganet och i förekommande fall andra relevanta organ, såsom det behöriga nationella organet för informationssäkerhet eller dataskyddsmyndig- heten, om alla säkerhetsincidenter och integritetsförluster som i be- tydande omfattning påverkar den betrodda tjänst som tillhandahålls eller på de personuppgifter som ingår i denna.
284
SOU 2017:114 |
eIDAS – syfte och innebörd |
När det är troligt att säkerhetsincidenten eller integritetsförlusten kommer att ha negativ inverkan på en fysisk eller juridisk person till vilken den betrodda tjänsten har tillhandahållits, ska tillhandahållaren av betrodda tjänster utan onödigt dröjsmål även underrätta den fysi- ska eller juridiska personen om säkerhetsincidenten eller integritets- förlusten.
Tillsynsorganet har vid sådana säkerhetsincidenter eller integri- tetsförluster i uppgift att, om det är lämpligt, informera övriga med- lemsstater, allmänheten samt Europeiska byrån för nät- och informa- tionssäkerhet (Enisa).
16.4.3Kvalificerade betrodda tjänster
Kraven på kvalificerade betrodda tjänster är högre än på icke kvalifi- cerade betrodda tjänster. Därför är det i högre grad specificerat vad som gäller för kvalificerade betrodda tjänster. I förordningens arti- kel 20 regleras hur tillsyn av kvalificerade betrodda tjänster ska gå till. Minst en gång vartannat år och på egen bekostnad ska kvalifi- cerade tillhandahållare av betrodda tjänster granskas. Tillsynsorganet får dessutom när som helst utföra granskning. Om den kvalificerade tillhandahållaren underlåter att åtgärda något som tillsynsorganet har påpekat kan tillsynsorganet komma att återkalla tjänstens status som kvalificerad.
Artikel 21 innehåller krav för att sätta igång en kvalificerad be- trodd tjänst. Detta ska anmälas till tillsynsorganet som, om tillhanda- hållaren uppfyller förordningens krav, ska bevilja status som kvalific- erad och föra upp tillhandahållaren på förteckningen över kvalifice- rade tillhandahållare.
Varje medlemsstat ska enligt artikel 22 upprätta, underhålla och offentliggöra förteckningar med uppgifter om kvalificerade tillhanda- hållare av betrodda tjänster som den ansvarar för, tillsammans med uppgifter om de kvalificerade betrodda tjänster som dessa tillhanda- håller. Detta görs i Sverige på PTS webbplats.
Kvalificerade tillhandahållare av betrodda tjänster får enligt arti- kel 23 använda sig av
285
eIDAS – syfte och innebörd |
SOU 2017:114 |
Kommissionens genomförandeförordning (EU) 2015/806 av den 22 maj 2015 om fastställande av specifikationer för utformningen av
I artikel 24 behandlas kraven på kvalificerade tillhandahållare av be- trodda tjänster. Tillhandahållaren ska, när den utfärdar ett kvalifi- cerat certifikat för en betrodd tjänst, på lämpligt sätt och i enlighet med nationell rätt kontrollera identiteten och i förekommande fall eventuella särskilda attribut för den fysiska eller juridiska person till vilken det kvalificerade certifikatet utfärdas. Detta kan göras genom fysisk närvaro, elektronisk identitetshandling med tillitsnivå väsent- lig eller hög, certifikat för kvalificerad elektronisk underskrift eller en kvalificerad elektronisk stämpel, eller slutligen med hjälp av andra identifieringsmetoder som erkänns på nationell nivå och som erbjuder garantier som är likvärdiga med fysisk närvaro. Likvärdiga garantier ska då bekräftas av ett organ för bedömning av överensstämmelse.
Övriga krav inkluderar bland annat informationsplikt, kunskap hos personal och underleverantörer, ekonomiska medel eller försäk- ring för att täcka risk för ansvar vid skador, säkerhet, tillförlitlig lag- ring av uppgifter, plan för verksamhetens upphörande samt att säker- ställa laglig behandling av personuppgifter.
16.4.4Elektroniska underskrifter
Rättslig verkan av elektroniska underskrifter beskrivs i artikel 25. En elektronisk underskrift får inte förvägras rättslig verkan eller giltig- het som bevis vid rättsliga förfaranden enbart på grund av att under- skriften har elektronisk form eller inte uppfyller kraven för kvalifi- cerade elektroniska underskrifter.
286
SOU 2017:114 |
eIDAS – syfte och innebörd |
En kvalificerad elektronisk underskrift ska ha motsvarande rättsliga verkan som en handskriven underskrift och erkännas som en kvalifi- cerad elektronisk underskrift i samtliga medlemsstater.
I artikel 26 återfinns de krav som ställs på en avancerad elektro- nisk underskrift. Den ska vara knuten till undertecknaren, underteck- naren ska kunna identifieras genom den, den ska vara skapad så att undertecknaren med hög grad av tillförlitlighet kan använda den ute- slutande under sin egen kontroll och slutligen ska efterföljande änd- ringar av de undertecknade uppgifterna kunna upptäckas.
Elektroniska underskrifter i offentliga tjänster är enligt artikel 27 föremål för ömsesidigt erkännande på motsvarande nivå. Medlems- staterna ska för gränsöverskridande användning av nättjänster som erbjuds av ett offentligt organ inte kräva en elektronisk underskrift med en högre säkerhetsnivå än den som gäller för kvalificerade elek- troniska underskrifter.
Vissa regler när det gäller kvalificerade certifikat för elektroniska underskrifter finns i artikel 28 men kraven de ska uppfylla finns i bilaga I till förordningen. Där specificeras vad certifikaten ska inne- hålla. En liknande konstruktion har valts när det gäller anordningar för skapande av kvalificerade elektroniska underskrifter i artikel 29– 30 och bilaga II.
Kommissionen ska enligt artikel 31 offentliggöra en förteckning över certifierade anordningar för skapande av kvalificerade elektro- niska underskrifter.
Giltigheten för en kvalificerad elektronisk underskrift kan bekräf- tas genom validering. Artikel 32 innehåller krav för sådan validering och artikel 33 reglerar kvalificerade valideringstjänster för kvalifice- rade elektroniska underskrifter.
I artikel 34 finns en regel om vem som får tillhandahålla en kvalifi- cerad tjänst för bevarande av kvalificerade elektroniska underskrifter.
16.4.5Elektroniska stämplar
Elektroniska stämplars rättsliga verkan beskrivs i artikel 35. Den får inte förvägras rättslig verkan enbart på grund av att den har elektro- nisk form. En kvalificerad elektronisk stämpel ska omfattas av en pre- sumtion om integritet hos de uppgifter som den är kopplad till och om att uppgifterna har korrekt ursprung. En kvalificerad elektronisk
287
eIDAS – syfte och innebörd |
SOU 2017:114 |
stämpel som är baserad på ett kvalificerat certifikat som har utfärdats i en medlemsstat ska erkännas som en kvalificerad elektronisk stämpel i alla andra medlemsstater.
En elektronisk stämpel ska uppfylla krav enligt artikel 36. Den ska vara knuten uteslutande till skaparen av stämpeln. Skaparen av stäm- peln ska kunna identifieras. Stämpeln ska vara skapad så att den kan användas med hög grad av tillförlitlighet. Den ska vara kopplad till de uppgifter den avser på ett sådant sätt att alla efterföljande änd- ringar av uppgifterna kan upptäckas.
Elektroniska stämplar i offentliga tjänster är enligt artikel 37 före- mål för ömsesidigt erkännande på motsvarande nivå. Medlems- staterna ska för gränsöverskridande användning av nättjänster som erbjuds av ett offentligt organ inte kräva en elektronisk stämpel med en högre säkerhetsnivå än den som gäller för den kvalificerade elek- troniska stämpeln.
Vissa regler när det gäller kvalificerade certifikat för elektroniska stämplar finns i artikel 38 men kraven de ska uppfylla finns i bilaga III till förordningen. Där specificeras vad certifikaten ska innehålla.
När det gäller kvalificerade anordningar för skapande av elektro- niska stämplar samt validering och bevarande av kvalificerade elek- troniska stämplar hänvisas i artikel
16.4.6Elektroniska tidsstämplingar
Elektroniska tidsstämplingars rättsliga verkan beskrivs i artikel 41. Även när det gäller elektroniska tidstämplingar får de inte förvägras rättslig verkan enbart på grund av att den har elektronisk form. En kvalificerad elektronisk tidsstämpling ska omfattas av en presumtion av korrekthet och erkännas som en kvalificerad elektronisk tids- stämpling i alla medlemsstater.
Artikel 42 innehåller förordningens krav på en kvalificerad elek- tronisk tidsstämpling. Den ska binda datumet och tiden till uppgifter så att möjligheten att uppgifterna ändras utan att det går att upptäcka rimligtvis kan uteslutas. Den ska vara grundad på en korrekt tidskälla som är kopplad till samordnad universaltid. Den ska vara under- tecknad med hjälp av en avancerad elektronisk underskrift eller för-
288
SOU 2017:114 |
eIDAS – syfte och innebörd |
seglad med en avancerad elektronisk stämpel från den kvalificerade tillhandahållaren av betrodda tjänster eller genom en likvärdig metod.
16.4.7Elektroniska tjänster för rekommenderade leveranser
Rättslig verkan av elektroniska tjänster för rekommenderade leveran- ser beskrivs i artikel 43. Uppgifter som sänds och tas emot genom en elektronisk tjänst för rekommenderade leveranser får inte förvägras rättslig verkan enbart på grund av att de har elektronisk form. Upp- gifter som sänds och tas emot genom en kvalificerad elektronisk tjänst för rekommenderade leveranser ska omfattas av en presumtion om uppgifternas integritet, om uppgifternas avsändande av den iden- tifierade avsändaren, uppgifternas mottagande av den identifierade adressaten samt om riktigheten i det datum och den tidpunkt för av- sändande och mottagande som anges i den kvalificerade elektroniska tjänsten för rekommenderade leveranser.
Artikel 44 innehåller förordningens krav på kvalificerade elektro- niska tjänster för rekommenderade leveranser. Kraven innebär bland annat följande. De kvalificerade elektroniska tjänsterna för rekom- menderade leveranser ska tillhandahållas av en eller flera kvalificerade tillhandahållare av betrodda tjänster. De ska med hög grad av tillför- litlighet säkerställa avsändarens identitet. De ska säkerställa adressa- tens identitet innan uppgifterna levereras. Kvalificerade betrodda tjänster ska användas för att säkerställa avsändande, mottagande och tidpunkt på ett sätt som utesluter möjligheten att uppgifterna ändras utan att det går att upptäcka.
16.4.8Autentisering av webbplatser
Krav på kvalificerade certifikat för autentisering av webbplatser finns enligt artikel 45 i bilaga IV. Där specificeras vad certifikaten ska inne- hålla.
289
eIDAS – syfte och innebörd |
SOU 2017:114 |
16.5Elektroniska dokument
Ett elektroniskt dokument får enligt artikel 46 inte förvägras rättslig verkan eller giltighet som bevis vid rättsliga förfaranden enbart på grund av att det har elektronisk form.
16.6Genomförandeakter
Utöver förordningen finns det genomförandeakter som ger kom- missionen befogenhet att på ett flexibelt och snabbt sätt kunna kom- plettera vissa detaljerade aspekter av förordningen. Genomförande- befogenheter bör även tilldelas kommissionen för att säkerställa en- hetliga villkor för genomförandet av förordningen. Detta anges i skäl
Enligt flera artiklar ska kommissionen inom viss tid anta genom- förandeakter för att förtydliga och specificera vissa uppgifter men på många andra ställen i förordningen ges kommissionen möjlighet att anta genomförandeakter.
Nedan följer en förteckning av de genomförandeakter som i skriv- ande stund har antagits.
Kommissionens genomförandebeslut (EU) 2015/296 av den 24 februari 2015 om inrättande av förfaranden för samarbete
mellan medlemsstaterna om elektronisk identifiering i enlighet med artikel 12.7 i Europaparlamentets och rådets förordning (EU) nr 910/2014 om elektronisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden
Genomförandebeslutet handlar om förfaranden för att underlätta samarbetet mellan medlemsstaterna, vilket är nödvändigt för att säker- ställa interoperabiliteten och säkerheten i system för elektronisk identifiering som medlemsstaterna avser att anmäla eller har anmält till kommissionen. Förfarandena avser särskilt utbyte av informa- tion, erfarenheter och god praxis om system för elektronisk identifi- ering samt undersökning av den relevanta utvecklingen inom sektorn för elektronisk identifiering, sakkunnighetsbedömning av system för elektronisk identifiering och samarbete genom ett särskilt samarbets- nätverk.
290
SOU 2017:114 |
eIDAS – syfte och innebörd |
Kommissionens genomförandeförordning (EU) 2015/806 av den 22 maj 2015 om fastställande av specifikationer för utformningen av
Genomförandeförordningen behandlar
Kommissionens genomförandebeslut (EU) 2015/1506 av den 8 september 2015 om fastställande av specifikationer rörande
format för avancerade elektroniska underskrifter och avancerade elektroniska stämplar i enlighet med artiklarna 27.5 och 37.5 i Europaparlamentets och rådets förordning (EU) nr 910/2014 om elektronisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden
Genomförandebeslutet innehåller tekniska specifikationer för att underlätta ömsesidigt erkännande mellan medlemsstaterna när det gäller avancerade elektroniska underskrifter och avancerade elektro- niska stämplar. I beslutets bilaga finns en förteckning över de tekniska specifikationerna.
Kommissionens genomförandeförordning (EU) 2015/1501 av den 8 september 2015 om interoperabilitetsramverket enligt artikel 12.8 i Europaparlamentets och rådets förordning (EU) nr 910/2014 om elektronisk identifiering och betrodda
tjänster för elektroniska transaktioner på den inre marknaden
Genomförandeförordningen innehåller regler om bland annat tek- niska minimikrav rörande tillitsnivåer och kartläggning av nationella tillitsnivåer för anmälda medel för elektronisk identifiering som ut- färdats inom ramen för anmälda system för elektronisk identifiering, tekniska minimikrav på interoperabilitet, minimuppsättningen av per- sonidentifieringsuppgifter som är unika för en fysisk eller juridisk person, gemensamma standarder för operativ säkerhet och bestäm- melser för tvistlösning.
I genomförandeförordningen finns krav, regler och definitioner för noder.
291
eIDAS – syfte och innebörd |
SOU 2017:114 |
I bilagan till genomförandeförordningen listas minimiuppsätt- ningen av personidentifieringsuppgifter som är unika för en fysisk eller en juridisk person. En minimiuppsättning av uppgifter för en fysisk person ska innehålla följande obligatoriska attribut: nuvarande efternamn, nuvarande förnamn, födelsedatum samt en unik identi- tetsbeteckning som satts samman av den utsändande medlemsstaten i enlighet med de tekniska specifikationerna för gränsöverskridande identifiering och som är mest beständig i tid. En minimiuppsättning för en fysisk person kan dessutom innehålla ett eller flera av följande ytterligare attribut: förnamn och efternamn vid födseln, födelseort, nuvarande adress och kön.
En minimiuppsättning av uppgifter för en juridisk person ska inne- hålla följande obligatoriska attribut: nuvarande juridiska namn och en unik identitetsbeteckning som satts samman av den utsändande medlemsstaten i enlighet med de tekniska specifikationerna för gräns- överskridande identifiering och som är mest beständig i tid. En minimi- uppsättning av uppgifter för en juridisk person kan dessutom innehålla ett eller flera ytterligare attribut, t.ex. nuvarande adress, momsregistrer- ingsnummer, skatteregistreringsnummer m.m.
Kommissionens genomförandeförordning (EU) 2015/1502 av den 8 september 2015 om fastställande av tekniska minimi- specifikationer och förfaranden för tillitsnivåer för medel för elektronisk identifiering i enlighet med artikel 8.3 i Europa- parlamentets och rådets förordning (EU) nr 910/2014 om elektronisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden
Genomförandeförordningen beskriver specifikationer och övrigt för tillitsnivåerna låg, väsentlig och hög för medel för elektronisk identi- fiering utfärdade inom ett anmält system för elektronisk identifiering.
I bilagan till förordningen finns specificerat vad som krävs för att uppnå respektive tillitsnivå vid olika skeden i processerna för inskriv- ning, hantering av medel för elektronisk identifiering, autentisering, hantering och organisation.
292
SOU 2017:114 |
eIDAS – syfte och innebörd |
Kommissionens genomförandebeslut (EU) 2015/1505 av den 8 september 2015 om fastställande av tekniska minimi- specifikationer och format rörande förteckningar över betrodda tjänsteleverantörer i enlighet med artikel 22.5 i Europaparlamentets och rådets förordning (EU) nr 910/2014 om elektronisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden
Enligt genomförandebeslutet ska medlemsstaterna upprätta, offentlig- göra och underhålla förteckningar över betrodda tjänsteleverantörer med uppgifter om kvalificerade tillhandahållare av betrodda tjänster som står under medlemsstaternas tillsyn, liksom uppgifter om de kva- lificerade betrodda tjänster som dessa tillhandahåller. Dessa förteck- ningar ska uppfylla de tekniska specifikationer som anges i bilaga I till genomförandebeslutet.
Kommissionens genomförandebeslut (EU) 2015/1984 av den 3 november 2015 om förutsättningar, format och förfaranden för anmälan enligt artikel 9.5 i Europaparlamentets och rådets förordning (EU) nr 910/2014 om elektronisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden
I genomförandebeslutet finns bestämmelser om hur medlemsstaterna ska gå till väga för att anmäla ett system för elektroniska identitets- handlingar till kommissionen. Anmälan ska göras på engelska och det ska ske elektroniskt genom det formulär som finns i bilagan till genomförandebeslutet.
293
eIDAS – syfte och innebörd |
SOU 2017:114 |
Kommissionens genomförandebeslut (EU) 2016/650 av den 25 april 2016 om fastställande av standarder för säkerhets- bedömning av kvalificerade anordningar för skapande av elektroniska underskrifter och stämplar enligt artiklarna 30.3 och 39.2 i Europaparlamentets och rådets förordning
(EU) nr 910/2014 om elektronisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden
I bilagan till genomförandebeslutet förtecknas de standarder för säkerhetsbedömning av informationsteknikprodukter som gäller för certifiering av kvalificerade anordningar för skapande av elektroniska underskrifter eller kvalificerade anordningar för skapande av elektro- niska stämplar i de fall de uppgifter som genereras för skapande av elektroniska underskrifter eller av elektroniska stämplar bevaras i en helt, men inte nödvändigtvis uteslutande, användarskött miljö.
16.7Fonden för ett sammanlänkat Europa – CEF
Förordningen 1316/20138 reglerar Fonden för ett sammanlänkat Euro- pa (Connecting Europe Facility – CEF). Enligt artikel 1 ska fonden fastställa villkor, metoder och förfaranden för tillhandahållande av finansiellt stöd från unionen till transeuropeiska nät i syfte att främja projekt av gemensamt intresse inom sektorerna för
•eDelivery som är en digital meddelandetjänst,
•eID som är elektroniska identitetshandlingar,
•eInvoicing som är elektronisk fakturering,
8 Europaparlamentets och Rådets förordning (EU) nr 1316/2013 av den 11 december 2013 om inrättande av Fonden för ett sammanlänkat Europa, om ändring av förordning (EU) nr 913/2010 och om upphävande av förordningarna (EG) nr 680/2007 och (EG) nr 67/2010.
9 https://ec.europa.eu/cefdigital/wiki/display/CEFDIGITAL/CEF+Digital+Home,
294
SOU 2017:114 |
eIDAS – syfte och innebörd |
•eSignature som är elektroniska underskrifter,
•eTranslation som är digital översättning.
På webbplatsen för byggstenen eID finns information om hur frågor om gränsöverskridande identifiering och den digitala marknaden drivs inom EU. Webbplatsen ger ett europeiskt perspektiv på hur systemet är tänkt att fungera.10
På webbplatsen förklaras vilka aktörer som är inblandade i olika skeden, fördelarna
10 https://ec.europa.eu/cefdigital/wiki/display/CEFDIGITAL/eID,
295
17Europeiska elektroniska identitetshandlingar
i svenska
17.1Beskrivning av processen
När en användare identifierar sig i en
Beskrivningen av processen nedan ger en förenklad bild av vad som händer när en användare identifierar sig i en
17.1.1Identifiering med svensk elektronisk identitetshandling
När en användare identifierar sig i en svensk
297
Europeiska elektroniska identitetshandlingar i svenska |
SOU 2017:114 |
identitetsintyget då av någon annan än utfärdaren av den elektroniska identitetshandlingen.
Svensk
?
Begäran om identitetsintyg
Leverans av identitetsintyg
Svensk utfärdare
17.1.2Identifiering med utländsk elektronisk identitetshandling
När en användare identifierar sig i en svensk
298
SOU 2017:114 |
Europeiska elektroniska identitetshandlingar i svenska |
titetsbeteckning. Det kan också innehålla några ytterligare attribut.1 Identitetsintyget levereras tillbaka från utfärdaren via den utländska noden till den svenska noden. Den svenska noden kan antingen leverera identitetsintyget direkt till tillhandahållaren av
För att få tillgång till svenska offentliga myndigheters
Om någon försöker identifiera sig med en utländsk elektronisk identitetshandling som inte är godkänd enligt
1Kommissionens genomförandeförordning (EU) 2015/1501 av den 8 september 2015 om interoperabilitetsramverket enligt artikel 12.8 i Europaparlamentets och rådets förordning (EU) nr 910/2014 om elektronisk identifiering och betrodda tjänster för elektroniska tran- saktioner på den inre marknaden.
2Skatteverkets promemoria från den 24 oktober 2016, Koppling mellan europeiska
299
Europeiska elektroniska identitetshandlingar i svenska |
SOU 2017:114 |
Svensk
?
Begäran om identitetsintyg |
Leverans av identitetsintyg |
|
(eventuellt berikat) |
Svensk nod |
Kopplingsregister |
|
Utländsk
nod
Utländsk utfärdare
17.1.3Skatteverkets rapport,
centralt kopplingsregister eller inte?
Konsekvenserna för de svenska offentliga myndigheterna av skyldig- heten att erkänna utländska elektroniska identitetshandlingar i sina e- tjänster kan komma att variera beroende på om det skapas ett centralt kopplingsregister eller inte.
Enligt Skatteverkets förslag om kopplingsregister ska den svenska noden förmedla till den offentliga myndigheten om koppling finns eller inte. De offentliga myndigheterna måste kunna lita på att det är samma person bakom den utländska elektroniska identitetshandlingen som bakom det svenska person- eller samordningsnumret. Annars blir kopplingsregistret inte användbart. För att få en koppling registrerad
300
SOU 2017:114 |
Europeiska elektroniska identitetshandlingar i svenska |
ska det därför krävas samma grad av säkerhet som vid utfärdandet av en fysisk identitetshandling. Det innebär enligt Skatteverket att kopp- ling kan registreras först efter noggrann kontroll som kan genomföras på tre sätt.
För att få till stånd en elektronisk lösning kan Sverige i bilaterala avtal komma överens med främst de andra nordiska länderna om att den elektroniska identitetshandlingen ska innehålla personnummer eller motsvarande som kan jämföras med redan registrerade upp- gifter i folkbokföringsdatabasen. Ett alternativt sätt som också ger en elektronisk lösning är att användaren först identifierar sig med en redan registrerad elektronisk identitetshandling och därefter kopplar ytterligare en elektronisk identitetshandling till sitt personnummer eller styrkta samordningsnummer. För de användare som inte kan få en koppling registrerad elektroniskt finns slutligen alternativet att användaren inställer sig fysiskt för identifiering hos en registrerande offentlig myndighet.
Om det inte finns ett centralt kopplingsregister kommer varje offentlig myndighet att själv behöva ha en beredskap för att göra mot- svarande kopplingar. Det varierar mellan de offentliga myndigheterna hur stora säkerhetskrav de har, hur mycket de använder sig av
En stor risk med att inte tillhandahålla ett centralt kopplingsregis- ter är att de offentliga myndigheterna kan göra olika bedömningar av om koppling mellan en utländsk elektronisk identitetshandling och ett svenskt person- eller samordningsnummer ska göras. Användaren kan då släppas in i vissa
Det finns också risk för att varje offentlig myndighet då behöver en egen registerförfattning för att hålla ett eget register när flödet av identifieringar med utländska elektroniska identitetshandlingar ökar.
301
Europeiska elektroniska identitetshandlingar i svenska |
|
|
SOU 2017:114 |
|||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Svenska
?
Begäran om identitetsintyg |
Leverans av identitetsintyg |
Svensk nod
Utländsk
nod
Utländsk utfärdare
17.1.4Personuppgiftsbehandling i processen
I all användning av elektroniska identitetshandlingar förekommer be- handling av personuppgifter. I och med ikraftträdandet av dataskydds- förordningen3 ställs nya krav på alla aktörer som utför behandling av personuppgifter. Offentliga myndigheter som har
3 Europaparlamentet och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).
302
SOU 2017:114 |
Europeiska elektroniska identitetshandlingar i svenska |
lingar, såsom utfärdare av elektroniska identitetshandlingar och ut- färdare av identitetsintyg.
För att ta ställning till vilken aktör som ska ha personuppgifts- ansvar behöver redas ut vilka parter som är aktuella, vilka personupp- gifter som behandlas, och vem som kan uppfylla kraven som följer med personuppgiftsansvar.
Skatteverket har i sin rapport om kopplingsregister föreslagit att Skatteverket ska vara personuppgiftsansvarig för behandlingar av per- sonuppgifter i kopplingsregistret. Skatteverket har också föreslagit att
17.2Konsekvenser för de svenska offentliga myndigheterna av att erkänna europeiska elektroniska identitetshandlingar och underskrifter i sina
17.2.1
4Här förutsätter utredningen att det i praktiken blir den nya digitaliseringsmyndigheten som väntas ta över
5www.elegnamnden.se/omoss/enkater,
303
Europeiska elektroniska identitetshandlingar i svenska |
SOU 2017:114 |
Av de svar som har kommit in 2017 drar
I 40 procent av de offentliga myndigheterna finns
Enkätsvaren visar också att det finns behov av kvalificerade elek- troniska underskrifter, samt behov av elektroniska stämplar och tids- stämplingar.
De tio organisationer som har störst transaktionsvolymer när det gäller elektronisk identifiering och elektroniska underskrifter är Skatte- verket, Försäkringskassan, 1177.se, Arbetsförmedlingen, Centrala studiestödsnämnden, Stockholms stad, Pensionsmyndigheten, Bo- lagsverket, Jönköpings kommun och Sundsvalls kommun.
De
Som exempel på möjliga framtida användningsområden för euro- peiska elektroniska identitetshandlingar anges:
•Ansökan om kontaktfamilj, familjehem, språkvän,
•Ansökan om stipendium,
•Beställa betyg,
•Ansökan om arbetstillstånd,
•Inrapportering till Finansinspektionen,
•Utländska jägare,
304
SOU 2017:114 |
Europeiska elektroniska identitetshandlingar i svenska |
•Ansöka om elektronisk identitetshandling inom högskolesektorn,
•Tillstånd om att få ställa ut container och annat begagnande av offentlig plats,
•Ansöka om tillstånd för skolverksamhet,
•Intresseanmälningar av olika slag,
•Lämna synpunkter, göra felanmälan,
•Boka lokal.
De offentliga myndigheter som har svarat på frågor om framtida tänkbara transaktionsvolymer av utländska
17.2.2Vad säger de offentliga myndigheterna själva?
Utredningen har under utredningstiden träffat företrädare för offent- liga myndigheter av olika slag och storlek för att få en uppfattning om vad de själva ser för konsekvenser av
Konsekvenserna av
En direkt konsekvens för de tillfrågade offentliga myndigheterna är behovet av att anpassa sina berörda
Flera offentliga myndigheter efterfrågar besked om huruvida reger- ingen avser att gå vidare med utvecklingen av ett centralt kopplings- register eller Skatteverkets förslag om kopplingsregister. Konsekven-
305
Europeiska elektroniska identitetshandlingar i svenska |
SOU 2017:114 |
serna för dessa offentliga myndigheter varierar mycket beroende av om det kommer att finnas en gemensam lösning eller inte.
Konsekvenserna av
Även harmonisering av viss lagstiftning inom EU bedöms nöd- vändig, t.ex. dataskyddsförordningen6 möjliggör en samsyn gällande personuppgiftshanteringen i alla medlemsländer. Det inbegriper frå- gor om lagring av personuppgifter för utländska användare som an- vänder svenska
I flera avseenden är konsekvenserna svåra att överblicka eftersom det är oklart vilken hållning regeringen kommer att inta till vilken nivå av service svenska offentliga myndigheter ska hålla. Det gäller t.ex. språkliga anpassningar av
Konsekvenserna beskrivs också medföra möjligheter till förbätt- ring. Offentliga myndigheter kan med hjälp av
6 Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).
306
SOU 2017:114 |
Europeiska elektroniska identitetshandlingar i svenska |
myndigheterna gemensamt levererar
Möjlighet till fler
De offentliga myndigheterna identifierar särskilt en potential för gränsöverskridande
17.3Omfattningen av kravet på erkännande
När det gäller bedömningar av hur förordningstexten ska tolkas är det svårt att förutspå den rättsliga utvecklingen. Utredningen kan analy- sera vissa frågor, göra avvägningar av alternativa tolkningssätt och även lämna rekommendationer för hur utredningen anser att offentliga myndigheter bör förbereda sig och agera när användare vill identifiera sig i deras
17.3.1Vem ska erkänna den elektroniska identitetshandlingen?
Utredningen bedömer:
att varje offentlig myndighet som tillhandahåller en
I artikel 6 i
307
Europeiska elektroniska identitetshandlingar i svenska |
SOU 2017:114 |
hållanden ska erkännas i den första medlemsstaten för gränsöver- skridande autentisering för att få åtkomst till en nättjänst. Det speci- ficeras inte vem som har skyldighet att erkänna den elektroniska identitetshandlingen. Det kan vara medlemsstaten i fråga eller varje myndighet i medlemsstaten.
Det finns inte någon central funktion för erkännande i Sverige. Det har enligt utredningens vetskap inte heller lyfts några förslag om en sådan funktion. I praktiken blir det därför varje
Om de offentliga myndigheterna i Sverige är dåligt förberedda när användare med europeiska elektroniska identitetshandlingar vill iden- tifiera sig är det möjligt att
17.3.2När krävs det att utländska elektroniska identitetshandlingar ska erkännas?
Utredningen bedömer:
att utländska godkända elektroniska identitetshandlingar ska er- kännas när det enligt svensk rätt eller den offentliga myndighetens administrativa förfaranden krävs en elektronisk identitetshandling för att få åtkomst till en
Enligt artikel 6 om ömsesidigt erkännande ska utländska godkända elektroniska identitetshandlingar erkännas när det enligt nationell rätt eller nationella administrativa förfaranden krävs elektronisk identi- tetshandling för att få åtkomst till en
Om det finns nationella författningskrav på att elektronisk iden- titetshandling ska användas för att få åtkomst till
308
SOU 2017:114 |
Europeiska elektroniska identitetshandlingar i svenska |
elektronisk identitetshandling för att få åtkomst till en
Det finns exempel på
17.3.3Vad innebär erkännandet?
Utredningen bedömer:
att målsättningen bör vara att erkännande av utländska elektroniska identitetshandlingar i svenska offentlig myndigheters
att erkännandet ska avse identifieringen men inte den slutliga åtkomsten till
att om användaren inte ges tillträde till
Det finns olika uppfattningar i medlemsstaterna om vad det ömse- sidiga erkännandet innebär. Att erkänna en elektronisk identitets- handling kan innebära att användaren hälsas välkommen till den
309
Europeiska elektroniska identitetshandlingar i svenska |
SOU 2017:114 |
offentliga myndighetens
Utredningen anser att målsättningen bör vara att erkännande av utländska elektroniska identitetshandlingar i svenska offentliga myn- digheters
I skäl 14 till
En användare med svensk elektronisk identitetshandling har inte användning av alla svenska
På samma sätt kan offentliga myndigheter begränsa användare med utländska elektroniska identitetshandlingar om det inte finns någon relation som visar att användaren har behov av att använda en
De offentliga myndigheterna behöver också analysera sin roll och sina
310
SOU 2017:114 |
Europeiska elektroniska identitetshandlingar i svenska |
I svenska offentliga myndigheters
I de fall användaren inte har något svenskt personnummer eller inte med tillräcklig säkerhet kan bekräfta det använda personnumret kan kravet på erkännande enligt utredningens mening inte innebära att användaren ska ges tillträde till
Kravet på erkännande bör ändå i praktiken leda till att den svenska offentliga myndigheten hälsar användaren välkommen och informe- rar om vad som gör att användaren inte kan ges tillträde och vad som krävs för att kunna ges tillträde. Användaren bör också i förekom- mande fall kunna hänvisas till den instans som kan hjälpa till med t.ex. en koppling.
Detta är i praktiken det som brukar benämnas väntrum i eIDAS- sammanhang. Utredningens uppfattning är att det är viktigt att dessa väntrum inte blir återvändsgränder utan att användaren får den information som behövs för att kunna ta ärendet vidare.
Frågan om vad erkännandet innebär har analyserats i olika sam- manhang. I Sverige är, enligt utredningens mening, den allmänna uppfattningen att erkännandet ska avse identifieringen men inte den slutliga åtkomsten till
7 eSam:s vägledning, Juridisk vägledning för införande av
311
Europeiska elektroniska identitetshandlingar i svenska |
SOU 2017:114 |
17.3.4Vad säger de andra medlemsstaterna?
Utredningen har under utredningstiden träffat företrädare för några av de andra medlemsstaterna8 bland annat för att få en bild av deras uppfattning om hur
Danmark
Danmark håller på att utveckla en
I Danmark avser man att utveckla ett gemensamt centralt väntrum för utländska användare. Detta arbete är dock fortfarande i analys- stadiet. Det kan komma att bli två väntrum, ett för privatpersoner och ett för företag. Väntrummet är tänkt för myndigheter som har e- tjänster och som inte vill hantera väntrumsfrågan individuellt.
Det kommer att bero på varje myndighet som har
I Danmark är folkbokföringssystemet förhållandevis likt det svenska med mycket beständiga s.k.
Danmark kommer inte att anmäla sin nationella elektroniska identitetshandling inom de närmsta åren eftersom man håller på att implementera ett nytt system för elektroniska identitetshandlingar.
8 När utredningen använder begreppet medlemsstaterna avses även Norge, Island, Lichten- stein och Schweiz som har skrivit avtal om att också få ingå i regelverket.
312
SOU 2017:114 |
Europeiska elektroniska identitetshandlingar i svenska |
Finland
I Finland är det obligatoriskt enligt lag att alla offentliga organ använ- der befolkningsregistrets officiella lösning för elektronisk identifier- ing. Fr.o.m. september 2018 kommer befolkningsregistret i Finland att skicka utländska användares attribut enligt
Finland kommer att ha en speciallösning för de myndigheter som inte hinner förbereda sig i tid genom att använda säker elektronisk post speciellt till de utländska användare som vill ha tillträde till dessa
Finland avser inte att utveckla någon särskild kopplingslösning till sitt nationella identitetsnummer. Man har i Finland startat ett projekt för att utveckla nästa generations identitetsnummer som ska inkludera biometri för att förebygga identitetsstölder. Finland anser sig inte ha kapacitet att klara en central kopplingsservice, vare sig för utländska användare eller för finska användare som bor utomlands. Koppling får i stället utföras lokalt av varje tillhandahållare av
Man planerar inte heller något centralt väntrum. Myndigheterna ska agera enligt befintliga regler och förfaranden för att tilldela finska identitetsnummer till
Varje myndighet som har
Finland kommer inte att använda pseudonym. Man väntar sig att medlemsstaterna behandlar information om identitetsnummer kon- fidentiellt och i enlighet med dataskyddsförordningen.
Det finska identitetsnumret är mycket beständigt och ändras bara vid t.ex. identitetsstöld eller könsbyte. Det är omöjligt att samma person från Finland har flera identitetsnummer.
Nederländerna
I Nederländerna planerar man att erkänna och ge anmälda utländska elektroniska identitetshandlingar i kombination med att individen har ett holländskt identitetsnummer tillträde till önskade
313
Europeiska elektroniska identitetshandlingar i svenska |
SOU 2017:114 |
jämför attributen i den utländska elektroniska identitetshandlingen med uppgifter i folkbokföringen. Både minimi- och valfria attribut kommer att jämföras.
I Nederländerna kommer det inte att finnas väntrum. För att få tillgång till en offentlig
Språkanpassningar diskuteras nu men är ännu inte fastställt vad som ska krävas av respektive myndighet.
Nederländerna kommer att använda sig av pseudonymer. Neder- ländska personidentifieringsnummer är livslånga i persistens.9 Det är omöjligt att en individ kan ha flera holländska personidentifierings- nummer.
Norge
Utredningen har fått ta del av en norsk rapport från Skatteetaten där frågan om en central kopplingstjänst och det norska förhållnings- sättet till
En utgångspunkt för det norska anpassningsarbetet är skäl 14 i
Norge vill utveckla möjligheterna med bilaterala överenskommel- ser med i första hand de andra nordiska länderna. Man ser dels att det säkerhetsmässigt skulle fungera eftersom de nordiska länderna har liknande system med mycket persistenta identitetsnummer, dels att en stor del av användarbehovet skulle kunna täckas eftersom många av situationerna med gränsöverskridande identifiering kommer att gälla användare som bor i gränstrakter mellan de nordiska länderna.
Det har övervägts om det skulle gå att automatiskt rekvirera s.k.
9Med persistens avses i detta sammanhang att numret ska vara detsamma så att man kan lita på att individen är densamma, helst under hela sin livstid.
10Skatteetatens rapport,
314
SOU 2017:114 |
Europeiska elektroniska identitetshandlingar i svenska |
till något ställningstagande. Se utredningens bedömning av denna fråga i Sverige i avsnitt 17.5.
För de användare som inte har en elektronisk identitetshandling från ett land Norge har ingått ett bilateralt avtal med, väntar inled- ningsvis väntrum.
Tyskland
Den tyska infrastrukturen är decentraliserad.
Man bedömer att tyska och engelska räcker som språk.
I Tyskland används pseudonymer redan nationellt och det är naturligt att göra det också inom vid gränsöverskridande identifiering.
Det finns ingen motsvarighet till personnummer i Tyskland och ingen liknande persistens. Det nationella personidentifieringsnumret kommer därför att ändras varje gång en person byter elektronisk identitetshandling. Man får bara ha en elektronisk identitetshandling åt gången.
Österrike
I Österrike har man erkänt utländska elektroniska identitetshandlingar sedan 2008. Infrastrukturen är därför redan förberedd för eIDAS- förordningens krav. Inkommande utländska användare registreras i ett kompletterande register och tilldelas ett unikt identifieringsnummer. De får också en pinkod för att man ska kunna identifiera samma per- son igen.
Österrike ser inget skäl att inte ge utländska användare tillgång till
En koppling mellan en utländsk elektronisk identitetshandling och en österrikisk identitet som inte är självklar kan behöva manuell behandling. Det kan gälla t.ex. om det finns flera träffar i det kom- pletterande registret eller vid andra oklarheter.
Den österrikiska noden klarar engelska och tyska. När det gäller
315
Europeiska elektroniska identitetshandlingar i svenska |
SOU 2017:114 |
Österrike använder redan pseudonymer också nationellt. Det österrikiska identifieringsnumret är livslångt i persistens. Man kan bara ha ett österrikiskt identifieringsnummer.
17.4Verksamhetsmässiga konsekvenser
Alla offentliga myndigheter som har
17.4.1De offentliga myndigheterna bör agera försiktigt
Utredningen bedömer:
att de offentliga myndigheterna bör avstå från att göra egna kopp- lingar mellan utländska elektroniska identitetshandlingar och svenska person- och samordningsnummer.
Som tidigare har beskrivits ovan bör medvetenhet om informations- säkerhet prägla de offentliga myndigheternas anpassningar och bered- skap. I varje steg av anpassning måste de offentliga myndigheterna analysera eventuella risker och konsekvenser av förändringen.
Utredningen anser att de offentliga myndigheterna bör avstå från att göra egna kopplingar mellan utländska elektroniska identitets- handlingar och svenska person- eller samordningsnummer. De offent- liga myndigheterna får uppgifter om användarens för- och efternamn samt födelsedatum i identitetsintyg. Om de även begär att användaren ska ange sitt svenska person- eller samordningsnummer kan den offentliga myndigheten själv göra en jämförelse med uppgifter ur folk- bokföringen (via Navet). Därefter kan den offentliga myndigheten bedöma om den vill ge användaren tillträde till
316
SOU 2017:114 |
Europeiska elektroniska identitetshandlingar i svenska |
Av säkerhetsskäl som har beskrivits av Skatteverket i sin rapport om kopplingsregister11 och även finns återgivna ovan menar utred- ningen dock att detta förfarande kan medföra stora risker. Innan det finns en central kopplingstjänst med erforderlig säkerhetsnivå för att koppla samman utländska elektroniska identitetshandlingar med svenska person- och samordningsnummer bör de offentliga myndig- heterna inte ge användarna tillträde till de
17.4.2Vad berörda offentliga myndigheter behöver göra
Utredningen bedömer:
att varje statlig myndighet, kommun och landsting som tillhanda- håller
•Planera för
•Förbereda meddelande om att den europeiska elektroniska identitetshandlingen är erkänd,
•Påbörja den tekniska integrationen,
•Avgöra vem som får göra vad i
•Överväga hur
•Förbereda informationsmeddelande om den svenska offentlig- hetsprincipen,
•Anpassa
•Informera berörda om eventuella förändringar.
11 Skatteverkets promemoria från den 24 oktober 2016, Koppling mellan europeiska
317
Europeiska elektroniska identitetshandlingar i svenska |
SOU 2017:114 |
Det finns vägledning från Fonden för ett sammanlänkat Europa i hur de offentliga myndigheterna kan gå tillväga för att förbereda sig för att ta emot europeiska elektroniska identitetshandlingar.12
Det de offentliga myndigheterna behöver göra för att förbereda sig har i flera sammanhang beskrivits av
Planera för
Varje
Slutligen behöver
Meddelande om att den elektroniska identitetshandlingen är erkänd
Tillhandahållarna av
12https://ec.europa.eu/cefdigital/wiki/display/CEFDIGITAL/Connect+a+public+or+
13
318
SOU 2017:114 |
Europeiska elektroniska identitetshandlingar i svenska |
vara om
Påbörja den tekniska integrationen
Avgör vem som får göra vad i
Tillhandahållare av
Det är viktigt att de offentliga myndigheterna inte avslutar de analoga möjligheter till service som redan finns. Om användaren inte kan ges tillträde till
Personidentitetsbegrepp i utländska elektroniska identitetshandlingar
Personidentitetsbegreppet i det utländska identitetsintyget är unikt och pekar på endast en individ. Däremot kan en individ med flera elektroniska identitetshandlingar ha flera olika personidentitetsbe- grepp. Många svenska
Tillhandahållare av
319
Europeiska elektroniska identitetshandlingar i svenska |
SOU 2017:114 |
svenskt personnummer eller styrkt samordningsnummer men innan det är på plats anser utredningen att de offentliga myndigheterna bör agera försiktigt, se avsnitt 17.4.1.
Förbered informationsmeddelande om den svenska offentlighetsprincipen
Enligt den svenska offentlighetsprincipen ska alla ha rätt att ta del av allmänna handlingar som inte är sekretessbelagda. Med allmän hand- ling menas varje handling, tryckt eller elektronisk, som är förvarad hos en offentlig myndighet, samt har inkommit till den offentliga myn- digheten utifrån eller har upprättats inom den offentliga myndigheten. I Sverige gäller som huvudregel att offentlighet råder för individers identitetsbegrepp, t.ex. personnummer och namn. Det innebär att vem som helst kan begära ut information där det förekommer iden- titetsbegrepp kopplade till andra individer än de själva.
I många av de andra medlemsstaterna är regleringen annorlunda. Där behandlas identitetsbegrepp med sekretess och användare från dessa länder kanske utgår från att behandlingen är densamma i Sverige. Därför anser utredningen att det innan identifieringsprocessen startar behöver finnas ett kort informationsmeddelande (standardi- serat textmeddelande) om offentlighetsprincipen i Sverige i de
Offentlighetsprincipen gäller naturligtvis redan i motsvarande ana- loga flöden. De offentliga myndigheterna borde därför även tillhanda- hålla informationen så att den når de individer som inte använder
Överväg
I
I artikel 2 i kommissionens genomförandebeslut 2015/296 anges att samarbetsspråket ska vara engelska om inte annat överenskom- mits med den berörda medlemsstaten. Det handlar där om inrättande
320
SOU 2017:114 |
Europeiska elektroniska identitetshandlingar i svenska |
av förfaranden för samarbete mellan medlemsstaterna, men det säger åtminstone något om vad som anses vara förstahandsval av språk mellan medlemsstaterna i
Därefter kan man utgå från de behov som väntas i respektive
Informera berörda
Tillhandahållare av
17.4.3Hur kan de offentliga myndigheterna erbjuda ännu bättre service?
Utredningen bedömer:
att de offentliga myndigheterna därefter kan vidareutveckla sin service gentemot utländska användare genom att:
•Fortsätta utveckla funktioner,
•Bygga vidare på servicen till de som inte ges tillträde,
•Erbjuda mer information på fler språk.
Efter att de offentliga myndigheterna vidtagit de åtgärder som är nödvändiga enligt det förra avsnittet bör de enligt utredningens mening överväga hur de kan erbjuda ännu bättre service till sina respektive användare. Det kräver individuella analyser genom t.ex. brukarundersökningar av varje verksamhet för att ta ställning till hur den offentliga myndigheten i fråga bäst hjälper de användare som är intresserade av deras
321
Europeiska elektroniska identitetshandlingar i svenska |
SOU 2017:114 |
Fortsätt utveckla funktioner
Med vetskap om vilka utländska användare som identifierar sig i
Bygg vidare på servicen till de som inte ges tillträde
Likaså när det gäller användare som inte kan ges tillgång till
Erbjud mer information på fler språk
Efter att ha sett till att tillhandahålla en basnivå av information och
Det kan förekomma olika språkbehov beroende av användarens val av språk, användarens val av elektronisk identitetshandling eller vad användaren verkligen vill göra i
Både
Webbplatsen verksamt.se har låtit konsultföretaget Stelacon analy- sera språkbehovet för sina
322
SOU 2017:114 |
Europeiska elektroniska identitetshandlingar i svenska |
andra
Mer information på engelska
Språket är en viktig komponent som företagare för att både kommu- nicera med kunder och relevanta myndigheter samt ta del av viktig information på ett effektivt sätt. De intervjuade företagarna indi- kerar att engelska är tillräckligt som språk, men att mer information bör finnas på engelska för att göra mer information tillgänglig. Stelacon rekommenderar att utöka informationsmängden som finns tillgänglig på engelska.
Enkel och orienterande information
Företag efterfrågar information som är lika enkel att förstå som enkel att hitta. Steg för
I tillägg till steg för
Bättre marknadsföring av verksamt.se
Sju av de elva intervjuade företagarna känner till webbportalen verk- samt.se. Av dessa har fyra använt sig av information på sidan och de är väldigt nöjda. Det finns därmed utrymme att både öka känne- domen om verksamt.se och öka användningen av webbplatsen.
323
Europeiska elektroniska identitetshandlingar i svenska |
SOU 2017:114 |
Stelacon rekommenderar därför en utförlig marknadsföringsstrategi för den engelska versionen av verksamt.se.14
17.4.4Regeringen ska utse färdledande offentliga myndigheter
Utredningen föreslår:
att regeringen utser ett antal färdledande offentliga myndigheter som i sitt agerande kan hjälpa andra offentliga myndigheter att anpassa sig till
För att skapa ytterligare vägledning till de offentliga myndigheterna föreslår utredningen att regeringen ska utse ett antal färdledande offentliga myndigheter som kan visa vägen och bistå andra liknande offentliga myndigheter med kunskap och erfarenhetsutbyte.
Det är viktigt att de offentliga myndigheterna representerar olika verksamhetssektorer och är av olika storlek. De färdledande offentliga myndigheterna behöver alla ha uppnått en viss mognad i digitaliser- ingsfrågor och dessutom ha kompetens och möjligheter att dela med sig av erfarenheter och expertis.
De färdledande offentliga myndigheterna behöver utgöras av minst en större statlig myndighet med mycket medborgarkontakt och väl utvecklade
De offentliga myndigheter som utses bör samverka om att ta fram material och stöd. Digitaliseringsmyndigheten kan också vara behjälp- lig i detta arbete.
14 Behovsanalys för engelskspråkiga sidorna på verksamt.se, en studie av Stelacon efter upp- drag från Tillväxtverket.
324
SOU 2017:114 |
Europeiska elektroniska identitetshandlingar i svenska |
17.5Bör processen för tilldelning av samordningsnummer till utländska medborgare på distans automatiseras?
Utredningen bedömer:
att för att uppnå ökad grad av automatisering i processen för tilldelning av samordningsnummer måste kraven på säker identi- tetskontroll av de enskilda individerna sänkas eller så behöver sam- ordningsnummersystemet ses över.
Enligt utredningens direktiv15 ska utredaren analysera och lämna för- slag på hur processen för tilldelning av samordningsnummer till ut- ländska medborgare på distans genom elektroniska identitetshand- lingar kan möjliggöras och automatiseras.
