Juridik som stöd för förvaltningens digitalisering

Betänkande av Digitaliseringsrättsutredningen

Stockholm 2018

SOU 2018:25

SOU och Ds kan köpas från Norstedts Juridiks kundservice. Beställningsadress: Norstedts Juridik, Kundservice, 106 47 Stockholm Ordertelefon: 08-598 191 90

E-post: kundservice@nj.se

Webbadress: www.nj.se/offentligapublikationer

För remissutsändningar av SOU och Ds svarar Norstedts Juridik AB på uppdrag av Regeringskansliets förvaltningsavdelning.

Svara på remiss – hur och varför

Statsrådsberedningen, SB PM 2003:2 (reviderad 2009-05-02).

En kort handledning för dem som ska svara på remiss.

Häftet är gratis och kan laddas ner som pdf från eller beställas på regeringen.se/remisser

Layout: Kommittéservice, Regeringskansliet

Omslag: Elanders Sverige AB

Tryck: Elanders Sverige AB, Stockholm 2018

ISBN 978-91-38-24780-8

ISSN 0375-250X

Till statsrådet Ardalan Shekarabi

Regeringen beslutade vid regeringssammanträde den 24 november 2016 att uppdra åt en särskild utredare att kartlägga och analysera i vilken utsträckning det förekommer lagstiftning som i onödan för- svårar digital utveckling och samverkan inom den offentliga för- valtningen. Utredaren ska lämna förslag till de författningsändringar som bedöms ha störst potential att stödja den fortsatta digitali- seringen av den offentliga förvaltningen. Utredaren ska vidare bl.a. lämna förslag till hur en utvidgad rapportering av hela den offentliga förvaltningens löpande arbete med it och digitalisering kan utformas samt hur aktörerna inom förvaltningen som helhet kan samverka kring behovet av ny eller ändrad lagstiftning för att främja digita- liseringen (dir. 2016:98).

Som särskild utredare förordnades den 24 november 2016 profes- sor Cecilia Magnusson Sjöberg.

Som sekreterare anställdes den 6 februari 2017 juristen Sara Markstedt, med förordnande fr.o.m. den 11 september 2017 som huvudsekreterare i utredningen. Som utredningssekreterare anställdes juristen Ingela Alverfors den 20 februari 2017 och hovrättsassessorn Anja Nordfeldt den 1 oktober 2017.

Som experter att biträda utredningen förordnades den 7 mars 2017 teknikchefen Daniel Akenine, Microsoft, verksamhetsutvecklaren Markus Bill, Försäkringskassan, juristen Sylvia Bylund, Tullverket, tidigare kanslirådet vid Justitiedepartementet, Kerstin Bynander, juris- ten Johan Bålman, eSamverkansprogrammets kansli vid Pensions- myndigheten, juristen Malgorzata Drewniak, Lantmäteriet, departe- mentssekreteraren Veronica Eckerby, Finansdepartementet, juristen Ylva Ehn, Socialstyrelsen, vice VD policy & kommunikation Anders Ekholm, Institutet för framtidsstudier, departementssekreteraren Nils Fjelkegård, Finansdepartementet, stadsjuristen Lena Grapp,

Uppsala kommun, stabsjuristen Désirée Veschetti Holmgren, Riks- arkivet, chefsjuristen Gustaf Johnssén, Statens servicecenter, rättssak- kunniga Helene Karlsson, Finansdepartementet, verksjuristen Linn Kempe, Bolagsverket, tidigare Chief Information Officer vid Kungliga biblioteket Peter Krantz, departementssekreteraren Lotta Lewin Pihlblad, Näringsdepartementet, tidigare verksjuristen vid Centrala studiestödsnämnden, numer Statens tjänstepensionsverk, Johan Lindeberg, juristen Manolis Nymark, Inera AB, förbundsjuristen Pål Resare, Sveriges Kommuner och Landsting, tidigare kanslirådet vid Justitiedepartementet, Maria Sertcanli, informationssäkerhetsspecia- listen Kristina Starkerud, Myndigheten för samhällsskydd och bered- skap, enhetschefen Katarina Tullstedt, Datainspektionen, verksam- hetsutvecklaren Magnus Wallström, Skatteverket och avdelnings- chefen och chefsjuristen Mikael Westberg, Pensionsmyndigheten. Samma dag förordnades som expert kanslirådet Anders Hektor, Näringsdepartementet, som på grund av andra uppgifter inte haft möjlighet att delta i utredningens arbete. Maria Sertcanli och Kerstin Bynander entledigades från sina uppdrag den 2 oktober 2017 och samma dag förordnades rättssakkunniga Tove Axelsson, Justitiedepar- tementet, att vara expert i utredningen.