För att kunna ta ställning i denna fråga behövs först en genom- gång av vad samordningsnummer är, dess syfte och hur de har ut- vecklats sedan de infördes.
17.5.1Vad är samordningsnummer?
Samordningsnumret är konstruerat som ett personnummer men med sifferkombinationer som inte kan förekomma i ett personnum- mer på så sätt att siffrorna för dag adderas med 60. Motsvarigheten till personnumrets födelsenummer benämns i samordningsnumret in- dividnummer. Kontrollsiffran beräknas med samma metod som be- träffande personnumret. En man född den 3 oktober 1970 med indi- vidnummer 239 får följande samordningsnummer:
På motsvarande sätt som personnumren är samordningsnumren unika såtillvida att två identiska samordningsnummer inte förekom- mer. Om en individ med ett samordningsnummer senare blir folkbok- förd ersätts samordningsnumret med ett personnummer.16
I folkbokföringsförordningen17 finns bestämmelser om tilldel- ning av personnummer och samordningsnummer. Skatteverket får tilldela samordningsnummer på begäran av en statlig myndighet eller
15Dir. 2016:39.
16Prop. 2008/09:111 s. 27 f.
17SFS 1991:749, FOF.
325
Europeiska elektroniska identitetshandlingar i svenska |
SOU 2017:114 |
en utbildningsanordnare som har tillstånd att utfärda vissa examina18 och som i sin verksamhet behöver ett samordningsnummer för en individ för att undvika personförväxling eller för att utbyta infor- mation om individen med andra offentliga myndigheter eller organi- sationer. Skatteverket kan också på eget initiativ tilldela samordnings- nummer för registrering i beskattningsdatabasen.19
Samordningsnummer får tilldelas en individ om det inte råder osäkerhet om dennes identitet. I vissa fall kan dock samordnings- nummer tilldelas ändå, bl.a. om det behövs för vissa registreringar inom rättsväsendet, för registrering i beskattningsdatabasen eller för registrering i Migrationsverkets verksamhetsregister när det gäller individer som omfattas av lagen20 om mottagande av asylsökande m.fl.21 Det är den statliga myndighet eller det organ som begär att en individ ska tilldelas samordningsnummer som ska bedöma om identi- teten kan anses fastställd. Skatteverket får meddela närmare före- skrifter om de krav som ska ställas på identifieringen av en individ som ska tilldelas ett samordningsnummer.
En begäran om samordningsnummer ska innehålla uppgift om vilka handlingar som legat till grund för identifieringen och Skatte- verket får begära att dessa handlingar lämnas in till Skatteverket.22 Den statliga myndighet som begär ett samordningsnummer ska ange om det råder osäkerhet om någon uppgift som lämnas om individen.23
17.5.2Skälen för att samordningsnummer infördes
För varje folkbokförd individ fastställs enligt 18 § folkbokförings- lagen24 ett personnummer som identitetsbeteckning. En individ som inte är eller har varit folkbokförd får efter begäran från en statlig myndighet tilldelas ett särskilt nummer, samordningsnummer.
Syftet med folkbokföringen har beskrivits i förarbetena till reg- lerna om samordningsnummer. Folkbokföringens kanske viktigaste uppgift är att för olika samhällsfunktioner tillhandahålla basuppgifter
18Utfärdare enligt lagen (1993:792) om tillstånd att utfärda examina.
195 § FOF.
20SFS 1994:137.
215 a § FOF.
22Detta gäller dock inte då samordningsnummer ska tilldelas en person som omfattas av lagen (1976:661) om immunitet och privilegier i vissa fall.
236 § FOF.
24SFS 1991:481.
326
SOU 2017:114 |
Europeiska elektroniska identitetshandlingar i svenska |
om befolkningen i landet. För att det ska kunna fungera på ett kor- rekt och fullständigt sätt måste personnummer användas. Ett per- sonnummer som har fastställts efter identitetskontroll motverkar förväxling av individer och öppnar möjlighet för en säker överföring av tillförlitliga personuppgifter mellan olika användare. Bland annat mot den bakgrunden är det, enligt förarbetena, naturligt att person- nummer används inom folkbokföringen.
Bestämmelser om samordningsnummer infördes den 1 januari 2000 eftersom personnummer då reserverades för individer som är folkbokförda i Sverige. Tidigare tilldelades personnummer även till de individer som inte var folkbokförda. Den som rekvirerade person- nummer för individer som inte var folkbokförda skulle ange om identiteten hade styrkts med pass eller annan handling. Det ankom alltså på den rekvirerande myndigheten att göra identitetskontrollen.
Som skäl för införandet av samordningsnummer anfördes bland annat att ett system med enhetliga personbeteckningar kan behövas även utanför folkbokföringen. Tilldelningen av personnummer utan koppling till folkbokföring grundades på att flera statliga myndigheter ansåg sig behöva ett gemensamt samordningsbegrepp för bl.a. kom- munikation sinsemellan. Registreringen av personuppgifter omfattade ett mycket stort antal individer. Den berörde också viktiga områden, både för individen och samhället. Främst för att olika individer inte skulle förväxlas med varandra hade de statliga myndigheterna ett be- hov av att använda personnummer eller annan unik personbeteckning för registrerade individer.25
Enligt förarbetena var det otvivelaktigt så att personnumret kunde uppfattas som en sorts inträdesbiljett till samhället. Man ansåg att det kunde ifrågasättas om individer som inte var folkbokförda skulle ha den inträdesbiljett som personnumret innebär. Det kunde också uppfattas som stötande att brottslingar och brottsmisstänkta tilldelades personnummer. Dessa tillhörde också en kategori av indi- vider vars identitet ofta är svår att fastställa. Det var dock inte bara vid registrering inom rättsväsendet som det kunde finnas identi- fieringssvårigheter. Även för skatteområdet var underlaget för kon- troll av en individs identitet i många fall bristfälligt vid tilldelning av personnummer.
25 Prop. 1997/98:9 s. 77 f.
327
Europeiska elektroniska identitetshandlingar i svenska |
SOU 2017:114 |
Det konstaterades att om identitetskontrollen är otillräcklig kan följden bli att en individ tilldelas mer än ett personnummer. Det leder i sin tur till att individen kan uppträda under flera identiteter och förekomma med skilda nummer i olika register. Därmed för- svåras personkontrollen exempelvis vid inresa från utlandet, polisiära ingripanden, lagföring och straffverkställighet. Om en individ har ”dubbla identiteter” finns det också risk för att han eller hon kan uppbära dubbla bidragsförmåner samt undandra sig förpliktelser av olika slag. Regeringen ansåg att tilldelningen av personnummer måste grundas på en identitetskontroll som uppfyller höga anspråk på säker- het för att tilltron till personnumret som identifikationsbegrepp skulle upprätthållas.26
Det diskuterades vad ett nytt personidentitetsbegrepp skulle kallas och anfördes att av de beteckningar som föreslagits framstod samordningsnummer som bäst. Beteckningen är dock inte främst till för att utvisa en individs identitet varför beteckningen identitets- nummer kan vara missvisande. Registreringsnummer är inte heller bättre. Regeringen föreslog därför att det särskilda numret skulle benämnas samordningsnummer.
Tilldelningen av samordningsnummer skulle i första hand användas för de ändamål för vilka personnummer inte tilldelades. Regeringen såg inga hinder mot att låta även andra statliga myndigheter och verk- samhetsområden använda samordningsnummer men det anfördes samtidigt att en utvidgad tilldelning av samordningsnummer endast borde medges om det aktuella verksamhetsområdet behövde numret antingen för att undvika personförväxling eller för uppgiftsutbyte med andra myndigheter.27
När det gäller identifieringskravet anfördes bl.a. följande.28
Det är i likhet med vad som gäller för tilldelning av personnummer viktigt att en persons identitet är klarlagd när samordningsnummer till- delas. I dag görs kontrollen av en persons identitet i stor utsträckning av den myndighet som rekvirerar personnummer för en person som inte är folkbokförd. Identitetskontrollen bör enligt regeringens mening även fortsättningsvis ligga utanför folkbokföringen. Det är alltså den rekvire- rande myndigheten som har att fullgöra den kontrollen och så långt det är möjligt söka fastställa identiteten. Rekvisitionen av samordnings- nummer bör alltid innehålla uppgift om underlaget (pass, körkort, kon-
26Prop. 1997/98:9 s. 78 f.
27Prop. 1997/98:9 s. 80.
28Prop. 1997/98:9 s. 82 f.
328
SOU 2017:114 |
Europeiska elektroniska identitetshandlingar i svenska |
takter med utländska instanser m.m.) för myndighetens identitets- kontroll. Rekvirerande myndighets bedömning av personens identitet och lämnade uppgifter skall också anges. För flertalet myndigheter som kommer att rekvirera samordningsnummer torde det inte heller inne- bära några problem att en persons identitet skall vara fastställd. För polismyndigheterna och skattemyndigheterna kan det dock innebära vissa komplikationer.
Man fick enligt regeringens mening godta att en individs identitet kunde vara oklar när det gäller tilldelning av samordningsnummer för registrering inom rättsväsendets register och i skatteregister. Sam- tidigt måste de rekvirerande statliga myndigheterna sträva efter att i största möjliga utsträckning fastställa den enskildes identitet.
Det anfördes vidare att när fråga uppkommer om att tilldela sam- ordningsnummer för persongrupper som inte tidigare hade tilldelats personnummer borde kravet på säker identifiering särskilt uppmärk- sammas. Regelmässigt borde identitets- och uppgiftskontrollen ligga hos den statliga myndighet som rekvirerar samordningsnumret.29
17.5.3Utvecklingen av samordningsnummer
Knappt tio år efter att samordningsnummer infördes i Sverige stod samma principer kvar när det bl.a. övervägdes om samordningsnum- mer skulle bytas ut mot något annat. Regeringen anförde då att i lik- het med vad som gäller för personnummer är det viktigt att en individs identitet är klarlagd när han eller hon får ett samordnings- nummer. Individens identitet ska därför som huvudregel vara fast- ställd även för att denne ska kunna tilldelas ett samordningsnummer.
När det gäller individer som ska registreras i beskattningsdata- basen och inom rättsväsendet görs dock undantag från kravet att identiteten ska vara fastställd. Omkring 60 procent av de samord- ningsnummer som tilldelas under ett år tilldelas individer tillhörande dessa grupper.30
Person- och samordningsnumren är personbeteckningar vars syf- ten huvudsakligen är att undvika personförväxling och att underlätta informationsutbyten om individer. Inga rättsverkningar är direkt knutna till att en individ har en personbeteckning. För att olika be-
29Prop. 1997/98:9 s. 83 f.
30Prop. 2008/09:111 s. 27.
329
Europeiska elektroniska identitetshandlingar i svenska |
SOU 2017:114 |
stämmelser ska vara tillämpliga kan det däremot krävas att individen har en viss anknytning till landet. Ofta krävs folkbokföring, det vill säga att individen är bosatt i landet i folkbokföringslagens mening, eller bosatt i landet enligt någon annan definition av bosättning. Det gäller exempelvis för flera socialförsäkringsförmåner. Den som är folkbokförd betraktas normalt som bosatt i landet enligt de defini- tioner av bosättning som finns och behöver därför oftast inte styrka sin bosättning på något annat sätt. Alla som är eller har varit folk- bokförda har ett personnummer.
I folkbokföringsdatabasen registreras ett stort antal uppgifter om individer som folkbokförs och därmed också får ett personnummer. Det finns också en skyldighet för individer och myndigheter att lämna uppgifter om nya eller ändrade förhållanden. Uppgifterna ska nor- malt vara styrkta för att Skatteverket ska registrera dem. Det är således möjligt för andra aktörer att kontrollera olika uppgifter om individer som är registrerade i databasen. Även individer som inte längre är folkbokförda i landet anmäler i stor utsträckning ändrade uppgifter till Skatteverket, exempelvis om barn som föds i utlandet och om ändrat civilstånd.
Det är däremot få uppgifter som registreras om individer med sam- ordningsnummer, många gånger är uppgifterna inte heller styrkta. Möjligheterna att kontrollera uppgifter om dessa individer är därför mycket mindre. I och med att en stor andel av de individer som får ett samordningsnummer har en mycket svag anknytning till Sverige har de typiskt sett inte heller något intresse av att anmäla ändringar i de registrerade uppgifterna. Personnumret används inom i stort sett alla samhällssektorer. Samordningsnumret är mer okänt och inte lika vedertaget som personbeteckning. I
Det anförs vidare att det huvudsakliga syftet med samordnings- numret även i fortsättningen bör vara att tillgodose de statliga myn- digheternas behov av ett enhetligt nummer för att undvika person- förväxling och för att utbyta information med andra myndigheter och organisationer om individer som vistas tillfälligt här i landet eller som har rätt till olika förmåner utan att vistas här. Härutöver måste även beaktas samordningsnumrens funktion ur individens perspektiv. Det finns individer med samordningsnummer som vistas i Sverige under en inte helt kortvarig tid och bland dessa finns det individer med ett
330
SOU 2017:114 |
Europeiska elektroniska identitetshandlingar i svenska |
starkt behov av att ha en fungerande identitetsbeteckning för att kunna sköta sina vardagliga liv.31
17.5.4Tilldelning av samordningsnummer
Processen för tilldelning av samordningsnummer går alltså till så att Skatteverket tilldelar samordningsnummer på begäran av någon av de statliga myndigheter som räknas upp i 5 § folkbokföringsförord- ningen32 för vissa där angivna ändamål.
För att kunna rekvirera samordningsnummer måste den statliga myndigheten i fråga ha rätt att behandla uppgiften om samordnings- nummer, antingen med stöd av en särskild registerförfattning eller med stöd av dataskyddsförordningen.33 Kommuner och landsting samt andra företag och organisationer än utbildningsanordnare, exempelvis banker eller försäkringsbolag, ingår inte i kretsen som kan begära tilldelning av ett samordningsnummer. Individen har inte heller själv rätt att begära ett samordningsnummer.
Skatteverket samordnar hanteringen av samordningsnummer. Samtliga tilldelade samordningsnummer ingår i folkbokföringsdata- basen. Uppgifter tas inte bort eller gallras. Det ger möjlighet att kon- trollera om individen tidigare har tilldelats ett nummer och minskar risken för dubbla identiteter. Innan ett samordningsnummer tilldelas en individ kontrollerar Skatteverket att individen inte genom tidigare bosättning i landet eller av annan anledning har tilldelats personnum- mer eller samordningsnummer.
Av Skatteverkets meddelande, Skatteverkets information om be- gäran om tilldelning av samordningsnummer,34 framgår bl.a. att det måste ställas höga krav på identitetskontrollen vid tilldelning av sam- ordningsnummer. Detta främst med anledning av att en begäran om samordningsnummer kan komma från flera håll och med hänsyn till spridningen av numren i samhället genom SPAR.35 Under förutsätt-
31Prop. 2008/09:111 s. 29 f.
32SFS 1991:749.
33Innan maj 2018 med stöd av personuppgiftslagen, SFS 1998:204.
34SKV M 2010:3.
35Statens personadressregister, SPAR, är ett offentligt register som omfattar alla personer som är folkbokförda i Sverige, både svenska och utländska medborgare. I registret ingår även personer som erhållit samordningsnummer och vars identitet är fastställd. Uppgifterna i SPAR uppdateras varje dygn med uppgifter från folkbokföringsregistret. Syftet med SPAR är att lämna ut uppgifter elektroniskt under förutsättning att mottagaren uppfyller vissa villkor.
331
Europeiska elektroniska identitetshandlingar i svenska |
SOU 2017:114 |
ning att underlaget är korrekt och fullständigt kommer det inte att finnas mer än ett nummer för individen. Brister i identitetskon- trollen kan däremot få till följd att en och samma individ kan få flera samordningsnummer. Det är den rekvirerande statliga myndigheten som har ansvar för att identiteten är kontrollerad. I Skatteverkets meddelande anges vilka uppgifter som krävs för att en individs iden- titet ska anses vara fastställd och vilka handlingar som ska bifogas. I meddelandet ges också rekommendationer om vad den rekvirerande statliga myndigheten bör beakta vid fastställande av identiteten. Bland annat ska handlingen som ligger till grund för bedömningen visas upp i original eller vidimerad kopia, att denna är utfärdad av en myndighet och innehåller uppgift om en i hemlandet etablerad och registrerad identitet. Handlingen får inte heller vara av alltför enkel beskaffenhet eller lätt att förfalska. Det finns inte något krav på att kontrollen av identiteten ska göras genom ett personligt möte mellan den rekvire- rande statliga myndigheten och den som ska tilldelas ett samord- ningsnummer.
17.5.5Samordningsnumrens syfte
Samordningsnummer har införts och utvecklats för att myndigheter inom sina respektive verksamheter och sinsemellan ska kunna han- tera individer som inte är folkbokförda i Sverige. Myndigheterna behöver veta att det är samma individ som avses oavsett i vilket ärende individen har kontakt med myndigheten. De statliga myndigheter som har rätt att rekvirera samordningsnummer kan också behöva kommunicera med varandra när det gäller dessa individer. Systemet är utformat utifrån de statliga myndigheternas perspektiv och av- sikten med samordningsnummer har från början varit att tillgodose de statliga myndigheternas behov, inte individernas.
Det finns därför i dagsläget inte möjlighet för kommuner, lands- ting, företag eller individer att rekvirera samordningsnummer.
Eftersom det är den rekvirerande statliga myndighetens behov av samordningsnummer som styr tilldelningen är det också den rekvire- rande statliga myndigheten som ansvarar för identifieringen av indivi- den. Det är avgörande att identifieringen genomförs med hög kvalitet och att de samordningsnummer som tilldelas, i så hög grad som möj- ligt, är styrkta. Som systemet är uppbyggt nu måste varje ny aktör
332
SOU 2017:114 Europeiska elektroniska identitetshandlingar i svenska
som tillåts rekvirera samordningsnummer också kunna ansvara för identifieringen.
Det har uppmärksammats bl.a. av Utredningen om organiserad och systematisk ekonomisk brottslighet mot välfärden att samord- ningsnummer kan användas i bedrägligt syfte. Av utredningens kart- läggning framgår t.ex. att flera statliga myndigheter uppmärksammat att falska uppgifter lämnas i syfte att få samordningsnummer som i sin tur kan leda till utbetalningar från välfärdssystemen. 36 Att en individ har tilldelats ett samordningsnummer innebär inte att denne tillförsäkras några rättigheter i sig. Däremot kan det finnas ett behov av samordningsnummer för handläggning av förmåner som ska be- talas ut till en individ som inte är folkbokförd i landet men där förut- sättningarna för ersättningen i övrigt är uppfyllda.37
17.5.6Automatisering av processen
Utredningen har i uppdrag att analysera hur processen för tilldelning av samordningsnummer till utländska medborgare på distans genom elektronisk identifiering kan möjliggöras och automatiseras. Beroende av hur man ser på begreppet automatisering kan det redan hävdas att processen är automatiserad. Den kan åtminstone skötas elektroniskt i flera delar.
Processen inleds genom kontakt mellan en utländsk användare och en svensk statlig myndighet. Om användaren har ett svenskt person- nummer eller styrkt samordningsnummer kan den statliga myndig- heten få vetskap om en relation finns sedan tidigare. Om användaren är i färd med att etablera en relation och den statliga myndigheten anser det behövligt kan den statliga myndigheten rekvirera ett samordningsnummer från Skatteverket. Den statliga myndigheten ansvarar då för att identifiera användaren och Skatteverket bedömer om individen kan tilldelas ett styrkt eller ostyrkt samordningsnum- mer. Som tidigare beskrivits finns det inte något krav på ett personligt möte för identitetskontrollen mellan den rekvirerande statliga myndigheten och den som ska tilldelas ett samordningsnummer. Den
36SOU 2017:37 Kvalificerad välfärdsbrottslighet – förebygga, förhindra, upptäcka och beivra, s. 248.
37SOU 2017:37 Kvalificerad välfärdsbrottslighet – förebygga, förhindra, upptäcka och beivra, s. 293.
333
Europeiska elektroniska identitetshandlingar i svenska |
SOU 2017:114 |
statliga myndigheten kan begära in kopior av identitetshandlingar från den enskilda individen och därefter, baserat på elektroniska kontakter och vad som förekommit i övrigt, vara nöjd med identitetskontrollen och rekvirera ett samordningsnummer.
Skatteverket har utvecklat en
Den identitetskontroll som beskrivs ovan är inte av den kvalitet som önskas för att samhällsfunktionerna ska kunna lita på att sam- ordningsnummersystemet fungerar som det ska. Det påverkar också folkbokföringens förmåga att upprätthålla god registerkvalitet. Det får till följd att ett styrkt samordningsnummer inte är av samma kva- litet som ett personnummer. Kraven på identitetskontrollen behöver därför snarare skärpas än att processen ska skyndas på genom ökad automatisering.
Om samordningsnummersystemet ska kunna stramas upp i öns- kad grad och samtidigt hålla ett högre tempo behöver systemet ses över och eventuellt göras om till något annat än vad det är i dag. Detta har uppmärksammats både av regeringen, Skatteverket och övriga rekvirerande statliga myndigheter. Skatteverket har lämnat flera för- slag om regelförändringar för att öka registerkvaliteten.38
Under sommaren 2017 fick Skatteverket ytterligare ett uppdrag från regeringen för att förbättra kunskapen och informationen om samordningsnummer. I uppdraget ingår också att analysera hur sam- ordningsnummer används i
När det gäller tilldelning av samordningsnummer ska Skatteverket även utreda om det är lämpligt att ge fler aktörer än för närvarande möjlighet att begära tilldelning av samordningsnummer och i så fall lämna förslag om detta. Som framgår ovan gäller att kommuner, lands- ting, arbetsgivare, banker och pensionsinstitut inte har möjlighet att
38 Skatteverkets promemoria Samordningsnummer och utländska fastighetsägare – en över- syn från den 18 augusti 2014, dnr. 131
334
SOU 2017:114 |
Europeiska elektroniska identitetshandlingar i svenska |
begära tilldelning av samordningsnummer enligt dagens regler. Upp- draget omfattar även att utreda om EU- och
17.5.7Framtida utveckling av person- och samordningsnummer
Det finns vissa problem med person- och samordningsnummer- systemen som de är konstruerade i dagsläget.
Ett välkänt bekymmer är att nummerserierna tar slut. Det har redan inträffat när det gäller vissa datum och författningsändringar har genomförts för att kunna medge att individer tilldelas person- eller samordningsnummer som anger ett annat datum än det datum individen faktiskt är född. Folkbokföringsutredningen lämnade 2008 ett delbetänkande40 där det bedömdes att det var nödvändigt att ändra personnumrets konstruktion för att komma till rätta med bris- ten på tillgängliga personnummer. Utredningen gick igenom ett antal tänkbara alternativ för hur konstruktionen skulle kunna ändras.
På grund av de stora kostnader en sådan förändring väntades med- föra valde regeringen i stället en förändring som innebär att i de fall det saknas födelsenummer för en viss födelsetid får dagen i födelse- tiden i stället anges med en födelsedagen närliggande dag i samma månad.41 Den valda lösningen innebar i viss mån att skjuta problemen framåt eftersom nummerserierna tar slut även på närliggande datum.
Ett annat problem handlar om att person- och samordningsnum- ren är värdebärande. Numren innehåller information om individen i fråga. Ålder, födelsedatum, kön och i vissa fall var individen är född går att utläsa av person- och samordningsnummer. Det kan finnas integritetsskäl för att i stället använda ett nummersystem som är neu- tralt i dessa avseenden. En aspekt av detta har nyligen beskrivits av Ut- redningen om stärkt ställning och bättre levnadsvillkor för trans- personer. Utredaren föreslår bl.a. att regeringen ska tillsätta en ut-
39Regeringens och finansdepartementets uppdrag till Skatteverket för att tillgodose kraven på fri rörlighet för medborgare i Europeiska unionen och Europeiska ekonomiska samarbets- området från den 6 juli 2017, dnr. Fi2017/02960/S3.
40SOU 2008:60, Personnummer och samordningsnummer.
41Prop. 2008/09:111, s. 25.
335
Europeiska elektroniska identitetshandlingar i svenska |
SOU 2017:114 |
redning i syfte att utreda möjligheten till ett tredje juridiskt kön i Sverige samt därmed ett införande av könsneutrala personnummer.42 Person- och samordningsnummersystemen är en grundbult i det svenska samhället och används av en mängd aktörer i olika syften och sammanhang. Kostnaderna för att ändra konstruktionen av numren eller införa nya system är svåröverskådliga och mycket stora. Bara Skatteverkets kostnader beräknades beroende på vilket alter- nativ som valdes uppgå till 450 miljoner kronor. Andra stora statliga myndigheter med liknande ärendehantering skulle ha lika stora kost- nader.43 Dessa kostnader beräknades då på ett förhållandevis snabbt
genomförande. Det handlade om några års tid.
Utredningen konstaterar att frågan om brister i person- och sam- ordningsnummersystemen inte ligger inom utredningens mandat. Det handlar samtidigt om problem som återkommande har visat sig under utredningstiden och som lyfts av flera inblandade statliga myndigheter. Utredningen vill därför i sammanhanget belysa frågan och peka på möjligheten att genomföra en systemförändring på annat sätt än den som tidigare utretts. I Norge arbetar man för närvarande med en liknande systemförändring där man använder en tidsperiod om
17.6Rättsliga konsekvenser och kompletterande författning om den svenska offentliga noden
Utredningen föreslår:
att det ska ingå i det offentliga åtagandet att Sverige tillhanda- håller en offentlig nod för gränsöverskridande identifiering i enlighet med
att kompletterande författning om den svenska noden ska införas i lagen (2016:561) och förordningen (2016:576) med komp- letterande bestämmelser till EU:s förordning om elektronisk identifiering.
42SOU 2017:92, Transpersoner i Sverige, Förslag för stärkt ställning och bättre levnadsvillkor, s. 488 ff.
43Prop. 2008/09:111, s. 20.
336
SOU 2017:114 |
Europeiska elektroniska identitetshandlingar i svenska |
Förslaget genomförs genom lag om ändring i lagen (2016:561) med kompletterande bestämmelser till EU:s förordning om elek- tronisk identifiering.
Av
Behovet av en nod finns också när det gäller användning av svenska elektroniska identitetshandlingar i utländska
För att se till att Sverige uppfyller
44Uppdrag att utveckla central teknisk arkitektur för hantering av europeiska
45Lagen (2016:561) med kompletterande bestämmelser till EU:s förordning om elektronisk identifiering.
46Förordningen (2016:576) med kompletterande bestämmelser till EU:s förordning om elek- tronisk identifiering.
337
Europeiska elektroniska identitetshandlingar i svenska |
SOU 2017:114 |
17.6.1Digitaliseringsmyndigheten ansvarar för den svenska offentliga noden
Utredningen föreslår:
att digitaliseringsmyndigheten ska ansvara för den svenska offent- liga noden.
att regeringen eller, efter regeringens bemyndigande, digitalise- ringsmyndigheten får meddela föreskrifter om noden.
Förslaget genomförs genom lag om ändring i lagen (2016:561) med kompletterande bestämmelser till EU:s förordning om elek- tronisk identifiering samt förordning om ändring i förordningen (2016:576) med kompletterande bestämmelser till EU:s förord- ning om elektronisk identifiering.
Hittills har regeringen tilldelat ansvaret för uppbyggnaden av noden till
Utredningen föreslår även att regeringen eller, efter regeringens bemyndigande, nodmyndigheten, det vill säga digitaliseringsmyndig- heten, får meddela föreskrifter om noden.
338
SOU 2017:114 |
Europeiska elektroniska identitetshandlingar i svenska |
17.6.2Digitaliseringsmyndigheten är personuppgiftsansvarig för behandlingar av personuppgifter i noden
Utredningen föreslår:
att digitaliseringsmyndigheten ska vara personuppgiftsansvarig för behandlingar av personuppgifter i noden.
Förslaget genomförs genom lag om ändring i lagen (2016:561) med kompletterande bestämmelser till EU:s förordning om elek- tronisk identifiering.
Från och med den 25 maj 2018 kommer den nya dataskyddsförord- ningen47 att gälla i EU:s medlemsstater vilket innebär att dataskydds- förordningens regler är grunden för all behandling av personuppgifter i Sverige. I förslag om personuppgiftshantering och personuppgifts- ansvar måste därför alla bedömningar göras gentemot detta regelverk.
Dataskyddsförordningen förutsätter att varje behandling av per- sonuppgifter ska utgå från en rättslig grund. Personuppgifter får därför bara behandlas under de omständigheter som särskilt anges i förordningen. I dataskyddsförordningen räknas dessa rättsliga grun- der upp i artikel 6.1. Behandling är enligt denna bestämmelse endast laglig om och i den mån som åtminstone ett av följande villkor är uppfyllt:
a)Den registrerade har lämnat sitt samtycke till att dennes person- uppgifter behandlas för ett eller flera specifika ändamål.
b)Behandlingen är nödvändig för att fullgöra ett avtal i vilket den registrerade är part eller för att vidta åtgärder på begäran av den registrerade innan ett sådant avtal ingås.
c)Behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige.
d)Behandlingen är nödvändig för att skydda intressen som är av grundläggande betydelse för den registrerade eller för en annan fysisk person.
47 Europaparlamentet och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).
339
Europeiska elektroniska identitetshandlingar i svenska |
SOU 2017:114 |
e)Behandlingen är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myn- dighetsutövning.
f)Behandlingen är nödvändig för ändamål som rör den person- uppgiftsansvariges eller en tredje parts berättigade intressen, om inte den registrerades intressen eller grundläggande rättigheter och friheter väger tyngre och kräver skydd av personuppgifter, särskilt när den registrerade är ett barn.
Uppräkningen i artikel 6.1 är uttömmande. Om inget av dessa villkor är uppfyllda är behandlingen inte laglig och får därmed inte utföras. De olika villkoren är i viss mån överlappande. Flera rättsliga grunder kan därför vara tillämpliga avseende en och samma behandling.
Den personuppgiftsansvarige måste också uppfylla kraven i övriga bestämmelser i förordningen, t.ex. de allmänna principerna i artikel 5. Principerna lyder:
a)Uppgifterna ska behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade (laglighet, korrekthet och öppenhet).
b)De ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål. Ytterligare behandling för arkivändamål av all- mänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1 ska inte anses vara oförenlig med de ursprungliga ändamålen (ändamålsbegränsning).
c)De ska vara adekvata, relevanta och inte för omfattande i förhåll- ande till de ändamål för vilka de behandlas (uppgiftsminimering).
d)De ska vara korrekta och om nödvändigt uppdaterade. Alla rim- liga åtgärder måste vidtas för att säkerställa att personuppgifter som är felaktiga i förhållande till de ändamål för vilka de be- handlas raderas eller rättas utan dröjsmål (korrekthet).
e)De får inte förvaras i en form som möjliggör identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas. Personuppgifter får lagras under längre perioder i den mån som personuppgifterna enbart behandlas för arkivändamål av allmänt intresse, vetenskap-
340
SOU 2017:114 |
Europeiska elektroniska identitetshandlingar i svenska |
liga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1, under förutsättning att de lämpliga tek- niska och organisatoriska åtgärder som krävs enligt denna förord- ning genomförs för att säkerställa den registrerades rättigheter och friheter (lagringsminimering).
f)De ska behandlas på ett sätt som säkerställer lämplig säkerhet för personuppgifterna, inbegripet skydd mot obehörig eller otillåten behandling och mot förlust, förstöring eller skada genom olycks- händelse, med användning av lämpliga tekniska eller organisato- riska åtgärder (integritet och konfidentialitet).
Den personuppgiftsansvarige ska enligt artikel 5.2 även ansvara för och kunna visa att principerna efterlevs (ansvarsskyldighet).
Artiklarna 5 och 6 i dataskyddsförordningen är grundläggande och kumulativa. Dels måste någon av de rättsliga grunder som anges i artikel 6.1 vara tillämplig, dels måste samtliga principer i artikel 5.1 följas. Det är endast om någon av de rättsliga grunder som anges i artikel 6.1 är tillämplig som behandling av personuppgifter över huvud taget får utföras. Om behandlingen är laglig enligt artikel 6 ska kraven i artikel 5 uppfyllas.48
I dataskyddsförordningens artikel 4.7 definieras personuppgiftsan- svarig: en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter; om ändamålen och medlen för behandlingen bestäms av unionsrätten eller medlemsstaternas nationella rätt kan den personuppgiftsansvarige eller de särskilda kriterierna för hur denne ska utses föreskrivas i unions- rätten eller i medlemsstaternas nationella rätt.
48 SOU 2017:39, Ny dataskyddslag Kompletterande bestämmelser till EU:s dataskyddsför- ordning, s. 108.
341
Europeiska elektroniska identitetshandlingar i svenska |
SOU 2017:114 |
Rättslig grund
Regler om noder finns i kommissionens genomförandeförordning om interoperabilitetsramverket enligt
Sverige har skyldighet enligt artikel 6 i
Det kan också hävdas att villkoret i artikel 6.1 e är uppfyllt efter- som behandlingen kan ses som nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning.
Enligt Dataskyddsutredningen är statliga och kommunala myndig- heters verksamhet i allt väsentligt av allmänt intresse. Det är därmed den rättsliga grunden i artikel 6.1 e i dataskyddsförordningen som van- ligen bör tillämpas av myndigheter, även utanför området för myndig- hetsutövning. De offentliga myndigheternas uppdrag och skyldigheter framgår av författningar, regeringsbeslut och kommunala reglemen- ten, antagna i enlighet med grundlagens bestämmelser om normgiv- ningskompetens och kommunalt självstyre. De åtgärder som de offentliga myndigheterna vidtar i syfte att utföra dessa uppdrag eller uppfylla dessa skyldigheter har därmed i sig en legal grund, som har offentliggjorts genom tydliga, precisa och förutsebara regler. Nödvän-
49 Kommissionens genomförandeförordning (EU) 2015/1501 av den 8 september 2015 om interoperabilitetsramverket enligt artikel 12.8 i Europaparlamentets och rådets förordning (EU) nr 910/2014 om elektronisk identifiering och betrodda tjänster för elektroniska tran- saktioner på den inre marknaden.
342
SOU 2017:114 |
Europeiska elektroniska identitetshandlingar i svenska |
dig behandling av personuppgifter kan därmed göras med stöd av artikel 6.1 e i dataskyddsförordningen.50
Proportionalitet
Enligt dataskyddsförordningens artikel 6.3 ska den grund för behand- lingen som avses i punkt 1 c och e fastställas i enlighet med unionsrät- ten, eller en medlemsstats nationella rätt som den personuppgiftsansva- rige omfattas av. Enligt andra stycket sista meningen ska unionsrätten eller medlemsstaternas nationella rätt uppfylla ett mål av allmänt intresse och vara proportionell mot det legitima mål som eftersträvas.
Det innebär att en proportionalitetsbedömning måste göras av den kompletterande lagstiftning som föreslås för att se till att de legitima mål som eftersträvas genom aktuella behandlingar av personuppgifter står i proportion till det intrång i integriteten som behandlingen inne- bär. Endast då kan behandlingen tillåtas.
Enligt
Det är användaren själv som initierar identifieringsprocessen. Även om inte alla användare känner till exakt vad som händer när de använder elektroniska identitetshandlingar får det förutsättas att användaren förstår att någon form av behandling av personuppgifter kommer att behövas. Avsikten är att den föreslagna lagstiftningen ska tillåta minsta möjliga personuppgiftsbehandling för att ändå lösa uppgiften att dirigera den information som behövs för att kunna identifiera användaren. Utredningen bedömer att detta måste anses stå i proportion till det eventuella intrång i integriteten som använ- daren kan uppleva.
50 SOU 2017:39, Ny dataskyddslag Kompletterande bestämmelser till EU:s dataskyddsför- ordning, s. 128 f.
343
Europeiska elektroniska identitetshandlingar i svenska |
SOU 2017:114 |
Ändamål och allmänna principer
Den personuppgiftsansvariga offentliga myndigheten ska även kunna visa att principerna i artikel 5 efterlevs.
Ändamålet med nodens personuppgiftsbehandling är att använ- dare som vill ha tillträde till svenska
Uppgifterna måste vidare behandlas på ett lagligt och korrekt sätt genom att nodmyndigheten följer bestämmelserna i
När det gäller öppenhet kan det diskuteras om förfarandet för inloggning med elektroniska identitetshandlingar är tillräckligt öppet i förhållande till användaren. Det är viktigt att användaren infor- meras om vad som händer och vilken aktör som är ansvarig i olika skeden av inloggningsförfarandet.
Personuppgifterna är minimerade enligt kommissionens genom- förandeförordning (EU) 2015/1501. Inga personuppgifter utöver de som anges där får behandlas av noden. I bilagan till genomförande- förordningen anges att en minimiuppsättning av uppgifter för en fysisk person ska innehålla följande obligatoriska attribut: nuvarande efternamn, nuvarande förnamn, födelsedatum samt en unik identi- tetsbeteckning som satts samman av den utsändande medlemsstaten i enlighet med de tekniska specifikationerna för gränsöverskridande identifiering och som är mest beständig i tid. En minimiuppsättning för en fysisk person kan dessutom innehålla ett eller flera av följande ytterligare attribut: förnamn och efternamn vid födseln, födelseort, nuvarande adress och kön.
Nodmyndigheten måste se till att personuppgifterna som behand- las hålls korrekta och att säkerheten upprätthålls för att skydda integ- ritet och konfidentialitet.
Enligt artikel 6.2 i kommissionens genomförandeförordning (EU) 2015/1501 får noderna inte lagra några personuppgifter utom för att det vid en incident ska gå att rekonstruera ordningsföljden i det som har hänt för att fastställa platsen för incidenten och dess art.
Regeringen eller, efter regeringens bemyndigande, nodmyndig- heten får enligt utredningens förslag meddela föreskrifter om noden.
344
SOU 2017:114 |
Europeiska elektroniska identitetshandlingar i svenska |
Det kan komma att visa sig att ytterligare föreskrifter krävs för att nodmyndigheten ska kunna visa att de ovanstående principerna upp- fylls.
Vad säger de andra medlemsstaterna?
De medlemsstater som besvarade utredningens enkät som beskrivits i avsnitt 17.3.4 svarade också på frågan om de upptäckt några tänk- bara konflikter mellan dataskyddsförordningen och
Ingen av de svarande hade identifierat någon sådan konflikt men uttryckte tydligt intresse av att få veta om Sverige gjort det.
De förutsätter att medlemsstaterna ska leva upp till sina skyldig- heter enligt dataskyddsförordningen när det gäller behandlingen av personuppgifter för att möta
Finland bedömer att dataskyddsförordningens krav kan komma att begränsa deras lösningar medan Österrike anser att
17.6.3Alla offentliga myndigheter som omfattas
av
Utredningen föreslår:
att alla statliga myndigheter, kommuner och landsting som har
att övriga statliga myndigheter, kommuner och landsting får an- sluta till den svenska offentliga noden.
Förslaget genomförs genom lag om ändring i lagen (2016:561) med kompletterande bestämmelser till EU:s förordning om elek- tronisk identifiering.
De offentliga myndigheter som omfattas av
345
Europeiska elektroniska identitetshandlingar i svenska |
SOU 2017:114 |
utredningen att alla offentliga myndigheter som, för att ge åtkomst till sina
Offentliga myndigheter som inte omfattas av förordningens krav får enligt förslaget också ansluta till den svenska offentliga noden men det är på frivillig basis. Detta gäller alltså offentliga myndigheter som inte kräver elektronisk identifiering på tillitsnivå väsentlig eller hög för att logga in användare i någon
17.6.4Övriga aktörer får ansluta till noden
Utredningen föreslår:
att privata aktörer får ansluta till den svenska offentliga noden.
att regeringen eller, efter regeringens bemyndigande, digitali- seringsmyndigheten får meddela föreskrifter om skyldighet för privata aktörer att betala avgift för att ansluta till noden.
Förslaget genomförs genom lag om ändring i lagen (2016:561) med kompletterande bestämmelser till EU:s förordning om elek- tronisk identifiering.
Under utredningstiden har det framkommit att aktörer i privat sek- tor också har intresse av att kunna ansluta till noden och på så sätt hantera utländska användare i sina
Noden kommer att finansieras med offentliga medel. Den byggs upp för att i första hand tillgodose ett behov inom offentlig sektor. Inledningsvis förväntas trafiken genom noden inte bli särskilt om- fattande, varken av offentliga eller privata aktörer. Utvecklingen kan dock gå snabbt, särskilt inom den privata sektorn. Det kan därför på sikt komma att bli aktuellt att ta ut avgifter från privata aktörer för att de ska kunna utnyttja noden. Utredningen föreslår därför att
346
SOU 2017:114 |
Europeiska elektroniska identitetshandlingar i svenska |
regeringen eller, efter regeringens bemyndigande, nodmyndigheten får meddela föreskrifter om skyldighet för privata aktörer att betala avgift för att ansluta till noden.
17.6.5Incidentrapportering
Utredningen föreslår:
att alla aktörer som är anslutna till noden utan otillbörligt dröjs- mål ska underrätta digitaliseringsmyndigheten om alla händelser som påverkat funktionalitet och säkerhet i noden.
Förslaget genomförs genom lag om ändring i lagen (2016:561) med kompletterande bestämmelser till EU:s förordning om elek- tronisk identifiering.
För att noden ska fungera på bästa möjliga sätt krävs det enligt utredningens mening att de inblandade aktörerna bidrar och tar ansvar för det de kan i förhållande till sina respektive roller. Ett sätt att praktiskt upprätthålla säkerhetsnivån är att informera nodmyn- digheten om alla incidenter som på något sätt påverkar säkerhet eller funktionalitet av noden. Utredningen föreslår därför att alla som är anslutna till noden utan otillbörligt dröjsmål ska underrätta nod- myndigheten om alla händelser som påverkat funktionalitet eller säkerhet i noden.
17.6.6Försvarets radioanstalt ska utföra tekniska säkerhetsgranskningar
Utredningen föreslår:
att regeringen ger Försvarets radioanstalt i uppdrag att utföra en teknisk säkerhetsgranskning av det system som den svenska noden omfattar innan det sätts i drift.
att digitaliseringsmyndigheten vid större förändringar av det sy- stem som den svenska noden omfattar, ska begära en teknisk säkerhetsgranskning av Försvarets radioanstalt. Granskningsför- farandet får ta max tre månader från det att digitaliseringsmyndig- heten ansökt om granskning.
347
Europeiska elektroniska identitetshandlingar i svenska |
SOU 2017:114 |
Förslaget genomförs genom förordning om ändring i förord- ningen (2016:576) med kompletterande bestämmelser till EU:s förordning om elektronisk identifiering.
Noden är en viktig del i infrastrukturen för elektronisk identifiering och det är därför viktigt att den skyddas mot användning på ett bedrägligt sätt. Noden ses inte som samhällsviktig enligt det s.k.
För att skydda noden mot angrepp föreslår utredningen ett granskningsförfarande av en
Utredningen föreslår även att FRA ska ha tre månader på sig att utföra sin granskning efter digitaliseringsmyndighetens begäran.
17.6.7Noden utöver
Utredningen föreslår:
att digitaliseringsmyndigheten ska ha rätt att behandla tekniska uppgifter för de aktörer vars uppgifter ska behandlas av noden. att digitaliseringsmyndigheten ska få behandla de personuppgifter som är nödvändiga för att säkerställa behörigheter för aktörernas ombud.
Förslaget genomförs genom lag om ändring i lagen (2016:561) med kompletterande bestämmelser till EU:s förordning om elek- tronisk identifiering.
51 Europaparlamentet och rådets direktiv (EU) 2016/1148 av den 6 juli 2016 om åtgärder för en hög gemensam nivå på säkerhet i nätverks- och informationssystem i hela unionen.
348
SOU 2017:114 |
Europeiska elektroniska identitetshandlingar i svenska |
När det gäller den svenska noden har utredningen utgått från den definition som ges i
17.6.8Ikraftträdande
Utredningen föreslår:
att de föreslagna kompletterande reglerna till EU:s förordning om elektronisk identifiering
Från och med den 29 september 2018 kommer svenska offentliga myndigheter som har
349
18Anmälan av svenska elektroniska identitetshandlingar
18.1Beskrivning av processen
På samma sätt som beskrivits ovan när det gäller utländska använ- dare som ska identifiera sig i svenska
Användaren med svensk elektronisk identitetshandling får ange att hon eller han vill identifiera sig med en svensk elektronisk identi- tetshandling. Begäran om identitetsintyg skickas via den utländska noden som dirigerar begäran vidare till den svenska noden. Den svenska noden skickar begäran om identitetsintyg till den utfärdare som har utfärdat den elektroniska identitetshandlingen i Sverige. Identitetsintyget ska innehålla användarens nuvarande förnamn, nu- varande efternamn, födelsedatum och landets unika identitetsbeteck- ning. Det kan också innehålla några ytterligare attribut som Sverige behöver ta ställning till om de ska skickas med eller inte. Identitets- intyget levereras tillbaka från utfärdaren via den svenska noden till den utländska noden.
I vissa medlemsstater kommer det att finnas en motsvarighet till förslaget om det svenska kopplingsregistret. Identitetsintyget kan komma att berikas med användarens eventuella utländska identitets- beteckning innan det levereras till
351
Anmälan av svenska elektroniska identitetshandlingar |
SOU 2017:114 |
vara utformad på flera andra sätt. Uppgifterna om koppling kan vara integrerade med folkbokföringen och det kan vara
Utländsk
?
Begäran om identitetsintyg |
Leverans av identitetsintyg |
|
(eventuellt berikat) |
Eventuell Utländsk kopplingstjänst
nod
Svensk nod
Svensk utfärdare
18.1.1Processuella frågor
Anmälan
För att en elektronisk identitetshandling ska kunna anmälas för gräns- överskridande identifiering enligt
352
SOU 2017:114 |
Anmälan av svenska elektroniska identitetshandlingar |
a)Medlet för elektronisk identifiering inom ramen för systemet för elektronisk identifiering ska vara utfärdat
i)av den anmälande medlemsstaten,
ii)på uppdrag av den anmälande medlemsstaten, eller
iii)oberoende av den anmälande medlemsstaten och erkännas av den medlemsstaten.
b)Medlet för elektronisk identifiering inom systemet för elektro- nisk identifiering ska kunna användas för att få åtkomst till åt- minstone en tjänst som tillhandahålls av ett offentligt organ och som kräver elektronisk identifiering i den anmälande medlems- staten.
c)Systemet för elektronisk identifiering och det medel för elektro- nisk identifiering som utfärdats inom ramen för det ska uppfylla kraven för åtminstone en av de tillitsnivåer som anges i den genomförandeakt som avses i artikel 8.3.
d)Den anmälande medlemsstaten ska se till att de personidenti- fieringsuppgifter som unikt representerar personen i fråga, i enlighet med de tekniska specifikationer, standarder och förfaranden för den relevanta tillitsnivå som anges i den genomförandeakt som avses i artikel 8.3, tillskrivs den fysiska eller juridiska person som avses i artikel 3.1 vid tidpunkten för utfärdandet av medlet för elektronisk identifiering inom detta system.
e)Den part som utfärdar medlet för elektronisk identifiering inom detta system ska se till att medlet för elektronisk identifiering tilldelas den person som avses i led d i denna artikel i enlighet med de tekniska specifikationer, standarder och förfaranden för den relevanta tillitsnivå som anges i den genomförandeakt som avses i artikel 8.3.
f)Den anmälande medlemsstaten ska se till att autentisering är till- gänglig via internet så att alla förlitande parter som är etablerade på någon annan medlemsstats territorium kan bekräfta de per- sonidentifieringsuppgifter som tas emot i elektronisk form.
För andra förlitande parter än offentliga organ får den anmälande medlemsstaten fastställa tillträdesvillkoren för autentiseringen. Så-
353
Anmälan av svenska elektroniska identitetshandlingar |
SOU 2017:114 |
dan gränsöverskridande autentisering ska tillhandahållas kostnads- fritt när den utförs i samband med en nättjänst som tillhandahålls av ett offentligt organ.
Medlemsstaterna får inte ålägga förlitande parter som har för avsikt att utföra en sådan autentisering oproportionella tekniska krav om sådana krav skulle hindra eller avsevärt försvåra kompatibiliteten mellan anmälda system för elektronisk identifiering.
g)Minst sex månader före anmälan enligt artikel 9.1 ska den anmä- lande medlemsstaten när det gäller den skyldighet som anges i artikel 12.5 förse andra medlemsstater med en beskrivning av detta system i enlighet med de förfaranden som fastställts genom de genomförandeakter som avses i artikel 12.7.
h)System för elektronisk identifiering ska uppfylla kraven i den genomförandeakt som avses i artikel 12.8.1
Anmälan av privata utfärdare av elektroniska identitetshandlingar är alltså tillåtet om den elektroniska identitetshandlingen är god- känd i den anmälande medlemsstaten. Den elektroniska identitets- handlingen ska kunna användas för att få åtkomst till åtminstone en e- tjänst som tillhandahålls av en myndighet och som kräver elektronisk identifiering i den anmälande medlemsstaten.
Av artikel 9 i
Anmälan ska innehålla:
a)En beskrivning av systemet för elektronisk identifiering, inbe- gripet dess tillitsnivåer och av utfärdaren eller utfärdarna av medel för elektronisk identifiering inom systemet.
1 Kommissionens genomförandeförordning (EU) 2015/1501 av den 8 september 2015 om interoperabilitetsramverket enligt artikel 12.8 i Europaparlamentet och rådets förordning (EU) nr 910/2014 om elektronisk identifiering och betrodda tjänster för elektroniska trans- aktioner på den inre marknaden.
354
SOU 2017:114 |
Anmälan av svenska elektroniska identitetshandlingar |
b)Det tillämpliga systemet för tillsyn och information om syste- met för skadeståndsansvar med avseende på följande:
i)Den part som utfärdar medlet för elektronisk identifiering.
ii)Den part som handhar autentiseringsförfarandet.
c)Den myndighet eller de myndigheter som ansvarar för systemet för elektronisk identifiering.
d)Information om den enhet eller de enheter som hanterar regi- streringen av de unika personidentifieringsuppgifterna.
e)En beskrivning av hur kraven i den genomförandeakt som avses i artikel 12.82 har uppfyllts. Dessa krav innefattar i synnerhet tekniska minimikrav om tillitsnivåer och kartläggning av natio- nella tillitsnivåer för anmälda elektroniska identitetshandlingar, tekniska minimikrav på interoperabilitet, minimiuppsättningen av personidentifieringsuppgifter, gemensamma standarder för operativ säkerhet och bestämmelser för tvistlösning.
f)En beskrivning av den autentisering som avses i artikel 7 f (se beskrivning ovan).
g)System för tillfälligt upphävande eller återkallelse av det anmälda systemet för elektronisk identifiering eller autentisering eller av de berörda utsatta delarna.
Kommissionen ska enligt artikel 9.2 offentliggöra en förteckning över de elektroniska identitetshandlingar som har anmälts i Euro- peiska unionens officiella tidning.
Processen för anmälan ses inte som särskilt svår eller komplicerad. Det är väl beskrivet i förordningstext och genomförandeakter vad som behövs för att göra en anmälan. Dessutom har Tyskland anmält två elektroniska identitetshandlingar så det finns redan erfarenhet av hur det går till. Svenska representanter från
2 Kommissionens genomförandeförordning (EU) 2015/1501 av den 8 september 2015 om interoperabilitetsramverket enligt artikel 12.8 i Europaparlamentet och rådets förordning (EU) nr 910/2014 om elektronisk identifiering och betrodda tjänster för elektroniska trans- aktioner på den inre marknaden.
355
Anmälan av svenska elektroniska identitetshandlingar |
SOU 2017:114 |
Avanmälan
Processen för avanmälan finns också beskriven i förordningstext och genomförandeakter men den har ännu inte prövats av någon med- lemsstat. Enligt artikel 9.4 i
I artikel 2.2.3 i bilagan till genomförandeförordning 2015/15023 finns ytterligare bestämmelser om avanmälan av elektroniska iden- titetshandlingar. Där står att det är möjligt att avbryta och/eller åter- kalla ett medel för elektronisk identifiering i god tid och på ett verksamt sätt. Det ska finnas åtgärder för att förhindra att upphä- vande, återkallelse och/eller reaktivering utförs på otillåtet sätt. Åter- aktivering ska utföras endast om samma krav angående tilliten som fastställts före upphävandet eller återkallelsen fortsätter att uppfyllas.
18.2Sverige ska anmäla elektroniska identitetshandlingar
Utredningen föreslår:
att Sverige som en del av det offentliga åtagandet ska anmäla elek- troniska identitetshandlingar för gränsöverskridande identifiering enligt
I skäl (2) till
3 Kommissionens genomförandeförordning (EU) 2015/1502 av den 8 september 2015 om fastställande av tekniska minimispecifikationer och förfaranden för tillitsnivåer för medel för elektronisk identifiering i enlighet med artikel 8.3 i Europaparlamentets och rådets förord- ning (EU) nr 910/2014 om elektronisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden.
356
SOU 2017:114 |
Anmälan av svenska elektroniska identitetshandlingar |
heter, och därigenom öka effektiviteten hos offentliga och privata nättjänster, elektronisk affärsverksamhet och
För att svenska användare ska kunna ta del av detta syfte och ta tillvara
Det finns privata aktörer på den svenska marknaden som har uttryckt intresse för att utveckla elektroniska identitetshandlingar för gränsöverskridande identifiering enligt
18.2.1Behov av elektronisk identitetshandling i utländska
Utredningen bedömer:
att det finns behov av minst en svensk elektronisk identitetshand- ling för gränsöverskridande identifiering enligt
Under utredningens arbete har det i flera sammanhang lyfts att användare av svenska elektroniska identitetshandlingar behöver an- vända dessa även i
4 Se avsnitt 12.7.5.
357
Anmälan av svenska elektroniska identitetshandlingar |
SOU 2017:114 |
•Studenter som studerar eller avser studera utomlands kan komma att behöva tillträde till
•Patienter som behöver vård utomlands.
•Företagare som vill etablera sig i en annan medlemsstat.
•Pensionärer som bor utomlands.
•Arbetssökande i andra medlemsstater.
•Boende i gränstrakter till andra länder och vill kunna nyttja e- tjänster på båda sidorna gränsen.
•Resenärer som tillfälligt befinner sig i andra medlemsstater och upptäcker att de behöver använda
•Individer som står inför att flytta utomlands.
•Skattskyldiga i andra medlemsstater.
Utredningens uppfattning är att det finns behov av en svensk elek- tronisk identitetshandling för gränsöverskridande identifiering enligt
18.2.2Risker med anmälan
Utredningen bedömer:
att det finns både rättsliga och ekonomiska risker med att anmäla elektroniska identitetshandlingar, framför allt om de är utfärdade av en privat aktör.
att staten behöver ha största möjliga kontroll över de elektroniska identitetshandlingar som anmäls för gränsöverskridande identifier- ing enligt
att skadeståndsansvarets fördelning måste regleras tydligt i avtal mellan staten och privata utfärdare. Avtalet bör också innehålla uppgift om regress av skadeståndsanspråk för de fall skador upp- kommer senare i processen.
att ansvaret vid säkerhetsincidenter måste regleras tydligt mellan staten och privata utfärdare i avtal så att staten kan ges förutsätt- ningar att ta det ansvar som
358
SOU 2017:114 |
Anmälan av svenska elektroniska identitetshandlingar |
Det är den anmälande medlemsstaten som går i god för de anmälda elektroniska identitetshandlingarna. Det innebär att staten får svara för eventuella säkerhetsincidenter och skador även när det är en privat utfärdare som står för den elektroniska identitetshandlingen. Det är staten som är part i medlemsstaternas granskningsförfarande av anmälda elektroniska identitetshandlingar och det är staten som måste upphäva eller återkalla en elektronisk identitetshandling som har utsatts för intrång eller äventyras på ett sätt som påverkar tillför- litligheten enligt artikel 10.1. Detta talar för att staten behöver ha största möjliga kontroll över de elektroniska identitetshandlingar som anmäls enligt
Rättsliga risker
Skadeståndsansvaret behandlas i artikel 11 i
Utfärdaren har enligt artikel 11.2 skadeståndsansvar för skada som åsamkats en fysisk eller juridisk person avsiktligt eller på grund av oaktsamhet genom underlåtenhet att uppfylla den skyldighet som avses i artikel 7 e vid en gränsöverskridande transaktion.6
Den part som handhar autentiseringsförfarandet (här avses både nodmyndigheten och utfärdaren av den elektroniska identitetshand- lingen i sina respektive delar av autentiseringen) har enligt artikel 11.3 skadeståndsansvar för skada som åsamkats en fysisk eller juridisk per- son avsiktligt eller på grund av oaktsamhet genom underlåtenhet att säkerställa korrekt handhavande av den autentisering som avses i artikel 7 f vid en gränsöverskridande transaktion.
Därefter hänvisar
5Artikel 7 d gäller den anmälande medlemsstatens skyldighet att se till att unika person- identifieringsuppgifter tillskrivs rätt person vid tidpunkten för utfärdandet av den elektro- niska identitetshandlingen. Artikel 7 f gäller den anmälande medlemsstatens skyldighet att se till att autentisering är tillgänglig via internet.
6Artikel 7 e gäller att utfärdaren ska se till att den elektroniska identitetshandlingen tilldelas den person som avses i led d.
359
Anmälan av svenska elektroniska identitetshandlingar |
SOU 2017:114 |
Av skadeståndsansvaret som är beskrivet ovan följer vissa konse- kvenser. Om staten har anlitat en privat aktör för att utföra något led i den gränsöverskridande identifieringen (t.ex. identitetskontrollen) är det viktigt att avtalet mellan staten och den privata aktören reglerar en eventuell ansvarskedja som uppstår om en skada inträffar.
Det är framför allt anmälan av elektroniska identitetshandlingar utfärdade av privata aktörer som aktualiseras här men det finns även andra situationer där staten kan anlita privata underleverantörer för att uppfylla sina åtaganden, t.ex. när det gäller uppbyggnad av noden.
När det blir aktuellt att anmäla privat utfärdade elektroniska identi- tetshandlingar behöver tydliga avtal som reglerar skadeståndsansvar utformas mellan staten och de privata utfärdarna. Annars finns det risk för att staten tvingas ta ett skadeståndsansvar som man inte har tänkt sig eller att tvist uppstår mellan staten och de privata aktörerna.
Avtalen behöver också behandla ansvaret vid eventuella säkerhets- incidenter. Det är medlemsstaten som ansvarar enligt artikel 10.1,
Ekonomiska risker
En ekonomisk risk utgörs av skadeståndsansvaret som är beskrivet ovan.
Att staten har skadeståndsansvar för dessa situationer är i sig inget anmärkningsvärt. Det faller sig naturligt att staten får ta ansvar för skada som orsakats på grund av statens agerande eller brist på age- rande. Däremot är det naturligtvis ändå en ekonomisk risk som följer av att Sverige anmäler elektroniska identitetshandlingar för gräns- överskridande identifiering enligt
En annan ekonomisk risk med anmälan är att Sverige tar fram en statlig elektronisk identitetshandling för gränsöverskridande identi- fiering utan att den blir använd i någon större utsträckning. Det kan visa sig att behovet av gränsöverskridande elektronisk identifiering är
360
SOU 2017:114 |
Anmälan av svenska elektroniska identitetshandlingar |
överskattat eller att användarna av någon anledning väljer att inte nyttja systemet. De förslag som utredningen lämnar i kapitel 12 handlar dock om att ta fram statliga elektroniska identitetshandlingar som kan fylla flera syften. Även om den gränsöverskridande verksam- heten inte skulle utvecklas i takt med förhoppningarna finns ändå stora värden, beskrivna i kapitel 12, i att staten tillhandahåller elektro- niska identitetshandlingar på den högsta tillitsnivån.
18.3Digitaliseringsmyndigheten ansvarar
för anmälan av elektroniska identitetshandlingar
Utredningen föreslår:
att digitaliseringsmyndigheten ska ansvara för att anmäla svenska elektroniska identitetshandlingar till kommissionen för gräns- överskridande identifiering enligt
Förslaget genomförs genom lag om ändring i lagen (2016:561) med kompletterande bestämmelser till EU:s förordning om elek- tronisk identifiering samt förordning om ändring i förordningen (2016:576) med kompletterande bestämmelser till EU:s förordning om elektronisk identifiering.
Enligt
Utredningen anser att regeringen bör utse den nya digitaliserings- myndigheten att ha denna uppgift tillsammans med övriga admini- strativa och granskande uppgifter som rör gränsöverskridande iden- tifiering enligt
7 Artikel 9.1,
361
Anmälan av svenska elektroniska identitetshandlingar |
SOU 2017:114 |
18.3.1Vilka elektroniska identitetshandlingar får anmälas?
Utredningen föreslår:
att Sverige tillämpar ett öppet system för anmälan. Utfärdare som ansöker om att bli anmälda ska bli det om de uppfyller uppställda krav. När det finns en statlig svensk elektronisk identitetshand- ling ska den anmälas.
att digitaliseringsmyndigheten ska tillhandahålla ett parallellt valfrihetssystem för elektroniska identitetshandlingar för gräns- överskridande identifiering.
Nästa fråga att ta ställning till är hur lämpliga elektroniska identitets- handlingar ska utses för anmälan. Utredningen konstaterar att Tysk- land, som redan har anmält elektroniska identitetshandlingar, och merparten av de länder som står i begrepp att anmäla någon elek- tronisk identitetshandling väljer att anmäla statligt utfärdade elek- troniska identitetshandlingar.8 Det kan bero på att de inte har in- hemska privata alternativ men också på de skäl som anges ovan om att det ändå i flera avseenden är den anmälande medlemsstaten som ansvarar för den elektroniska identitetshandlingen.
I Sverige saknas en statligt utfärdad elektronisk identitetshandling. Utredningen föreslår i kapitel 12 att det ska ingå i det offentliga åtagandet att tillhandahålla en statlig elektronisk identitetshandling som ska fästas på en fysisk bärare i form av en befintlig identitets- handling. Eftersom 2017 års
En konsekvens av att använda ett öppet system för anmälan kan bli att Sverige kan komma att anmäla många elektroniska identitets- handlingar för gränsöverskridande identifiering, till skillnad från
8Den 8 december 2017 anmälde Italien som andra land i EU ett system för elektroniska identitetshandlingar för gränsöverskridande identifiering. Det anmälda systemet innehåller åtta elektroniska identitetshandlingar. Utfärdaren, SPID, är en privat aktör.
9Dir. 2017:90, Åtgärder för att minska bedrägeribrottsligheten – skärpta krav och rutiner för svenska identitetshandlingar.
362
SOU 2017:114 |
Anmälan av svenska elektroniska identitetshandlingar |
andra medlemsstater som kanske nöjer sig med varsin statligt utfär- dad. Det kan leda till att det gemensamma systemet för granskning av anmälda elektroniska identitetshandlingar belastas oproportionerligt mycket av svenska anmälningar vilket i sin tur kan leda till missnöje bland de andra medlemsstaterna. Granskningen kan vara omfattande och resurskrävande.
Utredningen bedömer att Sverige behöver anmäla åtminstone en svensk elektronisk identitetshandling för gränsöverskridande identi- fiering innan det finns en statligt utfärdad elektronisk identitetshand- ling tillgänglig. Därför behövs ett förfarande för hur det ska gå till.
Upphandlingsförfarande är inte lämpligt
När en offentlig aktör behöver anlita en privat tjänst eller vara är huvudregeln att detta ska upphandlas enligt LOU.10 Det finns dock möjligheter till undantag och det finns skäl för att undvika ett vanligt upphandlingsförfarande.
Ett skäl är att upphandling innebär att endast en leverantör kan vinna upphandlingen och det utesluter därmed att andra leverantörer kan ta del av marknaden. Det gör att marknadsutvecklingen riskerar att hämmas eftersom det i praktiken endast blir en aktör som kan agera per tidsperiod som upphandlingen avser.
Dessutom bör förfarandet med elektroniska identitetshandlingar för gränsöverskridande identifiering i möjligaste mån korrelera med elektroniska identitetshandlingar för användning inom Sverige. Inom Sveriges gränser föreslår utredningen fortsatt tillämpning av valfri- hetssystem (se avsnitt 13.5.4) och det är därför lämpligt att göra det även när det gäller gränsöverskridande identifiering.
Valfrihetssystem
Marknaden för elektroniska identitetshandlingar i Sverige beskrivs i flera kapitel ovan. Den domineras av en stark och inom landet väl utbredd aktör, BankID, men det finns även andra aktörer som är in- tresserade av tillgång till den inre marknaden inom EU. För att kunna ge de aktörer som är intresserade chansen att medverka bedö- mer utredningen att ett valfrihetssystem med tydliga villkor är ett
10 Lagen (2016:1145) om offentlig upphandling.
363
Anmälan av svenska elektroniska identitetshandlingar |
SOU 2017:114 |
lämpligt sätt att gå tillväga för att Sverige ska kunna anmäla elektro- niska identitetshandlingar för gränsöverskridande identifiering.
Lagen om valfrihet i fråga om tjänster för elektronisk identifier- ing11 utesluter inte att det kan finnas flera parallella valfrihetssystem. Det valfrihetssystem som används i dag för elektronisk identifiering inom Sverige kan därför kompletteras med ytterligare ett valfrihets- system där utfärdare av elektroniska identitetshandlingar får ansluta sig om de vill att deras elektroniska identitetshandling ska kunna användas för gränsöverskridande identifiering.
Utfärdare av privata elektroniska identitetshandlingar kan ha olika syften med sina produkter. Vissa kan vilja tillhandahålla sina elek- troniska identitetshandlingar enbart på den svenska marknaden. För dem behöver det finnas ett valfrihetssystem som är utformat som det som finns i dag. Andra utfärdare kan vilja erbjuda elektroniska identitetshandlingar för gränsöverskridande identifiering. För dem behövs då ett separat valfrihetssystem med fler krav än vad som ställs i valfrihetssystemet för den svenska marknaden.
Enligt artikel 7 b)
18.3.2Förutsättningar för anmälan
Utredningen föreslår:
att för att kunna anmälas av Sverige för gränsöverskridande iden- tifiering måste en elektronisk identitetshandling:
1.vara kvalitetsgranskad och godkänd av digitaliseringsmyndig- heten,
2.endast utfärdas till medborgare eller folkbokförda i Sverige,
3.ingå i valfrihetssystem enligt lagen om valfrihetssystem i fråga om tjänster för elektronisk identifiering,12
11SFS 2013:311.
12Denna lag föreslås i ett annat kapitel byta namn till lag om valfrihetssystem i fråga om funktio- ner för elektronisk identitetskontroll. Det förslaget kan dock inte väntas träda i kraft så snart som de ändringar som föreslås i lagen (2016:561) med kompletterande bestämmelser till EU:s förord- ning om elektronisk identifiering. Utredningen benämner därför lagen med sitt nuvarande namn i detta kapitel.
364
SOU 2017:114 |
Anmälan av svenska elektroniska identitetshandlingar |
4.vara utfärdad av en aktör som har tecknat försäkring som täcker ersättning för skada som åsamkats fysiska eller juridiska personer avsiktligt eller på grund av oaktsamhet genom under- låtenhet att uppfylla de skyldigheter som avses i artikel 7 i
Förslaget genomförs genom lag om ändring i lagen (2016:561) med kompletterande bestämmelser till EU:s förordning om elektronisk identifiering.
Utredningen föreslår ett antal kriterier som måste uppfyllas för att en elektronisk identitetshandling ska få anmälas för gränsöverskri- dande identifiering.
Såsom utredningen tidigare har beskrivit kvalitetsgranskar
En elektronisk identitetshandling som anmäls måste vara kvalitets- granskad och godkänd av digitaliseringsmyndigheten. En kvalitets- märkt elektronisk identitetshandling går att lita på för offentliga och privata aktörer med
Den elektroniska identitetshandlingen måste även ingå i valfrihets- system enligt lagen om valfrihetssystem i fråga om tjänster för elek- tronisk identifiering. Det är ett sätt att låta användaren välja vilken
13 www.elegnamnden.se/leverantor/bligodkandeidutfardareenligtsvenskelegitimation. 4.5a85666214dbad743ffe6e6.html,
365
Anmälan av svenska elektroniska identitetshandlingar |
SOU 2017:114 |
elektronisk identitetshandling hon eller han föredrar att använda och det är samtidigt en garant för att alla utfärdare av elektroniska identi- tetshandlingar för gränsöverskridande identifiering ska erhålla samma ersättning av staten.
Slutligen ska utfärdaren av den elektroniska identitetshandlingen även teckna en försäkring som täcker ersättning för skada som åsam- kats fysiska eller juridiska personer avsiktligt eller på grund av oakt- samhet genom underlåtenhet att uppfylla de skyldigheter som avses i artikel 7 i
18.3.3Ansvarsfördelning vid anmälan
av elektroniska identitetshandlingar
Utredningen föreslår:
att den myndighet som anmäler de elektroniska identitetshand- lingarna för gränsöverskridande identifiering också ska ansvara för att tillfälligt upphäva, återkalla, återinföra och dra tillbaka elektroniska identitetshandlingar vid säkerhetsincidenter enligt artikel 10 i
Förslaget genomförs genom lag om ändring i lagen (2016:561) med kompletterande bestämmelser till EU:s förordning om elek- tronisk identifiering.
Utöver de frågor som redan har behandlats ovan när det gäller an- svarsfrågor tillkommer några ytterligare situationer där det krävs att ansvaret från början är fördelat mellan aktörerna på ett godtagbart och förutsebart sätt.
Artikel 10 behandlar säkerhetsincidenter och i 10.1 anges att den anmälande medlemsstaten utan dröjsmål tillfälligt ska upphäva eller återkalla den elektroniska identitetshandling eller gränsöverskri- dande autentisering som utsätts för intrång eller delvis äventyras på ett sätt som påverkar tillförlitligheten. Vidare beskrivs i artikel 10.2
366
SOU 2017:114 Anmälan av svenska elektroniska identitetshandlingar
och 10.3 förutsättningar för att återinföra eller dra tillbaka den elektroniska identitetshandlingen.
Utredningen anser att det bör ankomma på digitaliseringsmyn- digheten att vara behörig myndighet för att utföra sådana uppgifter. Det är digitaliseringsmyndigheten som har varit involverad i anmälan av den elektroniska identitetshandlingen och har insyn i detaljerna om hur den fungerar. Det är även digitaliseringsmyndigheten som ingår avtal med utfärdare av elektroniska identitetshandlingar där in- cidentsituationer bör regleras och ge digitaliseringsmyndigheten tek- niska möjligheter att utföra uppgifterna.
Mer om skadestånd
När det gäller skadeståndsfrågor har utredningen i avsnitt 18.2.2 be- handlat skadeståndsansvar enligt artikel 11.1 och 11.2. Det återstår frågor om ansvarsfördelning i situationer enligt artikel 11.3, 11.4 och 11.5.
Enligt artikel 11.3 ska den part som handhar autentiserings- förfarandet ha skadeståndsansvar för skada som åsamkats en fysisk och juridisk person avsiktligt eller på grund av oaktsamhet genom underlåtenhet att säkerställa korrekt handhavande av den autentiser- ing som avses i artikel 7 f vid en gränsöverskridande transaktion.
Enligt artikel 7 f ska den anmälande medlemsstaten se till att auten- tisering är tillgänglig via internet så att alla förlitande parter som är etablerade på någon annan medlemsstats territorium kan bekräfta de personidentifieringsuppgifter som tas emot i elektronisk form.
Svårigheten här är att det kan vara flera aktörer som handhar olika delar av autentiseringsförfarandet. Så länge det är fråga om en statlig aktör får staten (genom digitaliseringsmyndigheten) ta skadestånds- ansvaret. Det gäller med andra ord alla uppgifter som utförs av noden. Om noden ligger nere, skickar fel uppgifter eller på något annat sätt orsakar skada enligt 11.3 är staten ansvarig enligt
Om skadan handlar om kontroll av äkthet och eventuell spärr av den elektroniska identitetshandlingen eller något annat som utfärda- ren står för är det utfärdaren som har skadeståndsansvar enligt sam- ma bestämmelse.
367
Anmälan av svenska elektroniska identitetshandlingar |
SOU 2017:114 |
I artikel 11.4 och 11.5 hänvisas till att de tidigare reglerna om skadestånd (artikel 11.1, 11.2 och 11.3) ska tillämpas i enlighet med nationella bestämmelser samt att nationell rätt dessutom har före- träde framför förordningstexten. Här är svårigheten att det inte anges vilken nationell rätt som avses. I frågor om gränsöverskridande identi- fiering ligger det i sakens natur att den skadelidande kan befinna sig i en medlemsstat och den skadeståndsansvarige i en annan. Dessa re- spektive medlemsstater kan ha nationell rätt som ger motstående lös- ningar på problemen.
Enligt huvudregeln i artikel 4.1 i den s.k. Rom
Det finns dock undantagsbestämmelser i artikel 4.2 och 4.3. Av artikel 4.2 följer att om både den person vars ansvar görs gällande och den skadelidande har sin vanliga vistelseort i samma land vid den tidpunkt då skadan uppkommer ska lagen i det landet tillämpas.
I artikel 4.3 beskrivs ytterligare en situation som kan avgöra vilket lands lagstiftning som ska tillämpas. Om det framgår av alla om- ständigheter i fallet att den skadeståndsgrundande händelsen har en uppenbart närmare anknytning till ett annat land än det som anges i punkt 1 eller 2, ska lagen i det landet tillämpas. En uppenbart när- mare anknytning till ett annat land kan särskilt grundas på att det redan finns ett rättsförhållande mellan parterna, såsom ett avtal som har nära anknytning till den skadeståndsgrundande händelsen i fråga.
De beskrivna undantagssituationerna är inte något som privata leverantörer kan räkna med. Den återgivna regleringen måste därmed innebära att en svensk privat utfärdare eller leverantör som är an- svarig i något led av autentiseringsförfarandet kan behöva förhålla sig till skadeståndsbestämmelser i alla de länder som omfattas av eIDAS- förordningen (28 medlemsstater och ytterligare fyra som skrivit avtal
14Europaparlamentet och Rådets förordning (EG) nr 864/2007 av den 11 juli 2007 om tillämp- lig lag för utomobligatoriska förpliktelser (Rom II).
15När två parter står i kontraktsförhållande till varandra bestäms skadeståndsskyldigheten dem emellan av avtalet eller åtminstone av regler som anknyter till kontraktsförhållandet. När ett kontraktsförhållande inte finns eller inte inverkar – en ofta viktig modifikation – befinner man sig på området för den utomobligatoriska skadeståndsrätten. Skadeståndsrätt, Jan Hellner och Marcus Radetzki, upplaga 9, publicerad i Zeteo,
368
SOU 2017:114 |
Anmälan av svenska elektroniska identitetshandlingar |
om att få ingå i regelverket) beroende på var den elektroniska identi- tetshandlingen används och var skadan således kan sägas uppstå.
Skadeståndsansvaret regleras alltså när det gäller elektronisk iden- tifiering i stora drag på samma sätt som när det gäller andra varor och tjänster. Det behöver inte vara ett problem men utredningen vill ändå belysa frågan i detta sammanhang för att inblandade aktörer ska känna till den.
18.4Vilka svenska uppgifter ska överföras?
Sverige måste ta ställning till vilka personuppgifter om svenska an- vändare som ska överföras till utländska noder och
I artikel 11.1 i genomförandeförordningen 2015/150116 anges att en minimiuppsättning av personidentifieringsuppgifter som är unika för en fysisk eller juridisk person ska uppfylla kraven i bilagan vid användning i ett gränsöverskridande sammanhang. I dagsläget finns inga elektroniska identitetshandlingar för juridiska personer i Sverige. I
Enligt första punkten i bilagan är kraven följande:
Minimiuppsättning av uppgifter för fysisk person
En minimiuppsättning av uppgifter för en fysisk person ska innehålla följande obligatoriska attribut:
h)nuvarande efternamn,
i)nuvarande förnamn,
j)födelsedatum,
k)en unik identitetsbeteckning som satts samman av den ut- sändande medlemsstaten i enlighet med de tekniska specifikatio-
16 Kommissionens genomförandeförordning (EU) 2015/1501 av den 8 september 2015 om interoperabilitetsramverket enligt artikel 12.8 i Europaparlamentets och rådets förordning (EU) nr 910/2014 om elektronisk identifiering och betrodda tjänster för elektroniska trans- aktioner på den inre marknaden.
369
Anmälan av svenska elektroniska identitetshandlingar |
SOU 2017:114 |
nerna för gränsöverskridande identifiering och som är mest be- ständig i tid.
En minimiuppsättning för en fysisk person kan innehålla ett eller flera av följande ytterligare attribut:
a)förnamn och efternamn vid födseln,
b)födelseort,
c)nuvarande adress,
d)kön.
De första fyra attributen måste ingå och de senare fyra attributen är valfria. Sverige behöver ta ställning till dels hur den unika identi- tetsbeteckningen ska utformas, dels om några valfria attribut ska översändas.
18.4.1Minimering av behandling av personuppgifter
Utredningen bedömer:
att en princip om minimering av personuppgifter bör råda så att inga valfria attribut sänds över så länge inga särskilda avtal träffas med vissa länder om detta.
En lämplig informationssäkerhetsåtgärd är att alltid se till att minimera behandlingen av personuppgifter. Det följer även av dataskyddsför- ordningen. Utgångspunkten bör därför enligt utredningens mening vara att inga valfria attribut sänds över så länge inga särskilda överens- kommelser görs med vissa länder i detta avseende.
370
SOU 2017:114 |
Anmälan av svenska elektroniska identitetshandlingar |
18.4.2Pseudonym i stället för överföring av svenska personnummer
Utredningen bedömer:
att Sverige bör använda pseudonymer vid gränsöverskridande identifiering.
Utredningen föreslår:
att regeringen ger Skatteverket i uppdrag att i samråd med digitali- seringsmyndigheten ta fram ett system för pseudonymer för gräns- överskridande identifiering.
Artikel 5
I artikel 5.2 i
Offentlighetsprincipen har en stark ställning i Sverige. Den inne- bär enligt 2 kap. 1 § tryckfrihetsförordningen19 att varje svensk med- borgare ska ha rätt att ta del av allmänna handlingar till främjande av ett fritt meningsutbyte och en allsidig upplysning. Offentlighetsprin- cipen kan inskränkas genom sekretessregler men folkbokföringsupp- gifter är normalt offentliga. Dessa uppgifter kan i särskilda fall beläg- gas med sekretess, exempelvis när det rör sig om känsliga uppgifter. Som känsliga uppgifter räknas bl.a. adoption och könsbyte. Person- nummer räknas inte som känsliga uppgifter.
17Dataskyddsdirektivet.
18Europaparlamentet och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).
19SFS 1949:105.
371
Anmälan av svenska elektroniska identitetshandlingar |
SOU 2017:114 |
I många andra länder inom EU behandlas motsvarigheten till per- sonnummer med sekretess. I bl.a. Tyskland och Österrike används pseudonymer inom respektive land.
Det finns integritetsskäl för att inte föra ut personnummer utanför Sveriges gränser och man kan argumentera för att dessa integritetsskäl egentligen också gäller inom landets gränser. Offent- lighetsprincipen har lett till att det är enkelt att få tag i person- nummer och därefter kan man begära ut väldigt mycket information om en individ, t.ex. inkomstuppgifter, ägande av fastigheter, familje- förhållanden och brottshistorik. Det gör det också möjligt för be- dragare att kapa identiteter.
Utredningen anser att Sverige bör använda möjligheten i eIDAS- förordningen att använda pseudonymer vid gränsöverskridande iden- tifiering. Ett uppdrag att ta fram systemet för pseudonymer bör ges till Skatteverket i samråd med digitaliseringsmyndigheten.
Riktlinjer för pseudonymen
Det är viktigt att den persistenta20 effekten av personnummer kvar- står. Det behövs därför ett samlat system av pseudonymer i stället för att varje utfärdare av elektroniska identitetshandlingar ska ta fram sitt eget.
Om ett nytt begrepp skulle bli aktuellt att införa som pseudo- nym, finns det vissa önskvärda egenskaper att tänka på. Detta har bland annat beskrivits av
•inte är värdebärande, t.ex. inte beskriva födelsedag,
•är unikt,
•är kort och enkelt att förstå,
•är stabilt över tid,
20Med persistens avses i detta sammanhang att numret ska vara detsamma så att man kan lita på att individen är densamma, helst under hela sin livstid.
21
372
SOU 2017:114 |
Anmälan av svenska elektroniska identitetshandlingar |
•är möjligt att verifiera med kontrollsiffra,
•inte krockar med annan nummerserie av betydelse,
•är uppbyggt så att det innehåller både bokstäver och siffror,
•skapas enligt en slumpmässig metod och inte till exempel är ett serienummer.
Dessutom menar
Nästa fråga är vem som ska ha ansvar för att omvandla person- nummer till pseudonym. Det kan vara Skatteverket, som ansvarar för folkbokföringen. Det kan också vara utfärdarna av elektroniska identi- tetshandlingar. Det skulle även kunna vara digitaliseringsmyndigheten som via noden omvandlar personnummer till pseudonym.
18.5Ersättningsmodell till privata utfärdare av anmälda elektroniska identitetshandlingar som används i utländska
Utredningen föreslår:
att privata utfärdare av anmälda elektroniska identitetshandlingar som används i utländska
När det gäller ersättningsmodell är det önskvärt att systemen inom Sverige och i Europa korrelerar med varandra. Enligt vad som tidi- gare har beskrivits i avsnitt 13.7 ska privata utfärdare av elektroniska identitetshandlingar som används i Sverige fakturera Kammarkollegiet för det antal identitetsintyg som utländska offentliga myndigheter har begärt. Staten ska stå för kostnaden när det gäller användning av privat utfärdade elektroniska identitetshandlingar i alla offentliga
373
Anmälan av svenska elektroniska identitetshandlingar |
SOU 2017:114 |
I linje med det förslag som gäller användandet av privat utfärdade elektroniska identitetshandlingar i svenska offentliga
När det gäller privata
374
19Betrodda tjänster enligt
19.1Svenska offentliga myndigheters användning av betrodda tjänster
19.1.1Betrodda tjänster enligt
Syftet med
I artikel 4 i förordningen slås principen om en inre marknad fast. Den som tillhandahåller betrodda tjänster i en medlemsstat får inte hindras att tillhandahålla sådana tjänster i en annan medlemsstat av skäl som anges i förordningen. Anordningar för underskrifter och stämplar, och betrodda tjänster som överensstämmer med förord- ningen ska omfattas av fri rörlighet på den inre marknaden.
I förordningen finns allmänna bestämmelser om betrodda tjänster och kvalificerade betrodda tjänster samt särskilda bestämmelser om elektroniska underskrifter, elektroniska stämplar, elektroniska tids- stämplingar, elektroniska tjänster för rekommenderade leveranser och autentisering av webbplatser. Dessutom finns det bestämmelser om elektroniska dokument som är innehåll lagrat i elektronisk form som även omfattar ljud- och bildinspelningar och audiovisuella in- spelningar.
19.1.2Tillämpningsområde
Förordningen gäller enligt artikel 2.1 system för elektronisk identifi- ering som en medlemsstat har anmält och tillhandahållare av be- trodda tjänster som är etablerade inom unionen. Förordningen gäller
375
Betrodda tjänster enligt
däremot inte tillhandahållande av betrodda tjänster som till följd av nationell lagstiftning eller avtal mellan en avgränsad krets deltagare endast används inom slutna system. Detta framgår av artikel 2.2. I skäl (21) utvecklas vad som menas med slutna system. Där anges att förordningen inte gäller tillhandahållare av tjänster som endast an- vänds inom slutna system mellan en avgränsad uppsättning deltagare och som inte påverkar tredje man. Som exempel nämns system som inrättats i företag eller offentlig förvaltning för hantering av interna förfaranden. I skälet anges vidare att endast betrodda tjänster som till- handahålls för allmänheten och som påverkar tredje man bör uppfylla de krav som ställs i förordningen.
Enligt artikel 2.3 påverkar förordningen inte heller bestämmelser i nationell lagstiftning eller unionslagstiftningen som avser ingående av avtal och deras giltighet eller andra rättsliga eller förfarandemässiga skyldigheter avseende formkrav. Förordningen bör enligt skäl (21) inte heller inverka på nationella formkrav avseende offentliga regis- ter, i synnerhet inte kommersiella register eller fastighetsregister. I svensk lagstiftning ställs för närvarande inte några krav på att an- vända kvalificerade betrodda tjänster vare sig mellan enskilda eller gentemot offentliga organ.
19.1.3Definitioner
I artikel 3 återfinns vissa definitioner. Där anges bl.a. att med en be- trodd tjänst avses en elektronisk tjänst som vanligen tillhandahålls mot ekonomisk ersättning och som består av skapande, kontroll och validering av elektroniska underskrifter, elektroniska stämplar eller elektroniska tidsstämplingar samt elektroniska tjänster för rekom- menderade leveranser och certifikat med anknytning till dessa tjäns- ter. Med betrodda tjänster avses också skapande, kontroll och vali- dering av certifikat för autentisering av webbplatser samt bevarande av elektroniska underskrifter, stämplar och certifikat med anknyt- ning till dessa tjänster.
376
SOU 2017:114 |
Betrodda tjänster enligt |
19.1.4Vilka betrodda tjänster regleras i
I förordningen finns ett antal betrodda tjänster reglerade genom full- ständig harmonisering. Flera av dessa betrodda tjänster är beroende av certifikat och certifikatutfärdare. En förutsättning för att kunna skapa en avancerad eller kvalificerad elektronisk underskrift är att ett certifikat med tillhörande privat nyckel har utfärdats av en certifikat- utfärdare. Med hjälp av nycklarna och certifikaten kan certifikat- innehavaren med sin privata nyckel skapa en avancerad eller elektro- nisk underskrift som sedan kan kontrolleras med den publika nyckeln och personen kan identifieras genom uppgifterna i certifikatet. Flera av kraven i förordningen i artikel 24 är riktade till kvalificerade till- handahållare av betrodda tjänster som utfärdar kvalificerade certifikat.
Följande bild har tagits fram av Post- och telestyrelsen (PTS) och kan förenkla förståelsen av vilka de fullständigt harmoniserade be- trodda tjänsterna är.
En elektronisk stämpel är för en juridisk person motsvarigheten till en elektronisk underskrift av en fysisk person.
Med elektronisk tidsstämpling avses uppgifter i elektronisk form som binder andra uppgifter i elektronisk form till en viss tidpunkt och därmed utgör bevis för att de senare uppgifterna existerade vid den angivna tidpunkten.
Elektroniska tjänster för rekommenderade leveranser gör det möj- ligt att överföra uppgifter mellan tredje män på elektronisk väg på ett sätt som tillhandahåller bevis om uppgifternas hantering, inklusive
377
Betrodda tjänster enligt |
SOU 2017:114 |
sändande och mottagande, och som skyddar uppgifterna mot risken för förlust, stöld, skada eller otillåtna ändringar.
Genom autentisering av webbplatser är det möjligt att bekräfta att en fysisk eller juridisk person är kopplad till en viss webbplats och att uppgifterna på webbplatsen är korrekta.
Även skäl
19.1.5Kvalificerade betrodda tjänster
I artiklarna
För kvalificerade tillhandahållare av betrodda tjänster gäller sär- skilda krav på, t.ex.
–Kontroll av identiteten hos den till vilken ett kvalificerat certifikat utfärdas,
–Personalens utbildning och kunskaper,
–Ekonomisk förmåga att bära risken för verksamheten,
–Teknisk säkerhet och tillförlitlighet hos system,
–Löpande planering för att kunna garantera tjänstens kontinuitet i fall av verksamhetens upphörande.
Förordningen innehåller också krav på att kvalificerade tillhanda- hållare av betrodda tjänster återkommande ska granskas av ackredite-
1I Sverige är det PTS.
2Organen brukar benämnas som certifieringsorgan eller Conformity Assessment Body (CAB).
378
SOU 2017:114 |
Betrodda tjänster enligt |
rade organ i syfte att kontrollera att tillhandahållarna uppfyller för- ordningens krav.
19.2Krav som omfattar såväl kvalificerade som icke kvalificerade tillhandahållare
Vissa bestämmelser i förordningen berör alla tillhandahållare, dvs. även tillhandahållare som inte är kvalificerade i förordningens mening. Såväl kvalificerade som icke kvalificerade tillhandahållare omfattas bl.a. av kraven som gäller skadeståndsansvar i artikel 13 och säkerhet i artikel 19.
Av skäl (35) följer att syftet med regleringen är att säkerställa att även de icke kvalificerade tillhandahållarna har vederbörlig nog- grannhet, insyn och ansvarighet i sina verksamheter och tjänster. Det anges dock att med tanke på den typ av tjänster som tillhandahålls bör det göras åtskillnad mellan kraven på kvalificerade och på icke kvalificerade tillhandahållare.
19.3Vilka betrodda tjänster används av den offentliga förvaltningen i Sverige?
Den svenska offentliga förvaltningen använder betrodda tjänster, både internt och externt i samband med tillhandahållande av
När den offentliga myndigheten tar emot den underskrivna hand- lingen tidsstämplas den för att i efterhand kunna visa när den kom in.
379
Betrodda tjänster enligt |
SOU 2017:114 |
Därefter görs en validering, dvs. en kontroll av att certifikatet som an- vändes för att skapa underskriften var giltigt vid tidpunkten för underskrift och tidpunkten för mottagande. Valideringen innefattar även en kontroll av den kryptografiska kopplingen mellan de under- skrivna uppgifterna och underskriften. Om detta steg inte validerar så har den underskrivna informationen förändrats sedan tidpunkten för underskrift. Den offentliga myndigheten bevarar informationen och underskrifterna för vidarebearbetning och arkivändamål. Hur länge detta behöver bevaras kan variera.
I flera fall tas ovanstående steg hos den statliga myndighet, kom- mun eller det landsting som tillhandahåller
Offentlig förvaltning tillhandahåller även i vissa fall blanketter eller dokument som skickas in i ett asynkront flöde, dvs. den som använder blanketten laddar ner, fyller i och skriver under blanketten för att sedan skicka den vidare till en statlig myndighet, kommun eller landsting. Även i dessa fall används tjänster för underskrift, tids- stämpling, validering och bevarande på samma sätt som beskrivits ovan. Avgörande för om de betrodda tjänsterna omfattas av förord- ningens regler är om det är en del i ett slutet system, dvs. om de på- verkar tredje man eller inte.
Flera offentliga myndigheter använder Mina meddelanden. Det är en funktion som har två huvudsakliga användningsområden; dels att specificera ramverket för hur meddelanden kan förmedlas mellan en avsändande myndighet och en mottagare, dels att vara den uppslags- funktion som kopplar en registrerad mottagare till en specifik elek- tronisk brevlådeoperatör. Dessa brevlådeoperatörer kan troligen ses som tillhandahållare av den betrodda tjänsten elektronisk rekommen- derad leverans eftersom Mina meddelanden möjliggör för att individer ska kunna ta emot, läsa och bevara elektronisk myndighetspost. För
380
SOU 2017:114 |
Betrodda tjänster enligt |
att en användare ska kunna ta del av meddelanden som skickats genom Mina meddelanden krävs att hon eller han har en elektronisk identi- tetshandling och är ansluten till en digital brevlåda godkänd för att an- vändas i Mina meddelanden.
19.3.1Tillhandahållare av betrodda tjänster på den svenska marknaden
Det är svårt att av göra hur många tillhandahållare av betrodda tjäns- ter som finns på den svenska marknaden. Det beror på att det inte finns någon anmälningsplikt för de som tillhandahåller betrodda tjänster om dessa inte har valt att bli kvalificerade tillhandahållare och tillhandahålla kvalificerade betrodda tjänster. En annan svårighet är att regelverket är nytt och det finns en otydlighet och gränsdrag- ningsproblematik om en tillhandahållare tillhandahåller betrodda tjänster eller ej. Det finns ännu inte någon rättslig prövning som kan klargöra vad som är att ses som en betrodd tjänst eller ej.
Den svenska marknaden präglas av de formkrav som ställs i svensk lagstiftning på användning av betrodda tjänster och de behov som tillhandahållare av
En annan kategori möjliga tillhandahållare är leverantörerna av digitala brevlådetjänster i Mina meddelanden. Mina meddelanden gör det möjligt för individer att ta emot, läsa och bevara digital myndig- hetspost. För att en användare ska kunna ta del av meddelanden som skickats genom Mina meddelanden krävs att hon eller han har en elektronisk identitetshandling och är ansluten till en digital brevlåda godkänd för att användas i Mina meddelanden. Leverantörer som till- handahåller digitala brevlådetjänster kan ses som att de tillhandahåller den betrodda tjänsten elektronisk rekommenderad leverans.
En tredje kategori är tillhandahållare av tjänsten validering av elek- troniska underskrifter.
381
Betrodda tjänster enligt |
SOU 2017:114 |
19.4Vad kräver
Av artikel 27 i
Kommissionen har fattat beslut om en genomförandeakt3 med referensformat för avancerade elektroniska underskrifter och stämp- lar i enlighet med artiklarna 27.5 och 37.5. Det innebär, enligt artikel 1 i genomförandeakten, en skyldighet för medlemsstaterna att i offentliga
Samma krav som genomförandeakten anger för underskrifter gäl- ler för stämplar i enlighet med artikel 3 och 4 i genomförandeakten.
19.4.1Möjliga undantag till kravet om erkännande av elektroniska underskrifter och stämplar från andra medlemsstater
Av skäl (21) och artikel 2 framgår att förordningen inte påverkar nationell rätt eller unionsrätt som avser ingående av avtal eller andra rättsliga och förfarandemässiga skyldigheter avseende formkrav. Vidare framgår av skäl (21) att det inte finns någon allmän skyldighet att
3Kommissionens genomförandebeslut (EU) 2015/1506 av den 8 september 2015 om fast- ställande av specifikationer rörande format för avancerade elektroniska underskrifter och avancerade elektroniska stämplar i enlighet med artiklarna 27.5 och 37.5 i Europaparlamentets och rådets förordning (EU) nr 910/2014 om elektronisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden.
4Formaten XML, CMS eller PDF på överensstämmelsenivå Basic, Timestamping eller Long Term eller använda en tillhörande underskriftsbehållare, ASIC.
382
SOU 2017:114 |
Betrodda tjänster enligt |
använda eller installera en accesspunkt för alla befintliga betrodda tjänster.
19.5Hur används elektroniska underskrifter i svenska offentliga
Flera svenska offentliga myndigheter använder i dag
Andra offentliga myndigheter använder sig av asynkrona flöden, dvs. att en blankett laddas ner av undertecknaren som fyller i och skapar en elektronisk underskrift i sin miljö och skickar in till mot- tagande offentlig myndighet. Det kan också vara för de fall att under- tecknarens verksamhetssystem undertecknar informationen och skickar in till mottagande myndighet. I dessa fall styr inte den offent- liga myndigheten över de mottagna underskrifterna och de kan vara från olika länder och i olika format.
383
Betrodda tjänster enligt |
SOU 2017:114 |
19.5.1Svårigheter med att ta emot elektroniska underskrifter från andra länder
I svenska
a)Den ska vara unikt knuten till undertecknaren.
b)Undertecknaren ska kunna identifieras genom den.
c)Den ska vara skapad på grundval av uppgifter för skapande av elektroniska underskrifter som undertecknaren med hög grad av tillförlitlighet kan använda uteslutande under sin egen kontroll.
d)Den ska vara kopplad till de uppgifter som den används för att underteckna på ett sådant sätt att alla efterföljande ändringar av uppgifterna kan upptäckas.
En avancerad elektronisk underskrift kan sedan skapas utifrån certi- fikat som utfärdats av en betrodd tjänst eller en kvalificerad betrodd tjänst. Ett certifikat som utfärdats av en kvalificerad betrodd tjänst brukar benämnas ett kvalificerat certifikat. Som tidigare beskrivits innebär förordningen enligt artikel 27 att en medlemsstat som kräver en avancerad elektronisk underskrift för användningen av en nättjänst som erbjuds av ett offentligt organ eller på ett offentligt organs väg- nar, ska erkänna avancerade elektroniska underskrifter, avancerade elektroniska underskrifter som är baserade på ett kvalificerat certifikat för elektroniska underskrifter och kvalificerade elektroniska under- skrifter i åtminstone de format eller med de metoder som anges i genomförandeakten på området.
Det finns svårigheter med att godta olika sorters format och underskrifter i onlinetjänster. Det är enklare när det gäller
384
SOU 2017:114 |
Betrodda tjänster enligt |
tillhörande genomförandeakten. En
Betrodda tjänster som inte är kvalificerade omfattas inte av samma detaljreglering som kvalificerade betrodda tjänster vilket medför att det är svårt att jämföra en betrodd tjänst som en avancerad elektro- nisk underskrift från en tillhandahållare av betrodd tjänst jämfört med en annan tillhandahållare av avancerade elektroniska underskrif- ter. Det gör det svårt för en mottagande offentlig myndighet att avgöra om och hur en avancerad underskrift från en okänd tillhanda- hållare lever upp till kraven på en avancerad elektronisk underskrift.5
19.5.2Behov av gemensamma insatser för att underlätta gränsöverskridande användning av elektroniska underskrifter och stämplar
Utredningen föreslår:
att regeringen ger digitaliseringsmyndigheten i uppdrag att spe- cificera, tillhandahålla eller upphandla en gemensam validerings- tjänst för att statliga myndigheter, kommuner och landsting ska kunna validera elektroniska underskrifter från andra länder.
att regeringen tillsätter en utredning som ser över behovet av svensk reglering av betrodda tjänster som inte är kvalificerade.
Skyldigheten att erkänna elektroniska underskrifter och stämplar från andra medlemsstater innebär ett behov för svenska tillhanda-
5 Jfr Högsta domstolens dom den 22 december 2017 i mål
385
Betrodda tjänster enligt |
SOU 2017:114 |
hållare av
Detta innebär att en samlad valideringstjänst bör införas enligt ut- redningens mening eller åtminstone upphandlas centralt för nyttjande av den offentliga förvaltningen. En sådan tjänst kan validera elektro- niska underskrifter från de andra medlemsländerna.