Utredningen redogör för uppdraget med användande av vi-form även om det inte funnits fullständig samsyn i alla delar.

Utredningen som har tagit sig namnet Digitaliseringsrättsutred- ningen (Fi 2016:13), överlämnar härmed betänkandet Juridik som stöd för förvaltningens digitalisering (SOU 2018:25).

Stockholm i mars 2018.

Cecilia Magnusson Sjöberg

/Sara Markstedt

Ingela Alverfors

Anja Nordfeldt

Innehåll

Sammanfattning ................................................................

17

Summary ..........................................................................

27

1

Författningsförslag.....................................................

31

1.1

Förslag till lag (2019:000) om tystnadsplikt

 

 

vid utkontraktering av teknisk bearbetning och lagring.......

31

1.2Förslag till lag om ändring i offentlighets-

och sekretesslagen (2009:400)................................................

33

1.3Förslag till lag om ändring i förvaltningslagen

(2017:900)................................................................................

35

1.4Förslag till förordning om ändring i förordningen

 

(2001:100) om den officiella statistiken ................................

38

2

Utredningens uppdrag och arbete................................

43

2.1

Utredningens uppdrag............................................................

43

2.2

Utredningens arbete ...............................................................

44

2.3

Betänkandets disposition........................................................

45

3

Framväxten av den digitala förvaltningen .....................

47

3.1

Tillbakablick ............................................................................

47

3.2

Internationell utblick ..............................................................

51

3.3

Rättsliga förutsättningar.........................................................

51

5

Innehåll

SOU 2018:25

4

Värdegrunder i den digitala förvaltningen .....................

53

4.1Rättsliga utgångspunkter för en fortsatt trygg,

innovativ och effektiv digital förvaltning..............................

53

4.2 God offentlighetsstruktur är en nödvändig grund ...............

54

4.3God informationssäkerhet behövs för att möta nya

risker........................................................................................

57

4.4 Rättssäkerheten kan stärkas med digitala medel ..................

58

4.5Personlig integritet – en mänsklig fri- och rättighet som

inte är absolut .........................................................................

61

4.6 Välavvägd sekretess för skyddsvärda uppgifter ....................

63

4.7Regleringen behöver stå i samklang med den önskade

 

utvecklingen............................................................................

65

5

Kartläggning av hindrande eller hämmande

 

 

lagstiftning................................................................

67

5.1

Genomförandet av kartläggningen ........................................

67

 

5.1.1

Vårt uppdrag............................................................

67

 

5.1.2

Metod.......................................................................

68

 

5.1.3

Läsanvisningar .........................................................

69

5.2

Digital kommunikation med enskilda ...................................

70

 

5.2.1

Gränserna för Digitalt först ...................................

70

 

5.2.2

Registerförfattningar ..............................................

71

 

5.2.3

Sekretess ..................................................................

72

 

5.2.4

Digitala tjänster med eget utrymme ......................

73

 

5.2.5

Språklagen................................................................

75

5.3Identiteter, underskrifter och annan koppling

till person ................................................................................

76

5.3.1

Identiteter och identifiering ...................................

76

5.3.2

Behöriga företrädare ...............................................

77

5.3.3

Fullmakter ...............................................................

78

5.3.4

Underskrifter och andra liknande rättsinstitut .....

79

5.3.5

Delgivning ...............................................................

80

6

SOU 2018:25 Innehåll

5.4

Grunddata och informationsförsörjning ...............................

80

5.5

Informationsutbyten ..............................................................

82

 

5.5.1

Informationssäkerhet ..............................................

82

 

5.5.2

Registerförfattningar...............................................

83

 

5.5.3

Sekretess...................................................................