I den enkät som utredningen skickade till andra medlemsstater (se avsnitt 17.3.4) ingick frågan om de har en valideringstjänst för elektro- niska underskrifter. Det finns åtskilliga exempel på sådana validering- stjänster.
Danmark har en central tjänst som kan erkänna utländska elektro- niska underskrifter (Kvikskranken).
Finland har ingen gemensam valideringstjänst men kommer att behöva överväga det om offentliga myndigheter börjar använda elek- troniska underskriftstjänster. Väldigt få offentliga tjänster i Finland kräver elektroniska underskrifter enligt lag.
Nederländerna har implementerat en valideringstjänst för elektro- niska underskrifter. Nederländerna accepterar alla utländska avance- rade
Österrike har en valideringstjänst på följande webbplats:
Digitaliseringsmyndigheten bör få i uppdrag att specificera och till- handahålla eller upphandla en sådan valideringstjänst. En sådan vali- deringstjänst kan komma att utvecklas till ytterligare en förvalt- ningsgemensam digital funktion enligt vad som tidigare har beskrivits.
En annan insats som identifierats under arbetets gång är att tyd- liggöra vilka krav på avancerade elektroniska underskrifter som be- hövs för att de kunna användas i svenska
Det smidigaste sättet att ta emot underskriven handling är i ett synkront flöde där man som mottagare själv kan sätta kraven och parametrarna på den ingående underskriften. När en organisation eller offentlig myndighet önskar att själva översända underskrivna handlingar till en annan offentlig myndighet så uppstår ett problem i
386
SOU 2017:114 |
Betrodda tjänster enligt |
att båda inte kan styra över underskriftens format. Det kan endast antingen avsändare eller mottagare göra. Om det finns en gemensam nationell överenskommen standard för hur sådana underskrifter skapas och valideras så förenklas flödet betydligt. Det kommer dock alltid att finnas fall där en offentlig myndighet behöver ta emot en under- skriven handling från utfärdare som inte följer en sådan standard eller kan valideras genom ”trusted list”. Samma problem uppstår när en in- divid i ett annat land skriver under en handling med ett avancerat certifikat utfärdat av en betrodd tjänst med säte i ett annat land och översänder den till en offentlig myndighet nationellt. Den offentliga myndigheten är enligt förordningen skyldig att ta emot handlingen och validera den om det finns en kostnadsfri tjänst eller mjukvara för validering.
Förordningens krav på kvalificerade certifikat är omfattande och tydliga. Kraven på certifikat som inte är kvalificerade är otydliga vilket innebär en svårighet för en mottagare av en avancerad elektronisk underskrift att avgöra vilken kvalitet och säkerhet som en sådan underskrift har, t.ex. hur väl identifierad undertecknaren är.
Om en nationell säkerhetsnivå fastställs i regelverk så underlättar det såväl möjligheten att avgöra vilka underskrifter som godtas i offentliga
–Kontroll av identiteten hos den till vilken ett certifikat utfärdas,
–Personalens utbildning och kunskaper, och
–Teknisk säkerhet och tillförlitlighet hos system.
Behovet och innehållet av en sådan reglering behöver utredas vidare.
387
20Framtida användning av elektroniska identitetshandlingar inom Europa
Utredningen bedömer:
att Sverige bör ha en hög ambitionsnivå för användningen av elektroniska identitetshandlingar och betrodda tjänster.
att digitaliseringsmyndigheten bör prioritera deltagande i sam- arbetsnätverket för elektroniska identitetshandlingar och sak- kunnigbedömningar.
Utredningen föreslår:
att regeringen ger uppdrag till offentliga myndigheter som har särskilt frekventa ärenden rörande nordiska medborgare att delta i och stödja samarbetsprojekt med motsvarande offentliga myndig- heter i de nordiska och baltiska länderna.
att Skatteverket får i uppdrag att inrätta ett svenskt register över säkerställda kopplingar mellan europeiska elektroniska identi- tetshandlingar och svenska personnummer enligt det av Skatte- verket tidigare lämnade förslaget.
20.1Hög ambitionsnivå för användningen
av europeiska elektroniska identitetshandlingar och betrodda tjänster
Under det estniska ordförandeskapet i ministerrådet hösten 2017 genomfördes två ministerkonferenser i Tallinn med inriktning på digital utveckling. Detta resulterade i två ministerdeklarationer.
389
Framtida användning av elektroniska identitetshandlingar inom Europa |
SOU 2017:114 |
Den 5 oktober 2017 skrev ansvariga ministrar i Armenien, Azer- badjan, Vitryssland, Georgien, Moldavien, Ukraina och EU under en gemensam deklaration. Den innehåller bl.a. mål för regler för elek- tronisk kommunikation och infrastruktur, tillit och säkerhet i den digitala ekonomin, eHandel inklusive tull- och transportfrågor, digi- tal kompetens, ICT innovation och startups ekosystem, eHälsa samt
Den 6 oktober 2017 skrev ansvariga ministrar i alla medlemsstater i EU och EFTA under en ministerdeklaration för att nå visionen och levandegöra principerna i EU:s eGovernment handlingsplan 2016– 2020. Inom de närmsta fem åren ska länderna arbeta för ett antal mål inom den offentliga verksamheten. Ett av dessa innebär att öka an- vändningen av elektroniska identitetshandlingar. Medlemsländerna förklarar sig villiga att vidta åtgärder så att eIDAS
Även om ministerdeklarationer inte har en bindande verkan så finns det starka skäl för Sverige att ta fasta på de möjligheter som ges av ett förverkligande av syftena bakom
1
2
390
SOU 2017:114 |
Framtida användning av elektroniska identitetshandlingar inom Europa |
20.2Sverige bör prioritera deltagandet i nätverk och sakkunnigbedömningar
Kommissionen har i ett särskilt genomförandebeslut3 etablerat ett nätverk för samarbete med syfte att vara ett forum för informations- utbyte, med kapacitet att yttra sig över anmälningar och utarbeta riktlinjer för sakkunnighetsbedömningar. Deltagande i nätverket är obligatoriskt för medlemsstaterna.
Samma beslut reglerar närmare hur sakkunnighetsbedömningarna ska gå till. Sakkunnighetsbedömningarna ska inte bara vara en grund för ömsesidigt erkännande. De ska också enligt beslutet ses som en möjlighet till gemensamt lärande. Deltagandet i bedömningarna är dock frivilligt.
Utredningen bedömer det som angeläget att Sverige prioriterar deltagande i sakkunnighetsbedömningarna. Det ger en möjlighet till insyn i andra länders system för elektroniska identitetshandlingar, vilket ger en grund för tillit eller för att framföra befogade invänd- ningar. Sveriges ambitionsnivå bör, enligt utredningen, vara att ut- nyttja fördelarna med den inre digitala marknaden fullt ut. Då är det viktigt att svenska offentliga myndigheter befinner sig i fronten på utvecklingen. Det bidrar till att höja kompetensnivån hos de offent- liga myndigheterna. Vidare ger det bättre förutsättningar för att via nätverket påverka hur bedömningarna görs. Utredningen föreslår i kapitel 18 att Sverige ska ha ett öppet system för anmälan. Det inne- bär att det i ett lite längre perspektiv kan finnas mer än en svensk elektronisk identitetshandling anmäld. Andra länder kan i så fall uppleva detta som att Sverige ianspråktar en oproportionellt stor del av deras resurser för bedömningar. Eftersom Sverige även har ett öppet system för kvalitetsgranskning av elektroniska identitetshand- lingar kommer Sveriges process för anmälan att skilja sig från många övriga länders. Ett aktivt deltagande i samarbetsnätverk torde bidra till att höja acceptansen för den svenska modellen.
3 Kommissionens genomförandebeslut (EU) 2015/296 av den 24 februari 2015 om inrättande av förfaranden för samarbete mellan medlemsstaterna om elektronisk identifiering i enlighet med artikel 12.7 i Europaparlamentets och rådets förordning (EU) nr 910/2014 om elektronisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden.
391
Framtida användning av elektroniska identitetshandlingar inom Europa |
SOU 2017:114 |
20.3Norden och Baltikum först
Att öppna offentliga myndigheters
För att kunna dra nytta av de möjligheter
•Länder som har identitetsbeteckningar som liknar det svenska personnumret i utformning och persistens.
•Länder som har anmält eller avser att anmäla ett system för elek- tronisk identifiering.
•Svenska
•Vidare bör tillgängliggörandet av
Den 25 april 2017 i Oslo skrev Nordiska Rådets ministrar med an- svar för olika delar av digitaliseringen i Norge, Sverige, Danmark, Finland, Island, Färöarna, Estland, Lettland och Litauen under en deklaration för att göra den
1.Att stärka möjligheterna till digitalisering av offentlig verksamhet och samhället i övrigt, särskilt genom att skapa gemenskap genom offentliga gränsöverskridande digitala tjänster.
392
SOU 2017:114 |
Framtida användning av elektroniska identitetshandlingar inom Europa |
2.Att stärka konkurrenskraften hos företagen genom digitalisering.
3.Uppmuntra den gemensamma digitala marknaden i den nordisk- baltiska regionen.
Under varje mål finns närmare specifikationer om vad målen inne- bär. Det första delmålet innebär att det ska etableras ett närmare samarbete mellan de berörda ländernas myndigheter med syfte att möjliggöra gränsöverskridande
Ministrarna uppmanar Nordiska ministerrådets sekretariat att upprätta en plan för att ta fram relevanta initiativ och projekt för att uppnå målen. För att uppnå effektivitet i arbetet förordar man att arbetet drivs decentraliserat genom att ansvaret för olika frågor delas upp mellan länderna.4
De nordiska samarbetsministrarna beslutade den 22 juni 2017 att upprätta ett tillfälligt ministerråd för digitalisering
4
393
Framtida användning av elektroniska identitetshandlingar inom Europa |
SOU 2017:114 |
göra en gemensam nordisk ansökan om
Sverige kommer 2018 att ha ordförandeskapet i Nordiska minister- rådet och har ställt samman ett program som innehåller beskriv- ningar av de ämnen och punkter som ska behandlas under ordför- andeskapet.5
Utredningen bedömer att det finns goda förutsättningar för sam- arbete mellan de nordiska och baltiska myndigheterna. Även om myndighetsstrukturen och styrningsmodellerna skiljer sig åt länderna emellan så finns det stora likheter i synen på vad som ska vara ett offentligt åtagande och kunskap om hur de andra länderna arbetar.
Det är viktigt att de goda intentionerna omsätts i konkreta resul- tat och att respektive lands regering ger särskilda uppdrag till be- rörda myndigheter att delta i samarbetet.
20.4Kopplingsregister en viktig förutsättning
Utredningen har i avsnitt 17.1.3 beskrivit Skatteverkets förslag om ett centralt kopplingsregister. De svenska offentliga myndigheterna måste kunna lita på att det är samma individ bakom en utländsk elektronisk identitetshandling som bakom ett svenskt personnummer. Annars bör utländska användare inte ges tillträde till
Enligt Skatteverkets förslag ska den svenska noden kunna för- medla till den offentliga myndigheten om koppling finns eller inte. För att få en koppling registrerad ska det krävas samma grad av säkerhet som vid utfärdandet av en fysisk identitetshandling. Det inne- bär enligt Skatteverket att koppling kan registreras först efter noggrann kontroll som kan genomföras på tre sätt.
För att få till stånd en elektronisk lösning kan Sverige i bilaterala avtal komma överens med främst de andra nordiska länderna om att den elektroniska identitetshandlingen ska innehålla personnummer eller motsvarande som kan jämföras med redan registrerade uppgif- ter i folkbokföringsdatabasen. Ett alternativt sätt som också ger en elektronisk lösning är att användaren först loggar in med en redan
5 Nordiska ministerrådets skrift, Ett inkluderande, innovativt och tryggt Norden, Sveriges ordförandeskap 2018.
394
SOU 2017:114 |
Framtida användning av elektroniska identitetshandlingar inom Europa |
registrerad elektronisk identitetshandling och därefter kopplar ytter- ligare en elektronisk identitetshandling till sitt personnummer eller styrkta samordningsnummer. För de användare som inte kan få en koppling registrerad elektroniskt finns slutligen alternativet att använ- daren inställer sig fysiskt för identitetskontroll hos en registrerande myndighet.
Den första varianten med bilaterala avtal är det som samarbetet inom Nordiska ministerrådet kan förväntas leda till.
För att arbetet med kopplingsregister ska ta fart föreslår utred- ningen att Skatteverket får i uppdrag att inrätta ett kopplingsregister med utgångspunkt i det förslag som lämnades i rapporten 2016.6
Med anledning av de brister i samordningsnummersystemet som redogjorts för i avsnitt 17.5 anser utredningen att kopplingsregistret till att börja med endast ska omfatta kopplingar mellan utländska elektroniska identitetshandlingar och svenska personnummer.
6 Koppling mellan europeiska
dnr. 131
395
21En lag om infrastruktur för digital post
Utredningen föreslår:
en lag om infrastruktur för digital post som ska reglera de nuvar- ande informationsflödena i infrastrukturen samt det som kan vän- tas uppstå av att infrastrukturen öppnas upp för fler användare.
Förslaget genomförs genom lagen om infrastruktur för digital post.
I stället för den förordning som utredningen föreslog i delbetänkan- det föreslår utredningen nu en lag om infrastruktur för digital post (Mina meddelanden). Skälen för detta behandlas nedan. Sammanfatt- ningsvis handlar det om att utredningen nu föreslår att öppna upp infrastrukturen för privata aktörer som avsändare samt att person- uppgiftsansvaret i Mina meddelanden bör regleras i en lag.
21.1Utredningens tidigare överväganden och förslag
I delbetänkandet föreslog utredningen att en ny förordning skulle införas för att i den samla det regelverk som behövs för infrastruk- turen Mina meddelanden.
I delbetänkandet bedömde utredningen att den nuvarande regle- ringen av Mina meddelanden är otillfredsställande på flera plan.1 Det författningsstöd som finns för Mina meddelanden i dag utgörs av 5 § förordningen om statliga myndigheters elektroniska informations- utbyte.2 Där sägs egentligen bara att Skatteverket ska tillhandahålla
1SOU 2017:23, digitalforvaltning.nu, s. 190 f.
2Förordningen (2003:770) om statliga myndigheters informationsutbyte.
397
En lag om infrastruktur för digital post |
SOU 2017:114 |
en infrastruktur för säker elektronisk post från myndigheter till enskilda, vilka som får ansluta sig som avsändare och mottagare samt att Skatteverket får föra register över de anslutna och i vilket ända- mål personuppgifter i registret får behandlas. Skatteverket får även föreskriftsrätt för inrättande och drift av strukturen. Enligt utred- ningens mening är denna reglering otillräcklig.
Erfarenheter under uppbyggnaden av funktionen Mina meddelan- den pekar på ett behov av förtydliganden på flera punkter. Vissa delar i infrastrukturen behöver, enligt utredningen, ett tydligare författ- ningsstöd. Det faktum att övriga bestämmelser i den nuvarande förordningen avser elektroniskt informationsutbyte mellan statliga myndigheter talade också för det.3
Den tillkommande regleringen, enligt utredningens förslag i del- betänkandet, var så pass omfattande att det var lämpligt att reglera detta i en egen författning. Utredningen föreslog därför en ny för- ordning om en infrastruktur för säkra elektroniska försändelser. I för- slaget förtydligades bl.a. hur långt personuppgiftsansvaret sträcker sig för avsändaren och vilka befogenheter brevlådeoperatörerna4 har i Mina meddelanden. Förslagen var inte menade att ändra på några av de förutsättningar som ges inom ramen för den befintliga regleringen i, eller i de nu gällande allmänna villkoren för Mina meddelanden. Av- sikten var i stället att tydliggöra det som inte regleras i paragrafen i dag, genom att utöka den till en egen förordning och lägga till de regler som behövs.
När det gäller personuppgiftsbehandlingen resonerade utred- ningen enligt följande.5 Dataskyddsförordningen medger enligt arti- kel 4.8 att den personuppgiftsansvarige, eller de särskilda kriterierna för hur denne ska utses, kan föreskrivas i svensk nationell rätt.
Enligt regeringsformen6 är var och en gentemot det allmänna – utan samtycke – skyddad mot betydande intrång i den personliga integriteten som innebär övervakning eller kartläggning av den en- skildes personliga förhållanden. Skyddet, enligt denna bestämmelse, kan begränsas endast enligt den särskilda ordning som föreskrivs i regeringsformen.7
3Förordningen (2003:770) om statliga myndigheters informationsutbyte.
4Numera benämnda leverantörer av brevlådetjänster för digital post.
5SOU 2017:23, digitalforvaltning.nu, s. 213 ff.
62 kap. 6 § andra stycket regeringsformen (1974:152).
72 kap.
398
SOU 2017:114 |
En lag om infrastruktur för digital post |
Bestämmelsen i regeringsformen8 innebär att sådana åtgärder som föreslås ska prövas mot grundlagen och regleras i lag. Det är endast tillåtet med lagar som inskränker integritetsskyddet om det intresse som ska tillgodoses är så starkt och integritetsskyddsintresset så för- hållandevis svagt att inskränkningen framstår som proportionerlig. Bestämmelsen innebär också att lagstiftaren tydligt måste redovisa vilka avvägningar som gjorts vid proportionalitetsbedömningen.9
Utredningen anförde att en anslutning som mottagare till Mina meddelanden inte innebär ett betydande intrång i den personliga inte- griteten, eftersom en sådan anslutning enligt förslaget även fortsätt- ningsvis ska vara frivillig. Ingen kommer att anslutas som mottagare utan samtycke. Det innebär inte heller övervakning eller kartlägg- ning av individens förhållanden utan att någon först har brutit mot gällande regler.
Av ovanstående drog utredningen slutsatsen att det skulle räcka att reglera Mina meddelanden i en egen förordning. Efter att del- betänkandet lämnades har en rad utredningar10 behandlat följder av och anpassningar till dataskyddsförordningen. Kunskapen om det nya regelverket har ökat och det har påpekats i remissvar11 över del- betänkandet att en förordning inte är tillräcklig för den reglering som behövs av Mina meddelanden.
Utredningen har tagit fasta på de synpunkter om lagreglering fram- för förordningsreglering som framförts i remissvaren. Dessa ligger väl i linje med de behov som utredningen under hela utredningstiden har ansett finnas för en ny, fristående författning. Därför föreslår utredningen nu en lag om infrastruktur för digital post.
Enligt direktiven12 skulle utredningen i delbetänkandet lämna för- slag om hur privata utförare av offentligfinansierad verksamhet skulle kunna ansluta som avsändare inom Mina meddelanden. Utredningen fann det i delbetänkandet komplicerat att formulera ett förslag bland annat mot bakgrund av svårigheter att definiera vilka företag som
82 kap. 6 § andra stycket regeringsformen (1974:152).
9Datainspektionens Vägledning för integritetsanalys, september 2016, s. 32.
10Se t.ex. SOU 2017:39, Ny dataskyddslag Kompletterande bestämmelser till EU:s data- skyddsförordning, SOU 2017 :49, EU:s dataskyddsförordning och utbildningsväsendet, SOU 2017:50, Personuppgiftsbehandling för forskningsändamål, SOU 2017:66, Dataskydd inom Socialdepartementets verksamhetsområde – en anpassning till EU:s dataskyddsförord- ning, Ds 2017:19, Ds 2017:33, Ds 2017:41.
11Datainspektionens yttrande den 5 juli 2017, dnr.
12Dir. 2016:39, s. 13.
399
En lag om infrastruktur för digital post |
SOU 2017:114 |
skulle anses vara privata utförare samt hur rätten att ansluta skulle avgränsas.
Utredningen gör nu en förnyad bedömning och finner att privata utförare kan ansluta genom anmälan av berörda kommuner och lands- ting. Eftersom detta medför vissa skyldigheter för kommunen och landstinget måste bestämmelserna även av detta skäl regleras i lag.
21.2Definitioner och bestämmelser
Utredningen föreslår:
att lagen ska innehålla bestämmelser om informationsflödet i in- frastrukturen samt definitioner.
Den myndighet som regeringen utser ska tillhandahålla en infra- struktur för digital post. I enlighet med vad utredningen föreslog i delbetänkandet föreslår utredningen nu att Skatteverket under ytter- ligare en period ska ansvara för Mina meddelanden. Därefter ska an- svaret tas över av digitaliseringsmyndigheten.13
Lagen ska innehålla en paragraf om definitioner av en rad centrala begrepp i infrastrukturen. De begrepp som definieras är:
1.ankomstkontroll: att leverantören av brevlådetjänster för digital post utför kontroll mot förmedlingsadressregistret att avsändaren är ansluten.
2.avsändare: offentlig myndighet eller en juridisk person som genom avsändningskontroll skickar digital post till en mottagare inom infrastrukturen.
3.avsändningskontroll: att avsändaren utför kontroll mot förmed- lingsadressregistret att mottagaren är ansluten till infrastrukturen, i så fall hos vilken leverantör mottagarens brevlådetjänst för digi- tal post finns samt att avsändaren får sända digital post till mot- tagaren.
13 Kommittédirektiv för inrättande av en myndighet för digitalisering av den offentliga sek- torn, Dir. 2017:117, s. 7.
400
SOU 2017:114 |
En lag om infrastruktur för digital post |
4.brevlådetjänster för digital post: den del inom infrastrukturen som lagrar digital post efter att den har gjorts tillgänglig för mot- tagaren.
5.digital post: meddelanden genom digitala kanaler mellan olika ak- törer i infrastrukturen.
6.förmedlare: en fysisk eller juridisk person som utför uppdrag åt en avsändare genom att vidarebefordra digital post.
7.förmedlingsadressregister: det register som innehåller uppgifter, däribland personuppgifter, om de anslutna i infrastrukturen.
8.leverantör av brevlådetjänster för digital post: en juridisk person eller en individ som tillhandahåller brevlådetjänster för digital post.
9.mottagare: individer och företag som anslutit sig till förmedlings- adressregistret som mottagare och i sin brevlådetjänst för digital post tar emot digital post inom infrastrukturen.
10.privat utförare: en juridisk person eller en individ som har hand om en kommunal angelägenhet.
Utredningen föreslår även att lagen ska innehålla en bestämmelse om vad som ingår i infrastrukturen: förmedlingsadressregister, brevlåde- tjänster för digital post samt föreskrifter.
21.3Min myndighetspost
Utredningen föreslår:
att den myndighet som regeringen bestämmer ska tillhandahålla brevlådetjänster för digital post till mottagare som enbart tar emot digital post från avsändare som är anslutna till Mina meddelanden.
Uppdraget att tillhandahålla brevlådetjänsten Min myndighetspost är i dag inte reglerat i författning, något som utredningen i delbetänk- andet föreslog skulle åtgärdas genom reglering i förslaget till för- ordning om infrastruktur för säkra elektroniska försändelser. Utred- ningen föreslår nu att denna statliga brevlådetjänst i stället ska regle- ras i lagen om infrastruktur för digital post.
401
En lag om infrastruktur för digital post |
SOU 2017:114 |
21.4Att underlåta att skicka försändelsen digitalt via Mina meddelanden ska kräva särskilda skäl
Utredningen föreslår:
att mottagare, om de begärt det, har rätt att få digital post från statliga myndigheter om det inte finns särskilda skäl för undantag.
Regeln innebär att individer och företag, om de begärt det, har rätt att som mottagare få digital post från statliga myndigheter om det inte finns särskilda skäl för undantag. Sådana särskilda skäl kan t.ex. vara att den statliga myndigheten bedömer att man inte kan ta sitt personuppgiftsansvar eller att den statliga myndighetens verksam- hetskaraktär är olämplig för att använda digital post i det enskilda fallet. Förslaget innebär att det skulle vara en rättighet för alla mot- tagare att få sin post från statliga myndigheter digitalt genom Mina meddelanden. Förslaget lämnades även i delbetänkandet men utred- ningen föreslår nu att regeln ska ingå i lagen om infrastruktur för digital post.
21.5Förhållandet till dataskyddsreglering
Utredningen föreslår:
att en upplysningsbestämmelse om dataskyddsförordningen och den föreslagna dataskyddslagen ska finnas i den föreslagna lagen om infrastruktur för digital post. Dataskyddslagen föreslås vara subsidiär till lagen om infrastruktur för digital post.
När dataskyddsförordningen börjar tillämpas kommer den att vara direkt tillämplig på all personuppgiftsbehandling inom dess mate- riella och territoriella tillämpningsområde i medlemsstaterna. Data- skyddsförordningens bestämmelser kommer därmed att gälla för Mina meddelanden oberoende av om förhållandet till förordningen regleras i lagen om infrastruktur för digital post. För att underlätta för de som ska tillämpa lagen anser utredningen att det bör införas en upplysningsbestämmelse i lagen om infrastruktur för digital post som klargör att lagen innehåller kompletterande bestämmelser till dataskyddsförordningen.
402
SOU 2017:114 |
En lag om infrastruktur för digital post |
Till skillnad från dataskyddsförordningen kommer dataskydds- lagen att vara subsidiär till lagen, vilket också framgår av 1 kap. 3 § i Dataskyddsutredningens författningsförslag.14
Det kan noteras att några av leverantörerna av brevlådetjänster för digital post redan i dag tillåter företag som avsändare, dvs. sådana företag som inte omfattas av kretsen i den föreslagna 11 § lagen om infrastruktur för digital post. Dessa företag är inte anslutna till infra- strukturen Mina meddelanden, utan skickar digital post ”vid sidan” med stöd av ett civilrättsligt avtal. Denna digitala post träffas inte av den föreslagna lagen om infrastruktur för digital post. I stället tilläm- pas dataskyddsförordningen och dataskyddslagen i sådana situatio- ner fullt ut. Dessa leverantörer av brevlådetjänster för digital post behöver därmed ha allmänna villkor för de anslutna som tar utgångs- punkt i detta.
21.6Rättslig grund för personuppgiftsbehandlingar
Infrastrukturen Mina meddelanden bygger på att en rad aktörer i en viss ordning behandlar individers personuppgifter i en förhållandevis stor omfattning. Det är viktigt att klargöra den rättsliga grunden för dessa behandlingar.
Innan avsändaren skickar post kontrollerar avsändaren i förmed- lingsadressregistret om mottagaren är ansluten till infrastrukturen. Om mottagaren är ansluten sänds en bekräftelse om detta tillbaka till avsändaren. En sådan bekräftelse är en allmän handling om den skickas från en statlig eller kommunal myndighet. Om mottagaren inte är ansluten kommer det inget svar alls och avsändaren får då skicka fysisk post i stället.
Detta betyder att slagningar görs av avsändare på i stort sett hela Sveriges befolkning fastän de inte har anmält sig till infrastrukturen Mina meddelanden eller vill registreras i förmedlingsadressregistret.
Frågan är vilken rättslig grund som gäller för dessa slagningar och för övrig personuppgiftsbehandling i infrastrukturen.
14 SOU 2017:39 s. 83 ff.
403
En lag om infrastruktur för digital post |
SOU 2017:114 |
21.6.1Rekvisitet nödvändig
Enligt artikel 6.1 i dataskyddsförordningen får personuppgifter en- dast behandlas om någon av de rättsliga grunder som räknas upp i artikeln gäller. Enligt denna bestämmelse är personuppgiftsbehandling tillåten om den är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndig- hetsutövning. Personuppgiftsbehandling är även tillåten om den är nödvändig för att fullgöra en rättslig förpliktelse som den person- uppgiftsansvarige är skyldig att göra. Detta framgår av artikel 6.1 c i förordningen.
Dataskyddsutredningen konstaterar i sitt betänkande att det unionsrättsliga begreppet nödvändig inte har samma strikta innebörd som i svenska språket.15 Även om exempelvis en uppgift av allmänt intresse hade kunnat utföras utan behandling av personuppgifter, kan behandlingen ur ett unionsrättsligt perspektiv anses vara nöd- vändig och därmed tillåten enligt artikel 6 i dataskyddsförordningen om den leder till effektivitetsvinster.16
Det står enligt utredningen klart att personuppgiftsbehandlingen i infrastrukturen Mina meddelanden kan bedömas som nödvändig eftersom den bidrar till en stor effektivitetsvinst för offentliga myn- digheter och individer.
För de som själva har anmält sig som mottagare till Mina med- delanden bedömer utredningen att personuppgiftsbehandlingarna är laglig enligt flera av leden som anges i artikel 6.1 i dataskyddsförord- ningen.
21.6.2Samtycke som rättslig grund
Enligt artikel 6.1 a) i dataskyddsförordningen ska den registrerade ha lämnat sitt samtycke till att dennes personuppgifter behandlas för ett eller flera specifika ändamål. Genom att frivilligt ansluta sig som mottagare till Mina meddelanden anser utredningen att mottagaren får anses ha lämnat sitt samtycke till den behandling som behöver ut-
15SOU 2017:39 s. 105 f.
16Datalagskommitténs betänkande SOU 1997:39 s. 359,
404
SOU 2017:114 En lag om infrastruktur för digital post
föras med mottagarens personuppgifter för att hon eller han ska kunna få sin post på elektronisk väg.
21.6.3Rättslig förpliktelse som rättslig grund
Enligt artikel 6.1 c) i dataskyddsförordningen ska behandlingen vara nödvändig för att fullgöra en rättslig förpliktelse som den person- uppgiftsansvarige är skyldig att utföra.
I Sverige följer det av regeringsformen att den offentliga makten utövas under lagarna.17 Offentligrättsliga förelägganden och beslut som medför förpliktelser för mottagaren ska därför ha sin grund i en författning. Förpliktelser som har en generell räckvidd, och alltså inte riktas mot en specifik mottagare, ska också regleras i författning. Detta gäller både offentligrättsliga och civilrättsligaskyldigheter.18
Dataskyddsutredningen gör dock bedömningen att det faktum att den rättsliga förpliktelsen måste ha en legal grund inte innebär att förpliktelsen nödvändigtvis måste framgå av en författning eller lik- nande. Rättsliga förpliktelser kan också framgå av exempelvis förelägg- anden, myndighetsbeslut och domar som har meddelats med stöd av gällande rätt. Avtalsrättsliga förpliktelser som rättslig grund för per- sonuppgiftsbehandling regleras dock i artikel 6.1 b i dataskyddsför- ordningen och ligger således utanför begreppet rättslig förpliktelse.19
Genom utredningens förslag om en lag om infrastruktur för digi- tal post införs tydligare rättsliga förpliktelser för den personupp- giftsansvarige (avsändaren i det här fallet) att fullgöra sina rättsliga förpliktelser. Avsändaren ska enligt 16 § i lagen kontrollera i förmed- lingsadressregistret om mottagaren är ansluten till infrastrukturen. Utredningen föreslår också i 7 § en rättighet att få sin post digitalt om man begär det.
171 kap. 1 § tredje stycket regeringsformen (1974:152).
18SOU 2017:39 s. 115.
19Dataskyddsutredningens betänkande SOU 2017:39 s. 113 f.
405
En lag om infrastruktur för digital post |
SOU 2017:114 |
21.6.4Uppgift av allmänt intresse eller myndighetsutövning som rättslig grund
Enligt artikel 6.1 e) i dataskyddsförordningen ska behandlingen vara nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning.
Uppgift av allmänt intresse
Dataskyddsutredningen anser att mycket talar för att begreppet uppgift av allmänt intresse har fått en vidare unionsrättslig betydelse genom dataskyddsförordningen än det hittills har haft i svensk rätt.20 Dataskyddsutredningen gör även bedömningen att begreppet upp- gift av allmänt intresse rent språkligt kan antas avse något som är av intresse för eller berör många människor på ett bredare plan. Av skäl 45 till dataskyddsförordningen följer att allmänintresset inbegri- per hälso- och sjukvårdsändamål, folkhälsa, socialt skydd och för- valtning av hälso- och sjukvårdstjänster. Dataskyddsutredningen gör också bedömningen att alla uppgifter som utförs av statliga myndig- heter i syfte att uppfylla ett uttryckligt uppdrag av riksdagen eller regeringen är av allmänt intresse.21
Myndighetsutövning
Myndighetsutövning är ytterst ett uttryck för samhällets maktbe- fogenheter i förhållande till individer. Befogenheten till myndighets- utövning måste vara grundad på lag eller annan författning eller på annat sätt kunna härledas ur bemyndiganden från de högsta stats- organen. Till myndighetsutövning hör först och främst sådan offent- lig verksamhet, varigenom myndigheterna ensidigt bestämmer om enskildas skyldigheter eller om ingrepp i enskildas frihet eller egen- dom. Hit hör alltså beslut som innebär skyldigheter att göra eller avstå från något eller som avser ingrepp i personlig frihet eller egen- dom, men även rent faktiska åtgärder som innebär sådana ingrepp, vare sig de grundas på formella beslut eller inte. Så långt kan begrep-
20Dataskyddsutredningens betänkande SOU 2017:39 s. 122 f.
21A.a. s. 124.
406
SOU 2017:114 |
En lag om infrastruktur för digital post |
pet myndighetsutövning sägas sammanfalla med begreppet offentlig maktutövning.
21.6.5Bedömning av rättslig grund
Utredningen anser att det finns stöd för att bedöma uppgift av all- mänt intresse som rättslig grund för personuppgiftsbehandlingarna i Mina meddelanden eftersom infrastrukturen Mina meddelanden har införts som en service som kan sägas vara av allmänt intresse. Viss post från myndigheter kan vara en del av myndighetsutövning gente- mot individen. Att posten skickas digitalt medför enligt utredningen inte någon annan bedömning. Det finns därför stöd även för att bedöma myndighetsutövning som rättslig grund. Att mottagarna har samtyckt till att ansluta sig till Mina meddelanden är också rättslig grund för laglig personuppgiftsbehandling.
Det finns således enligt utredningens mening rättslig grund i dessa tre led för de behandlingarna av personuppgifter i Mina med- delanden när det gäller individer som själva har anslutit sig till infra- strukturen.
När det gäller slagning i förmedlingsadressregistret på individer som inte är anslutna till Mina meddelanden kan inte den rättsliga grunden i artikel 6.1 a) om samtycke användas. Däremot borde samma principer om rättslig grund enligt artiklarna 6.1 c) om rättslig för- pliktelse och e) om allmänt intresse eller myndighetsutövning kunna gälla som rättslig grund för sådan behandling av personuppgifter.
21.7Ändamål för personuppgiftsbehandling inom Mina meddelanden
Utredningen föreslår:
att de primära ändamålen för personuppgiftsbehandling inom infrastrukturen Mina meddelanden regleras. Personuppgifter i registret ska bara få behandlas om det behövs för att
1.förmedla digital post i syfte att kunna utföra en arbetsuppgift inom en författningsreglerad verksamhet hos någon av de som anslutit sig till infrastrukturen, eller
407
En lag om infrastruktur för digital post |
SOU 2017:114 |
2.förvara och bearbeta digital post som avses i p. 1 i syfte att erbjuda tilläggstjänster för mottagarna.
att de sekundära ändamålen med personuppgiftsbehandling inom infrastrukturen Mina meddelanden regleras särskilt. Personupp- gifter i registret som behandlas eller har behandlats enligt de pri- mära ändamålen med registret ska även få behandlas om det behövs för att fullgöra uppgiftslämnande i överensstämmelse med lag eller förordning.
I ett enskilt fall ska personuppgifter som behandlas eller har behandlats enligt de primära ändamålen med registret även få be- handlas för att tillhandahålla information för något annat ändamål än det som anges, under förutsättning att ändamålet inte är oförenligt med det ändamål för vilket uppgifterna samlades in.
Enligt artikel 5.1 b) i dataskyddsförordningen ska det vid behandling av personuppgifter gälla att de ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål. Ytterligare behandling för arkiv- ändamål av allmänt intresse, vetenskapliga eller historiska forsk- ningsändamål eller statistiska ändamål i enlighet med artikel 89.1 ska inte anses vara oförenlig med de ursprungliga ändamålen (ändamåls- begränsning).
Utgångspunkten i lagen om infrastruktur för digital post är att personuppgifter bara ska få behandlas för vissa berättigade, särskilt angivna ändamål. Därmed kan användningen och spridningen av per- sonuppgifterna begränsas.
Ändamålet ska vara specifikt och tydligt angivet. Den aktuella verksamheten för infrastrukturen är att förmedla digital post och ha möjlighet att lagra och bearbeta sådan post. Informationen som flö- dat in i infrastrukturen och behandlats där, kommer till stor del från annat håll. Informationen, ska kunna flöda igenom infrastrukturen för att den ska kunna genomföra sin verksamhet. Det finns även information om aktörerna i infrastrukturen i form av det förmed- lingsadressregister som syftar till att matcha informationen som flödar genom infrastrukturen med rätt mottagare, dvs. en del i att förmedla den digitala posten.
De primära ändamålen som utredningen föreslår i 9 § i förslaget till lag om infrastruktur för digital post är utformade för att till-
408
SOU 2017:114 |
En lag om infrastruktur för digital post |
godose den behandling som behövs i en sådan verksamhet. För att skilja ut och precisera vilken information som får flöda igenom infra- strukturen begränsas denna till att bara avse sådan information som från början kommer från en författningsreglerad verksamhet som ingår bland infrastrukturens aktörer. Det är bara den informationen som, tillsammans med förmedlingsadressregistret, ingår i infrastruk- turens verksamhet. Utredningen bedömer t.ex. att personuppgifts- behandlingen från handläggning av en avsändares ärende eller faktiska handläggning från början till slut kan flöda genom infrastrukturen och ingå i dess verksamhet om denna information ingår i en författ- ningsreglerad verksamhet. Utredningen bedömer att även generella servicemeddelanden som ingår i en arbetsuppgift inom en författ- ningsreglerad verksamhet hos en avsändare kan omfattas av infra- strukturens verksamhet. Utredningens bedömning är att detta innebär att statliga myndigheter, kommuner och landsting, i deras författnings- reglerade uppdrag, träffas av ändamålens formulering utan att ramen blir alltför vid i förhållande till mängden information som kan kvalifi- cera. Personuppgiftsbehandlingarna bedöms vara proportionerliga.
Vilken kategori av information som ska få finnas i registret är en bedömningsfråga, eftersom det bara är de personuppgiftsbehand- lingar som behövs som är tillåtna. Det är därmed inte ändamålsenligt att specificera vilka kategorier av personuppgifter som kan ingå i registret. Det skulle hypotetiskt kunna variera från fall till fall.
Sekundära ändamål (10 §) reglerar i vilken utsträckning uppgifter som samlats in för något primärt ändamål får behandlas för att läm- nas ut från den reglerade verksamheten till enskilda eller till andra myndigheter eller verksamheter. Uppgifterna lämnas således ut i syfte att tillgodose deras behov, dvs. trots att det inte behövs för något primärt ändamål.
Finalitetsprincipen innebär att insamlade personuppgifter inte får behandlas för något ändamål som är oförenligt med det ursprungliga ändamålet. Det finns flera möjligheter att utforma ändamålsregle- ringen i särskilda registerförfattningar i förhållande till finalitetsprin- cipen. Det går dock att urskilja två principiellt olika sätt. Det ena är att i en uttömmande uppräkning ange samtliga ändamål för vilka behandling får förekomma, både primära och sekundära. Det andra är att de i lagen angivna ändamålen kompletteras med en möjlighet att vidarebehandla personuppgifter även för ändamål som inte är oförenliga med insamlingsändamålet. Möjligheten till vidarebehand-
409
En lag om infrastruktur för digital post |
SOU 2017:114 |
ling får då avgöras med tillämpning av finalitetsprincipen. I flera sär- skilda registerförfattningar, däribland polisdatalagen22 och kustbe- vakningsdatalagen,23 är ändamålsbestämmelserna utformade enligt det senare alternativet.24
Ambitionen med utredningens förslag om en lag om infrastruk- tur för digital post är att de tillåtna ändamålen för behandling av per- sonuppgifter ska anges så tydligt och fullständigt som möjligt. De primära ändamålen, dvs. de ändamål för vilka den aktuella myndig- heten får samla in personuppgifter för Mina meddelanden, anges därför uttömmande. En svårare fråga är om även de sekundära ända- målen – som anger när de personuppgifter som med stöd av de pri- mära ändamålen har samlats in av myndigheten enligt ovan får lämnas ut trots att det inte behövs enligt de primära ändamålen – bör anges uttömmande.
I förarbetena till flera särskilda registerförfattningar har regeringen gjort bedömningen att det inte är möjligt att i en lag om behandling av personuppgifter på ett visst område på ett tillräckligt preciserat sätt ange alla de situationer där utlämnande av uppgifter kan komma att aktualiseras, se t.ex. propositionen Integritet och effektivitet i poli- sens brottsbekämpande verksamhet25 och propositionen Kustbevak- ningsdatalag.26
Regeringen ansåg även i propositionen Nya möjligheter till opera- tivt polissamarbete med andra stater27 att de sekundära ändamålen inte skulle anges uttömmande i den nya tullbrottslagen. I ett enskilt fall bör personuppgifter som samlats in enligt de primära ändamålen även få behandlas för att tillhandahålla information för något annat ändamål än de som uttryckligen anges i lagen, under förutsättning att ändamålet inte är oförenligt med det ändamål för vilket personupp- gifterna samlades in.
Det skulle kunna anföras att det i dagsläget inte finns en så varier- ande verksamhet för infrastrukturen Mina meddelanden att det i sig skulle utesluta möjligheten att på ett tillräckligt preciserat sätt ange
22SFS 2010:361. Jfr även nytt förslag om polisdatalag i SOU 2017:74 s. 418 ff. där de sekun- dära ändamålen fortsatt inte är uttömmande.
23SFS 2012:145. Se även nytt förslag om kustbevakningsdatalag i Ds 2017:58 s. 118 ff. där de primära- och sekundära ändamålsbestämmelserna behålls som de är i dag.
24Prop. 2011/12:45 s. 102.
25Prop. 2009/10:85 s. 98.
26Prop. 2011/12:45 s. 102.
27Prop. 2016/17:91 s. 88 f.
410
SOU 2017:114 |
En lag om infrastruktur för digital post |
alla de situationer där utlämnande av uppgifter kan komma att aktu- aliseras. Å andra sidan är det, som utredningen redogjort för ovan, problematiskt att definiera infrastrukturens verksamhet. Det finns då en risk för att exkludera någon del av personuppgiftsbehandlingarna.
Utredningen föreslår därför, främst med hänsyn till hur lagstifta- ren tidigare har resonerat avseende de sekundära ändamålen, att dessa inte anges uttömmande i 10 § andra stycket.
21.8Fördelning av personuppgiftsansvar
För att underlätta för de inblandade aktörerna föreslår utredningen ett klargörande av det personuppgiftsansvar som den aktuella myn- digheten har, avsändare av digital post och leverantörer av digitala brevlådetjänster. Även förmedlarens roll behöver förtydligas i detta sammanhang. Bland annat inför utredningen nya regler för att visa dels vilka slagningar som avsändare, förmedlare och leverantörer av digitala brevlådetjänster gör mot förmedlingsadressregistret, dels när en avsändares personuppgiftsansvar upphör och personuppgiftsan- svaret tas över av leverantörer av digitala brevlådetjänster.
21.8.1Avsändningskontroll
Utredningen föreslår:
att avsändare före sändning av digital post ska kontrollera i för- medlingsadressregistret om mottagaren är ansluten till infrastruk- turen och i så fall hos vilken leverantör mottagarens brevlåde- tjänst för digital post finns samt att avsändaren får sända digital post till mottagaren. Om mottagaren inte är ansluten till infra- strukturen eller inte tar emot meddelanden från den aktuella av- sändaren ska den digitala posten inte få sändas via infrastrukturen.
Avsändningskontroll innebär att avsändaren måste genomföra en kontroll i förmedlingsadressregistret för att ta reda på om mottaga- ren är ansluten till Mina meddelanden, hos vilken leverantör mot- tagaren har sin digitala brevlåda samt att avsändaren av den digitala posten får sända post till mottagaren (att mottagaren inte har spärrat post från avsändaren) för att få skicka post via infrastrukturen. Detta
411
En lag om infrastruktur för digital post |
SOU 2017:114 |
är en procedur som är en teknisk förutsättning för att meddelande ska sändas och som beskrivs i Skatteverkets allmänna villkor för Mina meddelanden.28 Det finns, enligt utredningen ett behov av att i lagen kortfattat upplysa om hur infrastrukturen fungerar.
21.8.2Förmedlarens kontroll
Utredningen föreslår:
att förmedlare före sändning av digital post ska kontrollera i för- medlingsadressregistret om mottagaren fortfarande är ansluten till infrastrukturen och om avsändaren får sända digital post till mottagaren. Om mottagaren inte är ansluten till infrastrukturen eller inte tar emot meddelanden från den aktuella avsändaren ska den digitala posten inte få sändas via infrastrukturen.
Eftersom digital post kan sändas både av avsändaren direkt och via en förmedlare behövs det, för tydlighetens skull, särskilt regleras vad som gäller för förmedlare.
Även denna slagning utförs i de fall en förmedlare är anlitad av avsändaren för att förmedla den digitala posten. Förmedlare kon- trollerar på uppdrag av avsändaren i förmedlingsadressregistret att mottagaren fortfarande är ansluten och att avsändaren får sända digital post till mottagaren.
21.8.3Ankomstkontroll
Utredningen föreslår:
att leverantör av brevlådetjänster för digital post vid ankomst av digital post till brevlådan ska kontrollera i förmedlingsadress- registret att avsändaren fortfarande är ansluten till infrastruktu- ren. Om avsändaren inte är ansluten och heller inte har något civilrättsligt avtal med mottagaren om digital brevlådetjänst ska meddelandet inte tas emot.
28 Allmänna villkor för Mina meddelanden, version 1.3, s. 9 p. 6.5.1.
412
SOU 2017:114 |
En lag om infrastruktur för digital post |
Som sista steg i sändningskedjan ska leverantören av brevlådetjänster för digital post också kontrollera i förmedlingsadressregistret att avsändaren fortfarande är ansluten till infrastrukturen. Om avsända- ren inte är ansluten och inte heller har något civilrättsligt avtal med mottagaren om digital brevlådetjänst, alltså har kvar samma val av brevlådetjänst, ska meddelandet inte tas emot.
Den post som kommer till mottagaren kan antingen gå via infra- strukturen Mina meddelanden eller så kan posten också gå med anledning av ett avtal som mottagaren har slutit med leverantören av digital brevlådetjänst om att mottagaren vill ha digital post från de avsändare som i sin tur har slutit avtal med leverantören. Det här gäller de individer som t.ex. anslutit sig till en privat leverantör av digital brevlådetjänst för att få post från vissa företag. Denna digitala post har inget med Mina meddelanden att göra. Detta gäller inte brevlådetjänsten Min myndighetspost som bara tar emot post via Mina meddelanden. Mottagare med digitala brevlådor från andra leverantörer än Min myndighetspost får därmed post genom två olika informationsflöden, flödet via Mina meddelanden och det avtalsrättsliga ”civila” flödet.
När det gäller det civila flödet återstår det att avgöra om det finns rättslig grund för de behandlingar av personuppgifter (slagningar i register) som behöver göras för att avgöra om post ska skickas digi- talt. Om det görs slagningar på individer som inte anmält sig till en brevlådetjänst för post som kommer från t.ex. företagare är detta något som genomförs utanför infrastrukturen Mina meddelanden. Utredningen har därför inte undersökt denna fråga närmare men vill i sammanhanget belysa att det kan vara en fråga för leverantörer av digitala brevlådetjänster att se över innan dataskyddsförordningen träder i kraft i maj 2018.
21.8.4Registermyndighetens personuppgiftsansvar
Utredningen föreslår:
att myndigheten ska vara personuppgiftsansvarig för den behand- ling av personuppgifter som myndigheten utför när den tillhanda- håller förmedlingsadressregistret.
413
En lag om infrastruktur för digital post |
SOU 2017:114 |
Med myndigheten avses för närvarande Skatteverket. Enligt utred- ningens förslag i delbetänkandet ska detta ansvar i framtiden flyttas till digitaliseringsmyndigheten.29 Så länge Skatteverket ansvarar för registret ska dock Skatteverket ha personuppgiftsansvaret för all be- handling av personuppgifter som utförs i registret. Detta gäller i dag redan i praktiken. Ett av syftena med EU:s dataskyddsreform är att göra det tydligare vilket ansvar och vilka skyldigheter de som behand- lar personuppgifter har. Att reglera vem som har personuppgifts- ansvaret bör för tydlighetens skull skrivas ut i en regel i lagtexten.
21.8.5Avsändarens personuppgiftsansvar
Utredningen föreslår:
att avsändaren ska vara personuppgiftsansvarig för behandling av personuppgifter till dess att leverantör av brevlådetjänster för digital post genom ankomstkontroll godkänt mottagandet.
att avsändaren ska vara personuppgiftsansvarig för behandling av uppgifter som leverantören utför på avsändarens begäran efter att meddelandet gjorts tillgängligt för mottagaren.
Avsändaren av den digitala posten ska vara personuppgiftsansvarig för de personuppgifter som behandlas i meddelandet till dess att leve- rantören av brevlådetjänsten har godkänt mottagandet genom an- komstkontrollen beskriven ovan. När mottagandet är godkänt upp- hör avsändarens personuppgiftsansvar utom i de fall avsändaren har begärt någon ytterligare behandling av personuppgifter efter att med- delandet har gjorts tillgängligt för mottagaren. En sådan behandling finns inte tillgänglig i dag, men skulle i framtiden kunna avse t.ex. en fakturabetalning. Då upphör personuppgiftsansvaret för avsändaren först i ett senare skede som får avgöras i varje konkret exempel på en sådan lösning.
29 SOU 2017:23, digitalforvaltning.nu.
414
SOU 2017:114 |
En lag om infrastruktur för digital post |
21.8.6Har förmedlaren ett personuppgiftsansvar?
Utredningen bedömer:
att förmedlaren ska vara personuppgiftsbiträde i förhållande till avsändaren. Detta förhållande bör inte regleras i den föreslagna lagen.
Förmedlaren utför också en behandling av personuppgifter genom en kontrollslagning mot förmedlingsadressregistret för att veta om mottagaren fortfarande är ansluten och att avsändaren får skicka digi- tal post till mottagaren. Den aktuella behandlingen utförs dock på uppdrag av avsändaren. Förmedlaren kan inte heller påverka infor- mationen eller ändra den. Förmedlaren är därmed inte självt person- uppgiftsansvarig för personuppgiftsbehandlingen.
I stället är förmedlaren att anse som ett personuppgiftsbiträde som utför uppgifter på grundval av ett uppdragsavtal. Det ligger i själva definitionen av ett personuppgiftsbiträde att det är en funktion som skapas genom avtal mellan den personuppgiftsansvarige och den som ska behandla personuppgifter för den personuppgiftsansvariges räkning. Det finns även ett värde i att dokumentera instruktionerna och relationen i övrigt mellan den personuppgiftsansvarige och per- sonuppgiftsbiträdet i det aktuella avtalet.30
Det har i tidigare registerförfattningar inte bedömts lämpligt att reglera rollen som personuppgiftsbiträde.31
21.8.7Personuppgiftsansvaret för leverantörer av digitala brevlådetjänster
Utredningen föreslår:
att leverantör av brevlådetjänster för digital post ska vara person- uppgiftsansvarig för behandling av uppgifter efter att ankomst- kontroll genomförts med undantag för om avsändaren har begärt någon ytterligare behandling.
30Prop. 2014/15:148 s. 35 f.
31Prop. 2014/15:148 s. 36.
415
En lag om infrastruktur för digital post |
SOU 2017:114 |
att leverantören ska vara personuppgiftsansvarig för behandling av uppgift som denne erbjuder mottagaren och som inte utförs på avsändarens begäran. Sådan behandling innefattar förvaring.
Enligt förslaget ska leverantören av brevlådetjänster vara personupp- giftsansvarig för behandling av personuppgifter efter att ankomstkon- troll har genomförts. Om avsändaren har begärt någon ytterligare behandling ska avsändaren dock vara fortsatt personuppgiftsansvarig för den behandlingen (t.ex. betallösning eller liknande). Leverantören ska även vara personuppgiftsansvarig för behandling av personupp- gifter som erbjuds mottagaren och som inte utförs på avsändarens begäran.
I delbetänkandet32 föreslog utredningen att personuppgiftsansva- ret i denna del skulle tas över av innehavaren av brevlådan om det var en juridisk person. Om en fysisk person är mottagare är detta dock omöjligt eftersom behandling av personuppgifter för privat bruk inte omfattas av dataskyddsförordningen.33 Det är med dagens utform- ning av brevlådorna enkelt för mottagare att låta meddelandena ligga kvar i brevlådan och använda den som ett digitalt förvar eller arkiv. Detta var dock inte avsikten med brevlådetjänsterna inom ramen för Mina meddelanden som de är utformade i dag.
21.8.8Leverantörerna av digitala brevlådetjänster behöver utveckla tjänster för förvaring och arkivering
Genom att föreslå att leverantörerna av brevlådetjänster blir person- uppgiftsansvariga för behandling av personuppgifter i brevlådan hop- pas utredningen att förslaget ska skynda på leverantörernas utveckling av tjänster för förvaring och arkivering av digital post. Den situation som nu råder är otillfredsställande eftersom den som juridiskt och praktiskt har möjlighet att bestämma över informationen som ligger i brevlådan inte kan ta personuppgiftsansvaret för detta. Brevlådorna innehåller mycket information om Sveriges befolkning och dess för- hållande till offentliga myndigheter och andra aktörer. Det finns framför allt ingen som kan ta ett övergripande ansvar för det fall en
32SOU 2017:23, digitalforvaltning.nu, s. 218 ff.
33Art. 2.2 c) dataskyddsförordningen.
416
SOU 2017:114 |
En lag om infrastruktur för digital post |
säkerhetsincident inträffar.34 Detta är enligt utredningens bedömning inte heller något som anslutna mottagare verkar vara medvetna om.
Därför behöver, enligt utredningen, tjänster utformas, gärna direkt länkade till brevlådans inkorg, för att användaren ska kunna göra ett val att ladda ner sina meddelanden till en privat enhet eller lagra dem i en tilläggstjänst eller ett digitalt arkiv som är avsett för det med tydliga personuppgiftsbestämmelser kopplade därtill.
21.9Mina meddelanden och privata utförare
av offentligt finansierade tjänster som en del av kommunens och landstingets åtaganden
Utredningen föreslår:
att privata utförare av kommunala angelägenheter35 ska få ansluta sig som avsändare i infrastrukturen Mina meddelanden efter an- mälan av kommunen eller landstinget. En förutsättning för anmä- lan ska vara att kommunen eller landstinget är ansluten samt har kommit överens med utföraren att denne ska använda infrastruk- turen. Kommunen eller landstinget ska kontrollera att utföraren använder infrastrukturen på avsett sätt. Om kommunen eller landstinget finner att utföraren brister härvidlag eller då uppdraget upphör ska anmälan återkallas.
Utredningen tar här upp frågan om anslutning av privata utförare av offentligt finansierade tjänster till förnyad behandling. Skälet till det är att även om den finansieringsmodell som föreslogs i delbetänkan- det36 ger likabehandling ekonomiskt så är det en viss skillnad mellan att köpa tjänster direkt av leverantörerna av digitala brevlådetjänster
34 Jfr Datainspektionens tillsynsbeslut den 21 april 2017 mot
35I begreppet privata utförare av kommunala angelägenheter ingår även privata utförare av landstingens angelägenheter. Enligt 10 kap. 1 § kommunallagen (2017:725) om överläm- nande av kommunala angelägenheter får fullmäktige i kommuner eller landsting, om det inte i lag eller annan författning anges att angelägenheten ska bedrivas av en kommunal nämnd, besluta att lämna över skötseln av en kommunal angelägenhet till en juridisk person eller en enskild individ. Eftersom även landsting får lämna över sådan skötsel torde det innebära att privata utförare av kommunala angelägenheter inbegriper även privata utförare av lands- tingens angelägenheter.
36SOU 2017:23, digitalforvaltning.nu, s. 229 ff.
417
En lag om infrastruktur för digital post |
SOU 2017:114 |
och att utnyttja deras tjänster via infrastrukturen Mina meddelanden. Genom att använda Mina meddelanden kan en avsändare sända med- delanden till alla privatpersoner som har en digital brevlåda, även de som har brevlådan Min myndighetspost som bara tar emot post från myndigheter.
Att inte öppna infrastrukturen Mina meddelanden för privata utförare kan därför innebära att kommunernas eller landstingens medlemmar får olika service enbart beroende på att kommunerna eller landstingen, i enlighet med de möjligheter som lagstiftaren be- stämt,37 valt att organisera sin verksamhet på olika sätt. Till exempel anlitar kommuner privata utförare i olika omfattning. Den digitala infrastrukturen bör, enligt utredningens mening, vara neutral i för- hållande till hur kommunerna och landstingen organiserar sin verk- samhet.
En utgångspunkt för utredningens analys i delbetänkandet var också att privata utförare tänktes att på egen hand, utan att gå via kommunen eller landstinget, ta ställning till om de ville ansluta till Mina meddelanden. Därmed uppstod frågan om hur utförarens an- vändning av infrastrukturen som avsändare skulle regleras. Skulle t.ex. även verksamheter inom företaget som inte utför uppgifter för kommunen eller landstinget få använda infrastrukturen? Det var också rimligt att anslutningen till Mina meddelanden upphörde när uppdraget upphörde, men frågan om hur det skulle hanteras i prakti- ken kvarstod.
Det förslag som presenteras här besvarar dessa frågor, men inne- bär samtidigt en viss begränsning när det gäller vilka som får ansluta sig som avsändare i infrastrukturen Mina meddelanden.
21.9.1Förslagets innebörd
Förslaget innebär att privata utförare ska få ansluta sig som avsän- dare genom anmälan av den kommun eller landsting som de utför uppdrag åt. Det är således kommunen eller landstinget som ska be- döma om utföraren har behov av anslutning. Sett på några års sikt är det inte omöjligt att utförarens förmåga att skicka säker digital post till brukare skulle kunna vara ett krav i kommunernas eller lands-
37 Se kommunallagen (2017:725).
418
SOU 2017:114 |
En lag om infrastruktur för digital post |
tingens upphandling. En utgångspunkt för anmälan bör därför vara att kommunen eller landstinget kommit överens med utföraren om att denne ska vara ansluten.
Vidare är det rimligt att den anmälande kommunen eller lands- tinget själv är ansluten som avsändare. Som ansluten har kommunen eller landstinget en viss kompetens i hur infrastrukturen fungerar. Det är också troligt att en ansluten kommun eller landsting har en intern policy för hur infrastrukturen ska användas som även utför- aren kan tillämpa.
Kommunen eller landstinget bör även ha viss tillsyn över använ- dandet. Om kommunen eller landstinget finner att infrastrukturen inte används på avsett sätt får man återkalla anmälan. När utförarens uppdrag upphör ska kommunen eller landstinget vara skyldig att återkalla anmälan.
21.9.2Privata utförare – utredningens tidigare överväganden
Enligt direktiven38 skulle utredningen i delbetänkande redovisa hur privata utförare39 av offentligfinansierad verksamhet ska kunna an- sluta som avsändare inom Mina meddelanden. I delbetänkandet fann utredningen det svårt att lägga ett förslag med den innebörden. Ett tungt skäl för detta var svårigheten att på ett uttömmande sätt defi- niera vilka aktörer som skulle omfattas. Utredningen hade fram till dess inte heller kunnat notera ett tydligt behov. Inte minst mot bak- grund av att kommunernas anslutning till Mina meddelanden var låg.40 Dessutom var inget landsting anslutet som avsändare. Slutligen bedömdes förslaget att myndigheter ska ersätta brevlådeoperatörerna ekonomiskt innebära en likabehandling av myndigheter och privata utförare. Privata utförare skulle liksom andra företag kunna träffa avtal med brevlådeföretagen direkt.41
Utredningen föreslår nu – till skillnad från vad som framgår av delbetänkandet – att öppna upp infrastrukturen för fler aktörer mot
38Tilläggsdirektiv till Utredningen om effektiv styrning av nationella digitala tjänster i en samverkande förvaltning, Dir. 2016:97 s. 3.
39För en analys av begreppet privata utförare se utredningens delbetänkande SOU 2017:23, digitalforvaltning.nu, s. 237. En legaldefinition av begreppet finns i 10 kap. 7 § kommunal- lagen (2017:725).
40I februari 2017 var endast sex kommuner anslutna och sände försändelser i Mina med- delande. I december 2017 hade antalet anslutna kommuner ökat till 17.
41SOU 2017:23, digitalforvaltning.nu, s. 229 ff.
419
En lag om infrastruktur för digital post |
SOU 2017:114 |
bakgrund av de skäl som anges ovan. Det förslag som nu lämnas an- ser utredningen vara en möjlig lösning för att kunna ansluta privata utförare av offentligfinansierad verksamhet som avsändare i Mina meddelanden.
21.10Företag och organisationer som utför uppgifter av allmänt intresse
Utredningen föreslår:
att regeringen får besluta att som avsändare får företag och organisationer som utför en uppgift av allmänt intresse ansluta sig. Regeringen får besluta om anslutningen bör villkoras med att företaget eller organisationen ska ha avtal med leverantör av brev- lådetjänster för digital post.
Som anfördes i delbetänkandet tog Skatteverket redan år 2012 upp frågan om en breddad användning av Mina meddelanden. I anslut- ning till att Skatteverket föreslog att även kommuner skulle få ansluta sig till infrastrukturen anfördes följande:
Vid kontakter med aktörer som överväger att bli brevlådeoperatörer och med myndigheter och företag som vill ha en infrastruktur av planerat slag för att sända och motta meddelanden har en återkom- mande fråga varit varför förmedlingsadressregistret inte ska få använ- das på ett öppnare och mer behovsanpassat sätt.42
Antalet anmälda datorbedrägerier har åttafaldigats sedan år 2007. Ökningen är mer än dubbelt så stor som den totala ökningen av an- talet bedrägeribrott och medför att datorbedrägerier nu utgör 46 procent av alla anmälda bedrägeribrott. Brottskategorin avser brott där någon berett sig tillgång till annans utrustning för att för att skaffa sig vinning.43
Ett vanligt sätt att göra det är att via
42Hemställan om ändring i förordningen (2003:770) om statliga myndigheters elektroniska informationsutbyte, Skatteverket, dnr
43
420
SOU 2017:114 |
En lag om infrastruktur för digital post |
litar på, t.ex. en bank eller ett postföretag. Under år 2015 och 2016 uppmärksammades flera attacker med s.k. phishing av Postnord.44 Det finns därför starka skäl att möjliggöra för företag och organisa- tioner som har behov av att säkert kommunicera med kunder och medlemmar.
Som tidigare nämnts utgör privata utförare av offentligfinansierad verksamhet inom kommunerna och landstingen enbart en del av de ytterligare aktörer som kan behöva beredas möjlighet att ansluta som avsändare till infrastrukturen Mina meddelanden. Utredningen före- slår nu en väg som lämnar möjligheter för regeringen att öppna upp Mina meddelanden för fler aktörer. Regeringen får besluta att som avsändare får företag och organisationer som utför en uppgift av all- mänt intresse ansluta sig.
En uppgift av allmänt intresse kan utföras exempelvis av friskolor, banker, försäkringsföretag, pensionsförvaltare, kreditupplysningsföre- tag, apotek, bilbesiktningsföretag och bostadsföretag. Utredningen föreslår att en lista över de verksamheter som regeringen vill öppna upp infrastrukturen för ska föras in i förordningen om infrastruktur för digital post.
En aktör måste dock ha ett organisationsnummer för att kunna vara avsändare i Mina meddelanden.
Utredningen föreslår även att regeringen får besluta om att anslutningen ska villkoras med att företaget eller organisationen har avtal med leverantörerna av brevlådetjänster för digital post.
21.11 Känsliga personuppgifter
21.11.1Dataskyddsförordningen och 1995 års dataskyddsdirektiv
Behandling av känsliga personuppgifter regleras i artikel 9 i data- skyddsförordningen. Med känsliga personuppgifter menas enligt data- skyddsförordningen personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, med- lemskap i fackförening samt uppgifter om hälsa och en persons sexual- liv eller sexuella läggning. Även behandling av biometriska uppgifter
44 Massutskick av nytt bluffmejl som ser ut att komma från Postnord, pressmeddelande Postnord
421
En lag om infrastruktur för digital post |
SOU 2017:114 |
för att entydigt identifiera en fysisk person och genetiska uppgifter utgör känsliga personuppgifter. Begreppet känsliga personuppgifter används inte uttryckligen i artikel 9, men förekommer i skäl 10 till dataskyddsförordningen.
Enligt dataskyddsförordningens huvudregel, som framgår av arti- kel 9.1, är behandling av känsliga personuppgifter förbjuden. Det finns dock en rad undantag från detta förbud. Exempel på när undantag från förbudet kan vara aktuellt är om en registrerad uttryckligen har lämnat sitt samtycke till behandlingen av dessa personuppgifter för ett eller flera specifika ändamål (9.2 a), om behandlingen är nödvändig på grund av hänsyn till ett viktigt allmänt intresse (9.2 g) eller om behandlingen är nödvändig för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål (9.2 j).
Vissa av undantagen, t.ex. artikel 9.2 g och j, förutsätter att behand- lingen är nödvändig på grundval av unionsrätten eller medlems- staternas nationella rätt. Vissa särskilda krav ställs på denna rätt. I artikel 9.2 g krävs t.ex. att unionsrätten eller den nationella rätten står i proportion till det eftersträvade syftet, är förenligt med det väsentliga innehållet i rätten till dataskydd och innehåller bestäm- melser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen.
Enligt artikel 9.4 i dataskyddsförordningen får medlemsstaterna behålla eller införa ytterligare villkor, även begränsningar, för behand- lingen av genetiska eller biometriska uppgifter eller uppgifter om hälsa. Bestämmelserna innehåller krav på någon form av skyddsåtgärder. Vad som avses med skyddsåtgärder framgår inte av förordningen.
I skäl (10) i dataskyddsförordningen anges att förordningen ger medlemsstaterna handlingsutrymme att specificera sina bestämmel- ser, även för behandlingen av särskilda kategorier av personuppgifter, och att förordningen inte utesluter att det i medlemsstaternas natio- nella rätt fastställs närmare omständigheter för specifika situationer där uppgifter behandlas, inbegripet mer exakta villkor för laglig be- handling av personuppgifter.
Av skäl (8) framgår vidare att om förordningen föreskriver förtyd- liganden eller begränsningar av dess bestämmelser genom medlems- staternas nationella rätt, kan medlemsstaterna i den utsträckning det är nödvändigt för samstämmigheten och för att göra de nationella be- stämmelserna begripliga för de personer som de tillämpas på, inför- liva delar av denna förordning i nationell rätt.
422
SOU 2017:114 |
En lag om infrastruktur för digital post |
Även enligt 1995 års dataskyddsdirektiv är huvudregeln att behand- ling av känsliga personuppgifter är förbjuden. Något direkt undantag med hänsyn till viktiga allmänna intressen finns inte i direktivet. Enligt artikel 8.4 har medlemsstaterna dock möjlighet att med hänsyn till ett viktigt allmänt intresse besluta om ytterligare undantag från för- budet att behandla känsliga personuppgifter.
Något generellt undantag som skulle kunna träffa den person- uppgiftsbehandling som utförs inom infrastrukturen för digital posts tillämpningsområde har dock inte införts i personuppgiftslagen, PuL.45 Ett undantag för myndigheters behandling i löpande text av känsliga personuppgifter som lämnats i ett ärende eller är nödvän- diga för handläggning av ett ärende har dock, med stöd av 20 § PuL, införts i 8 § personuppgiftsförordningen46 med stöd av artikel 8.4 i 1995 års dataskyddsdirektiv.
21.11.2 Dataskyddslagen
Dataskyddsutredningen har i sitt betänkande förslagit att dataskydds- lagen ska innehålla bestämmelser om rätten att behandla känsliga per- sonuppgifter. Dataskyddsutredningen har gjort bedömningen att kra- vet på stöd i nationell rätt innebär att vissa av undantagen från förbudet att behandla känsliga personuppgifter bör föreskrivas i nationell rätt.47
Dataskyddsutredningen föreslår i 3 kap. förslaget till dataskydds- lag ett antal bestämmelser om känsliga personuppgifter. I 3 kap. 1 § anges att utöver vad som framgår av artikel 9.2 a, c, d, e eller f i data- skyddsförordningen får sådana särskilda kategorier av personuppgifter som anges i artikel 9.1 i förordningen (känsliga personuppgifter) be- handlas om förutsättningarna i någon av
45SFS 1998:204.
46SFS 1998:1191.
47Se SOU 2017:39 s. 162.
423
En lag om infrastruktur för digital post |
SOU 2017:114 |
ligt annan lag (3 kap. 3 § 2). Anledningen till detta anges vara att det utgör ett viktigt allmänintresse att myndigheterna ska kunna sköta sitt uppdrag på ett korrekt, rättssäkert och effektivt sätt. Detta för- utsätter att den grundlagsstadgade handlingsoffentligheten och andra lagstadgade skyldigheter upprätthålls. Det anges också att viss behand- ling av känsliga personuppgifter är oundvikligt i myndigheternas verk- samhet som en direkt följd av exempelvis tryckfrihetsförordningens, offentlighets- och sekretesslagens och förvaltningslagens bestämmel- ser. Sådan behandling bör uttryckligen tillåtas i dataskyddslagen så att det inte råder någon tveksamhet kring lagligheten av behandlingen.48
Utöver detta föreslår Dataskyddsutredningen att myndigheter i enstaka fall ska få behandla känsliga personuppgifter om det är abso- lut nödvändigt för ändamålet med behandlingen och inte innebär ett otillbörligt intrång i den registrerades personliga integritet (3 kap. 3 § 3). En myndighet som behandlar känsliga personuppgifter enbart med stöd av 3 kap. 3 § dataskyddslagen ska enligt Dataskyddsutred- ningens förslag inte få använda dessa personuppgifter som sökbe- grepp (3 kap. 4 §). Därutöver föreslås att regeringen ska få meddela föreskrifter om ytterligare undantag från förbudet, om det behövs med hänsyn till ett viktigt allmänt intresse (3 kap. 8 §).
21.11.3Behandling av känsliga personuppgifter i infrastrukturen för digital post behöver inget kompletterande författningsstöd
Utredningen bedömer:
att det inte behövs någon nationell bestämmelse som ger rätt att behandla känsliga personuppgifter inom lagens tillämpningsområde.
Utredningen bedömer att undantaget i artikel 9.2 g dataskyddsför- ordningen, som ger rätt att behandla känsliga personuppgifter om det är nödvändigt med hänsyn till ett viktigt allmänt intresse, omfattar den del av verksamheten som genomförs av registerförande myndig- het respektive avsändare inom infrastrukturen Mina meddelanden. Denna verksamhet utgör en uppgift av allmänt intresse i dataskydds- förordningens mening. Infrastrukturen Mina meddelandens verksam-
48 Se Dataskyddsutredningens betänkande, SOU 2017:39 s. 176 f.
424
SOU 2017:114 |
En lag om infrastruktur för digital post |
het är viktig både för effektiviteten i den offentliga sektorn och för möjligheten för medborgarna att ta del av handlingar på ett smidigt och lättillgängligt sätt.
Artikel 9.2 g i dataskyddsförordningen innehåller vissa krav som måste vara uppfyllda för att undantaget ska bli tillämpligt. För det första ska det viktiga allmänna intresset framgå av unionsrätten eller medlemsstaternas nationella rätt. För det andra ska denna lagstift- ning stå i proportion till det eftersträvade syftet, vara förenlig med det väsentliga innehållet i rätten till dataskydd och innehålla bestäm- melser om lämpliga och särskilda åtgärder för att säkerställa den regi- strerades grundläggande rättigheter och intressen.
Verksamheten för infrastrukturen kommer enligt förslaget att bli fastställd genom den föreslagna författningen, men är redan i dag reglerad genom förordningen om statliga myndigheters elektroniska informationsutbyte.49 När det gäller de grundläggande principerna för personuppgiftsbehandling motsvarar dataskyddsförordningen till allra största delen 1995 års dataskyddsdirektiv.50 Mot den bakgrun- den anser utredningen att det får förutsättas att riksdagen och reger- ingen bedömt att den behandling av personuppgifter som försiggår inom infrastrukturens och förordningen om statliga myndigheters elektroniska informationsutbytes tillämpningsområde är proporio- nerlig mot syftet med behandlingen och inte oförenlig med det grund- läggande skyddet för personuppgifter. Genom utredningens förslag till lag om infrastruktur för digital post finns också bestämmelser som säkerställer skyddet för de registrerades integritet, t.ex. i form av be- hörighets- och sökbegränsningar.
Avseende leverantörens behandling av känsliga personuppgifter bedömer utredningen att det är undantaget i artikel 9.2 a dataskydds- förordningen, som ger rätt att behandla känsliga personuppgifter. Alla mottagare som genom leverantörer får sin digitala post i sina brevlådor, har samtyckt till detta.
Enligt den nya lagens sekundära ändamålsbestämmelse kommer personuppgifter att få behandlas om det behövs för att fullgöra upp- giftslämnande i överensstämmelse med lag eller förordning. Även känsliga personuppgifter kan naturligtvis ingå bland de personuppgifter som ska lämnas ut på denna grund.
49Förordningen (2003:770) om statliga myndigheters elektroniska informationsutbyte.
50Se kap 5, jfr t.ex. artikel 5.1 i dataskyddsförordningen med artikel 6 i 1995 års dataskyddsdirektiv.
425
En lag om infrastruktur för digital post |
SOU 2017:114 |
Utredningen bedömer också att ett utlämnande av personuppgif- ter i enlighet med lag eller förordning måste anses vara nödvändigt med hänsyn till ett allmänt intresse. Undantaget i artikel 9.2 g i dataskyddsförordningen – viktigt allmänt intresse – är därmed tillämp- ligt även på sådan behandling av känsliga personuppgifter med stöd av den föreslagna sekundära ändamålsbestämmelsen. Det får vidare förutsättas att ett utlämnande av personuppgifter som föreskrivs i författning är proportionerligt mot syftet med utlämnandet och inte oförenligt med det grundläggande skyddet för personuppgifter. För det fall känsliga uppgifter lämna ut till annan myndighet finns också ett skydd för uppgifterna, eftersom myndigheter enligt Dataskydds- utredningens förslag till dataskyddslag inte får använda sökbegrepp som avslöjar känsliga personuppgifter. Detta gäller dock bara när de specifika registerförfattningarna inte reglerar frågan med egna be- stämmelser alternativt inte alls hänvisar till dataskyddslagen. Myn- digheternas registerförfattningar kan innehålla skyddsåtgärder i form av bl.a. sökbegränsningar eller behörighetsbegränsningar.
Sammanfattningsvis anser utredningen att samtliga krav som ställs upp i artikel 9.2 g i dataskyddsförordningen för att känsliga person- uppgifter ska få behandlas med hänsyn till ett viktigt allmänt intresse, tillsammans med det samtycke som avses i artikel 9.2 a, är uppfyllda för den personuppgiftsbehandling som utförs inom ramen för lagen om infrastruktur för digital posts primära och sekundära ändamåls- bestämmelser. Dataskyddsförordningen tillåter enligt utredningens mening därmed att känsliga personuppgifter behandlas på hela lagens tillämpningsområde om det är nödvändigt för att verksamheten ska kunna bedrivas. Någon bestämmelse som ger rätt att behandla känsliga personuppgifter inom lagens tillämpningsområde behövs därmed inte.
Det finns inte något hinder mot att medlemsstaterna inför mer restriktiva bestämmelser för sina myndigheters personuppgiftsbe- handling än vad som följer av dataskyddsförordningen. Utredningen bedömer dock inte att sådana bestämmelser är nödvändiga här och ser därmed inte något behov av att särskilt reglera om känsliga person- uppgifter i lagen om infrastruktur för digital post. I stället kommer bestämmelser i den föreslagna dataskyddslagen att tillämpas.
426
SOU 2017:114 |
En lag om infrastruktur för digital post |
21.12Föreskriftsrätt, ersättningsrätt
och den tillkommande förordningen
21.12.1 Föreskriftsrätt
Utredningen föreslår:
att lagen om infrastruktur för digital post ska innehålla ett bemyn- digande om att regeringen, eller den myndighet som regeringen bestämmer, ska få meddela föreskrifter om inrättande och drift av infrastrukturen, den längsta tid under vilken personuppgifter får behandlas, säkerhetsåtgärder till skydd för personuppgifter, behö- righets- och sökbegränsningar och vilka verksamheter som rege- ringen vill ge möjlighet att ansluta som avsändare i infrastrukturen. att lagen ska innehålla ett bemyndigande om att när myndigheten tillämpar lagen om valfrihet om digitala brevlådor ska reger- ingen, eller den myndighet som regeringen bestämmer, fastställa ersättning till leverantör av brevlådetjänster för digital post an- slutna enligt 14 §.
Medlemsstaterna har, enligt artikel 6.2 och 6.3 i dataskyddsförord- ningen, rätt att i nationell lagstiftning behålla eller införa mer speci- fika bestämmelser för personuppgiftsbehandling. Detta kan genom- föras exempelvis genom nationella registerförfattningar. Varken artikel 6.2 eller 6.3 innehåller något krav på att de bestämmelser som avses måste regleras i lag. Det är därmed utredningens uppfattning att det bör vara upp till den enskilda medlemsstaten på vilken nivå i normhierarkin sådana bestämmelser införs. I enlighet med detta ställ- ningstagande hindrar dataskyddsförordningen inte att bestämmelser om personuppgiftsbehandling införs i en förordning eller i en myn- dighetsföreskrift. Detta förutsätter naturligtvis att föreskrifterna till- kommit i laga ordning. Mot den bakgrunden anser utredningen att det inte finns hinder i dataskyddsförordningen mot att föreslå föreskrifts- rätt av olika slag i den nya lagen om infrastruktur för digital post.
Utredningen föreslår att lagen om infrastruktur för digital post ska innehålla ett bemyndigande om att regeringen, eller den myndig- het som regeringen bestämmer, ska få meddela föreskrifter om in- rättande och drift av infrastrukturen, den längsta tid under vilken personuppgifter får behandlas, säkerhetsåtgärder till skydd för per- sonuppgifter, behörighets- och sökbegränsningar och vilka verksam-
427
En lag om infrastruktur för digital post |
SOU 2017:114 |
heter som regeringen vill ge möjlighet att ansluta som avsändare i infrastrukturen. När myndigheten tillämpar lagen om valfrihet om digitala brevlådor ska regeringen eller den myndighet regeringen be- stämmer också fastställa ersättning till leverantör av brevlådetjänster för digital post anslutna enligt 14 §.
21.12.2Ersättning till leverantör
av brevlådetjänster för digital post
Utredningen föreslår:
att den ersättning som erbjuds leverantörerna av digitala brevlåde- tjänster ska bestämmas av regeringen, uppgå till samma belopp för alla berörda leverantörer, vara rörlig och utgå från volymen digital myndighetspost. Leverantörerna fakturerar respektive av- sändare.
Förslaget genomförs genom lagen om infrastruktur för digital post.
I delbetänkandet föreslog utredningen att ersättning till leverantörer av digitala brevlådetjänster skulle regleras i ett valfrihetssystem.51 Skälen för förslaget var sammanfattningsvis att mottagarna av digital post skulle ha möjlighet att välja bland flera olika leverantörer av brevlådetjänster för digital post samtidigt som dessa leverantörer be- hövde få betalt för sina tjänster.
Förutsättningarna för förslaget om valfrihetssystem kvarstår och det är utredningens uppfattning att det mottogs väl av berörda aktö- rer. Med några språkliga justeringar låter utredningen därför samma förslag ingå i det förslag som utredningen lämnar nu.
Ersättningsmodellen ska kompensera för leverantörernas verk- samhet att göra myndighetspost tillgänglig för mottagaren. Modellen ska samtidigt bidra till att förenkla för mottagarna av myndighets- posten samt sänka utgifterna för det offentligas myndighetspost. En övergång till elektronisk myndighetspost medför att myndigheterna får lägre utgifter för porto och det måste vara utgångspunkten när ersättningen till leverantörerna bestäms.
51 SOU 2017:23, digitalforvaltning.nu, s. 229 ff.
428
SOU 2017:114 |
En lag om infrastruktur för digital post |
Ett pris för en tjänst eller vara kan många gånger bestämmas en- hetligt till ett fast pris. Denna prissättning lämpar sig för enhetligt bestämda prestationer. Leverantörernas tjänster är i grunden enhet- liga men kan variera i volym. Det finns dock kostnader i delar i av leverantörernas verksamhet som är fasta, åtminstone språngvis.
Leverantörernas tjänster varierar i omfattning. En rörlig ersätt- ning är därför ett huvudalternativ och ersättningen bör så långt möj- ligt variera med de kostnader som följer med tjänsterna.
Ett antagande är att kostnaderna för de enskilda tjänsterna mins- kar efter hand som volymen ökar och att de tjänster som leveran- törerna själva använder sig av blir mindre kostsamma i takt med ökade volymer.
Ersättningen kan bestå av en ersättning grundad på antalet förmed- lade försändelser och lämnas med nedsättningar grundade på större försändelsevolymer. Det vill säga att om man väljer denna form bör ersättningen kunna minska per försändelse i takt med ökad volym för- medlade försändelser.
En leverantör av digitala brevlådetjänster har dock inte enbart rörliga kostnader. Även i fortsatt löpande drift finns kostnader som inte beror av antalet försändelser utan av att avsändarna anpassar och uppdaterar sina rutiner, system och program. Därtill kommer support till avsändare och mottagare. Mot denna bakgrund skulle man kunna överväga att använda grundersättningar. Det kan röra sig om engångs- ersättningar för nyanslutningar och om årliga grundersättningar för driften.
Ytterligare ett alternativ är att lämna en årlig ersättning för varje individ och företag som anslutit sig som mottagare till en leverantör av digital myndighetspost. En sådan ersättning skulle kunna lämnas månadsvis och flyttas mellan leverantörerna om mottagarna byter leverantörer.
Ett alternativ eller komplement till ekonomisk ersättning är att staten ger leverantörerna gratis eller subventionerad tillgång till tjänster i anslutning till brevlådetjänsten. En sådan ersättning kan vara att ge en allmän tillgång till infrastrukturen i Mina meddelanden.
Enligt utredningens bedömning ska ersättningen till leverantörerna vara rörlig och utgå från volymen försändelser från avsändare till mottagare. Ersättningen ska kunna variera över tid, efterhand som volymerna ökar. Ersättningen, som ska vara samma för alla berörda leverantörer, ska beslutas av regeringen eller den myndighet som
429
En lag om infrastruktur för digital post |
SOU 2017:114 |
regeringen bestämmer. Så länge Skatteverket har uppgiften att god- känna och sluta avtal med leverantörer av digitala brevlådetjänster, inklusive Min myndighetspost, bör dock inte Skatteverket få detta uppdrag.
Förslaget innebär vidare att respektive leverantör, ska fakturera respektive avsändare (som skickat försändelser till mottagare i brev- lådan). Skälet till att leverantörerna av digitala brevlådetjänster ska fak- turera avsändarna, dvs. statliga och kommunala myndigheter, direkt är att de olika avsändarna ska behandlas lika.
De företag och organisationer som utför uppgifter av allmänt in- tresse och är anslutna som avsändare ska inte omfattas av förslaget ovan. De sluter själva avtal med en leverantör av digital brevlådetjänst och kommer där överens om ersättningen. Denna grupp avsändare ska inte vara anslutna till valfrihetssystemet.
21.12.3 En tillkommande förordning
Utredningen föreslår:
att det införs en förordning om infrastruktur för digital post med regler om vilken myndighet som ska tillhandahålla infra- strukturen, vilka verksamheter som utför uppgifter av allmänt intresse som ska få ansluta som avsändare samt att de ska ha avtalat om att skicka digital post med leverantörerna av brev- lådetjänster för digital post som är anslutna till infrastrukturen.
Förslaget genomförs genom förordningen om infrastruktur för digital post.
Utredningen har föreslagit att lagen om infrastruktur för digital post ska innehålla en föreskriftsrätt om inrättande och drift av infrastruk- turen, den längsta tid under vilken personuppgifter får behandlas, säkerhetsåtgärder till skydd för personuppgifter, behörighets- och sökbegränsningar, vilka verksamheter som regeringen vill ge möjlighet att ansluta som avsändare infrastrukturen samt villkor för dem.
Utifrån denna föreskriftsrätt föreslår utredningen en tillhörande förordning. Utredningen lämnar förslag utifrån föreskriftsrätten om att det är Skatteverket som ska vara myndigheten som ska tillhanda- hålla infrastrukturen och få meddela föreskrifter. Slutligen föreslår utredningen även att regeringen i förordningen ska besluta att fri-
430
SOU 2017:114 |
En lag om infrastruktur för digital post |
skolor, banker, försäkringsföretag, kreditupplysningsföretag, pen- sionsförvaltare, apotek, bilbesiktningsföretag och bostadsföretag får ansluta som avsändare i infrastrukturen för digital post samt att företag i dessa verksamheter ska ha avtalat om att skicka digital post med leverantörerna av brevlådetjänster för digital post som är anslutna till infrastrukturen.
21.13 Ikraftträdande
Utredningen föreslår:
att lagen om infrastruktur för digital post, lagen om valfrihet om digitala brevlådor och förordningen om infrastruktur för digital post ska träda i kraft den 1 juli 2019.
Med hänsyn till den tid som kan beräknas gå åt för remissförfarande, fortsatt beredning inom Regeringskansliet och riksdagsbehandling bör de bestämmelser utredningen föreslår tidigast kunna träda i kraft den 1 juli 2019.
431
22 Konsekvensanalyser
22.1Nollalternativet – finns det ett nollalternativ?
I kommittéhandboken1 står det att läsa att statsmakternas ställnings- tagande till ett utredningsförslag oftast underlättas av om förslagets förväntade konsekvenser jämförs med konsekvenserna av att inga förändringar görs, dvs. i jämförelse med ett nollalternativ. Konsekven- serna av ett realistiskt och genomförbart nollalternativ ska därför beräknas och beskrivas. För att kunna bedöma om ett förslag är lön- samt eller inte bör det jämföras med ett eller flera alternativ. Med nollalternativ menas en bedömning av hur situationen blir om för- slaget inte genomförs. Nollalternativ behöver inte vara detsamma som den rådande situationen när utredningens förslag lämnas.
Utredningen konstaterar att den digitala utvecklingen har begräns- ningar vad gäller förutsägbarhet. Utvecklingen styrs, som utredningen inledningsvis konstaterar, i hög grad av multinationella aktörer på en global marknad. Den finns flera exempel på att utvecklingen gått lång- sammare än som förutspåtts, men att genomslaget när det väl kommit har blivit mer omfattande än vad man förutsett. Avancerade mobiltele- foner, s.k. smarttelefon, är ett exempel på det. Till detta kommer, som utredningen också framhållit, att förslagen måste ses mot bakgrund av andra insatser som regeringen gör eller som, mot bakgrund av förslag som lämnas av parallella utredningar, kan antas komma att genom- föras. Att beskriva ett nollalternativ mot denna bakgrund är därför varken möjligt eller meningsfullt.
I tilläggsdirektiv till Digitaliseringskommissionen2 skrev regeringen för drygt två år sedan att digitaliseringens snabba utveckling gör att strukturomvandlingen går fortare än vid tidigare teknikskiften. Digi-
1Ds 2000:1.
2Dir. 2015:123, tilläggsdirektiv till Digitaliseringskommissionen den 26 november 2015.
433
Konsekvensanalyser |
SOU 2017:114 |
taliseringen påverkar hela samhället och det är viktigt att försäkra sig om att nyttja digitaliseringens fördelar och minimera dess negativa konsekvenser på såväl samhällsnivå som individnivå.
Digitaliseringen kommer sannolikt att gå ännu snabbare i fram- tiden än vad den hittills har gjort. De stora utmaningarna för samhället kommer att vara att förhålla sig till tekniken. Hur ska den användas, av vem, på vilket sätt och vad blir konsekvenserna för samhället och indi- viden? Det är ett paradigmskifte i så måtto att det för första gången är svårare att följa med i effekterna av den tekniska utvecklingen än det är att ta fram tekniken.
Utredningens förslag till nya bestämmelser kommer att leda till konsekvenser, både för enskilda individer och statliga myndigheter, kommuner och landsting. För individen bedömer utredningen att förslagen bidrar till bättre och säkrare offentlig service i olika delar av landet. Sammantaget innebär förslagen att det blir enklare för så många som möjligt att utöva sina rättigheter och fullgöra sina skyl- digheter samt ta del av förvaltningens service. Förslagen bidrar också till att de offentliga myndigheterna kan erbjuda individen en likvärdig service av god kvalitet i stora delar av landet. Bestämmelserna kan i ett inledningsskede innebära ökade kostnader för offentliga myndigheter för anpassning av befintliga
Även företagen gynnas av en effektivare användning av samhällets resurser. Utredningen bedömer att förslagen medför positiva konse- kvenser för de företag som verkar inom verksamhetsområden som stagas upp av tydligare reglering, bättre förutsebarhet och ökad säker- het. Utredningens ambition har samtidigt varit att gynna innovation och företagsamhet. Därför ska regleringen inte medföra hämmande effekter utan tillåta sådan utveckling som kan komma alla till gagn.
434
SOU 2017:114 |
Konsekvensanalyser |
22.2Konsekvenser för den kommunala självstyrelsen
För utredningar i kommittéväsendet gäller att om förslagen i ett be- tänkande har betydelse för den kommunala självstyrelsen, ska kon- sekvenserna i det avseendet anges i betänkandet. Vid all lagstiftning som kan få betydelse för den kommunala självstyrelsen ska – enligt den så kallade proportionalitetsprincipen – prövas om skälen för regleringen motiverar det intrång i den kommunala självstyrelsen som den kan innebära. Det är i sådana sammanhang viktigt att kon- sekvenserna för den kommunala självstyrelsen blir föremål för in- gående överväganden. Proportionalitetsprincipens huvudsakliga syfte är att åstadkomma en ordning som innebär att intresset av kommunal självstyrelse under beredningen av lagförslag regelmässigt ställs mot de intressen som ligger bakom lagförslaget. Det är av avgörande betydel- se att den slutliga bedömningen av om proportionalitetskravet är till- godosett görs av riksdagen i samband med att den tar ställning till för- slaget.3 Principen om kommunal självstyrelse gäller för all kommunal verksamhet.
Av 14 kap. 3 § regeringsformen framgår att en inskränkning i den kommunala självstyrelsen inte bör gå utöver vad som är nödvändigt med hänsyn till de ändamål som föranlett den.4
Utredningens förslag omfattar vare sig statlig eller kommunal verksamhet, dvs. kärnverksamhet eller kommunala angelägenheter. Utredningens uppdrag är att lämna förslag till effektiv styrning av förvaltningsgemensamma digitala funktioner, dvs. medel för offentliga myndigheter att genomföra sin kärnverksamhet eller kommunala angelägenheter. Utredningens förslag omfattar därmed digitala medel för de offentliga myndigheternas genomförande av sina verksamheter.
Inget av utredningens förslag riktar sig enbart till kommuner och/ eller till landsting utan omfattar både statliga myndigheter, kommuner och landsting. Av utredningens förslag är det förslagen om att erkänna den statliga elektroniska identitetshandlingen vid elektronisk identi- fiering och att ansluta sig till valfrihetssystem som digitaliseringsmyn- digheten tillhandahåller som innebär en skyldighet för statliga myn- digheter, kommuner och landsting att följa bestämmelserna.
3Prop. 2009/10:80, bet. 2009/10:KU19, rskr. 2009/10:304 och 305, bet. 2010/11:KU4, rskr. 2010/11:22.
4Statskontoret, Kommunalt självstyre och proportionalitet, 2011:17.
435
Konsekvensanalyser |
SOU 2017:114 |
Det är utredningens bedömning att förslagen till författningsreg- lering som berör kommuner och landsting inte går utöver vad som är nödvändigt med hänsyn till de ändamål som föranlett dem och mycket väl motiveras av ett eventuellt intrång i den kommunala självstyrelsen.
22.3Kommunala finansieringsprincipen
Kommunala finansieringsprincipen innebär att om staten inför nya eller ändrade föreskrifter som ändrar skyldigheter för kommunerna och landstingen kan detta påverka dessas kostnader. För att hantera sådana konsekvenser har i samförstånd mellan staten, kommunerna och landstingen en finansieringsordning utvecklats, den s.k. kommu- nala finansieringsprincipen.
Den kommunala finansieringsprincipen omfattar enbart statligt beslutade åtgärder som tar sikte på verksamheter. Principen innebär att staten inte bör införa nya obligatoriska uppgifter för kommuner och landsting, göra tidigare frivilliga uppgifter obligatoriska, ändra ambitionsnivån på befintliga uppgifter eller göra regeländringar som påverkar kommuners möjligheter att ta ut avgifter utan medföljande finansiering, t.ex. i form av höjda statsbidrag. En förändring som leder till sänkta kostnader för kommunerna och landstingen ska på motsvarande sätt innebära minskade bidrag.
Finansieringsprincipen omfattar inte de så kallade frivilliga verk- samheterna. Den omfattar inte heller åtgärder som inte direkt tar sikte på kommunsektorn men som får ekonomiska effekter för sektorn. Hit hör till exempel statliga beslut som påverkar det kommunala skatteunderlaget och därmed skatteintäkterna.
Principen och dess tillämpning är inte lagfäst, men har godkänts av riksdagen.5 Ekonomiska regleringar enligt den kommunala finansie- ringsprincipen genomförs i regel på så sätt att det generella statsbidra- get till kommuner och landsting justeras.
Utredningen bedömer att förslagen i detta slutbetänkande inte om- fattas av den kommunala finansieringsprincipen.
5 Prop. 1993/94:150 bil. 7 avsnitt 2.5.1, bet. 1993/94:FiU19, rskr. 1993/94:442.
436
SOU 2017:114 |
Konsekvensanalyser |
22.4Konsekvenser för brottsligheten och det brottsförebyggande arbetet
Utredningens förslag vad gäller elektronisk identifiering stödjer det brottsförebyggande arbetet. Förslaget till en process för grundidenti- fieringen skapar en spårbarhet mellan individens identitet och en elek- tronisk identitetshandling som utfärdas av staten eller en annan aktör. Detta minskar väsentligt risken för missbruk av identitetshandlingar.
En förutsättning för digitaliseringen är att aktörer på marknaden kan vara säkra på vem det är som identifierar sig elektroniskt. Utred- ningen har konstaterat att det finns ett straffrättsligt skydd för elek- troniska urkunder och att elektroniska identitetshandlingar på åtmin- stone tillitsnivå 3 och 4 är sådana urkunder. Utredningen har vidare konstaterat att det finns kritiska moment i processer för utfärdande av elektroniska identitetshandlingar, och vid användning av dem. Dessa kritiska moment kan utnyttjas i otillbörligt syfte. Ett moment är den identitetskontroll som görs av en person i samband med ansökan om en elektronisk identitetshandling. Genom att föreslå att någon eller några statliga myndigheter ska utfärda en statlig elektronisk identitets- handling som fästs på någon eller några fysiska identitetshandlingar bedömer utredningen att tilliten till att det är rätt individ som får den elektroniska identitetshandlingen kan öka. Risker som att en individ ansöker om och får en elektronisk identitetshandling utfärdad i annans namn minskar när staten ansvarar för att grundidentifiera individer och utfärda elektroniska identitetshandlingar. Därmed kan missbruk i detta sammanhang minska.
Ett annat kritiskt moment är i samband med användningen. De förslag utredningen lämnar om att det måste vara tydligt för individen att han eller hon identifierar sig för inloggning syftar till att öka för- ståelsen hos individer för att de använder en elektronisk värdehand- ling. Det kan leda till en ökad kunskap som i sin tur leder till att individen inte låter någon annan identifiera sig i hans eller hennes namn. Därmed kan otillbörlig användning av annans elektroniska identitetshandling minska. Det bygger dock på att individen är aktsam med sin elektroniska identitetshandling. Åtgärder för att verkligen säkerställa att det är rätt individ som använder den elektroniska iden- titetshandlingen kan vara att tillåta biometri. Utredningen lämnar emellertid inga förslag i denna del, utan har hänvisat till det pågående arbetet i 2017 års
437
Konsekvensanalyser |
SOU 2017:114 |
Utredningens förslag vad gäller elektronisk identifiering stödjer därmed det brottsförebyggande arbetet. Förslaget till reglering av grundidentifieringen skapar en spårbarhet mellan individens identitet och en elektronisk identitetshandling som utfärdas av staten eller en annan aktör. Detta minskar väsentligt risken för missbruk av identi- tetshandlingar.
Genom
Med förslaget till lag om infrastruktur för digital post skapas en kanal där inte bara myndigheter och privata utförare av offentligt finansierad verksamhet utan även andra företag kan kommunicera säkert med kunder och medborgare. Detta minskar möjligheterna för den typ av datorbedrägerier där kriminella utger sig för att vara en myndighet eller ett företag.
22.5Konsekvenser för sysselsättningen
Utredningen bedömer att förslagen inte får några direkta konsekven- ser för sysselsättningen.
22.6Konsekvenser för jämställdheten mellan kvinnor och män
Utredningen bedömer att förslagen inte får några konsekvenser för jämställdheten mellan kvinnor och män.
22.7Konsekvenser för att nå
de integrationspolitiska målen
Utredningen bedömer att förslagen inte får några negativa konse- kvenser för att nå de integrationspolitiska målen.
438
SOU 2017:114 |
Konsekvensanalyser |
22.8Närmare om konsekvenserna
Kapitel 5 – Effektiv styrning av en samverkande förvaltning
Utredningens förslag om samverkansuppgifter för digitaliseringsmyn- digheten ligger inom ramen för de förslag till instruktionsenliga uppgifter om samverkan, inklusive finansiering, som utredningen lämnade i delbetänkandet.6
Utredningens förslag i detta slutbetänkande om att digitaliserings- myndigheten ska tilldelas särskilda medel för frivillig samverkan mel- lan olika aktörer för att främja den offentliga sektorns digitalisering innebär en utgift för myndigheten som inte finns med i beräkningarna i delbetänkandet. Utredningen föreslår att digitaliseringsmyndigheten, på en särskild anslagspost på sitt förvaltningsanslag, tilldelas 20 miljo- ner kronor i anslagsmedel 2019 för denna uppgift. Utredningen före- slår att Utredningen om inrättande av en myndighet för digitalisering av den offentliga sektorn7 tar med detta förslag i budgetunderlaget för
Utredningen föreslår att anslagsmedlen för denna uppgift ska finan- sieras genom en permanent överföring av anslagsmedel från ett anslag som redan i dag finansierar innovation och utveckling i ett samhälls- övergripande perspektiv. Utredningen föreslår att 20 miljoner kronor förs över från anslaget 1:2 Verket för innovationssystem: Forskning och utveckling inom utgiftsområde 24. Ändamålet för anslaget 1:2 Forskning och utveckling inom utgiftsområde 24 är att anslaget får användas för utgifter för behovsmotiverad forsknings- och utveck- lingsverksamhet, utveckling av innovationssystem och programan- knutna utgifter. Anslaget får även användas för statsbidrag till SP Sveriges Tekniska Forskningsinstitut AB för riksmätplatser.