86

 

5.5.4

Informationsutbyte med privata utförare ..............

87

5.5.5Informationsutbyte ur ett internationellt

perspektiv .................................................................

88

5.5.6En uppgift en gång – The Once-Only

Principle ...................................................................

89

5.5.7Vilka uppgifter uppfyller myndigheternas

 

faktiska informationsbehov?...................................

90

5.5.8

Informationsstandarder ..........................................

92

5.6Digitalisering av ärendeprocesser och automatiserat

beslutsfattande ........................................................................

94

5.6.1

Reglering av ärendeprocesser..................................

94

5.6.2

Digitala handlingar ..................................................

95

5.6.3Automation av ärendehandläggning och

 

 

beslutsfattande.........................................................

96

5.7

Automation av faktiskt handlande.........................................

98

5.8

Öppenhet i den digitala förvaltningen...................................

99

 

5.8.1

Dokumentation .......................................................

99

 

5.8.2

Öppna data...............................................................

99

 

5.8.3

Elektroniskt utlämnande av allmän handling.......

101

5.9

Rensning, arkivering, gallring och bevarande......................

102

5.10

Upphandling, utkontraktering och avtal .............................

104

 

5.10.1

Regelverk och teknisk utveckling.........................

104

 

5.10.2

Sekretess och tystnadsplikt...................................

106

 

5.10.3

It-avtal ....................................................................

107

 

5.10.4

Personuppgiftsbiträdesavtal..................................

108

 

5.10.5

Uppföljning av avtal ..............................................

110

5.11

Samverkan..............................................................................

111

 

5.11.1

Myndigheters uppdrag ..........................................

111

 

5.11.2

Myndigheters samverkan med varandra...............

111

 

5.11.3

Myndigheters samverkan med privata aktörer ....

113

7

Innehåll

SOU 2018:25

 

5.11.4

Arbetsro vid myndighetssamverkan

.................... 113

 

5.11.5

Särskilda samverkansarbeten ................................

114

5.12

Kompetens och stödmaterial ...............................................

117

5.13

Den rättsliga begreppsapparaten .........................................

118

 

5.13.1 Äldre begrepp i digitala miljöer............................

118

 

5.13.2

En splittrad begreppsapparat................................

119

5.14

Samverkan kring författningsändringar ..............................

120

6

Några inledande reflektioner över

 

 

kartläggningsresultatet .............................................

123

6.1

Offentlig förvaltning i hela dess vidd..................................

123

6.2

Detaljerad reglering ..............................................................

124

6.3

Teknikneutral reglering........................................................

126

6.4

Lagliga och lämpliga digitala tjänster ..................................

128

6.5

Juridisk metod i utvecklingsarbeten....................................

129

6.6

EU och utrymmet för nationell reglering ...........................

131

6.7Tydliga rättsliga hinder, rättslig osäkerhet

eller avsaknad av reglering....................................................

133

6.8 De politiska målen ................................................................

134

6.9Behövs fler regler för styrning och stöd av den digitala

 

förvaltningen? .......................................................................

136

6.10

Betänkandets fortsatta disposition ......................................

137

7

Automation i förvaltningen........................................

139

7.1Kartläggningsresultatet och behovet av automation i

förvaltningen.........................................................................

139

7.1.1

En ökad grad av automation.................................

139

7.1.2

God offentlighetsstruktur och rättssäkerhet ......

140

7.1.3

Behov av automationsanpassad lagstiftning ........

142

7.2 Förvaltningens verksamhet ..................................................

143

7.2.1

Ärendehantering ...................................................

143

8

SOU 2018:25

 

Innehåll

7.2.2

Service.....................................................................

144

7.2.3

Faktiskt handlande ................................................

145

7.2.4

Ett kunskapsperspektiv .........................................

146

7.3 Teknikutvecklingen ..............................................................

148

7.3.1

Vårt uppdrag ..........................................................

148

7.3.2Artificiell intelligens och maskininlärda

 

algoritmer...............................................................

149

7.3.3

Sakernas internet ...................................................

150

7.3.4

Blockkedjeteknik ...................................................

151

7.4 Särskilt om automation av ärendehantering ........................

153

7.4.1

Ärendeprocessen ...................................................