6Se kapitel 4 (4.4.4 och 4.6) samt kapitel 7.1 i SOU 2013:23 digitalforvaltning.nu.
7Dir. 2017:117.
439
Konsekvensanalyser |
SOU 2017:114 |
Kapitel 7 – Mål för den offentliga förvaltningens digitaliseringsarbete
Regeringens och de statliga myndigheternas utgifter med anledning av utredningens förslag om mål för den offentliga förvaltningens digitaliseringsarbete samt förslaget om mål för de statliga myndig- heternas digitaliseringsarbete finansieras, enligt utredningens bedöm- ning, inom myndigheternas befintliga ramar.
Förslaget att regeringen ska ge digitaliseringsmyndigheten ett sär- skilt uppdrag att utforma en metod och en process för att stödja rege- ringens arbete med en samlad analys och bedömning av resultatet av den offentliga sektorns digitaliseringsarbete i förhållande till förslaget till riksdagsbundet mål ligger, enligt utredningens bedömning, inom ramen för uppgifterna i den instruktion för digitaliseringsmyndig- heten som utredningen föreslog i delbetänkandet. Även de utgifter som föranleds av förslaget är finansierade genom utredningens förslag till finansiering av digitaliseringsmyndigheten.8
Kapitel 9 – Informationssäkerhet
– en naturlig del i digitaliseringen
I kapitel 9 föreslår utredningen bl.a. att regeringen ger digitaliserings- myndigheten i uppdrag att ta fram och mäta nyckeltal för informa- tionssäkerhetsrelaterade aspekter i syfte att följa informationssäker- hetsmognaden i förhållande till digitaliseringen. Detta förslag bedö- mer utredningen falla inom ramen för det anslag som digitaliserings- myndigheten får i övrigt för sin verksamhet.
Dessutom föreslår utredningen i samma kapitel att regeringen ger Myndigheten för samhällsskydd och beredskap (MSB) ett uppdrag att utreda hur tillsyn över informationssäkerhetsområdet och incident- rapportering kan genomföras. Detta förslag bedöms falla inom ramen för MSB:s befintliga verksamhet och finansieras inom MSB:s befint- liga ram.
8 Se SOU 2017:23, digitalforvaltning.nu, kapitel 4 och kapitel 7.1.
440
SOU 2017:114 |
Konsekvensanalyser |
Kapitel 12 – Statlig elektronisk identitetshandling
Kapitlet innehåller utredningens förslag om att staten ska utfärda en elektronisk identitetshandling till svenska medborgare och folkbok- förda i Sverige. Kapitlet innehåller också förslag om att den statliga elektroniska identitetshandlingen ska godtas för elektronisk identi- fiering hos alla offentliga myndigheter samt att den ska kunna an- vändas för elektronisk identitetskontroll hos andra utfärdare i sam- band med ansökan om annan elektronisk identitetshandling.
Utredningen bedömer att förslagen får konsekvenser för offentliga myndigheter, för individer och för utfärdare av elektroniska identitets- handlingar.
Förslaget att staten ska utfärda en elektronisk identitetshandling
Förslaget innebär att staten tar på sig ansvaret för att utfärda en elektronisk identitetshandling i samband med utfärdandet av en fysisk identitetshandling. Det är det sätt som utredningen bedömt att staten på bästa sätt skapar förutsättningar för att utnyttja den grundidentifiering som görs i samband med utfärdande av en iden- titetshandling och att hålla kedjan intakt från grundidentifiering till utfärdande av en elektronisk identitetshandling. Utredningens för- slag innehåller varken ställningstagande till vilken myndighet som ska utfärda en statlig elektronisk identitetshandling eller vilken fysisk identitetshandling som den statliga elektroniska identitetshandlingen ska finnas på. Det är frågor som 2017 års
Förslaget att statliga myndigheter, kommuner och landsting ska erkänna identifiering med den statliga elektroniska identitetshandlingen
Offentliga myndigheter måste som en följd av förslagen erbjuda indi- vider identifiering med den statliga elektroniska identitetshandlingen. Det innebär att de måste skapa möjlighet att göra identitetskontroller gentemot utfärdaren av den elektroniska identitetshandling som sta- ten utfärdar. Utredningen uttalar sig varken om ansvarig myndighet
441
Konsekvensanalyser |
SOU 2017:114 |
eller vilken fysisk identitetshandling som den statliga elektroniska identitetshandlingen ska finnas på. Det är frågor som 2017 års ID- kortsutredning kommer att behandla. Vilken aktör som offentliga myndigheter måste etablera en relation till för att kunna erbjuda identifiering med den statliga elektroniska identitetshandlingen är alltjämt oklart.
Förslaget att den statliga elektroniska identitetshandlingen ska kunna användas som underlag för annan elektronisk identitetshandling
Utredningen bedömer att förslaget medför att leverantörer kan ut- nyttja den grundidentifiering som staten utför i samband med utfär- dandet av den statliga elektroniska identitetshandlingen. Leverantörer, som ofta är privata aktörer, kan således erbjuda sina kunder ett helt elektroniskt ansöknings- och utfärdandeförfarande, åtminstone på vissa tillitsnivåer. Det är ett sätt för privata aktörer att utnyttja de för- valtningsgemensamma digitala funktioner som staten tillhandahåller.
Kapitel 13 – Myndigheters sätt att anskaffa funktioner för elektronisk identitetskontroll
I kapitlet finns utredningens bedömning att det måste vara enkelt för offentliga myndigheter att anskaffa funktioner för elektronisk iden- titetskontroll.
Utredningens förslag innebär konsekvenser för såväl digitaliser- ingsmyndigheten som för de offentliga myndigheterna och leveran- törerna av funktioner för elektronisk identitetskontroll.
Konsekvenser för digitaliseringsmyndigheten
Utredningen bedömer att den ändring av roll som utredningen före- slår inte innebär några andra uppgifter för digitaliseringsmyndig- heten än vad
442
SOU 2017:114 |
Konsekvensanalyser |
Konsekvenser för de offentliga myndigheterna med att ansluta sig till valfrihetssystem
Utredningen bedömer att anvisningen innebär att offentliga myndig- heter inte behöver överväga vilken av flera valmöjligheter som de ska använda sig av. Det som kan tillkomma är om offentliga myndigheter bedömer att de har behov utöver valfrihetssystemen, som måste upp- handlas särskilt. Sammantaget bedömer emellertid utredningen att det torde innebära lättnader för de offentliga myndigheterna.
Konsekvenser för leverantörerna
Utredningen bedömer att leverantörerna på detta sätt kommer att veta var de finner marknaden för de offentliga myndigheterna. De kommer också att veta på vilka villkor de kan leverera funktioner för elektronisk identitetskontroll till de offentliga myndigheterna.
Konsekvenser av ändrad ersättningsmodell
Utredningen föreslår att dagens ersättningsmodell ska ändras och att leverantörer ska fakturera Kammarkollegiet för alla elektroniska iden- titetskontroller som offentliga myndigheter har begärt.
Förslaget innebär konsekvenser för såväl de offentliga myndighe- terna som för leverantörer och Kammarkollegiet särskilt.
Offentliga myndigheter
De offentliga myndigheterna behöver med den föreslagna ersätt- ningsmodellen inte själva betala för de identitetskontroller som begärs inom ramen för valfrihetssystem. Detta gäller för såväl statliga myn- digheter som för kommuner och landsting. Förslaget innebär även en administrativ lättnad för de offentliga myndigheterna.
443
Konsekvensanalyser |
SOU 2017:114 |
Leverantörer
Utredningen har beskrivit dagens ersättningsmodell där leveran- törerna måste fakturera varje statlig myndighet, kommun eller lands- ting särskilt. Det förslag som nu lämnas bedömer utredningen kan underlätta för leverantörerna och innebär att leverantörernas admini- strativa arbete med fakturering effektiviseras.
Kammarkollegiet
Utredningen föreslår att Kammarkollegiets administration av fak- tureringen ska anslagsfinansieras. Därutöver föreslår utredningen att riksdagen varaktigt anvisar och regeringen tilldelar Kammarkollegiet ett anslag på inledningsvis cirka 29 miljoner kronor för att betala ersättningen för de offentliga myndigheternas elektroniska identitets- kontroller. Det beräknade beloppet motsvarar de offentliga myndig- heternas andel av BankID:s totala kostnader för elektroniska identitetskontroller 2017. Som en jämförelse kan nämnas att de statliga myndigheternas utgifter för posttjänster 2016 uppgick till 888 657 000 kronor.9 Utredningen föreslår att det nya anslaget och Kammarkollegiets administration av ersättningen ska finanserias genom en omfördelning av anslagsmedel som frigörs hos de statliga myndigheterna genom de kostnadseffektiviseringar som använd- ningen av de förvaltningsgemensamma digitala funktionerna medför.
Kapitel 14 – En infrastruktur för elektronisk identifiering
Utredningen föreslår i kapitlet att de uppgifter som
9 SOU 2017:23, digitalforvaltning.nu, s. 158.
444
SOU 2017:114 |
Konsekvensanalyser |
se ut, samt att denna modell ska innefatta vilka elektroniska identitets- handlingar som ska visas på ett samlat sätt i en dialogruta.
Konsekvenser för digitaliseringsmyndigheten
Digitaliseringsmyndigheten kommer att inleda sin verksamhet den 1 september 2018.
Utredningen föreslår att lagen om infrastruktur för elektronisk identifiering och kvalitetsmärket Svensk elektronisk identitetshand- ling ska träda i kraft den 1 januari 2020. Det som författningsregleras är att digitaliseringsmyndigheten ges i uppdrag att utveckla och för- valta vissa funktioner. Utredningen bedömer emellertid att det inte är en tillkommande uppgift sett i relation till vad
Konsekvenser av kvalitetsmärket Svensk elektronisk identitetshandling för utfärdare
Utredningen har i kapitel 14 bedömt att kvalitetsmärket måste spela en större roll än vad det har gjort så långt. Kvalitetsmärkta elek- troniska identitetshandlingar ska vara indikatorer som individer söker efter när de ska ansöka om elektroniska identitetshandlingar. Utred-
445
Konsekvensanalyser |
SOU 2017:114 |
ningen bedömer därför i kapitel 13 att kvalitetsmärkningen ska vara ett villkor för leverantörer som vill delta i valfrihetssystem.
Utredningen konstaterar att det i dag är få utfärdare som låtit sina elektroniska identitetshandlingar granskas av
Konsekvenser av kvalitetsmärket Svensk elektronisk identitetshandling för individer
Utredningen har bedömt att en kvalitetsmärkning av elektroniska identitetshandlingar tjänar som en viktig signal för både enskilda individer och för de som ska lita på elektroniska identitetshandlingar. Utredningen har vidare bedömt att det är en statlig uppgift att kvali- tetsmärka elektroniska identitetshandlingar efter ett ansökningsför- farande. För individer syftar detta till att skapa ökad förståelse och medvetenhet om hur de ska hantera och bedöma elektroniska identi- tetshandlingar, för de som ska lita på elektroniska identitetshandlingar tjänar det som ett möjligt sätt att ställa krav på utfärdare.
Konsekvenser av kvalitetsmärket Svensk elektronisk identitetshandling för offentliga myndigheter
Utredningen bedömer att kvalitetsmärket Svensk elektronisk identi- tetshandling kan ha betydelse för offentliga myndigheter, även med beaktande av utredningens förslag att offentliga myndigheter inte längre själva ska tillhandahålla valfrihetssystem utan att det är digi- taliseringsmyndigheten som ska göra det och de offentliga myndighe- terna ska ansluta sig till de valfrihetssystem som digitaliseringsmyn- digheten har. Det kan, såsom utredningen beskrivit i kapitel 13, inte
446
SOU 2017:114 |
Konsekvensanalyser |
uteslutas att offentliga myndigheter har behov av att upphandla tjäns- ter för elektronisk identitetskontroll vid sidan om valfrihetssystemen. Utredningen menar att sådana tjänster då inte ska benämnas funk- tioner, eftersom den förvaltningsgemensamma digitala funktionen är den som regleras i eLOV. Givet att det inte kan uteslutas en vanlig upphandling av sådana tjänster kan kvalitetsmärket spela en viktig roll för upphandlande myndigheter. Utredningen bedömer att det är lämpligt att upphandlande myndigheter ställer krav på att leverantörer ska erbjuda kvalitetsmärkta elektroniska identitetshandlingar, allt med beaktande av att kvalitetsmärket är viktigt för att individer ska kunna göra informerade val av elektroniska identitetshandlingar.
Kapitel 15 – Arbetstagare, student, ställföreträdare
– och elektronisk identifiering
Kapitlet innehåller beskrivningar av pågående initiativ för elektronisk identifiering i olika kontexter, dvs. när individer behöver identifiera sig elektroniskt i egenskap av exempelvis arbetstagare, student eller som ställföreträdare för annan.
Utredningen föreslår i avsnitt 15.9 att regeringen ska ge digitalise- ringsmyndigheten i uppdrag att närmare bedöma om
Utredningen bedömer emellertid att det uppdrag som bör ges till digitaliseringsmyndigheten innebär att myndigheten ska bedöma om EFOS kan komma att utvecklas till en förvaltningsgemensam digital funktion, som alltså ska gälla för hela den offentliga förvaltningen. Detta uppdrag bedömer utredningen vara en tillkommande uppgift för digitaliseringsmyndigheten. Skulle digitaliseringsmyndigheten komma fram till att EFOS är en förvaltningsgemensam digital funktion måste det finnas en beredskap för att ta hand om regleringen av denna. Det är viktigt att förslag till sådan reglering börjar tas fram i god tid och parallellt med utvecklingen. Detta bör beaktas i det budgetunderlag som Utredningen om inrättandet av en myndighet för digitalisering av den offentliga sektorn ska lämna till regeringen.
447
Konsekvensanalyser |
SOU 2017:114 |
Kapitel 17 – Europeiska elektroniska identitetshandlingar i svenska
Kapitlet handlar till stora delar om vilka konsekvenser som kan vän- tas av att svenska myndigheter i sina
De ekonomiska konsekvenserna av dessa anpassningar samt av ökad användning av
Ekonomiska konsekvenser för statliga myndigheter, kommuner och landsting
Utredningen bedömer att flödena av identifieringar med elektro- niska identitetshandlingar från andra länder till att börja med kom- mer att vara små. Utredningen bedömer vidare att de ekonomiska konsekvenserna av anpassningarna varierar mycket beroende på myn- digheternas verksamhet och digitaliseringsgrad och att de ekonomiska konsekvenserna av ökad användning av
Utredningen har inte kunnat få någon samlad bild av hur stor an- vändningen av svenska
I den enkät som utredningen skickade till vissa myndigheter i oktober 2017 (se avsnitt 17.2.2) fanns några frågor om ekonomiska konsekvenser som myndigheterna har identifierat. De ekonomiska konsekvenserna kan delas upp i konsekvenser av anpassningar och konsekvenser av ökad användning av
448
SOU 2017:114 |
Konsekvensanalyser |
Konsekvenser av anpassningar
Flera av myndigheterna som besvarat enkäten kunde inte specificera några särskilda ekonomiska konsekvenser av sina anpassningar de gjort eller planerar att göra med anledning av
Andra myndigheter har kunnat ge något mer specificerade svar. De grupper av kommuner som gjort gemensamma upphandlingar av
Bolagsverket bedömer att kostnaderna för att anpassa verksamt.se inledningsvis kan uppgå till cirka 500 000 kronor. Därefter tillkommer kostnader för att utveckla servicen ytterligare när det gäller språk och bättre information till de som inte ges åtkomst till
Tullverket menar att deras kostnader beror på nivån av skyldig- heten. För att tillgodose krav på funktionalitet är det inte fråga om några stora pengar. Om det däremot handlar om funktioner blir det dyrt, t.ex. att bygga om informationsstandarder. Tullverket vill där- för ha ett ställningstagande om funktionell interoperabilitet, gärna gäl- lande
Skatteverkets bedömda kostnader innehåller anpassningar av myndighetens
Pensionsmyndigheten bedömer, vid en första grov skattning, att kostnaderna 2018 blir en miljon kronor och 2019 två miljoner kro-
449
Konsekvensanalyser |
SOU 2017:114 |
nor. I bedömningen finns en osäkerhetsfaktor om plus eller minus 50 procent. Kostnaderna inkluderar elektronisk identitetskontroll samt koppling till
Stockholms stad har startat sina förberedelser, t.ex. genom upp- laddning av metadata till
Konsekvenser av ökad användning av
I de ekonomiska konsekvenserna ingår även att bedöma vad ökad användning av
Myndigheterna har besvarat frågan i samband med deras bedöm- ning av vilka nyttor
Tullverket har uttryckt att man ur verksamhetsperspektiv bedömer att
450
SOU 2017:114 |
Konsekvensanalyser |
Uppbyggnad och förvaltning av noden
Kapitel 17 avslutas med att beskriva de rättsliga konsekvenser som utredningen bedömer nödvändiga för att svenska myndigheter, kom- muner och landsting ska kunna uppfylla
Incidentrapportering
Utredningen föreslår att alla aktörer som är anslutna till noden utan otillbörligt dröjsmål ska underrätta digitaliseringsmyndigheten om alla händelser som påverkat funktionalitet och säkerhet i noden. Denna incidentrapportering är en ny uppgift för de aktörer som ska utföra den som bör kunna utföras inom ramen för befintliga resurser. Samtidigt är det en nödvändig åtgärd för att digitaliseringsmyndig- heten ska kunna sköta uppdraget att tillhandahålla noden och upp- rätthålla dess säkerhetsnivå.
Konsekvenser av förslaget om tekniska säkerhetsgranskningar av noden
Utredningen föreslår att Försvarets radioanstalt (FRA) ska genom- föra tekniska säkerhetsgranskningar av den svenska offentliga noden för gränsöverskridande identifiering som är under uppbyggnad hos
10 SOU 2017:23, digitalforvaltning.nu, s. 261 ff.
451
Konsekvensanalyser |
SOU 2017:114 |
Enligt utredningens bedömning ingår sådana tekniska säkerhets- granskningar i FRA:s uppgifter och bedöms samtidigt kunna han- teras inom ramen för FRA:s anslag.
Kapitel 18 – Anmälan av svenska elektroniska identitetshandlingar
Konsekvenserna av utredningens förslag i detta kapitel handlar främst om individens möjligheter att kunna använda sig av en svensk elektro- nisk identitetshandling för att sköta sina ärenden inom Europa på distans.
Utredningen föreslår att det ska vara en del av det offentliga åta- gandet att Sverige ska anmäla svenska elektroniska identitetshand- lingar för gränsöverskridande identifiering enligt
Konsekvenserna av förslagen för individen blir att det går att som svensk nyttja de möjligheter som
Förslagen innebär för företag att det finns möjlighet att ta fram elektroniska identitetshandlingar för gränsöverskridande identifiering för anmälan. På så sätt kan företagen nå hela den inre marknaden inom EU.
Dessutom medför förslagen vissa uppgifter för digitaliseringsmyn- digheten. Den nya myndigheten ska enligt utredningens förslag an- svara för anmälan och avanmälan av svenska elektroniska identitets- handlingar. Denna verksamhet bedöms av utredningen falla inom ramen för det anslag som digitaliseringsmyndigheten får i övrigt för verksamheten kopplad till
452
SOU 2017:114 |
Konsekvensanalyser |
Kapitel 19 – Betrodda tjänster enligt
Av
Kapitel 20 – Framtida användning av europeiska identitetshandlingar i myndigheternas
Utredningen bedömer i kapitel 20 bl.a. att digitaliseringsmyndigheten bör prioritera deltagande i samarbetsnätverket för elektroniska identi- tetshandlingar och sakkunnigbedömningar. Det är svårt att uppskatta de ekonomiska konsekvenserna av detta eftersom ingen vet i vilken takt medlemsländerna kommer att anmäla sina elektroniska identi- tetshandlingar för gränsöverskridande identifiering. Av ett aktivt deltagande bör dock följa insikter om vad som är på väg att hända och kunskaper om de andra medlemsstaternas processer för att ta fram lämpliga elektroniska identitetshandlingar. Vetskap om detta kan underlätta i prioriteringsarbetet och även ge indikationer på om digitaliseringsmyndigheten i sitt budgetunderlag behöver begära ökade anslag för att sköta uppgiften på ett tillfredsställande sätt.
När det gäller konsekvenser av förslaget om kopplingsregister hänvisar utredningen till den konsekvensanalys som har genomförts av Skatteverket i promemorian Koppling mellan europeiska eID- handlingar och svenska personnummer eller styrkta samordnings- nummer.11
11 Dnr 131
453
Konsekvensanalyser |
SOU 2017:114 |
Kapitel 21 – En lag om infrastruktur för digital post
För konsekvensanalysen avseende förslaget om lag om infrastruktur för digital post hänvisar utredningen till delbetänkandet12 och kom- pletterar här med konsekvenserna av de kompletterande förslag som utredningen lämnar i detta slutbetänkande.
I konsekvenshänseende är det framför allt två viktiga skillnader mellan det tidigare förslaget och det förslag som utredningen nu lämnar. Dels öppnar förslagen för att privata utförare av kommunala angelägenheter ska kunna vara avsändare i infrastrukturen, dels ska även företag inom andra verksamheter kunna vara avsändare i infra- strukturen. Det innebär alltså att fler aktörer kan vara avsändare, fler avtal måste skrivas för att det ska stå klart vad varje aktör ansvarar för och mer uppgifter behöver registreras i förmedlingsadressregistret.
För statliga myndigheter innebär utredningens förslag om en ny lag om Mina meddelanden i detta slutbetänkande inte någon sub- stantiell förändring jämfört med förslaget i delbetänkandet.13 För kommuner och landsting innebär utredningens förslag i detta slut- betänkande ingen förändring utom i det avseende som gäller möj- ligheter för privata utförare att ansluta som avsändare i infrastruk- turen. Kommunerna och landstingen ska enligt förslaget ansvara för att anmäla de privata utförare som de bedömer ska vara avsändare i infrastrukturen. De ska även avanmäla de privata utförarna när det blir aktuellt och dessutom ansvara för att de privata utförarna använder infrastrukturen till det den ska användas och inte för några andra syften.
Genom förslaget möjliggörs principen om likabehandling som har lyfts fram bl.a. av kommuner och SKL. Det spelar inte längre någon roll om det är en privat utförare som tar hand om den kommunala angelägenheten, den digitala posten kan skickas på precis samma sätt som om det är kommunen eller landstinget som själv utför ange- lägenheten. För mottagaren blir det ingen skillnad om man har valt en privat utförare eller inte. All digital post från dessa avsändare kan hamna i samma digitala brevlåda.
När det gäller ansvaret för de privata utfärdarna regleras det i kommunallagen att kommunen eller landstinget ska kontrollera och
12Kapitel 7.2 i SOU 2017:23 digitalforvaltning.nu.
13SOU 2017:23, digitalforvaltning.nu, s. 264 ff.
454
SOU 2017:114 |
Konsekvensanalyser |
följa upp verksamheten.14 Dessutom ska de kommuner och landsting som sluter avtal med en privat utförare, genom avtalet tillförsäkra sig information som gör det möjligt att ge allmänheten insyn i den verk- samhet som lämnas över.15
Det innebär att kommuner och landsting som sluter avtal med privata utförare redan har ansvar för att kontrollera och följa upp deras verksamhet. De ska också få den information som behövs för insyn i den överlämnade verksamheten. Detta torde även innefatta den analoga postgång som de privata utförarna använder sig av i dag.
Utredningens förslag medför att vissa rutiner kan behöva ändras och kommuner och landsting behöver vara medvetna om att använd- ningen av Mina meddelanden ingår i den verksamhet som de enligt kommunallagen ska kontrollera och följa upp. Samtidigt är detta ett ansvar som kommuner och landsting redan har men som genom för- slagen kan få ny inriktning.
Det beskrivna förslaget ska ses som en möjlighet som har efter- frågats av många. De kommuner och landsting som bedömer att de inte kan ta det ansvar som krävs behöver inte anmäla privata utförare som avsändare i infrastrukturen. Ett krav för anmälan är att kom- munen eller landstinget också själva ska vara anslutna som avsändare. När de är anslutna och själva använder sig av infrastrukturen får de kunskap i hur det fungerar och kan då lättare avgöra hur de ska kunna ansvara för sina respektive privata utförares användning.
I dag är 17 kommuner anslutna som avsändare i Mina meddelanden med ganska få flöden. Utredningen bedömer att anslutningen av privata utförare inte kommer att bli särskilt omfattande, i vart fall inte i det korta perspektivet. Privata utförare som avsändare kommer antingen att anslutas på grund av att den privata utföraren inför säker
Vad som talar för en anslutning är att företag som är privata ut- förare kanske inte har byggt ut
1410 kap. 8 § kommunallagen (2017:725).
1510 kap. 9 § kommunallagen (2017:725).
455
Konsekvensanalyser |
SOU 2017:114 |
kare. Samtidigt innebär ju den relativt låga anslutningsgraden bland mottagare att företaget inte kan vara säker på att nå alla sina brukare via Mina meddelanden. Detta talar emot ett mer omfattande intresse så länge som inte den större delen av befolkningen kan nås.
Företag och organisationer som utför uppgifter av allmänt intresse
Utredningen föreslår att företag och organisationer som utför upp- gifter av allmänt intresse också ska tillåtas ansluta sig som avsändare i infrastrukturen för digital post. Enligt förslaget ska regeringen be- sluta om vilka typer av verksamheter som ska släppas in i infrastruk- turen. Utredningen föreslår att man börjar med friskolor, banker, för- säkringsföretag, pensionsförvaltare, kreditupplysningsföretag, apotek, bilbesiktningsföretag och bostadsföretag.
Förslaget bedöms inte medföra några särskilda konsekvenser för vare sig statliga myndigheter, kommuner eller landsting. Förutom de aktuella företag som tillåts skicka digital post genom infrastrukturen påverkar förslagen främst mottagare, alltså individer som har anmält att de vill ha digital post. De kommer kunna samla allt mer post från olika sorters avsändare i samma digitala brevlåda. För de mottagare som exempelvis har barn i olika skolformer, kan de ta emot digital post på samma sätt oavsett om barnet går i kommunal skola eller fri- skola.
456
23 Författningskommentar
Utredningen har i föregående kapitel redogjort för de överväganden som ligger bakom de förändringar av bestämmelser som utredningen föreslår i detta betänkande. Av den anledningen är författningskom- mentarerna begränsade till att i huvudsak avse hänvisningar till de avsnitt i betänkandet där respektive bestämmelse behandlas.
23.1Förslag till lag om statlig elektronisk identitetshandling
1 §
I denna lag finns bestämmelser om statliga elektroniska identitets- handlingar.
Förslaget behandlas i avsnitt 12.7 och 12.8.
2 §
En statlig elektronisk identitetshandling kan utfärdas till den som är svensk medborgare eller folkbokförd i Sverige enligt folkbokförings- lagen (1991:481).
Förslaget behandlas i avsnitt 12.8.
457
Författningskommentar |
SOU 2017:114 |
3 §
En statlig elektronisk identitetshandling innehåller följande uppgifter om en individ:
–nuvarande efternamn
–nuvarande förnamn
–födelsedatum
–personnummer
Regeringen eller den myndighet som regeringen bestämmer får besluta om att lägga till andra uppgifter om en person i den elektroniska iden- titetshandlingen.
Förslaget behandlas i avsnitt 12.8.1.
4 §
En statlig elektronisk identitetshandling ska utfärdas på den högsta svenska tillitsnivån enligt tillitsramverket i lagen om infrastruktur för elektronisk identifiering och kvalitetsmärket Svensk elektronisk identi- tetshandling.
En statlig elektronisk identitetshandling ska utformas enligt de tek- niska specifikationerna i lagen om infrastruktur för elektronisk identi- fiering och kvalitetsmärket Svensk elektronisk identitetshandling.
Förslaget behandlas i avsnitt 12.7.2.
5 §
En statlig elektronisk identitetshandling ska finnas på de fysiska identi- tetshandlingar som regeringen bestämmer.
En statlig elektronisk identitetshandling har samma giltighetstid som den fysiska identitetshandling som den finns på.
Förslaget behandlas i avsnitt 12.7.
458
SOU 2017:114 |
Författningskommentar |
6 §
Ansökan om en statlig elektronisk identitetshandling ska göras hos de myndigheter (utfärdande myndigheter) som regeringen bestämmer.
Förslaget behandlas i avsnitt 12.8.3.
7 §
Ansökan om en statlig elektronisk identitetshandling ska göras i samband med ansökan om en fysisk identitetshandling. Uppgifterna i ansökan ska avges på heder och samvete eller under annan sådan försäkran. Sökanden är skyldig att inställa sig personligen.
Förslaget behandlas i avsnitt 12.8.3.
8 §
Sökanden är skyldig att i samband med ansökan om en statlig elektro- nisk identitetshandling styrka sin identitet och övriga personuppgifter.
Förslaget behandlas i avsnitt 12.8.3.
9 §
En ansökan om en statlig elektronisk identitetshandling ska avslås om förutsättningarna i 8 § inte är uppfyllda eller det som har föreskrivits av regeringen i fråga om ansökan inte har iakttagits och sökanden inte har följt en uppmaning att avhjälpa bristen.
Förslaget behandlas i avsnitt 12.8.3.
459
Författningskommentar |
SOU 2017:114 |
10 §
Regeringen eller de myndigheter som regeringen bestämmer får med- dela ytterligare föreskrifter om ansökan och utfärdande av statliga elektroniska identitetshandlingar.
Förslaget behandlas i avsnitt 12.8.3.
11 §
Statliga myndigheter, kommuner och landsting ska erkänna identifie- ring med den statliga elektroniska identitetshandlingen i de
Förslaget behandlas i avsnitt 12.8.4.
12 §
Användare får använda den statliga elektroniska identitetshandlingen som underlag vid ansökan om en annan elektronisk identitetshand- ling.
Förslaget behandlas i avsnitt 12.8.5.
13 §
Regeringen eller de myndigheter som regeringen bestämmer får upp- ställa villkor för när en statlig elektronisk identitetshandling får an- vändas som underlag för ansökan om en annan elektronisk identitets- handling.
Förslaget behandlas i avsnitt 12.8.5.
460
SOU 2017:114 |
Författningskommentar |
14 §
När en statlig elektronisk identitetshandling används som underlag vid ansökan om en elektronisk identitetshandling hos en annan utfärdare av elektroniska identitetshandlingar ska denne informera den utfär- dande myndigheten.
Förslaget behandlas i avsnitt 12.8.6.
15 §
Den utfärdande myndigheten ska registrera vilka andra elektroniska identitetshandlingar som har skapats med den statliga elektroniska iden- titetshandlingen som underlag.
Förslaget behandlas i avsnitt 12.8.6.
16 §
En statlig elektronisk identitetshandling ska spärras om
–det fanns hinder mot att utfärda den statliga elektroniska identitets- handlingen vid tiden för utfärdandet och hindret fortfarande består,
–någon väsentlig uppgift som framgår av den statliga elektroniska identitetshandlingen är felaktig och inte längre gäller, eller
–någon annan än den som den statliga elektroniska identitetshand- lingen är utställd till förfogar över den statliga elektroniska identitets- handlingen.
Förslaget behandlas i avsnitt 12.8.7.
17 §
Om en statlig elektronisk identitetshandling spärras ska den utfärdande myndigheten informera de utfärdare av elektroniska identitetshand- lingar, som har använt den statliga elektroniska identitetshandlingen som underlag om detta.
461
Författningskommentar |
SOU 2017:114 |
Förslaget behandlas i avsnitt 12.8.7 och 12.8.9.
18 §
Regeringen eller den myndighet som regeringen bestämmer får med- dela föreskrifter om förfarandet vid spärr av statliga elektroniska identi- tetshandlingar.
Förslaget behandlas i avsnitt 12.8.7.
19 §
Beslut enligt denna lag får överklagas till allmän förvaltningsdomstol. Prövningstillstånd krävs vid överklagande till kammarrätt.
Förslaget behandlas i avsnitt 12.8.8.
20 §
Beslut enligt denna lag gäller omedelbart, om inte något annat anges i beslutet.
Förslaget behandlas i avsnitt 12.8.8.
23.2Förslag till lag om infrastruktur för elektronisk identifiering och kvalitetsmärket Svensk elektronisk identitetshandling
1 §
I denna lag finns bestämmelser om infrastruktur för elektronisk identi- fiering och kvalitetsmärket Svensk elektronisk identitetshandling.
I infrastrukturen för elektronisk identifiering ingår:
462
SOU 2017:114 |
Författningskommentar |
1.tillitsramverk,
2.tekniska specifikationer för elektronisk identifiering,
3.register med utfärdare och förlitande aktörer samt
4.modell för dialogruta med valbara elektroniska identitetshandlingar.
Svensk elektronisk identitetshandling är ett kvalitetsmärke för elektro- niska identitetshandlingar som har granskats och godkänts mot tillits- ramverket och de tekniska specifikationerna.
Förslaget behandlas i avsnitt 14.3.
2 §
I lagen avses med
1.användare: den som har en elektronisk identitetshandling,
2.elektronisk identitetshandling: en värdehandling som en använ- dare kan använda för att identifiera sig elektroniskt,
3.fysisk bärare: en fysisk identitetshandling, en koddosa eller liknande,
4.mobil bärare: exempelvis en smarttelefon eller en surfplatta,
5.förlitande aktör: den som behöver verifiera en användares upp- gifter vid identifiering mot en
6.utfärdare: den som utfärdar en elektronisk identitetshandling till en användare,
7.tillitsramverk: ett graderat ramverk för tillförlitlighet i utfärdade elektroniska identitetshandlingar,
8.tillitsnivå: en nivå inom tillitsramverket,
9.tekniska specifikationer: tekniska krav som ställs på elektronisk identi- fiering,
10.modell för dialogruta med valbara elektroniska identitetshandlingar: gruppering av elektroniska identitetshandlingar som har kvalitetsmär- ket Svensk elektronisk identitetshandling och som presenterar dessa i en dialogruta för användaren när denne ska identifiera sig elektroniskt.
463
Författningskommentar |
SOU 2017:114 |
Förslaget behandlas i avsnitt 14.3.1.
Tillitsramverk
3 §
Det ska finnas ett tillitsramverk för elektroniska identitetshandlingar, som löpande ska anpassas till väletablerade standarder och utveck- lingen i övrigt samt de hot och risker som kan uppkomma på området.
Förslaget behandlas i avsnitt 14.3.2.
4 §
Den myndighet som regeringen bestämmer ska förvalta och utveckla tillitsramverket enligt 3 §.
Förslaget behandlas i avsnitt 14.3.2. och 14.3.
Tekniska specifikationer
5 §
Det ska finnas tekniska specifikationer för elektronisk identifiering, som löpande ska anpassas till väletablerade standarder, utvecklingen i övrigt, samt de hot och risker som kan uppkomma på området.
Förslaget behandlas i avsnitt 14.3.3.
6 §
Den myndighet som regeringen bestämmer ska förvalta och utveckla tekniska specifikationerna enligt 5 §.
Förslaget behandlas i avsnitt 14.3.3. och 14.3.
464
SOU 2017:114 |
Författningskommentar |
Kvalitetsmärket Svensk elektronisk identitetshandling
7 §
Utfärdare av elektroniska identitetshandlingar kan ansöka om att granskas mot tillitsramverket enligt 3 § och de tekniska specifikationerna enligt 5 §. Den som uppfyller kraven på tillitsnivåerna och de tekniska specifikationerna ska godkännas.
Förslaget behandlas i avsnitt 14.3.4.
8 §
Godkända elektroniska identitetshandlingar får som ett tillägg till egen benämning även använda kvalitetsbenämningen Svensk elektro- nisk identitetshandling.
Förslaget behandlas i avsnitt 14.3.4.
9 §
Ansökan om att granskas mot tillitsramverket och de tekniska specifi- kationerna ska göras hos den myndighet som regeringen bestämmer. Samma myndighet ska godkänna att en elektronisk identitetshandling får använda kvalitetsbenämningen Svensk elektronisk identitets- handling.
Förslaget behandlas i avsnitt 14.3.4.
Register med utfärdare av elektroniska identitetshandlingar och förlitande aktörer
10 §
Det ska finnas ett register över utfärdare av elektroniska identitetshand- lingar med kvalitetsmärket Svensk elektronisk identitetshandling och förlitande aktörer som är anslutna till valfrihetssystem enligt lagen om valfrihetssystem i fråga om funktioner för elektronisk identitetskontroll.
465
Författningskommentar |
SOU 2017:114 |
Förslaget behandlas i kapitel 13 samt i avsnitt 14.3.5.
11 §
Den myndighet som regeringen bestämmer ska förvalta och utveckla registret enligt 10 §.
Förslaget behandlas i avsnitt 14.3.5 och 14.3.
12 §
Förlitande aktörer som är ansluta till valfrihetssystem enligt lagen om valfrihetssystem i fråga om funktioner för elektronisk identitetskontroll ska registreras i registret med utfärdare och förlitande aktörer.
Förslaget behandlas i avsnitt 14.3.5
13 §
Det ska finnas en modell för dialogruta med valbara elektroniska identitetshandlingar. En dialogruta med valbara elektroniska identitets- handlingar ska visa de elektroniska identitetshandlingar som ingår i valfrihetssystem som tillhandahålls enligt lagen om valfrihetssystem i fråga om funktioner för elektronisk identitetskontroll samt den statliga elektroniska identitetshandlingen.
Förslaget behandlas i avsnitt 14.3.6.
14 §
Den myndighet som regeringen bestämmer ska förvalta och utveckla modellen enligt 13 §.
Förslaget behandlas i avsnitt 14.3.6.
466
SOU 2017:114 |
Författningskommentar |
15 §
Statliga myndigheter, kommuner och landsting ska använda modellen för dialogruta med valbara elektroniska identitetshandlingar i de e- tjänster där den statliga myndigheten, kommunen eller landstinget kräver att individen ska identifiera sig elektroniskt.
Förslaget behandlas i avsnitt 14.3.7.
16 §
Regeringen får besluta om undantag till skyldigheten i 15 § om det finns särskilda skäl.
Förslaget behandlas i avsnitt 14.3.7.
23.3Förslag till lag om infrastruktur för digital post
Allmänna bestämmelser
1 §
Den myndighet som regeringen bestämmer (myndigheten) ska till- handahålla en infrastruktur för digital post.
Förslaget behandlas i kapitel 21.
2 §
Denna lag gäller vid behandling av personuppgifter inom infrastruk- turen. Vid sådan behandling gäller lagen endast om behandlingen är helt eller delvis automatiserad eller om personuppgifterna ingår eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.
Förslaget behandlas i avsnitt 21.8.
467
Författningskommentar |
SOU 2017:114 |
3 §
I denna lag avses med
1.ankomstkontroll: att leverantören av brevlådetjänster för digital post utför kontroll mot förmedlingsadressregistret att avsändaren är ansluten.
2.avsändare: myndighet eller en juridisk person som genom avsänd- ningskontroll skickar digital post till en mottagare inom infrastruk- turen.
3.avsändningskontroll: att avsändaren utför kontroll mot förmed- lingsadressregistret att mottagaren är ansluten till infrastrukturen, i så fall hos vilken leverantör mottagarens brevlådetjänst för digital post finns samt att avsändaren får sända digital post till mottagaren.
4.brevlådetjänster för digital post: den del inom infrastrukturen som lagrar digitala post efter att den har gjorts tillgänglig för mottagaren.
5.digital post: meddelanden genom digitala kanaler mellan olika aktörer i infrastrukturen.
6.förmedlare: en fysisk eller juridisk person som utför uppdrag åt en avsändare genom att vidarebefordra digital post.
7.förmedlingsadressregister: det register som innehåller uppgifter, däri- bland personuppgifter, om de anslutna i infrastrukturen.
8.leverantör av brevlådetjänster för digital post: en juridisk person eller en individ som tillhandahåller brevlådetjänster för digital post.
9.mottagare: individer och företag som anslutit sig till förmedlings- adressregistret och i sin brevlådetjänst för digital post tar emot digi- tal post inom infrastrukturen.
10.privat utförare: en juridisk person eller en individ som har hand om en kommunal angelägenhet.
I övrigt gäller definitioner i lagen med kompletterande bestämmelser till EU:s dataskyddsförordning (dataskyddslagen).
Förslaget behandlas i avsnitt 21.2.
468
SOU 2017:114 |
Författningskommentar |
4 §
Infrastrukturen utgörs av förmedlingsadressregister, brevlådetjänster för digital post, valfrihetssystem enligt lagen om valfrihet om elektro- niska brevlådor samt vad regeringen, eller den myndighet regeringen bestämmer, har beslutat i form av föreskrifter.
Förslaget behandlas i kapitel 21.
5 §
Myndigheten får tillhandahålla brevlådetjänster för digital post till mottagare som enbart tar emot digital post från avsändare enligt 11 §.
Förslaget behandlas i avsnitt 21.3.
6 §
Till stöd för förmedling av digital post får myndigheten föra ett för- medlingsadressregister över anslutna enligt
Förslaget behandlas i kapitel 21.
Om rätten att få meddelande från myndighet via infrastrukturen
7 §
Om en ansluten mottagare begärt att en statlig myndighet ska sända digital post genom infrastrukturen får detta underlåtas endast om sär- skilda skäl finns.
Förslaget behandlas i avsnitt 21.4.
469
Författningskommentar |
SOU 2017:114 |
Förhållandet till annan lagstiftning
8 §
Denna lag innehåller bestämmelser som kompletterar Europaparla- mentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av person- uppgifter och om det fria flödet av sådana uppgifter och om upp- hävande av direktiv 95/46/EG (allmän dataskyddsförordning).
Vid behandling av personuppgifter enligt denna lag gäller lagen med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna förordning eller föreskrifter som har meddelats i anslutning till den.
Förslaget behandlas i avsnitt 21.5.
Ändamål
9 §
Personuppgifter får bara behandlas om det behövs för att
1.hantera digital post i syfte att kunna utföra en arbetsuppgift inom en författningsreglerad verksamhet hos någon av de som anslutit sig till infrastrukturen, eller
2.lagra och bearbeta digital post som avses i 1 p. i syfte att erbjuda tilläggstjänster för brevlådeinnehavarna.
Förslaget behandlas i avsnitt 21.7.
10 §
Personuppgifter som behandlas eller har behandlats enligt 9 § får även behandlas om det behövs för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning.
I ett enskilt fall får personuppgifter som behandlas eller har behand- lats enligt 9 § även behandlas för att tillhandahålla information för något annat ändamål än det som anges, under förutsättning att ända-
470
SOU 2017:114 |
Författningskommentar |
målet inte är oförenligt med det ändamål för vilket uppgifterna sam- lades in.
Förslaget behandlas i avsnitt 21.7.
Anslutning
11 §
Till infrastrukturen ska som avsändare anslutas myndigheter under regeringen om inte regeringen har beslutat annat. Till infrastrukturen får kommuner och landsting ansluta sig som avsändare. Vidare får privata utförare av kommunala angelägenheter ansluta sig som avsändare enligt vad som föreskrivs i denna lag.
Regeringen får besluta att som avsändare får företag och organisa- tioner som utför en uppgift av allmänt intresse ansluta sig. Regeringen får besluta om att denna anslutning ska villkoras med att företaget eller organisationen ska ha avtal med leverantör av brevlådetjänster för digital post.
Förslaget behandlas i avsnitt 21.9 och 21.10.
12 §
Till infrastrukturen får individer ansluta sig som mottagare om de an- mält att de vill ta emot digital post från anslutna avsändare. Varje mottagare har genom sin anmälan tillgång till en brevlådetjänst för digital post.
Förslaget behandlas i kapitel 21.
13 §
Till infrastrukturen får leverantör av brevlådetjänster för digital post ansluta sig.
Förslaget behandlas i kapitel 21.
471
Författningskommentar |
SOU 2017:114 |
14 §
Den som ansluter sig till infrastrukturen ska registreras i förmedlings- adressregistret.
Förslaget behandlas i kapitel 21.
Avsändnings- och ankomstkontroll
15 §
Avsändare ska före sändning av digital post kontrollera i förmed- lingsadressregistret om mottagaren är ansluten till infrastrukturen och i så fall hos vilken leverantör mottagarens brevlådetjänst för digital post finns samt att avsändaren får sända digital post till mottagaren. Om mottagaren inte är ansluten till infrastrukturen eller inte tar emot meddelanden från den aktuella avsändaren får den digitala posten inte sändas via infrastrukturen.
Förslaget behandlas i avsnitt 21.8.1.
16 §
Förmedlare ska före sändning av digital post kontrollera i förmed- lingsadressregistret om mottagaren fortfarande är ansluten till infra- strukturen och om avsändaren får sända digital post till mottagaren. Om mottagaren inte är ansluten till infrastrukturen eller inte tar emot meddelanden från den aktuella avsändaren får den digitala posten inte sändas via infrastrukturen.
Förslaget behandlas i avsnitt 21.8.2.
17 §
Leverantör av brevlådetjänster för digital post ska vid ankomst av digital post kontrollera i förmedlingsadressregistret att avsändaren fortfarande är ansluten till infrastrukturen. Om avsändaren inte är ansluten eller
472
SOU 2017:114 |
Författningskommentar |
har något civilrättsligt avtal med mottagaren om digital brevlådetjänst ska meddelandet inte mottas.
Förslaget behandlas i avsnitt 21.8.3.
Personuppgiftsansvar
18 §
Myndigheten är personuppgiftsansvarig för den behandling av person- uppgifter som myndigheten utför när den tillhandahåller förmedlings- adressregistret.
Förslaget behandlas i avsnitt 21.8.4.
19 §
Avsändaren är personuppgiftsansvarig för behandling av personuppgif- ter till dess att leverantör av brevlådetjänster för digital post genom an- komstkontroll godkänt mottagandet enligt 17 §.
Avsändaren är vidare personuppgiftsansvarig för behandling av upp- gifter som leverantören utför på avsändarens begäran efter att med- delandet gjorts tillgängligt för mottagaren.
Förslaget behandlas i avsnitt 21.8.5.
20 §
Leverantör av brevlådetjänster för digital post är personuppgiftsansvarig för behandling av uppgifter efter att ankomstkontroll genomförts med undantag för förhållanden enligt 19 § andra stycket.
Leverantören är vidare personuppgiftsansvarig för behandling av uppgift som denne erbjuder mottagaren.
Förslaget behandlas i avsnitt 21.8.7.
473
Författningskommentar |
SOU 2017:114 |
Anslutning av privata utförare av kommunala uppgifter
21 §
Privata utförare av kommunala angelägenheter får ansluta sig på be- gäran av kommun eller landsting som är ansluten till infrastrukturen. När utförarens uppdrag har upphört ska kommunen anmäla detta till den myndighet som regeringen beslutar för att ta bort registreringen på den privata utföraren som avsändare i förmedlingsadressregistret.
En förutsättning för anmälan ska vara att kommunen eller lands- tinget är ansluten samt har kommit överens med utföraren att denne ska använda infrastrukturen.
Kommunen eller landstinget ska kontrollera att utföraren använder infrastrukturen på avsett sätt. Om kommunen eller landstinget finner att utföraren brister härvidlag eller då uppdraget upphör ska anmälan återkallas.
Förslaget behandlas i avsnitt 21.9.1.
Föreskrifter
22 §
Regeringen eller den myndighet som regeringen bestämmer får med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om
1.inrättande och drift av infrastrukturen,
2.den längsta tid under vilken personuppgifter får behandlas,
3.säkerhetsåtgärder till skydd för personuppgifter,
4.behörighets- och sökbegränsningar, och
5.vilka verksamheter som regeringen vill ge möjlighet att ansluta som avsändare i infrastrukturen samt villkor för dem.
Förslaget behandlas i avsnitt 21.12.1.
474
SOU 2017:114 |
Författningskommentar |
Ersättning till leverantör av brevlådetjänster för digital post
23 §
När myndigheten tillämpar lagen om valfrihet om digitala brevlådor ska regeringen eller den myndighet regeringen bestämmer fastställa er- sättning till leverantör av brevlådetjänster för digital post anslutna en- ligt 1 §. Vad som där fastställs ska inte tillämpas för den som anslutits enligt 11 § andra stycket.
Förslaget behandlas i avsnitt 21.12.2.
23.4Förslag till lag om valfrihet om digitala brevlådor
1 §
Skatteverket får besluta att tillhandahålla valfrihetssystem för digitala brevlådor enligt lagen om infrastruktur för digital post. Med valfri- hetssystem menas ett förfarande där mottagaren har rätt att välja den leverantör som ska utföra tjänsten och som Skatteverket har godkänt och tecknat avtal med.
Förslaget behandlas i avsnitt 21.12.2.
2 §
När Skatteverket tillhandahåller valfrihetssystem enligt denna lag ska myndigheten tillämpa lagen (2008:962) om valfrihetssystem. I stället för det som sägs i 2 kap. 3 § första meningen, 6 och 7 §§ lagen om valfrihets- system ska med
1.leverantör avses den som på marknaden tillhandahåller tjänster som nämns i 1 §,
2.tjänst avses sådan tjänst som nämns i 1 §, och
3.upphandlande myndighet avses Skatteverket.
Förslaget behandlas i avsnitt 21.12.2.
475
Författningskommentar |
SOU 2017:114 |
23.5Förslag till lag om ändring i lagen (2016:561) med kompletterande bestämmelser till
EU:s förordning om elektronisk identifiering
Noden
9 §
Den myndighet som regeringen utser (nodmyndigheten) ska ansvara för att tillhandahålla en offentlig förbindelsepunkt (nod) för gräns- överskridande elektronisk identifiering och att den fungerar i enlighet med EU:s förordning om elektronisk identifiering och rättsakter som har meddelats med stöd av den förordningen.
Regeringen eller, efter regeringens bemyndigande, nodmyndigheten får meddela föreskrifter om noden.
Paragrafen, som är ny, avser i första stycket att tydliggöra vem som har ansvar för att tillhandahålla Sveriges offentliga nod för mot- tagande av utländska elektroniska identitetshandlingar och för diri- gering av svenska elektroniska identitetshandlingar till och från rätt utfärdare för användning i utländska
I andra stycket behandlas föreskriftsrätt genom att regeringen eller, efter regeringens bemyndigande, nodmyndigheten får med- dela föreskrifter om noden.
Förslagen behandlas i avsnitt 17.6 och 17.6.1.
10 §
För att användare ska kunna identifieras får nodmyndigheten behandla de personuppgifter som kommer till noden. Vilka personuppgifter som kommer till noden regleras i bilagan till Kommissionens genomförande- förordning (EU) 2015/1501.
Nodmyndigheten är personuppgiftsansvarig för de behandlingar av personuppgifter som utförs i noden.
I paragrafen, som är ny, anges i första stycket att ändamålet med be- handling av personuppgifter i noden är att identifiera användare
476
SOU 2017:114 |
Författningskommentar |
samt att vilka personuppgifter som får behandlas regleras i bilagan till Kommissionens genomförandeförordning (EU) 2015/1501.
De personuppgifter som får behandlas är enligt bilagan till Kommissionens genomförandeförordning (EU) 2015/1501 följande obligatoriska attribut:
a)nuvarande efternamn,
b)nuvarande förnamn,
c)födelsedatum,
d)en unik identitetsbeteckning som satts samman av den utsändande medlemsstaten i enlighet med de tekniska specifikationerna för gränsöverskridande identifiering och som är mest beständiga i tid.
Dessutom får också behandlas följande valfria attribut:
a)förnamn och efternamn vid födseln,
b)födelseort,
c)nuvarande adress, kön.
I andra stycket tilldelas nodmyndigheten enligt 9 § personuppgifts- ansvaret för de behandlingar av personuppgifter som myndigheten utför.
Förslagen behandlas i avsnitt 17.6.2.
11 §
Nodmyndigheten får behandla (tekniska) uppgifter för de aktörer vars uppgifter ska behandlas av noden. Myndigheten får även behandla de personuppgifter som är nödvändiga för att säkerställa behörigheter för aktörernas ombud.
I paragrafen, som är ny, regleras att nodmyndigheten får behandla vissa uppgifter. För att noden ska fungera på avsett vis behöver nod- myndigheten föra ett s.k. metadataregister över tekniska uppgifter för de aktörer vars uppgifter ska behandlas av noden. Aktörerna är t.ex. utfärdare av elektroniska identitetshandlingar. Om dessa tekniska uppgifter behöver ändras eller uppdateras behöver nodmyndigheten
477
Författningskommentar |
SOU 2017:114 |
veta att rätt person företräder aktören så att det går att lita på att uppgifterna om ändring stämmer. Därför behöver nodmyndigheten ha rätt att behandla de personuppgifter som är nödvändiga för att säkerställa behörigheter för aktörernas ombud.
Förslaget behandlas i avsnitt 17.6.7.
12 §
Alla myndigheter som, för att ge åtkomst till sina nättjänster, omfattas av kraven på elektronisk identifiering enligt EU:s förordning om elektronisk identifiering, ska ansluta till den svenska offentliga noden.
Myndigheter som inte omfattas av förordningens krav får ansluta till den svenska offentliga noden.
I paragrafen, som är ny, behandlas i första stycket att alla myn- digheter som har
I andra stycket anges att även de myndigheter som inte omfattas av
Förslaget behandlas i avsnitt 17.6.3.
13 §
Privata aktörer får ansluta till den svenska offentliga noden. Regeringen eller, efter regeringens bemyndigande, nodmyndigheten
får meddela föreskrifter om skyldighet för privata aktörer att betala avgift för att ansluta till noden enligt denna lag.
I paragrafen, som är ny, anges i första stycket att privata aktörer får ansluta till den svenska offentliga noden. För att möjliggöra för pri- vata aktörer att erkänna utländska elektroniska identitetshandlingar i
478
SOU 2017:114 |
Författningskommentar |
sina
I andra stycket anges att regeringen eller, efter regeringens be- myndigande, nodmyndigheten får meddela föreskrifter om skyldig- het för privata aktörer att betala avgift för att ansluta till noden enligt denna lag. Noden föreslås inrättas med offentliga medel för offent- liga syften som handlar om att tillgodose den offentliga sektorns behov av stöd för gränsöverskridande identifiering. Det privata an- vändandet av noden kan därför komma att behöva avgiftsbeläggas för att inte offentliga medel ska användas på ett sätt som gynnar vissa privata aktörer.
Förslaget behandlas i avsnitt 17.6.4.
14 §
Alla som är anslutna till noden ska utan otillbörligt dröjsmål under- rätta nodmyndigheten om alla händelser som påverkat funktionalitet eller säkerhet i noden.
I paragrafen, som är ny, behandlas incidentrapportering. För att upp- rätthålla nodens funktionalitet och säkerhet ska alla anslutna aktö- rer rapportera till nodmyndigheten om eventuella incidenter som in- träffar.
Förslaget behandlas i avsnitt 17.6.5.
Anmälan av svenska medel för elektronisk identifiering
15 §
Den myndighet som regeringen utser ansvarar för anmälan av svenska medel för elektronisk identifiering för gränsöverskridande elektronisk identifiering enligt EU:s förordning om elektronisk identifiering. (an- mälande myndighet).
Regeringen eller den myndighet som regeringen bemyndigar får med- dela föreskrifter om hur anmälan ska gå till.
I paragrafen, som är ny, anges i första stycket att regeringen utser en myndighet som ansvarar för anmälan av svenska elektroniska
479
Författningskommentar SOU 2017:114
identitetshandlingar för gränsöverskridande identifiering enligt
Dessutom får regeringen eller myndigheten enligt andra stycket i föreskrifter besluta mer om hur anmälan ska gå till.
Förslaget behandlas i avsnitt 18.3.
16 §
För att kunna anmälas för gränsöverskridande elektronisk identifie- ring ska ett svenskt medel för elektronisk identifiering
1.vara kvalitetsgranskad av digitaliseringsmyndigheten,
2.endast utfärdas till medborgare eller folkbokförda i Sverige,
3.ingå i valfrihetssystem enligt lagen (2013:311) om valfrihetssystem i fråga om tjänster för elektronisk identifiering, och
4.vara utfärdat av en aktör som har tecknat försäkring som täcker ersättning för skada som åsamkats fysiska eller juridiska personer avsiktligt eller på grund av oaktsamhet genom underlåtenhet att uppfylla de skyldigheter som avses i artikel 7 i EU:s förordning om elektronisk identifiering.
I paragrafen, som är ny, anges de förutsättningar som behöver vara uppfyllda för att en elektronisk identitetshandling ska kunna an- mälas för gränsöverskridande identifiering enligt
Kvalitetsmärkningen enligt första punkten är den granskning som staten utför för att kunna anmäla en elektronisk identitetshandling för gränsöverskridande identifiering i Sveriges namn och veta att den håller tillräcklig kvalitet för det avsedda syftet.
För att få anmälas för gränsöverskridande identifiering får den elektroniska identitetshandlingen bara utfärdas till medborgare eller folkbokförda i Sverige. Innehavarna av den elektroniska identitets- handlingen behöver ha personnummer för att Sverige med säkerhet ska kunna veta att de personidentifieringsuppgifter som förmedlas genom den elektroniska identitetshandlingen tillskrivs den fysiska person som avses vid tidpunkten för utfärdandet samt att den elek- troniska identitetshandlingen faktiskt tilldelas den person som avses.
480
SOU 2017:114 |
Författningskommentar |
Kravet att ingå i valfrihetssystem är ett sätt att garantera att alla privata utfärdare av elektroniska identitetshandlingar får samma er- sättning från staten för den levererade tjänsten samtidigt som använ- darna har möjlighet att styra genom sina val vilka elektroniska identi- tetshandlingar som ska kunna användas.
Utfärdare behöver även ha tecknat försäkring som täcker ersätt- ning för eventuella skador som orsakas av de elektroniska identitets- handlingarna.
Förslaget behandlas i avsnitt 18.3.2.
17 §
Anmälande myndighet ansvarar även för att tillfälligt upphäva, åter- kalla, återinföra och dra tillbaka elektroniska identitetshandlingar vid säkerhetsincidenter enligt artikel 10 i EU:s förordning om elektronisk identifiering.
I paragrafen, som är ny, anges att samma myndighet som anmäler elektroniska identitetshandlingar måste också ha möjlighet att tillfäl- ligt upphäva, återkalla, återinföra och dra tillbaka dem när det krävs enligt
Förslaget behandlas i avsnitt 18.3.3.
Ikraftträdandebestämmelse
Lagen ska träda i kraft den 29 september 2018 som är det datum från vilket europeiska elektroniska identitetshandlingar ska erkännas i svenska myndigheters
Förslaget behandlas i avsnitt 17.6.8.
481
Författningskommentar |
SOU 2017:114 |
23.6Förslag till lag om ändring i lagen (2013:311) om valfrihetssystem i fråga om tjänster
för elektronisk identifiering
1 §
I denna lag finns bestämmelser om tillämpning av valfrihetssystem i fråga om funktioner för elektronisk identitetskontroll.
Den myndighet som regeringen bestämmer (den upphandlade myn- digheten) ska tillhandahålla valfrihetssystem för funktioner för elektronisk identitetskontroll.
Myndigheter, kommuner och landsting med behov av funktioner för elektronisk identitetskontroll ska ansluta sig till valfrihetssystem som den upphandlande myndigheten tillhandahåller.
Regeringen får besluta om undantag från skyldigheten i andra stycket om det föreligger särskilda skäl.
Förslaget behandlas i avsnitt 13.6.
2 §
Med valfrihetssystem avses i denna lag ett förfarande där individen har rätt att välja den leverantör som ska utföra identitetskontrollen och som den upphandlande myndigheten har godkänt och tecknat kon- trakt med.
Termerna upphandlingsdokument, kontrakt och upphandlande myn- dighet har i denna lag samma betydelse som i lagen (2016:1145) om offentlig upphandling.
Förslaget, som innebär att begreppet tjänst för elektronisk identi- fiering byts till funktion för elektronisk identitetskontroll samt att en upphandlande myndighet ersätts av den upphandlande myndig- heten, behandlas i avsnitt 13.6.1 och 13.6.3.
482
SOU 2017:114 |
Författningskommentar |
4 §
När den upphandlande myndigheten har beslutat att inrätta eller för- ändra ett valfrihetssystem ska det annonseras på en nationell webb- plats som har upprättats för ändamålet. Ansökningar ska löpande be- gäras in genom sådan annonsering.
Upphandlingsdokumenten ska finnas tillgängliga på webbplatsen tillsammans med annonsen.
Förslaget, som innebär att en upphandlande myndighet ersätts av den upphandlande myndigheten, behandlas i avsnitt 13.6.3.
11 §
Den upphandlande myndigheten får begära att sökanden visar att det inte finns någon grund för att utesluta denne med stöd av 10 § första stycket 1, 2 eller 5.
Den upphandlande myndigheten ska som bevis för att det inte finns grund för att utesluta en sökande godta utdrag ur ett officiellt register eller annan likvärdig handling när det gäller ett förhållande som avses i 10 § första stycket 1 eller 2 och intyg från en behörig myn- dighet när det gäller ett förhållande som avses i 10 § första stycket 5.
Om, i fråga om en sökande som inte är medborgare i eller bosatt i Sverige, sådana handlingar eller intyg som avses i andra stycket inte utfär- das i sökandens hemland eller ursprungsland, eller inte omfattar samtliga de fall som avses i 10 § första stycket 1, 2 och 5, får de ersättas med en utsaga som har avgetts på heder och samvete eller av en liknande försäkran. En sådan sökande får också föreläggas att visa att det inte finns grund för att utesluta denne med stöd av 10 § första stycket 3 eller andra stycket.
Om en sökande är registrerad i en officiell förteckning över god- kända tillhandahållare av identitetskontroll i ett land inom Europeiska ekonomiska samarbetsområdet, ska den upphandlande myndigheten ut- gå från att sökanden inte kan uteslutas som leverantör enligt 10 § första stycket
Förslaget innebär att begreppet tjänstetillhandahållare ersätts av tillhandahållare av identitetskontroll. Begreppet tjänst byts ut i lagen mot funktion och denna ändring är således en följdändring.
Förslaget behandlas i avsnitt 13.6.1.
483
Författningskommentar |
SOU 2017:114 |
16 §
En leverantör som gör gällande att den upphandlande myndigheten har brutit mot en bestämmelse i denna lag, får ansöka om rättelse hos allmän förvaltningsdomstol.
Endast den sökande som inte har godkänts får ansöka om rättelse av beslut enligt 12 §.
En ansökan om rättelse ska vara skriftlig.
Förslaget, som innebär att en upphandlande myndighet ersätts av den upphandlande myndigheten behandlas i avsnitt 13.6.3.
19 §
Om den upphandlande myndigheten inte har följt bestämmelserna i denna lag ska myndigheten ersätta sökanden för därigenom uppkom- men skada.
Talan om skadestånd ska väckas vid allmän domstol.
En skadeståndstalan som grundar sig på ett beslut att inte god- känna en sökande ska väckas inom ett år från dagen för beslutet. Väcks inte talan i tid, är rätten till skadestånd förlorad.
Förslaget, som innebär att begreppet en upphandlande myndighet ersätts av den upphandlande myndigheten, behandlas i avsnitt 13.6.3.
22 §
Den myndighet som regeringen bestämmer utövar tillsyn över att denna lag följs.
Tillsynsmyndigheten får inhämta sådana upplysningar som är nöd- vändiga för tillsynen från den upphandlande myndigheten och från den myndighet som avses i 1 § tredje stycket. Upplysningarna ska i första hand inhämtas genom ett skriftligt förfarande. Om det på grund av materialets omfång, brådska eller något annat förhållande är lämp- ligare, får upplysningarna i stället inhämtas genom besök hos den upp- handlande myndigheten eller den myndighet som avses i 1 § tredje stycket.
484
SOU 2017:114 |
Författningskommentar |
Den upphandlande myndigheten och den myndighet som avses i 1 § tredje stycket är skyldig att tillhandahålla de upplysningar som till- synsmyndigheten begär för sin tillsyn.
Förslaget innebär att en upphandlande myndighet ersätts med den upphandlande myndigheten vilket då syftar på digitaliseringsmyndig- heten. Förslaget innebär vidare att tillsynsmyndigheten får inhämta upplysningar från statliga myndigheter, kommuner eller landsting. Digitaliseringsmyndighetens uppdrag att tillhandahålla valfrihetssy- stem behandlas i avsnitt 13.6.3.
23.7Förslag till förordning med mål för de statliga myndigheternas digitaliseringsarbete
Förordningens tillämpningsområde
1 §
Denna förordning gäller för myndigheterna under regeringen.
Förslaget behandlas i avsnitt 7.3.3.
Mål för de statliga myndigheternas digitaliseringsarbete
2 §
Målet för de statliga myndigheternas digitaliseringsarbete är att den statliga förvaltningens användning av digitala medel ska leda till att det blir så enkelt som möjligt för så många som möjligt att utöva sina rättig- heter och fullgöra sina skyldigheter samt ta del av den statliga förvalt- ningens service. De statliga myndigheternas användning av digitala medel ska vara säker samt öka kvaliteten och effektiviteten i den offent- liga förvaltningen som helhet.
Förslaget behandlas i avsnitt 7.3.3.
485
Författningskommentar |
SOU 2017:114 |
Redovisning
3 §
Myndigheterna ska i sin årsredovisning redovisa sina resultat i förhållande till regeringens mål i 2 § i denna förordning för de statliga myndigheternas digitaliseringsarbete. Resultatredovisningen ska lämnas enligt 3 kap. 1 § förordningen (2000:605) om årsredovisning och budgetunderlag.
Förslaget behandlas i avsnitt 7.3.3.
23.8Förslag till förordning om infrastruktur
för elektronisk identifiering och kvalitetsmärket Svensk elektronisk identitetshandling
1 §
Digitaliseringsmyndigheten ska förvalta och utveckla tillitsramverket enligt 3 § lagen om infrastruktur för elektronisk identifiering och kvalitetsmärket Svensk elektronisk identitetshandling.
Förslaget behandlas i avsnitt 14.3.2.
2 §
Digitaliseringsmyndigheten ska förvalta och utveckla de tekniska spe- cifikationerna enligt 5 § lagen om infrastruktur för elektronisk iden- tifiering och kvalitetsmärket Svensk elektronisk identitetshandling.
Förslaget behandlas i avsnitt 14.3.3.
3 §
Digitaliseringsmyndigheten granskar elektroniska identitetshandlingar enligt 8 § lagen om infrastruktur för elektronisk identifiering och kvali- tetsmärket Svensk elektronisk identitetshandling elektroniska identi- tetshandlingar samt godkänner att en elektronisk identitetshandling som
486
SOU 2017:114 |
Författningskommentar |
tillägg till sitt eget namn får använda benämningen Svensk elektronisk identitetshandling.
Förslaget behandlas i avsnitt 14.3.4.
4 §
Digitaliseringsmyndigheten ska förvalta och utveckla registret med utfärdare av elektroniska identitetshandlingar och förlitande aktörer enligt 9 § lagen om infrastruktur för elektronisk identifiering och kva- litetsmärket Svensk elektronisk identitetshandling.
Förslaget behandlas i avsnitt 14.3.5.
5 §
Digitaliseringsmyndigheten ska förvalta och utveckla modellen för dialogruta med valbara elektroniska identitetshandlingar enligt 12 § lagen om infrastruktur för elektronisk identifiering och kvalitetsmär- ket Svensk elektronisk identitetshandling.
Förslaget behandlas i avsnitt 14.3.6.
23.9Förslag till förordning
om infrastruktur för digital post
1 §
Skatteverket ska tillhandahålla en infrastruktur för digital post och vara myndigheten enligt lagen om infrastruktur för digital post.
Förslaget behandlas i avsnitt 21.12.3.
487
Författningskommentar |
SOU 2017:114 |
2 §
Skatteverket får meddela föreskrifter enligt 23 § lagen om infrastruk- tur för digital post.
Förslaget behandlas i avsnitt 21.12.3.
3 §
Som avsändare i infrastrukturen för digital post får enligt 24 § 4 p. lagen om infrastruktur för digital post friskolor, banker, försäkringsföretag, pensionsförvaltare, kreditupplysningsföretag, apotek, bilbesiktningsföretag och bostadsföretag ansluta sig.
Förslaget behandlas i avsnitt 21.12.3.
4 §
De avsändare som ansluts enligt 3 § denna förordning ska ha avtalat om att skicka digital post med leverantörerna av brevlådetjänster för digital post som är anslutna till infrastrukturen.
Förslaget behandlas i avsnitt 21.12.3.
23.10Förslag till förordning om ändring i förordningen (2016:576) med kompletterande bestämmelser till EU:s förordning om elektronisk identifiering
6 §
Digitaliseringsmyndigheten ska vara nodmyndighet enligt 9 § lagen (2016:561) med kompletterande bestämmelser till EU:s förordning om elektronisk identifiering.
Digitaliseringsmyndigheten ska vara kontaktpunkt för Europeiska kommissionen i frågor som rör gränsöverskridande elektronisk identifi- ering.
Förslaget behandlas i avsnitt 17.6.1.
488
SOU 2017:114 |
Författningskommentar |
7 §
Digitaliseringsmyndigheten får meddela föreskrifter om
1.hur aktörer ska ansluta till noden, och
2.rapportering av händelser som påverkat funktionaliteten eller säker- heten i noden.
Förslaget behandlas i avsnitt 17.6.1.
8 §
Digitaliseringsmyndigheten ska ansvara för anmälningar till kommis- sionen av svenska medel för elektronisk identifiering för gränsöver- skridande elektronisk identifiering enligt EU:s förordning om elektro- nisk identifiering.
Förslaget behandlas i avsnitt 18.3.
9 §
Digitaliseringsmyndigheten ska vid större förändringar av det system som den svenska noden omfattar, begära en teknisk säkerhetsgranskning av Försvarets radioanstalt. Granskningsförfarandet får ta max tre måna- der från det att digitaliseringsmyndigheten ansökt om granskning.
Förslaget behandlas i avsnitt 17.6.6.
23.11Förslag till förordning om ändring i förordningen (2003:770) om statliga myndigheters elektroniska informationsutbyte (I)
2 a §
Myndigheter får samverka utanför sina verksamhetsområden i frågor om digitalisering av den offentliga förvaltningen.
Förslaget behandlas i avsnitt 5.1.
489
Författningskommentar |
SOU 2017:114 |
23.12Förslag till förordning om ändring i förordningen (2003:770) om statliga myndigheters elektroniska informationsutbyte (II)
Härigenom föreskrivs att 5 § förordningen (2003:770) om statliga myn- digheters elektroniska informationsutbyte ska upphöra att gälla den 1 juli 2019.
Förslaget behandlas i avsnitt 21.13.
490
Bilaga 1
Kommittédirektiv 2016:39
Effektiv styrning av nationella digitala tjänster i en samverkande förvaltning (N 2016:01)
Beslut vid regeringssammanträde den 19 maj 2016
Sammanfattning
En särskild utredare ska analysera och ge förslag till effektiv styrning av utveckling, införande och förvaltning av nationella digitala tjänster. Utredaren ska, med utgångspunkt i de nationella digitala tjänsterna Mina meddelanden och Svensk
•organisering och ansvarsfördelning för de nationella digitala tjänsterna,
•åtgärder och incitament för att uppnå en ökad användning av de nationella digitala tjänsterna, och
•samverkan mellan offentlig och privat sektor i tillhandahållandet av de nationella digitala tjänsterna.
Vidare ska utredaren analysera och lämna förslag som rör vissa spe- cifika frågor inom ovanstående områden för Svensk
Uppdraget ska, när det gäller följande frågor om Mina meddelan- den, redovisas i ett delbetänkande senast den 15 mars 2017:
491
Bilaga 1 |
SOU 2017:114 |
•hur privata utförare av offentligfinansierad verksamhet ska kunna ansluta som avsändare inom Mina meddelanden,
•hur en övergång för privatpersoner och företag till digital myn- dighetspost kan genomföras i praktiken, och
•förslag till utformning av en ersättningsmodell för de brevlåde- operatörer som tillhandahåller brevlådor inom ramen för Mina meddelanden.
Uppdraget i övrigt ska redovisas senast den 31 oktober 2017.
Samverkan inom gemensamma digitala lösningar
Digitala tjänster ska, så långt det är möjligt och där det är relevant, vara förstahandsval i den offentliga sektorns kontakter med med- borgare, organisationer och företag (prop. 2015/16:1, utg.omr. 22, s. 120). Genom fler innovativa lösningar i offentlig tjänstepro- duktion bör ytterligare effektivitetsvinster kunna göras. Det finns en stor effektiviseringspotential att ta till vara med hjälp av tekni- ken och den ska också bidra till att förstärka förvaltningens öppenhet (prop. 2009/10:175 s. 27).
Digitaliseringskommissionen har konstaterat att digitaliseringen ändrar förutsättningarna för de offentligt finansierade verksamhe- terna genom att den erbjuder stora möjligheter till effektivisering och rationalisering och högre kvalitet för individen i de tjänster som tillhandahålls (SOU 2015:91). Kommissionen har vidare funnit att detta ställer nya krav på den offentliga sektorns kärnverksamhet, på dem som arbetar med människor inom vård, skola och omsorg samt på transparens och interaktion i den service och information som ges. Verksamhetsutveckling i offentlig sektor handlar alltmer om att använda digitaliseringens möjligheter för att möta utvecklingen i om- världen.
492
SOU 2017:114 |
Bilaga 1 |
tionen pekade på att utvecklingen i andra länder i hög grad bygger på gemensamma identifieringslösningar, säker infrastruktur för kom- munikation, registerhantering och lagstiftning kopplad till dessa lös- ningar samt, inte minst, gemensamma sammanhållna kundmöten i livshändelser. Statskontoret delar denna bild och har konstaterat att bristen på samordning bl.a. leder till att medborgare i vissa fall måste vända sig till flera olika aktörer för ett och samma ärende och att offentlig sektor sällan följer upp om enskilda digitala tjänster leve- rerar utlovade effekter i form av medborgarnytta eller effektivisering (Statskontoret, Delegerad digitalisering, 2014:12).
Det finns därför behov av att stödja utveckling och användning av gemensamma digitala lösningar. Gemensamma digitala lösningar kan utgöras av lösningar som används av hela den offentliga sektorn, sektorspecifika lösningar och lösningar som utvecklas i samverkan mellan ett fåtal myndigheter. Med nationella digitala tjänster avses de gemensamma digitala lösningar som är av infrastrukturkaraktär och som utgör en avgörande förutsättning för offentlig
Mina meddelanden är en infrastruktur för att skicka säkra elek- troniska försändelser från myndigheter till enskilda. Skatteverket an- svarar för infrastrukturen, som 2016 finansieras av 14 statliga myn- digheter i frivillig samverkan. Regeringen har satt upp målet att stora och mellanstora myndigheter ska ha anslutit relevanta meddelande- flöden till Mina meddelanden senast 2017. Skatteverket erbjuder inom infrastrukturen för Mina meddelanden även den digitala brev- lådan Min myndighetspost till privatpersoner och företag. Privata brevlådeoperatörer kan ansluta till infrastrukturen om de uppfyller fastställda krav. Privatpersoner väljer vilken brevlåda de vill ha sin myndighetspost till när de anmäler sig till Mina meddelanden.
Svensk
493
Bilaga 1 |
SOU 2017:114 |
ning av tjänster för elektronisk legitimering och underskrift. En sär- skild lag, lagen (2013:311) om valfrihetssystem i fråga om tjänster för elektronisk identifiering, har stiftats för att reglera offentlig sektors försörjning av tjänsterna.
Uppdraget att analysera och ge förslag till effektiv styrning av utveckling, införande och förvaltning av nationella digitala tjänster
Digitaliseringen skapar nya möjligheter för statsförvaltningen att bli mer innovativ och samverkande. Genom att myndigheterna samverkar digitalt kan kontakterna med medborgarna förenklas och innovation och delaktighet stödjas, samtidigt som statsförvaltningens effektivitet och kvaliteten på dess arbete kan höjas (se Med medborgaren i cent- rum – regeringens strategi för en digital samverkande statsförvalt- ning, dnr N2012/06402/ITP).
Digitaliseringskommissionen,
En annan avgörande framgångsfaktor för de nationella digitala tjänsterna är anslutningsgraden. Mina meddelanden innebär, vid hög anslutningsgrad av både avsändare och mottagare, stor nytta för såväl avsändare som mottagare. Möjligheten att ansluta frivilligt har emellertid hittills resulterat i en anslutningsgrad som är så låg att nyttan är starkt begränsad för både avsändare och mottagare, varför åtgärder och incitament för ökad användning måste övervägas. Mot- svarande problembild finns även för Svensk
494
SOU 2017:114 |
Bilaga 1 |
törer, vilket bl.a. resulterat i behov av temporära övergångslösningar för att tillgodose offentlig sektors försörjning av
Både Mina meddelanden och Svensk
Analysera och föreslå organisering, ansvarsfördelning och reglering av nationella digitala tjänster
I dag är ansvaret för enskilda nationella digitala tjänster fördelat mellan olika statliga myndigheter. Samverkan och ansvarsfördelning för de olika tjänsterna har utformats på olika sätt. Det finns därför behov av att analysera om det är mer ändamålsenligt med en enhetlig modell för organisering och ansvarsfördelning avseende tjänsterna, och hur en sådan modell kan utformas, för att säkerställa en mer effektiv styrning av de nationella digitala tjänsterna.
Utredaren ska därför, bl.a. med utgångspunkt i Mina meddelan- den och Svensk
Utredaren ska också ge förslag till hur samverkan om t.ex. krav- ställning eller vidareutveckling av nationella digitala tjänster inom offentlig sektor som helhet bör ske.
Mina meddelanden regleras i dag i 5 § förordningen (2003:770) om statliga myndigheters elektroniska informationsutbyte. Enligt
495
Bilaga 1 |
SOU 2017:114 |
1 § gäller förordningen för myndigheter under regeringen. Sedan
2013 får även kommunala myndigheter anslutas. Stora delar av kommunal verksamhet utförs i privat regi. Privata utförare har dock, med dagens reglering, inte möjlighet att ansluta som avsändare till Mina meddelanden. Utredaren ska därför ta fram förslag, inklusive eventuella författningsförslag, på hur privata utförare av offentlig- finansierad verksamhet ska kunna ansluta som avsändare inom Mina meddelanden så att alla utförare av offentligfinansierad verksamhet har möjlighet att erbjuda offentlig service med hjälp av digitala tjänster på lika villkor.
För Svensk
Analysera och föreslå åtgärder och incitament för ökad användning
Anslutningstakten till befintliga nationella digitala tjänster är för långsam, såväl när det gäller statliga och kommunala myndigheter som slutanvändare i form av privatpersoner och företag. Behov av åtgärder och incitament, exempelvis krav på obligatorisk anslutning eller användning, har förts fram i olika sammanhang, bl.a. i Digitali- seringskommissionens betänkande (SOU 2015:91). Flera nordiska länder har vidtagit åtgärder och genom dessa uppnått en snabbare anslutningstakt och bredare genomslag i samhället för gemensam- ma digitala tjänster i jämförelse med svensk förvaltning.
Utredaren ska därför analysera nytta och konsekvenser av så- dana åtgärder, bl.a. obligatorisk anslutning eller avgiftsfri använd- ning, och föreslå åtgärder för att åstadkomma en ökad användning av nationella digitala tjänster bland myndigheter, leverantörer och slutanvändare. Utredaren ska i sin analys ta hänsyn till de särskilda förutsättningar som råder för olika typer av utförare, som statliga myndigheter, kommuner och landsting samt privata utförare av offentlig verksamhet.
Utredaren ska, bl.a. med beaktande av förslaget i Digitaliserings- kommissionens betänkande (SOU 2015:91) och Skatteverkets för- slag om obligatorisk anslutning till Mina meddelanden för aktiebolag
496
SOU 2017:114 |
Bilaga 1 |
(se Skatteverkets rapport Rapportering av Skatteverkets uppdrag att följa statliga myndigheters anslutning till Mina meddelanden och att verka för företags anslutningar) analysera och lämna förslag till hur en övergång till digital myndighetspost till mottagare kan genom- föras i praktiken.
Offentliga digitala tjänster bör utformas på ett sådant sätt att alla människor, med olika förutsättningar och behov, kan ta del av dem. Det gäller t.ex. nedsättning av syn, hörsel och kognitiva förmågor. En annan viktig målsättning bör vara att utvecklingen av digitala tjänster bidrar till att både kvinnor och män är nöjda med och nyttjar tjänsterna i likvärdig utsträckning. Utredaren ska därför ta hänsyn till dessa målsättningar vid utformningen av förslagen.
Analysera och föreslå utformning av samverkan mellan offentlig och privat sektor
Privat sektors medverkan i utveckling och leverans av digitala tjäns- ter är en nyckelfaktor för tillväxt och innovation samt för att till- varata teknikens möjligheter. Ett positivt samspel mellan offentlig och privat sektor kan starkt bidra till förnyelse i offentlig verksamhet och samtidigt leda till innovation och internationell konkurrenskraft i näringslivet.
När det gäller
497
Bilaga 1 |
SOU 2017:114 |
•lämna förslag på långsiktig utformning av det offentliga åtagandet när det gäller ansvarsfördelningen mellan offentlig och privat sek- tor i processen för grundidentifiering och utfärdande av
•analysera och lämna förslag på hur konkurrens och innovation på den privata marknaden för utfärdande av
•analysera och lämna förslag på åtgärder, för såväl företag på den privata marknaden som privata utförare av offentligt finansierad verksamhet, som främjar och stöder privat sektors användning av
Inom Mina meddelanden finns möjlighet för privata brevlådeopera- törer att ansluta till infrastrukturen och erbjuda sina mottagare att ta emot myndighetspost digitalt. De privata brevlådeoperatörerna får dock endast tillhandahålla brevlådor till privatpersoner. Samtidigt erbjuder Skatteverket brevlådan Min myndighetpost till både privat- personer och företag. Brevlådeoperatörer måste uppfylla de villkor och säkerhetskrav som gäller för Mina meddelanden. Kraven medför kostnader för brevlådeoperatörerna samtidigt som de i dagsläget inte får någon ersättning för sin medverkan inom infrastrukturen. Som exempel kan nämnas kostnader till följd av kravet på inloggning med
Utredaren ska även analysera om det finns generella principer som kan tillämpas för utformningen av ansvarsfördelning och sam- verkan mellan offentlig och privat sektor när det gäller att tillhanda-
498
SOU 2017:114 |
Bilaga 1 |
hålla nationella digitala tjänster. Frågor att analysera inom ramen för denna del av uppdraget är t.ex.:
•vikten av medverkan från privata leverantörer av digitala tjänster för att möta förvaltningens behov över tid av bl.a. innovation och teknikutveckling,
•konkurrens och statsstöd, och
•hur kontroll och uppföljning kan ske och om civilrättslig avtals- reglering är tillräcklig och lämplig.
Hantering av vissa centrala frågeställningar vid tillämpningen av
Svenska myndigheter har från och med den 29 september 2018 en skyldighet att erkänna anmälda
Det återstår dock ett antal mer komplexa frågor att utreda, bl.a. när det gäller de konsekvenser som förordningen för med sig ur ett svenskt perspektiv i fråga om erkännande av europeiska
499
Bilaga 1 |
SOU 2017:114 |
för den svenska modellen med privata utfärdare av
Utredaren ska därför utreda rättsliga, ekonomiska och verksam- hetsmässiga konsekvenser för svenska myndigheter av skyldigheten att erkänna anmälda europeiska
•hur processen för tilldelning av samordningsnummer till utländs- ka medborgare på distans genom
•hur personuppgiftsansvaret bör fördelas mellan parterna, person- uppgiftsansvarets omfattning samt frågor kring lämpliga person- dataskyddande åtgärder och säkerställande av den personliga integriteten i kedjan av hantering av utländska personidentifier- ingsuppgifter,
•hur
Utredaren ska även utreda behoven av och förutsättningarna för an- mälan av svenska
500
SOU 2017:114 |
Bilaga 1 |
med olika alternativ avseende omfattningen av ett sådant åtagande, särskilt i förhållande till den privata marknadens möjlighet och förut- sättningar att tillgodose identifierade behov. Utredaren ska även analysera ekonomiska och rättsliga risker för offentlig sektor samt processuella frågor vid anmälan och efterföljande användning av en anmäld svensk
•hur privata utfärdare av
•om svenska personnummer och samordningsnummer bör överfö- ras vid användning av en svensk
Utredaren ska även översiktligt kartlägga vilka svenska tjänster som kan komma att omfattas av
Konsekvensbeskrivningar
Utredaren ska utifrån de förslag som lämnas redovisa de konsekven- ser och kostnader som uppstår för staten, för övrig offentlig sektor, för företag och för enskilda. Om förslagen påverkar kostnaderna eller intäkterna för staten, ska en beräkning redovisas. Om förslagen innebär samhällsekonomiska konsekvenser i övrigt, ska dessa redo- visas. När det gäller ökade kostnader och minskade intäkter för staten ska utredaren föreslå en finansiering av dessa. Om något av förslagen påverkar det kommunala självstyret ska, utöver dess konsekvenser, också de överväganden som lett fram till förslagen redovisas.
Utredaren ska i redovisningen även behandla konsekvenser för användbarhet och tillgänglighet samt integritet och säkerhet.
501
Bilaga 1 |
SOU 2017:114 |
Samråd och redovisning av uppdraget
Utredaren ska samråda med
Utredaren ska även ta hänsyn till pågående digitaliseringsarbe- ten inom olika sektorer och ta in erfarenheter från andra nationella digitala tjänster.
Uppdraget ska, när det gäller följande frågor om Mina medde- landen, redovisas i ett delbetänkande senast den 15 mars 2017:
•hur privata utförare av offentligfinansierad verksamhet ska kunna ansluta som avsändare inom Mina meddelanden,
•hur en övergång för privatpersoner och företag till digital myn- dighetspost kan genomföras i praktiken och
•förslag till utformning av en ersättningsmodell för de brevlåde- operatörer som tillhandahåller brevlådor inom ramen för Mina meddelanden.
Uppdraget i övrigt ska redovisas senast den 31 oktober 2017.
(Näringsdepartementet)
502
Bilaga 2
Kommittédirektiv 2016:97
Tilläggsdirektiv till Utredningen om effektiv styrning av nationella digitala tjänster i en samverkande förvaltning (N 2016:01)
Beslut vid regeringssammanträde den 24 november 2016
Utvidgning av och förlängd tid för uppdraget
Regeringen beslutade den 19 maj 2016 att ge en särskild utredare i uppdrag att analysera och lämna förslag till effektiv styrning av utveckling, införande och förvaltning av nationella digitala tjänster (dir. 2016:39).
Utredaren ges nu i uppdrag att analysera hur digitaliseringen i den offentliga sektorn kan stärkas genom att, inom ramen för den befintliga myndighetsstrukturen, samla ansvaret för dessa frågor till en myndighet. Utredaren ska med utgångspunkt i analysen lämna förslag till nödvändiga författningsändringar och övriga åtgärder som krävs för att en myndighet så snart som möjligt ska kunna ges den aktuella uppgiften. Uppdraget ska i denna del redovisas senast den 15 mars 2017.
Utredaren ges vidare i uppdrag att lämna förslag till en reglering som innebär en skyldighet för lämpliga statliga och kommunala myn- digheter att ansluta sig till tjänsten Mina meddelanden.
Utredningstiden förlängs. Uppdraget ska, med undantag för de deluppdrag som ska redovisas senast den 15 mars 2017, i stället slut- redovisas senast den 31 december samma år.
503
Bilaga 2 |
SOU 2017:114 |
Ett samlat ansvar för digitaliseringen i den offentliga sektorn
Styrningen av digitaliseringen i den offentliga sektorn är komplex, då den omfattar fristående statliga myndigheter samt kommuner och landsting. Regeringen har hittills styrt utvecklingen genom att dele- gera ansvaret till kommittéer, råd och de enskilda statliga myndig- heterna. Riksrevisionen har i sin granskningsrapport Den offentliga förvaltningens digitalisering – En enklare, öppnare och effektivare för- valtning? bl.a. konstaterat att detta till viss del har varit ändamålsenligt, men också lett till att utvecklingen på området inte har hanterats på ett kostnadseffektivt sätt (RiR 2016:14).
För att stärka styrningen av samarbetet och samverkan över myn- dighetsgränserna på det aktuella området har regeringen i budget- propositionen för 2017 anfört att den överväger att utse en aktör med ett samlat ansvar för digitaliseringen i den offentliga sektorn (prop. 2016/17:1 utg.omr. 22 avsnitt 4.5.1).
Genom att samla ansvaret i en myndighet kan styrningen av digi- taliseringen i den offentliga sektorn effektiviseras, samtidigt som för- utsättningarna för en medborgarcentrerad, innovativ och effektiv verksamhetsutveckling förbättras.
Utredaren ges mot denna bakgrund i uppdrag att
•analysera hur digitaliseringen i den offentliga sektorn kan stärkas genom att, inom ramen för den befintliga myndighetsstrukturen, samla ansvaret för dessa frågor till en myndighet,
•redovisa för- och nackdelar med ett samlat ansvar samt överväga och redogöra för när ansvaret som tidigast kan överföras,
•utifrån ovanstående analys lämna förslag till myndighetens nya uppgift och befogenheter, och i samband med detta överväga om det finns anledning att ändra myndighetens ledningsform,
•lämna förslag till finansiering av den nya verksamheten, och
•lämna förslag till nödvändiga författningsändringar och övriga åt- gärder som krävs för att myndigheten så snart som möjligt ska kunna ges den aktuella uppgiften.
504
SOU 2017:114 |
Bilaga 2 |
Anslutningen till tjänsten Mina meddelanden
Anslutningen till den nationella digitala tjänsten Mina meddelan- den är enligt regeringen för låg för att tjänsten ska vara effektiv (prop. 2016/17:1 utg.omr. 22 avsnitt 4.4.2). Enligt de ursprungliga direktiven ska utredaren lämna förslag till utformning av åtgärder och incitament för att uppnå en ökad användning av de nationella digitala tjänsterna bland myndigheter, leverantörer och slutanvän- dare, dvs. alla befintliga aktörer inom Mina meddelanden. Utreda- ren ska också lämna förslag till hur en övergång till digital myndig- hetspost ska ske för privatpersoner och företag. Införandet av en skyldighet för kommuner och landsting att ansluta sig till Mina meddelanden skulle dock innebära ett nytt åtagande för dem, vilket kräver stöd i lag.
Utredaren ges mot denna bakgrund i uppdrag att
•lämna förslag till en reglering som innebär en skyldighet för lämpliga statliga och kommunala myndigheter att ansluta sig till tjänsten,
•göra urvalet av myndigheter utifrån en helhetsbedömning av bl.a. omfattningen av myndigheternas kontakter med privatpersoner och företag, och
•i sin analys av urvalet ta hänsyn till de olika förutsättningar som gäller för statliga myndigheter, kommuner och landsting samt beakta och redovisa sina överväganden med anledning av regler- ingen i 14 kap. 3 § regeringsformen om inskränkningar i den kommunala självstyrelsen.
Samråd och redovisning av uppdraget
Den del av uppdraget som avser att samla ansvaret för digitali- seringen i den offentliga sektorn ska redovisas senast den 15 mars 2017.
Utredningstiden förlängs. Uppdraget ska, med undantag för de deluppdrag som ska redovisas senast den 15 mars 2017, i stället slut- redovisas senast den 31 december samma år.
(Finansdepartementet)
505
|
|
|
|
Bilaga 3 |
28.8.2014 |
|
|
Europeiska unionens officiella tidning |
L 257/73 |
|
SV |
|||
|
|
|
|
|
EUROPAPARLAMENTETS OCH RÅDETS FÖRORDNING (EU) nr 910/2014 av den 23 juli 2014
om elektronisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden och om upphävande av direktiv 1999/93/EG
EUROPAPARLAMENTET OCH EUROPEISKA UNIONENS RÅD HAR ANTAGIT DENNA FÖRORDNING
med beaktande av fördraget om Europeiska unionens funktionssätt, särskilt artikel 114,
med beaktande av Europeiska kommissionens förslag,
efter översändande av utkastet till lagstiftningsakt till de nationella parlamenten,
med beaktande av Europeiska ekonomiska och sociala kommitténs yttrande (1),
i enlighet med det ordinarie lagstiftningsförfarandet (2), och
av följande skäl:
(1)Att bygga upp förtroendet för nätmiljön är avgörande för den ekonomiska och sociala utvecklingen. Bristande förtroende, särskilt på grund av upplevd brist på rättssäkerhet, gör att konsumenter, företag och offentliga myndigheter tvekar att utföra transaktioner på elektronisk väg och att använda nya tjänster.
(2)Syftet med denna förordning är att öka förtroendet för elektroniska transaktioner på den inre marknaden genom att tillhandahålla en gemensam grund för ett säkert elektroniskt samspel mellan medborgare, företag och offentliga myndigheter, och därigenom öka effektiviteten hos offentliga och privata nättjänster, elektronisk affärsverksamhet och
(3)Europaparlamentet och rådets direktiv 1999/93/EG (3) gällde elektroniska underskrifter utan att skapa ett heltäc kande, gräns- och sektorsöverskridande regelverk för säkra, pålitliga och lättanvända elektroniska transaktioner. Genom denna förordning stärks och utvidgas det direktivets regelverk.
(4)I kommissionens meddelande av den 26 augusti 2010 med titeln En digital agenda för Europa utpekades fragmen teringen av den digitala marknaden, bristen på interoperabilitet och den ökande
Att undanröja hindren för
(5)I sina slutsatser av den 4 februari 2011 och den 23 oktober 2011 uppmanade Europeiska rådet kommissionen att se till att en digital inre marknad skapas senast 2015, att göra snabba framsteg på centrala områden inom den digitala ekonomin och att främja en fullständigt integrerad digital inre marknad genom att underlätta gränsöver skridande användning av nättjänster, med särskild fokus på att underlätta säker elektronisk identifiering och autentisering.
(1) EUT C 351, 15.11.2012, s. 73.
(2) Europaparlamentets ståndpunkt av den 3 april 2014 (ännu ej offentliggjord i EUT) och rådets beslut av den 23 juli 2014.
(3) Europaparlamentets och rådets direktiv 1999/93/EG av den 13 december 1999 om ett gemenskapsramverk för elektroniska sig naturer (EGT L 13, 19.1.2000, s. 12).
507
Bilaga 3 |
SOU 2017:114 |
L 257/74 |
SV |
Europeiska unionens officiella tidning |
28.8.2014 |
|
|
|
|
|
|
(6)I sina slutsatser av den 27 maj 2011 uppmanade rådet kommissionen att bidra till den digitala marknaden genom att skapa lämpliga förhållanden för ömsesidigt gränsöverskridande erkännande av grundläggande funktioner såsom elektronisk identifiering, elektroniska dokument, elektroniska underskrifter och elektroniska leveranstjänster samt för interoperabla
(7)Europaparlamentet betonade, i sin resolution av den 21 september 2010 om fullbordandet av den inre marknaden för
(8)Enligt Europaparlamentets och rådets direktiv 2006/123/EG (2) ska medlemsstaterna inrätta ”gemensamma kon taktpunkter” för att se till att alla förfaranden och formaliteter som är nödvändiga för tillträde till en tjänsteverk samhet och för att utöva den kan fullgöras enkelt, på distans och på elektronisk väg, via den lämpliga gemen samma kontaktpunkten och med behöriga myndigheter. Många nättjänster som är tillgängliga via gemensamma kontaktpunkter kräver elektronisk identifiering, autentisering och underskrift.
(9)I de flesta fall kan medborgare inte använda sin elektroniska identifiering för att autentisera sig i en annan medlemsstat därför att de nationella systemen för elektronisk identifiering i deras land inte är erkända i andra medlemsstater. Detta elektroniska hinder utestänger tillhandahållare av tjänster från möjligheten att fullt ut utnyttja fördelarna med den inre marknaden. Ömsesidigt erkända medel för elektronisk identifiering kommer att underlätta tillhandahållandet av en rad olika tjänster över gränserna på den inre marknaden och ge företagen möjlighet att verka över gränserna utan att stöta på en mängd hinder i sina kontakter med myndigheter.
(10)Genom Europaparlamentets och rådets direktiv 2011/24/EU (3) inrättades ett nätverk av nationella myndigheter som är ansvariga för
(11)Denna förordning bör tillämpas i full överensstämmelse med de principer om skydd av personuppgifter som föreskrivs i Europaparlamentets och rådets direktiv 95/46/EG (4). Vad gäller principen om ömsesidigt erkännande som fastställs genom denna förordning bör autentisering för en nättjänst endast avse behandling av den identi fieringsinformation som är adekvat, relevant och som inte går utöver vad som är nödvändigt för att få tillgång till den aktuella nättjänsten. Därtill bör kraven i direktiv 95/46/EG om sekretess och säkerhet vid behandling följas av tillhandahållaren av betrodda tjänster och tillsynsorgan.
(12)Ett av målen för denna förordning är att undanröja befintliga hinder för den gränsöverskridande användningen av medel för elektronisk identifiering som används i medlemsstaterna för autentisering för åtminstone offentliga tjänster. Denna förordning syftar inte till att ingripa i fråga om elektroniska identitetshanteringssystem och till hörande infrastrukturer som inrättats i medlemsstaterna. Syftet med denna förordning är att se till att säker elektronisk identifiering och autentisering för åtkomst till gränsöverskridande nättjänster som erbjuds av medlems staterna är möjlig.
(1) EUT C 50 E, 21.2.2012, s. 1.
(2) Europaparlamentets och rådets direktiv 2006/123/EG av den 12 december 2006 om tjänster på den inre marknaden (EUT L 376, 27.12.2006, s. 36).