153

7.4.2

Dokumentation .....................................................

155

7.5Rättssäkra automatiserade förfaranden i en öppen

digital förvaltning..................................................................

157

7.5.1Rättsutveckling i takt med samhälls-

 

och teknikutveckling .............................................

157

7.5.2

Omhändertagande av risker för rättsosäkerhet ...

158

7.6 Gällande rätt om insyn i algoritmer och beslutsunderlag...

161

7.6.1

Dataskyddsförordningen ......................................

161

7.6.2

Partsinsyn och förvaltningslagen..........................

170

7.6.3

Handlingsoffentlighet och arkivlagstiftning........

174

7.6.4Offentlighets- och sekretesslagen om

beslutsunderlag ......................................................

181

7.7God offentlighetsstruktur för insyn i förvaltningens

ärendehantering.....................................................................

184

7.7.1

Behövs ny eller anpassad reglering? .....................

184

7.7.2Förmåga att ge insyn i vissa automatiserade

 

förfaranden.............................................................

192

7.7.3

Insyn i beslutsunderlaget i enskilda ärenden .......

200

7.7.4

Placering och tillämpningsområde .......................

205

7.7.5

Konsekvenser av förslagen....................................

206

7.8 Ytterligare överväganden för en AI-redo förvaltning.........

207

7.8.1Samspelet mellan rättsutveckling och

teknikutveckling ....................................................

207

7.8.2Rättssäkra förfaranden i en samverkande

förvaltning..............................................................

210

9

Innehåll

SOU 2018:25

 

7.8.3

Ett kunskapsperspektiv ........................................

216

7.9

Automationsanpassad lagstiftning ......................................

216

 

7.9.1

Gällande rätt med materiella bestämmelser.........

216

 

7.9.2

Gällande rätt om automatiserat

 

 

 

beslutsfattande ......................................................

220

7.10

Digitalt perspektiv vid framtagande av nya föreskrifter ....

224

8

Digital kommunikation .............................................

229

8.1

Behovet av enkel, säker och effektiv kommunikation .......

229

8.2Enskildas självbestämmande och förvaltningens

uppdrag..................................................................................

231

8.3Behövs ny eller anpassad reglering om digital

kommunikation med enskilda?............................................

233

8.3.1

Våra inledande överväganden ...............................

233

8.3.2

Enskildas användande av digitala tjänster ............

240

8.3.3

Ny huvudregel om digital tillgänglighet ..............

249

8.3.4

Anpassad regel om ankomstdag ...........................

255

8.3.5Ny huvudregel om underrättelse när

handlingar tas emot digitalt ..................................

260

8.3.6Ny huvudregel om digital kommunikation till

 

enskilda ..................................................................

262

8.3.7

En angränsande fråga om kommunikation..........

274

8.3.8

Placering och tillämpningsområde .......................

275

8.3.9

Konsekvenser av förslagen ...................................

276

8.4 Digitala tjänster med eget utrymme....................................

278

8.4.1

Användarvänliga digitala tjänster .........................

278

8.4.2

Kartläggningsresultatet.........................................

279

8.4.3Gällande rätt och några inledande

 

överväganden .........................................................

280

8.4.4

Personuppgiftsansvar m.m. ..................................

288

8.4.5Behövs reglering eller annat stöd för ökad

rättslig stabilitet?...................................................

298

10

SOU 2018:25 Innehåll

9

Informationssäkerhet ...............................................

305

9.1

Informationssäkerhet i en digital förvaltning .....................

305

9.2

Kartläggningsresultatet.........................................................

306

9.3

Säkerhet – en prioriterad fråga .............................................

307

 

9.3.1

De politiska målen för informationssäkerhet ......

307

9.3.2Pågående regeringsinitiativ kring

informationssäkerhet.............................................

309

9.3.3Granskning av informationssäkerhet i

offentlig förvaltning ..............................................

311

9.4 Att möta nya risker...............................................................

312

9.4.1God informationssäkerhet stödjer och skapar

tillit .........................................................................

312

9.4.2Informationssäkerhetsrisker i en digital

 

förvaltning..............................................................

314

9.5 Gällande rätt om informationssäkerhet...............................

315

9.5.1

Inledning ................................................................