(3) Europaparlamentets och rådets direktiv 2011/24/EU av den 9 mars 2011 om tillämpningen av patienträttigheter vid gränsöver skridande hälso- och sjukvård (EUT L 88, 4.4.2011, s. 45).
(4) Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (EGT L 281, 23.11.1995, s. 31).
508
SOU 2017:114 |
Bilaga 3 |
28.8.2014 |
|
SV |
Europeiska unionens officiella tidning |
L 257/75 |
|
|
|
|
|
(13)Medlemsstaterna bör även fortsättningsvis ha rätt att för elektronisk identifiering använda eller införa medel för åtkomst till nättjänster. De bör även ha möjlighet att själva bestämma om de vill engagera den privata sektorn i tillhandahållandet av dessa medel. Medlemsstaterna bör inte vara skyldiga att anmäla sina system för elektronisk identifiering till kommissionen. Det ankommer på medlemsstaterna att välja om de till kommissionen vill anmäla alla, några eller inga av de elektroniska identifieringssystem som används på nationell nivå för att få åtkomst till åtminstone offentliga nättjänster eller särskilda nättjänster.
(14)I förordningen bör vissa villkor fastställas rörande vilka medel för elektronisk identifiering som måste erkännas och hur systemen för elektronisk identifiering bör anmälas. Dessa villkor bör hjälpa medlemsstaterna att bygga upp det förtroende som krävs för varandras system för elektronisk identifiering samt att ömsesidigt erkänna medel för elektronisk identifiering som ingår i deras anmälda system. Principen om ömsesidigt erkännande bör gälla om den anmälande medlemsstatens system för elektronisk identifiering uppfyller villkoren för anmälan och om anmälan har offentliggjorts i Europeiska unionens officiella tidning. Principen om ömsesidigt erkännande bör dock endast avse autentisering för en nättjänst. Åtkomsten till dessa nättjänster och deras slutliga leverans till den sökande bör vara nära kopplad till rätten att ta emot sådana tjänster enligt villkoren i nationell lagstiftning.
(15)Skyldigheten att erkänna medel för elektronisk identifiering bör enbart avse medel vars identifieringstillitsnivå motsvarar en nivå som är lika hög eller högre än den nivå som krävs för den aktuella nättjänsten. Den skyldig heten bör dessutom endast tillämpas när det offentliga organet i fråga använder tillitsnivån väsentlig eller hög i samband med åtkomst till den nättjänsten. Medlemsstaterna bör ha rätt att, i enlighet med unionsrätten, erkänna medel för elektronisk identifiering med lägre identifieringstillitsnivåer.
(16)Tillitsnivåerna bör återge graden av tillit till ett medel för elektronisk identifiering vid fastställande av en persons identitet och skapa visshet om att den person som gör anspråk på en viss identitet faktiskt är den person som har tilldelats denna identitet. Tillitsnivån beror på den grad av tillit detta medel för elektronisk identifiering ger i fråga om en persons påstådda eller styrkta identitet med beaktande av olika processer (t.ex. styrkande och kontroll av identitet, och autentisering), förvaltningsverksamhet (t.ex. den enhet som utfärdar medel för elektronisk identifie ring och förfaranden för att utfärda sådana medel) och de tekniska kontroller som tillämpas. Det finns olika tekniska definitioner och beskrivningar av tillitsnivåer tack vare unionsfinansierade storskaliga pilotprojekt, stan dardiseringsarbete och internationell verksamhet. Det storskaliga pilotprojektet Stork och ISO 29115 avser, bland annat, nivåerna 2, 3 och 4, som bör tas under noggrant övervägande vid fastställandet av minsta tekniska krav, standarder och förfaranden för tillitsnivåerna låg, väsentlig och hög enligt denna förordning, samtidigt som en konsekvent tillämpning av denna förordning säkerställs med särskilt hänseende på tillitsnivån hög i samband med styrkande av identitet för utfärdande av kvalificerade certifikat. De fastställda kraven ska vara teknikneutrala. Det ska vara möjligt att uppnå de nödvändiga tekniska kraven med hjälp av olika tekniklösningar.
(17)Medlemsstaterna bör uppmana den privata sektorn att frivilligt använda medel för elektronisk identifiering inom ramen för ett anmält system för identifieringsändamål när detta behövs för nättjänster eller elektroniska trans aktioner. Genom möjligheten att använda sådana medel för elektronisk identifiering kan den privata sektorn förlita sig på elektronisk identifiering och autentisering som redan i stor utsträckning används i många medlemsstater för åtminstone offentliga tjänster, samtidigt som det blir lättare för företag och medborgare att få åtkomst till sina gränsöverskridande nättjänster. För att göra det lättare för den privata sektorn att använda sådana gränsöver skridande medel för elektronisk identifiering bör den autentiseringsmöjlighet som tillhandahålls av en medlemsstat vara tillgänglig för de förlitande parter i den privata sektorn som är etablerade utanför denna medlemsstats territorium på samma villkor som för de förlitande parter i den privata sektorn som är etablerade i denna medlemsstat. Med hänsyn till förlitande parter i den privata sektorn får den anmälande medlemsstaten fastställa villkor för åtkomst till medlen för autentisering. Sådana villkor för åtkomst kan innehålla uppgift om huruvida medlen för autentisering för det anmälda systemet för närvarande är tillgängliga för förlitande parter i den privata sektorn.
(18)I denna förordning bör det föreskrivas skadeståndsansvar för den anmälande medlemsstaten, den part som utfärdar medlet för elektronisk identifiering och den part som handhar autentiseringsförfarandet vid underlåtenhet att uppfylla relevanta skyldigheter enligt denna förordning. Denna förordning bör dock tillämpas i enlighet med nationella bestämmelser om skadeståndsansvar. Den ska därför inte påverka tillämpningen av dessa nationella bestämmelser om t.ex. definition av skada eller relevanta tillämpliga förfaranderegler, inbegripet regler om bevis börda.
509
Bilaga 3 |
SOU 2017:114 |
L 257/76 |
SV |
Europeiska unionens officiella tidning |
28.8.2014 |
|
|
|
|
|
|
(19)Säkerheten i system för elektronisk identifiering är avgörande för ett tillförlitligt gränsöverskridande ömsesidigt erkännande av medel för elektronisk identifiering. Mot denna bakgrund bör medlemsstaterna samarbeta med avseende på säkerheten och interoperabiliteten i systemen för elektronisk identifiering på unionsnivå. När system för elektronisk identifiering kräver att förlitande parter på nationell nivå använder särskild maskinvara eller pro gramvara förutsätter den gränsöverskridande interoperabiliteten att dessa medlemsstater inte inför sådana krav och därtill hörande kostnader för förlitande parter som är etablerade utanför deras territorium. I så fall bör lämpliga lösningar diskuteras och utvecklas inom interoperabilitetsramverkets räckvidd. Tekniska krav som har sin grund i de inneboende specifikationerna för nationella medel för elektronisk identifiering som sannolikt berör innehavarna av sådana elektroniska medel (t.ex. smartkort) är däremot oundvikliga.
(20)Medlemsstaternas samarbete bör underlätta den tekniska interoperabiliteten för de anmälda systemen för elek tronisk identifiering i syfte att främja en hög nivå av förtroende och en säkerhetsnivå som är anpassad till risknivån. Ett utbyte av information och bästa praxis mellan medlemsstaterna med sikte på ömsesidigt erkännande bör bidra till detta samarbete.
(21)Genom denna förordning bör även ett allmänt regelverk för användningen av betrodda tjänster upprättas. Någon allmän skyldighet att använda dem eller att installera en accesspunkt för alla befintliga betrodda tjänster bör dock inte skapas. I synnerhet bör den inte gälla tillhandahållande av tjänster som endast används inom slutna system mellan en avgränsad uppsättning deltagare, och som inte påverkar tredje man. Exempelvis system som inrättats i företag eller offentlig förvaltning för hantering av interna förfaranden där betrodda tjänster används bör inte omfattas av kraven i denna förordning. Endast betrodda tjänster som tillhandahålls för allmänheten och som påverkar tredje man bör uppfylla de krav som fastställs i denna förordning. Denna förordning bör inte heller gälla frågor som avser ingående eller giltighet av avtal eller andra rättsliga förpliktelser om nationell rätt eller unions rätten föreskriver vissa formkrav. Den bör inte heller inverka på nationella formkrav avseende offentliga register, i synnerhet inte kommersiella register eller fastighetsregister.
(22)För att bidra till deras allmänna gränsöverskridande användning bör det vara möjligt att använda betrodda tjänster som bevis vid rättsliga förfaranden i alla medlemsstater. Rättsverkan av betrodda tjänster ska definieras i nationell rätt, om inte annat föreskrivs i denna förordning.
(23)I den mån denna förordning medför en skyldighet att erkänna en betrodd tjänst, får en sådan betrodd tjänst ogillas endast om skyldighetens adressat av tekniska skäl bortom adressatens direkta kontroll är oförmögen att läsa eller kontrollera den. Denna skyldighet bör dock inte i sig medföra att ett offentligt organ är tvunget att anskaffa den maskinvara och programvara som krävs för teknisk läsbarhet för alla befintliga betrodda tjänster.
(24)Medlemsstaterna får behålla eller införa nationella bestämmelser, i överensstämmelse med unionsrätten, avseende betrodda tjänster så länge dessa tjänster inte har harmoniserats fullständigt genom denna förordning. Betrodda tjänster som överensstämmer med denna förordning bör dock omfattas av fri rörlighet på den inre marknaden.
(25)Utöver de tjänster som ingår i den fasta förteckning över betrodda tjänster som avses i denna förordning bör medlemsstaterna ha frihet att fastställa andra typer av betrodda tjänster för erkännande på nationell nivå som kvalificerade betrodda tjänster.
(26)På grund av den snabba tekniska utvecklingen bör denna förordning omfatta en strategi som är öppen för innovation.
(27)Denna förordning bör vara teknikneutral. Den rättsliga verkan som den medför bör vara möjlig att uppnå med alla typer av tekniska medel, förutsatt att kraven i denna förordning är uppfyllda.
510
SOU 2017:114 |
|
|
Bilaga 3 |
|||
28.8.2014 |
|
|
|
Europeiska unionens officiella tidning |
L 257/77 |
|
|
|
SV |
||||
|
|
|
|
|
|
|
(28)För att framför allt öka små och medelstora företags samt konsumenternas förtroende för den inre marknaden och för att främja användningen av betrodda tjänster och produkter, bör begreppen kvalificerade betrodda tjänster och kvalificerad tillhandahållare av betrodda tjänster införas i syfte att ange krav och skyldigheter som säkerställer hög grad av säkerhet oavsett vilken typ av kvalificerad betrodd tjänst eller produkt som används eller tillhandahålls.
(29)I linje med de skyldigheter som följer av Förenta nationernas konvention om rättigheter för personer med funktionsnedsättning, som godkändes genom rådets beslut 2010/48/EG (1), särskilt artikel 9 i konventionen, bör personer med funktionshinder kunna använda betrodda tjänster och slutanvändarprodukter som används vid tillhandahållandet av dessa tjänster på samma villkor som andra konsumenter. När det är genomförbart bör därför betrodda tjänster som tillhandahålls och slutanvändarprodukter som används i samband med tillhandahållandet av dessa tjänster göras tillgängliga för personer med funktionsnedsättning. Genomförbarhetsbedömningen bör in begripa tekniska och ekonomiska överväganden.
(30)Medlemsstaterna bör utse ett eller flera tillsynsorgan för genomförandet av tillsynsverksamheten enligt denna förordning. Medlemsstaterna bör också kunna fatta beslut, efter ömsesidig överenskommelse med en annan medlemsstat, om att utse ett tillsynsorgan på den andra medlemsstatens territorium.
(31)Tillsynsorgan bör samarbeta med dataskyddsmyndigheter, t.ex. genom att informera dem om resultatet av gransk ningar av kvalificerade tillhandahållare av betrodda tjänster, när det förefaller ha skett en överträdelse av reglerna om skydd för personuppgifter. Bestämmelsen om information bör särskilt gälla säkerhetstillbud och personupp giftsöverträdelser.
(32)För att öka användarnas förtroende för den inre marknaden bör det åligga alla tillhandahållare av betrodda tjänster att tillämpa goda säkerhetsförfaranden som är lämpliga i förhållande till de risker som deras verksamhet är förenad med.
(33)Bestämmelser om användningen av pseudonymer i certifikat bör inte hindra medlemsstaterna från att kräva identifiering av personer i enlighet med unionsrätten eller nationell rätt.
(34)För att säkerställa en jämförbar säkerhetsnivå i fråga om kvalificerade betrodda tjänster bör alla medlemsstater följa gemensamma grundläggande tillsynskrav. För att underlätta enhetlig tillämpning av dessa krav i hela unionen bör medlemsstaterna införa jämförbara förfaranden och utbyta information om sin tillsynsverksamhet och bästa praxis på området.
(35)Alla tillhandahållare av betrodda tjänster bör omfattas av kraven i denna förordning, särskilt de som gäller säkerhet och skadeståndsansvar, för att säkerställa vederbörlig noggrannhet, insyn och ansvarighet i sina verksamheter och tjänster. Med tanke på den typ av tjänster som de tillhandahåller bör det emellertid med avseende på dessa krav göras åtskillnad mellan kvalificerade och icke kvalificerade tillhandahållare av betrodda tjänster.
(36)Inrättandet av ett tillsynssystem för alla tillhandahållare av betrodda tjänster bör säkerställa lika villkor för säker heten och tillförlitligheten i deras åtgärder och tjänster, och därigenom bidra till användarskyddet och till en fungerande inre marknad.
(1) Rådets beslut 2010/48/EG av den 26 november 2009 om ingående från Europeiska gemenskapens sida av Förenta nationernas konvention om rättigheter för personer med funktionsnedsättning (EUT L 23, 27.1.2010, s. 35).
511
Bilaga 3 |
|
|
SOU 2017:114 |
||
|
L 257/78 |
|
Europeiska unionens officiella tidning |
28.8.2014 |
|
|
SV |
||||
|
|
|
|
|
|
(37)Denna förordning bör föreskriva skadeståndsansvar för alla tillhandahållare av betrodda tjänster. Den fastställer särskilt det system för skadeståndsansvar enligt vilket alla tillhandahållare av betrodda tjänster bör ha skadestånds ansvar för skada som åsamkats en fysisk eller juridisk person genom underlåtenhet att uppfylla kraven i denna förordning. För att underlätta bedömningen av den ekonomiska risk som tillhandahållare av betrodda tjänster kan vara tvungna att bära eller som de bör täcka genom försäkring, tillåts tillhandahållare av betrodda tjänster genom denna förordning att på vissa villkor fastställa begränsningar för användningen av de tjänster de tillhandahåller, varvid de inte ska hållas ansvariga för skada som uppkommit genom sådan användning av tjänster som överskrider dessa begränsningar. Kunder bör vederbörligen informeras i förväg om begränsningarna. Sådana begränsningar bör vara igenkännliga för tredje man, t.ex. genom att information om begränsningarna bifogas villkoren för den tillhandahållna tjänsten eller genom andra igenkännliga medel. För att dessa principer ska kunna genomföras bör denna förordning tillämpas i enlighet med nationella bestämmelser om skadeståndsansvar. Denna förordning påverkar därför inte dessa nationella bestämmelser om t.ex. definitionen av skada, avsikt, oaktsamhet eller relevanta tillämpliga procedurregler.
(38)Det är mycket viktigt att säkerhetsincidenter och bedömningar av säkerhetsrisker anmäls så att berörda parter kan förses med tillräcklig information i händelse av en säkerhetsincident eller en integritetsförlust.
(39)För att kommissionen och medlemsstaterna ska kunna bedöma hur effektiv den mekanism för anmälan av överträdelser som införs genom denna förordning är, bör tillsynsorganen vara skyldiga att överlämna samman fattande information till kommissionen och till Europeiska byrån för nät- och informationssäkerhet (Enisa).
(40)För att kommissionen och medlemsstaterna ska kunna bedöma hur effektiv den förstärkta tillsynsmekanism som införs genom denna förordning är, bör tillsynsorganen vara skyldiga att rapportera om sin verksamhet. Detta skulle kraftigt bidra till att underlätta utbytet av god praxis mellan tillsynsorganen och säkerställa kontrollen av att väsentliga tillsynskrav genomförs på ett enhetligt och verkningsfullt sätt i alla medlemsstater.
(41)För att säkerställa att kvalificerade betrodda tjänster är hållbara och varaktiga samt för att öka användarnas förtroende för kontinuiteten i dessa tjänster, bör tillsynsorganen kontrollera befintlighet och korrekt tillämpning av bestämmelser om planer för verksamhetens upphörande när kvalificerade tillhandahållare av betrodda tjänster upphör med sin verksamhet.
(42)För att underlätta tillsynen av kvalificerade tillhandahållare av betrodda tjänster, t.ex. när en sådan tillhandahåller sina tjänster i en annan medlemsstat och inte omfattas av tillsyn där, eller när en tillhandahållares datorer är placerade i en annan medlemsstat än den där tillhandahållaren är etablerad, bör ett system för ömsesidigt bistånd mellan medlemsstaternas tillsynsorgan inrättas.
(43)För att säkerställa att kvalificerade tillhandahållare av betrodda tjänster och de tjänster de tillhandahåller uppfyller de krav som fastställs i denna förordning bör en bedömning av överensstämmelse utföras av organ för bedömning av överensstämmelse, och de rapporter om överensstämmelsebedömning dessa resulterar i bör av den kvalificerade tillhandahållaren av betrodda tjänster lämnas in till tillsynsorganet. Om tillsynsorganet begär att en kvalificerad tillhandahållare av betrodda tjänster ska lämna in en särskild rapport om överensstämmelsebedömning, bör till synsorganet särskilt respektera principen om god förvaltning, inbegripet skyldigheten att motivera beslut, samt proportionalitetsprincipen. Tillsynsorganet bör därför vederbörligen motivera sitt beslut om krav på särskild över ensstämmelsebedömning.
(44)Målet med denna förordning är att säkerställa ett konsekvent ramverk i syfte att tillhandahålla en hög nivå av säkerhet och rättssäkerhet för betrodda tjänster. I detta avseende bör kommissionen när den behandlar bedömning av överensstämmelse av produkter och tjänster i tillämpliga fall söka synergier med befintliga relevanta europeiska och internationella system så som Europaparlamentets och rådets förordning (EG) nr 765/2008 (1) om krav för ackreditering av organ för bedömning av överensstämmelse och marknadskontroll av produkter.
(1) Europaparlamentets och rådets förordning (EG) nr 765/2008 av den 9 juli 2008 om krav för ackreditering och marknadskontroll i samband med saluföring av produkter och upphävande av förordning (EEG) nr 339/93 (EUT L 218, 13.8.2008, s. 30).
512
SOU 2017:114 |
|
|
Bilaga 3 |
|||
28.8.2014 |
|
|
|
Europeiska unionens officiella tidning |
L 257/79 |
|
|
|
SV |
||||
|
|
|
|
|
|
|
(45)För att få till stånd en effektiv initieringsprocess, som bör leda till att kvalificerade tillhandahållare av betrodda tjänster och de kvalificerade betrodda tjänster de tillhandahåller införs i förteckningar över betrodda tjänsteleve rantörer, bör man uppmuntra inledande kontakter mellan potentiella kvalificerade tillhandahållare av betrodda tjänster och behöriga tillsynsorgan, i syfte att underlätta den due
(46)Förteckningar över betrodda tjänsteleverantörer kan vara viktiga för att hjälpa till att bygga upp förtroendet bland aktörer på marknaden, eftersom de visar att tillhandahållaren av tjänster vid tidpunkten för tillsynen hade status som kvalificerad.
(47)För att användare ska kunna dra full nytta av och veta att de kan förlita sig på nättjänster är det nödvändigt att de har förtroende för nättjänsterna och att dessa är lättillgängliga. Det bör därför inrättas ett
(48)Det krävs en hög tillitsnivå för att säkerställa ömsesidigt erkännande av elektroniska underskrifter, men i vissa fall, som t.ex. inom ramen för kommissionens beslut 2009/767/EG (1) bör även elektroniska underskrifter med en lägre säkerhetsgrad godtas.
(49)Denna förordning bör fastställa principen om att en elektronisk underskrift inte bör förvägras rättslig verkan på grund av att den har elektronisk form eller inte uppfyller kraven för en kvalificerad elektronisk underskrift. Den rättsliga verkan av elektroniska underskrifter ska emellertid definieras i nationell rätt, med undantag för kraven i denna förordning på att en kvalificerad elektronisk underskrift ska ha samma rättsliga verkan som en handskriven underskrift.
(50)Eftersom behöriga myndigheter i medlemsstaterna för närvarande använder olika avancerade elektroniska under skrifter av olika format för att underteckna sina dokument elektroniskt är det nödvändigt att se till att åtminstone ett visst antal format av avancerade elektroniska underskrifter kan stödjas tekniskt av medlemsstaterna när de erhåller dokument som undertecknats elektroniskt. På samma sätt skulle det när behöriga myndigheter i medlems staterna använder avancerade elektroniska stämplar vara nödvändigt att se till att de stöder åtminstone ett visst antal format av avancerade elektroniska stämplar.
(51)Det bör vara möjligt för undertecknare att anförtro anordningar för skapande av kvalificerade elektroniska under skrifter till tredje man, förutsatt att lämpliga mekanismer och förfaranden tillämpas för att se till att undertecknaren har användningen av sina uppgifter för skapande av elektroniska underskrifter uteslutande under sin egen kontroll och att kraven för kvalificerade elektroniska underskrifter uppfylls genom anordningens användning.
(52)Om miljön för skapande av elektroniska underskrifter styrs av en tillhandahållare av betrodda tjänster på uppdrag av undertecknaren, kommer elektroniska underskrifter på distans med säkerhet att utvecklas på grund av sina många ekonomiska fördelar. För att säkerställa att dessa elektroniska underskrifter får samma rättsliga erkännande som elektroniska underskrifter som skapas i en miljö som helt och hållet styrs av användaren bör emellertid tillhandahållare av tjänster för elektroniska underskrifter på distans tillämpa särskilda säkerhetsförfaranden för förvaltning och administration samt använda tillförlitliga system och produkter, bland annat säkra elektroniska kommunikationskanaler, för att säkerställa en tillförlitlig miljö för skapande av elektroniska underskrifter som undertecknaren använder uteslutande under sin egen kontroll. För en kvalificerad elektronisk underskrift som skapas med en anordning för skapande av elektroniska underskrifter på distans bör de krav som gäller för kvalificerade tillhandahållare av betrodda tjänster och som anges i denna förordning tillämpas.
(1) Kommissionens beslut 2009/767/EG av den 16 oktober 2009 om åtgärder som underlättar användningen av förfaranden på elektronisk väg genom gemensamma kontaktpunkter i enlighet med Europaparlamentets och rådets direktiv 2006/123/EG om tjänster på den inre marknaden (EUT L 274, 20.10.2009, s. 36).
513
Bilaga 3 |
SOU 2017:114 |
L 257/80 |
SV |
Europeiska unionens officiella tidning |
28.8.2014 |
|
|
|
|
|
|
(53)Tillfälligt upphävande av kvalificerade certifikat är etablerad operativ praxis för tillhandahållare av betrodda tjänster i ett antal medlemsstater som skiljer sig från återkallande och medför en tillfällig förlust av giltighet för ett certifikat. Rättsäkerheten kräver att ett certifikats status som tillfälligt upphävt alltid ska anges klart och tydligt. Tillhandahållare av betrodda tjänster bör därför ansvara för att klart och tydligt ange ett certifikats status och, om detta upphävs, den exakta tidsperiod under vilket certifikatet har tillfälligt upphävts. Denna förordning bör inte ålägga tillhandahållare av betrodda tjänster eller medlemsstater att använda sig av tillfälligt upphävande men bör tillhandahålla transparensregler för när och hur en sådan möjlighet finns.
(54)Gränsöverskridande erkännande av kvalificerade elektroniska underskrifter förutsätter gränsöverskridande interope rabilitet och erkännande av kvalificerade certifikat. Därför bör inte kvalificerade certifikat omfattas av några obligatoriska krav som går utöver kraven i denna förordning. På nationell nivå bör man dock få inkludera särskilda egenskaper, t.ex. unika identifierare, i kvalificerade certifikat, under förutsättning att sådana särskilda egenskaper inte hindrar gränsöverskridande interoperabilitet och erkännande av kvalificerade certifikat och elektroniska under skrifter.
(55)
(56)I denna förordning bör det fastställas krav på kvalificerade anordningar för skapande av elektroniska underskrifter för att säkerställa de avancerade elektroniska underskrifternas funktionalitet. Denna förordning bör inte omfatta hela den systemmiljö där sådana anordningar används. Därför bör omfattningen av certifieringen av kvalificerade anordningar för skapande av elektroniska underskrifter begränsas till den hårdvara och systemprogramvara som används för att hantera och skydda uppgifterna för skapande av underskrifter som skapas, lagras eller behandlas i anordningen för skapande av underskrifter. I enlighet med vad som fastställs i relevanta standarder bör certifie ringsskyldigheterna inte omfatta tillämpningar för skapande av underskrifter.
(57)För att säkerställa rättssäkerheten avseende en underskrifts giltighet är det nödvändigt att specificera vilka kom ponenter i en kvalificerad elektronisk underskrift som bör bedömas av den förlitande part som utför valideringen. Genom att specificera kraven på kvalificerade tillhandahållare av betrodda tjänster som kan tillhandahålla en kvalificerad valideringstjänst till förlitande parter som inte själva vill eller kan utföra valideringen av kvalificerade elektroniska underskrifter bör dessutom privat och offentlig sektor stimuleras att investera i sådana tjänster. Sammantaget bör dessa krav göra kvalificerad validering av elektroniska underskrifter enkel och bekväm för alla parter på unionsnivå.
(58)När en transaktion kräver en kvalificerad elektronisk stämpel från en juridisk person bör en kvalificerad elektronisk underskrift från ett behörigt ombud för den juridiska personen vara lika godtagbar.
(59)Elektroniska stämplar bör utgöra bevis för att ett elektroniskt dokument har utfärdats av en juridisk person och säkerställa visshet om dokumentets ursprung och integritet.
(60)Tillhandahållare av betrodda tjänster som utfärdar kvalificerade certifikat för elektroniska stämplar bör vidta de åtgärder som krävs för att kunna fastställa identiteten för den fysiska person som representerar den juridiska person som har fått ett kvalificerat certifikat för en elektronisk stämpel, om sådan identifiering krävs på nationell nivå inom ramen för juridiska eller administrativa förfaranden.
514
SOU 2017:114 |
Bilaga 3 |
28.8.2014 |
|
SV |
Europeiska unionens officiella tidning |
L 257/81 |
|
|
|
|
|
(61)Genom denna förordning bör långsiktigt bevarande av uppgifter säkerställas, för att säkerställa den rättsliga giltigheten hos elektroniska underskrifter och elektroniska stämplar över längre tidsperioder och garantera att de kan valideras oavsett kommande tekniska förändringar.
(62)I syfte att säkerställa säkerheten hos kvalificerad elektronisk tidsstämpling bör det i denna förordning krävas att man använder en avancerad elektronisk stämpel eller en avancerad elektronisk underskrift eller andra likvärdiga metoder. Sannolikt kan innovation leda till ny teknik som kan säkerställa en likvärdig säkerhetsnivå för tids stämpling. Vid användning av någon annan metod än avancerade elektroniska stämplar eller avancerade elek troniska underskrifter bör det åligga tillhandahållaren av betrodda tjänster att i rapporten om bedömning av överensstämmelse visa att denna metod säkerställer en likvärdig säkerhetsnivå och att den är förenlig med skyldigheterna i denna förordning.
(63)Elektroniska dokument är viktiga för vidareutveckling av gränsöverskridande elektroniska transaktioner på den inre marknaden. Denna förordning bör fastställa principen om att ett elektroniskt dokument inte bör förvägras rättslig verkan på grund av att det har elektronisk form, för att säkerställa att elektroniska transaktioner inte kommer att ogillas enbart på grund av att ett dokument har elektronisk form.
(64)När kommissionen behandlar formaten för avancerade elektroniska underskrifter och stämplar ska den bygga vidare på den praxis, de standarder och den lagstiftning som redan finns, i synnerhet kommissionens beslut 2011/130/EU (1).
(65)Elektroniska stämplar kan användas för att autentisera ett dokument som utfärdats av en juridisk person, men även för att autentisera en juridisk persons digitala tillgångar, t.ex. programvarukoder eller servrar.
(66)Det är av avgörande betydelse att det föreskrivs en rättslig ram för att främja gränsöverskridande erkännande mellan befintliga nationella rättssystem för elektroniska tjänster för rekommenderade leveranser. Den ramen skulle också kunna öppna nya marknadsmöjligheter för unionens tillhandahållare av betrodda tjänster att erbjuda nya paneuropeiska tjänster för elektroniska tjänster för rekommenderade leveranser.
(67)Tjänster för autentisering av webbplatser innebär möjlighet för en besökare på en webbplats att försäkra sig om att en verklig och legitim enhet står bakom webbplatsen. Dessa tjänster bidrar till att bygga upp förtroendet för näthandeln, eftersom användarna kommer att ha förtroende för en webbplats som har autentiserats. Tillhandahål lande och användning av tjänster för autentisering av webbplatser är fullständigt frivilligt. För att autentiseringen av webbplatser ska kunna bli ett sätt att stärka förtroendet, ge användaren en bättre upplevelse och främja tillväxten på den inre marknaden bör man emellertid i denna förordning föreskriva minimiskyldigheter vad gäller säkerhet och skadeståndsansvar för tillhandahållarna och deras tjänster. Därför har hänsyn tagits till resultaten av befintliga initiativ ledda av industrin, t.ex. forumet för certifieringsinstanser och försäljare av webbläsare – CA/B Forum. Dessutom bör denna förordning inte hindra användning av andra sätt eller metoder för att autentisera webbplatser som inte omfattas av denna förordning och förordningen bör inte heller hindra tillhandahållare av autentiserings tjänster i tredjeland från att tillhandahålla sina tjänster till kunder i unionen. En tillhandahållare från ett tredjeland bör dock endast kunna få sina tjänster för autentisering av webbplatser erkända som kvalificerade i enlighet med denna förordning om ett internationellt avtal mellan unionen och det land i vilket tillhandahållaren är etablerad har ingåtts.
(68)Begreppet juridisk person enligt bestämmelserna om etablering i fördraget om Europeiska unionens funktionssätt
(69)Unionens institutioner, organ och byråer uppmanas att erkänna elektronisk identifiering och betrodda tjänster som omfattas av denna förordning för administrativt samarbete som drar nytta av framför allt befintlig god praxis och resultaten av pågående projekt på de områden som omfattas av denna förordning.
(1) Kommissionens beslut 2011/130/EU av den 25 februari 2011 om fastställande av minimikrav för behandling över gränserna av dokument som signerats elektroniskt av behöriga myndigheter i enlighet med Europaparlamentets och rådets direktiv 2006/123/EG om tjänster på den inre marknaden (EUT L 53, 26.2.2011, s. 66).
515
Bilaga 3 |
SOU 2017:114 |
L 257/82 |
SV |
Europeiska unionens officiella tidning |
28.8.2014 |
|
|
|
|
|
|
(70)I syfte att på ett flexibelt och snabbt sätt kunna komplettera vissa detaljerade tekniska aspekter av denna förordning bör befogenheten att anta akter i enlighet med artikel 290 i
(71)För att säkerställa enhetliga villkor för genomförandet av denna förordning, bör kommissionen tilldelas genom förandebefogenheter, särskilt för att ange referensnummer till standarder vilkas användning skulle skapa presum tion för överensstämmelse med vissa krav i denna förordning. Dessa befogenheter bör utövas i enlighet med Europaparlamentets och rådets förordning (EU) nr 182/2011 (1).
(72)När kommissionen antar delegerade akter eller genomförandeakter bör den ta vederbörlig hänsyn till de standarder och tekniska specifikationer som utarbetats av europeiska och internationella standardiseringsorgan, särskilt Eu ropeiska standardiseringskommittén (CEN), Europeiska institutet för telekommunikationsstandarder (Etsi), Interna tionella standardiseringsorganisationen (ISO) och Internationella teleunionen (ITU), i syfte att säkerställa en hög nivå av säkerhet och interoperabilitet när det gäller elektronisk identifiering och betrodda tjänster.
(73)Av rättssäkerhets- och tydlighetsskäl bör direktiv 1999/93/EG upphävas.
(74)För att säkerställa rättssäkerheten för marknadsoperatörer som redan använder kvalificerade certifikat som utfärdas för fysiska personer i enlighet med direktiv 1999/93/EG är det nödvändigt att föreskriva en tillräckligt lång övergångsperiod. Övergångsåtgärder bör även fastställas för säkra anordningar för skapande av underskrifter vars överensstämmelse har fastställts i enlighet med direktiv 1999/93/EG samt för tillhandahållare av certifikat tjänster som utfärdar kvalificerade certifikat före den 1 juli 2016. Slutligen är det också nödvändigt att göra det möjligt för kommissionen att anta genomförandeakter och delegerade akter före det datumet.
(75)De tillämpningsdagar som anges i denna förordning påverkar inte medlemsstaternas befintliga skyldigheter enligt unionsrätten, särskilt direktiv 2006/123/EG.
(76)Eftersom målen för denna förordning inte i tillräcklig utsträckning kan uppnås av medlemsstaterna utan snarare, på grund av åtgärdens omfattning, kan uppnås bättre på unionsnivå, kan unionen vidta åtgärder i enlighet med subsidiaritetsprincipen i artikel 5 i fördraget om Europeiska unionen. I enlighet med proportionalitetsprincipen i samma artikel går denna förordning inte utöver vad som är nödvändigt för att uppnå dessa mål.
(77)Europeiska datatillsynsmannen har hörts i enlighet med artikel 28.2 i Europaparlamentets och rådets förordning
(EG) nr 45/2001 (2) och avgav ett yttrande den 27 september 2012 (3).
(1) Europaparlamentets och rådets förordning (EU) nr 182/2011 av den 16 februari 2011 om fastställande av allmänna regler och principer för medlemsstaternas kontroll av kommissionens utövande av sina genomförandebefogenheter (EUT L 55, 28.2.2011, s. 13).
(2) Europaparlamentets och rådets förordning (EG) nr 45/2001 av den 18 december 2000 om skydd för enskilda då gemenskaps institutionerna och gemenskapsorganen behandlar personuppgifter och om den fria rörligheten för sådana uppgifter (EGT L 8, 12.1.2001, s. 1).
(3) EUT C 28, 30.1.2013, s. 6.
516
SOU 2017:114 |
|
|
Bilaga 3 |
|||
28.8.2014 |
|
|
|
Europeiska unionens officiella tidning |
L 257/83 |
|
|
|
SV |
||||
|
|
|
|
|
|
|
HÄRIGENOM FÖRESKRIVS FÖLJANDE.
KAPITEL I
ALLMÄNNA BESTÄMMELSER
Artikel 1
Syfte
I syfte att säkerställa en väl fungerande inre marknad och uppnå en lämplig säkerhetsnivå för medel för elektronisk identifiering och betrodda tjänster fastställs i denna förordning
a)de villkor på vilka medlemsstaterna erkänner medel för elektronisk identifiering av fysiska och juridiska personer som omfattas av ett anmält system för elektronisk identifiering hos en annan medlemsstat,
b)regler för betrodda tjänster, i synnerhet för elektroniska transaktioner, och
c)en rättslig ram för elektroniska underskrifter, elektroniska stämplar, elektronisk tidsstämpling, elektroniska dokument, elektroniska tjänster för rekommenderade leveranser och certifikattjänster för autentisering av webbplatser.
Artikel 2
Tillämpningsområde
1.Denna förordning gäller system för elektronisk identifiering som har anmälts av en medlemsstat, och tillhandahål lare av betrodda tjänster som är etablerade inom unionen.
2.Denna förordning gäller inte tillhandahållande av betrodda tjänster som till följd av nationell rätt eller avtal mellan en avgränsad uppsättning deltagare endast används inom slutna system.
3.Denna förordning påverkar inte nationell rätt eller unionsrätt som avser ingående av avtal och deras giltighet eller andra rättsliga eller förfarandemässiga skyldigheter avseende formkrav.
Artikel 3
Definitioner
I denna förordning gäller följande definitioner:
1.elektronisk identifiering: en process inom vilken personidentifieringsuppgifter i elektronisk form, som unikt avser en fysisk eller juridisk person eller en fysisk person som företräder en juridisk person, används.
2.medel för elektronisk identifiering: en materiell och/eller immateriell enhet som innehåller personidentifieringsuppgifter och som används för autentisering för nättjänster.
3.personidentifieringsuppgifter: en uppsättning uppgifter som gör det möjligt att fastställa identiteten på en fysisk eller juridisk person eller en fysisk person som företräder en juridisk person.
4.system för elektronisk identifiering: ett system för elektronisk identifiering genom vilket medel för elektronisk identi fiering utfärdas till en fysisk eller juridisk person eller en fysisk person som företräder en juridisk person.
517
Bilaga 3 |
SOU 2017:114 |
L 257/84 |
SV |
Europeiska unionens officiella tidning |
28.8.2014 |
|
|
|
|
|
|
5.autentisering: en elektronisk process som gör det möjligt att bekräfta den elektroniska identifieringen för en fysisk eller juridisk person, eller ursprunget för och integriteten hos uppgifter i elektronisk form.
6.förlitande part: en fysisk eller juridisk person som förlitar sig på en elektronisk identifiering eller betrodda tjänster.
7.offentligt organ: en statlig, regional eller lokal myndighet, ett organ som lyder under offentlig rätt eller en samman slutning som bildats av en eller flera sådana myndigheter eller ett eller flera sådana offentligrättsliga organ, eller en privat enhet som av minst en av dessa myndigheter, enheter eller sammanslutningar har bemyndigats att tillhanda hålla offentliga tjänster när de agerar i enlighet med ett sådant bemyndigande.
8.offentligrättsligt organ: ett organ enligt definitionen i artikel 2.1.4 i Europaparlamentets och rådets direktiv 2014/24/EU (1).
9.undertecknare: en fysisk person som skapar en elektronisk underskrift.
10.elektronisk underskrift: uppgifter i elektronisk form som är fogade till eller logiskt knutna till andra uppgifter i elektronisk form och som används av undertecknaren för att skriva under.
11.avancerad elektronisk underskrift: en elektronisk underskrift som uppfyller kraven enligt artikel 26.
12.kvalificerad elektronisk underskrift: en avancerad elektronisk underskrift som skapas med hjälp av en kvalificerad anordning för underskriftframställning och som är baserad på ett kvalificerat certifikat för elektroniska underskrifter.
13.uppgifter för skapande av elektroniska underskrifter: unika uppgifter som undertecknaren använder för att skapa en elektronisk underskrift.
14.certifikat för elektroniska underskrifter: ett elektroniskt intyg som kopplar valideringsuppgifter för en elektronisk under skrift till en fysisk person och bekräftar åtminstone namnet eller pseudonymen på den personen.
15.kvalificerat certifikat för elektroniska underskrifter: ett certifikat för elektroniska underskrifter som utfärdas av en kvali ficerad tillhandahållare av betrodda tjänster och uppfyller kraven i bilaga I.
16.betrodd tjänst: en elektronisk tjänst som vanligen tillhandahålls mot ekonomisk ersättning och som består av
a)skapande, kontroll och validering av elektroniska underskrifter, elektroniska stämplar eller elektroniska tidsstämp lingar, elektroniska tjänster för rekommenderade leveranser och certifikat med anknytning till dessa tjänster, eller
b)skapande, kontroll och validering av certifikat för autentisering av webbplatser, eller
c)bevarande av elektroniska underskrifter, stämplar eller certifikat med anknytning till dessa tjänster.
17.kvalificerad betrodd tjänst: en betrodd tjänst som uppfyller tillämpliga krav i denna förordning.
(1) Europaparlamentets och rådets direktiv 2014/24/EU av den 26 februari 2014 om offentlig upphandling och om upphävande av direktiv 2004/18/EU (EUT L 94, 28.3.2014, s. 65).
518
SOU 2017:114 |
|
Bilaga 3 |
|||
28.8.2014 |
|
|
Europeiska unionens officiella tidning |
L 257/85 |
|
|
SV |
||||
|
|
|
|
|
|
18. |
organ för bedömning av överensstämmelse: ett organ enligt definitionen i artikel 2.13 i förordning (EG) nr 765/2008 |
||||
|
som i enlighet med den förordningen är ackrediterat för överensstämmelsebedömning av en kvalificerad tillhanda |
||||
|
hållare av en betrodd tjänst och den kvalificerade betrodda tjänst som denne tillhandahåller. |
|
|
19.tillhandahållare av betrodda tjänster: en fysisk eller juridisk person som tillhandahåller en eller flera betrodda tjänster, antingen i egenskap av kvalificerade eller icke kvalificerade tillhandahållare av betrodda tjänster.
20.kvalificerad tillhandahållare av betrodda tjänster: en tillhandahållare av betrodda tjänster som tillhandahåller en eller flera kvalificerade betrodda tjänster och som beviljats status som kvalificerad av tillsynsorganet.
21.produkt: maskinvara eller programvara, eller relevanta komponenter i maskinvara eller programvara, som är avsedda att användas för tillhandahållande av betrodda tjänster.
22.anordning för underskriftframställning: en konfigurerad programvara eller maskinvara som används för att skapa en elektronisk underskrift.
23.kvalificerad anordning för underskriftframställning: en anordning för skapande av elektroniska underskrifter som uppfyller kraven i bilaga II.
24.skapare av en stämpel: en juridisk person som skapar en elektronisk stämpel.
25.elektronisk stämpel: uppgifter i elektronisk form som är fogade till eller logiskt knutna till andra uppgifter i elektronisk form för att säkerställa de senares ursprung och integritet.
26.avancerad elektronisk stämpel: en elektronisk stämpel som uppfyller kraven enligt artikel 36.
27.kvalificerad elektronisk stämpel: en avancerad elektronisk stämpel som skapas med hjälp av en kvalificerad anordning för skapande av elektroniska stämplar och som är baserat på ett kvalificerat certifikat för elektroniska stämplar.
28.uppgifter för skapande av elektroniska stämplar: unika uppgifter som skaparen av den elektroniska stämpeln använder för att skapa en elektronisk stämpel.
29.certifikat för elektroniska stämplar: ett elektroniskt intyg som kopplar valideringsuppgifter för en elektronisk stämpel till en juridisk person och bekräftar namnet på den personen.
30.kvalificerat certifikat för elektroniska stämplar: ett certifikat för en elektronisk stämpel som utfärdas av en kvalificerad tillhandahållare av betrodda tjänster och uppfyller kraven i bilaga III.
31.anordning för skapande av elektroniska stämplar: en konfigurerad programvara eller maskinvara som används för att skapa en elektronisk stämpel.
32.kvalificerad anordning för skapande av elektroniska stämplar: en anordning för skapande av elektroniska stämplar som efter nödvändig anpassning uppfyller kraven i bilaga II.
33.elektronisk tidsstämpling: uppgifter i elektronisk form som binder andra uppgifter i elektronisk form till en viss tidpunkt och därmed utgör bevis för att de senare uppgifterna existerade vid den tidpunkten.
34.kvalificerad elektronisk tidsstämpling: en elektronisk tidsstämpling som uppfyller de krav som fastställs i artikel 42.
519
Bilaga 3 |
SOU 2017:114 |
L 257/86 |
SV |
Europeiska unionens officiella tidning |
28.8.2014 |
|
|
|
|
|
|
35.elektroniskt dokument: innehåll lagrat i elektronisk form, i synnerhet som
36.elektronisk tjänst för rekommenderad leverans: en tjänst som gör det möjligt att överföra uppgifter mellan tredje män på elektronisk väg och tillhandahåller bevis avseende de överförda uppgifternas hantering, inklusive bevis för upp gifternas sändning och mottagande, och som skyddar överförda uppgifter mot risken för förlust, stöld, skada eller otillåtna ändringar.
37.kvalificerad elektronisk tjänst för rekommenderad leverans: en elektronisk tjänst för rekommenderad leverans som uppfyller de krav som fastställs i artikel 44.
38.certifikat för autentisering av webbplatser: ett intyg som gör det möjligt att autentisera en webbplats och koppla webbplatsen till den fysiska eller juridiska person som certifikatet utfärdats för.
39.kvalificerat certifikat för autentisering av webbplatser: ett certifikat för autentisering av webbplatser som utfärdas av en kvalificerad tillhandahållare av betrodda tjänster och uppfyller kraven i bilaga IV.
40.valideringsuppgifter: uppgifter som används för att validera en elektronisk underskrift eller en elektronisk stämpel.
41.validering: en process genom vilken en elektronisk underskrifts giltighet kontrolleras och bekräftas.
Artikel 4
Inremarknadsprincipen
1.Tillhandahållande av betrodda tjänster i en medlemsstat som utförs av en tillhandahållare av betrodda tjänster som är etablerad i en annan medlemsstat får inte begränsas av skäl som omfattas av de områden som regleras i denna förordning.
2.Produkter och betrodda tjänster som överensstämmer med denna förordning ska omfattas av fri rörlighet på den inre marknaden.
Artikel 5
Behandling och skydd av uppgifter
1.Personuppgifter ska behandlas i enlighet med direktiv 95/46/EG.
2.Utan att det påverkar rättsverkan av pseudonymer enligt nationell rätt ska användningen av pseudonymer vid elektroniska transaktioner inte förbjudas.
KAPITEL II
ELEKTRONISK IDENTIFIERING
Artikel 6
Ömsesidigt erkännande
1. När det enligt nationell rätt eller enligt nationella administrativa förfaranden krävs en elektronisk identifiering där medel för elektronisk identifiering och autentisering används för att få åtkomst till en nättjänst som tillhandahålls av ett offentligt organ i en medlemsstat, ska de medel för elektronisk identifiering som utfärdats i en annan medlemsstat erkännas i den första medlemsstaten för gränsöverskridande autentisering för den tjänsten via internet, förutsatt att
a)medlet för elektronisk identifiering är utfärdat inom ramen för ett system för elektronisk identifiering som ingår i den förteckning som offentliggjorts av kommissionen enligt artikel 9,
520
SOU 2017:114 |
|
|
Bilaga 3 |
|||
28.8.2014 |
|
|
|
Europeiska unionens officiella tidning |
L 257/87 |
|
|
|
SV |
||||
|
|
|
|
|
|
|
b)tillitsnivån för medlet för elektronisk identifiering motsvarar en tillitsnivå som är lika hög som eller högre än den tillitsnivå som det berörda offentliga organet kräver för åtkomst till denna nättjänst i den första medlemsstaten, förutsatt att tillitsnivån för detta medel för elektronisk identifiering motsvarar tillitsnivån väsentlig eller hög,
c)det offentliga organet i fråga använder tillitsnivån väsentlig eller hög i samband med åtkomst till nättjänsten.
Ett sådant erkännande ska ske senast tolv månader efter det att kommissionen offentliggör den förteckning som avses i led a i första stycket.
2. Ett medel för elektronisk identifiering som utfärdats inom ramen för ett system för elektronisk identifiering som ingår i den förteckning som kommissionen offentliggjort enligt artikel 9 och som motsvarar tillitsnivån låg får erkännas av offentliga organ för gränsöverskridande autentisering för den tjänst som tillhandahålls via internet av dessa organ.
Artikel 7
Berättigande till anmälan av system för elektronisk identifiering
Ett system för elektronisk identifiering ska vara berättigat till anmälan enligt artikel 9.1 om samtliga följande villkor är uppfyllda:
a)Medlet för elektronisk identifiering inom ramen för systemet för elektronisk identifiering ska vara utfärdat
i)av den anmälande medlemsstaten,
ii)på uppdrag av den anmälande medlemsstaten, eller
iii)oberoende av den anmälande medlemsstaten och erkännas av den medlemsstaten.
b)Medlet för elektronisk identifiering inom systemet för elektronisk identifiering ska kunna användas för att få åtkomst till åtminstone en tjänst som tillhandahålls av ett offentligt organ och som kräver elektronisk identifiering i den anmälande medlemsstaten.
c)Systemet för elektronisk identifiering och det medel för elektronisk identifiering som utfärdats inom ramen för det ska
uppfylla kraven för åtminstone en av de tillitsnivåer som anges i den genomförandeakt som avses i artikel 8.3.
d)Den anmälande medlemsstaten ska se till att de personidentifieringsuppgifter som unikt representerar personen i fråga, i enlighet med de tekniska specifikationer, standarder och förfaranden för den relevanta tillitsnivå som anges i den genomförandeakt som avses i artikel 8.3, tillskrivs den fysiska eller juridiska person som avses i artikel 3.1 vid tidpunkten för utfärdandet av medlet för elektronisk identifiering inom detta system.
e)Den part som utfärdar medlet för elektronisk identifiering inom detta system ska se till att medlet för elektronisk identifiering tilldelas den person som avses i led d i denna artikel i enlighet med de tekniska specifikationer, standarder och förfaranden för den relevanta tillitsnivå som anges i den genomförandeakt som avses i artikel 8.3.
f)Den anmälande medlemsstaten ska se till att autentisering är tillgänglig via internet så att alla förlitande parter som är etablerade på någon annan medlemsstats territorium kan bekräfta de personidentifieringsuppgifter som tas emot i elektronisk form.
521