315

9.5.2

Informationssäkerhet i olika verksamheter .........

316

9.5.3Informationssäkerhet för viss typ av

 

 

information ............................................................

318

9.6

Informationssäkerhet vid utkontraktering..........................

320

 

9.6.1

Utkontraktering till privata leverantörer .............

320

 

9.6.2

Utkontraktering till annan myndighet.................

322

9.7

Våra överväganden och förslag.............................................

325

 

9.7.1

Inledande överväganden........................................

325

 

9.7.2

Rättsligt stöd för god informationssäkerhet .......

329

10

Tystnadsplikt för privata leverantörer .........................

333

10.1

Offentlig sektors utkontraktering av it-drift och andra

 

 

it-baserade funktioner...........................................................

333

 

10.1.1

Innebörden av utkontraktering ............................

333

 

10.1.2

En kostnadseffektiv förvaltning ...........................

334

 

10.1.3

En lägesbild ............................................................

335

10.1.4Privata utförare av offentligt finansierad

verksamhet .............................................................

336

11

Innehåll

SOU 2018:25

10.2 Några rättsområden som aktualiseras

 

vid utkontraktering ..............................................................

337

10.2.1

Inledning................................................................

337

10.2.2

Säkerhetsskydd......................................................

337

10.2.3

Sekretess ................................................................

338

10.2.4

Informationssäkerhet............................................

339

10.2.5

Dataskydd..............................................................

341

10.2.6

Arkiv ......................................................................

342

10.3 Gällande rätt om tystnadsplikt ............................................

342

10.3.1

Straffsanktionerad tystnadsplikt ..........................

342

10.3.2Tystnadsplikt i offentlighets- och

 

sekretesslagen ........................................................

342

10.3.3 Tystnadsplikt i privat verksamhet ........................

343

10.3.4

Tystnadsplikt i dataskyddsregleringen ................

345

10.3.5

Tystnadsplikt i säkerhetsskyddslagen..................

347

10.4 Sekretessöverväganden vid utkontraktering .......................

348

10.4.1

Osjälvständiga uppdragstagare .............................

348

10.4.2Utlämnande utan röjande av sekretessbelagda

uppgifter ................................................................

349

10.4.3Utlämnande av sekretessbelagda uppgifter

med stöd av förbehåll............................................

352

10.4.4Nödvändigt utlämnande av sekretessbelagda

 

uppgifter ................................................................

353

10.4.5

Avtalsreglerad tystnadsplikt .................................

354

10.5 Behovet av en författningsreglerad tystnadsplikt för

 

privata leverantörer...............................................................

355

10.5.1

JO:s beslut .............................................................

355

10.5.2Behovet av författningsreglerad tystnadsplikt

 

förs fram av olika aktörer .....................................

357

10.5.3

Vår kartläggning ....................................................

358

10.6 Överväganden och förslag....................................................

359

10.6.1

Behov av klara och tydliga regler .........................

359

10.6.2Tystnadsplikt för privata leverantörer bör

 

regleras i lag ...........................................................

361

10.6.3

Utformning av bestämmelsen om

 

 

tystnadsplikt ..........................................................

367

10.6.4

En ny sekretessbrytande bestämmelse.................

373

12

SOU 2018:25

Innehåll

10.6.5Utformning av en sekretessbrytande

 

 

bestämmelse ...........................................................

377

 

10.6.6 En särskild lag om tystnadsplikt införs................

379

 

10.6.7

Konsekvenser av förslagen ....................................

382

10.7

Informationssäkerhetsfrågor vid utkontraktering..............

384

11

It-avtal

...................................................................

387

11.1

Avtal – en central komponent i den digitala

 

 

förvaltningen .........................................................................

387

 

11.1.1 ............Kartläggningsresultatet och vårt uppdrag

387

 

11.1.2 Offentligt möter privat – upphandling och it-

 

 

.........................................................................

avtal

389

 

11.1.3 ........................................................

Några begrepp

391

11.2

Avtal i den .....................................offentliga förvaltningen

392

 

11.2.1 ................................................................

Inledning

392

11.2.2Statliga myndigheters avtal och andra

 

överenskommelser.................................................

392

11.2.3

Kommunala myndigheters avtal ...........................

394

11.3 Tidigare utredningsarbeten ..................................................

395

11.3.1

Inledning ................................................................

395

11.3.2 Utredningen om statliga myndigheters avtal.......

395

11.3.3It-utredningen om elektronisk

dokumenthantering ...............................................

396

11.3.4Kommunutredningen om kommunal

 

avtalssamverkan .....................................................

397

11.4 Närmare om it-avtal..............................................................

398

11.4.1

Inledning ................................................................

398

11.4.2

Avtals- och affärsförhållanden..............................

399

11.4.3 Vad ska it-avtalet reglera? .....................................

400

11.4.4Anskaffningsprocesser och it-avtal med

 

privata leverantörer................................................

405

11.4.5 Köp av it från annan statlig myndighet ................

411

11.4.6

Personuppgiftsbiträdesavtal..................................

411

11.4.7

Säkerhetsskyddsavtal.............................................

416

11.4.8Förvaltning av it-avtal – uppföljning och

kontroll...................................................................

417

13

Innehåll

SOU 2018:25

11.5

Befintligt avtalsstöd..............................................................

420

 

11.5.1

Upphandlingsmyndigheten ..................................

420

 

11.5.2

Kammarkollegiet ...................................................

421

 

11.5.3

Datainspektionen ..................................................

421

 

11.5.4

Säkerhetspolisen och Försvarsmakten.................

422

 

11.5.5 Sveriges kommuner och landsting .......................

422

11.6

Våra överväganden och förslag ............................................

423

 

11.6.1

Inledande överväganden .......................................

423

 

11.6.2 Utökat stöd för it-avtal.........................................

428

 

11.6.3 Utökat stöd för personuppgiftsbiträdesavtal ......

433

 

11.6.4

Konsekvenser av förslagen ...................................

438

12

Rättsutveckling för den digitala förvaltningen .............

441

12.1

Hur ska det fortsatta arbetet bedrivas? ...............................

441

12.1.1Juridik som stöd för förvaltningens

digitalisering ..........................................................

441

12.1.2Behovet av rättsutveckling som stöd för en

digital förvaltning ..................................................

443

12.1.3Organisation för beredning av

författningsförslag.................................................

446

12.1.4Ytterligare insatser för att möta behov av

 

rättsutveckling.......................................................

451

12.2 Analys av vissa frågor från kartläggningen .........................

452

12.2.1

Underskrifter och ärendeprocesser......................

452

12.2.2

Registerförfattningar och

 

 

informationsutbyten .............................................

466

12.2.3

Sekretessreglering och informationsutbyten ......

471

12.2.4

Grunddata och informationsförsörjning .............

477

12.2.5Gällande rätt om att ta del av information i

 

visst format............................................................

483

12.2.6

Öppna data ............................................................

489

12.2.7

Elektroniskt utlämnande av allmän handling ......

493

12.2.8Tryckfrihetsförordningen och

myndighetssamverkan ..........................................

498

12.2.9 Språklagen..............................................................

500

14

SOU 2018:25 Innehåll

13

Rapportering av arbete med it och digitalisering .........

503

13.1

Bättre underlag för bättre styrning ......................................

503

13.2

Befintlig rapportering av it och digitalisering .....................

504

13.3

Nyligen avslutat utredningsarbete .......................................

507

13.4

Reglering av uppgiftsskyldighet...........................................

508

13.5

Våra överväganden och förslag.............................................

509

 

13.5.1

Några utgångspunkter...........................................

509

 

13.5.2 Skyldighet att lämna uppgifter om

 

 

 

it-kostnader............................................................

510

 

13.5.3 Ny uppgiftsskyldighet förs in

 

 

 

i statistikregleringen ..............................................

512

 

13.5.4

Konsekvenser av förslagen....................................

519

14

Konsekvenser..........................................................

521

14.1

Finns det ett nollalternativ? .................................................

521

14.2

Generella konsekvenser ........................................................

522

14.3

Ytterligare konsekvenser av författningsförslagen .............

524

 

14.3.1 Tystnadsplikt vid utkontraktering av teknisk

 

 

bearbetning och lagring.........................................

524

14.3.2God offentlighetsstruktur för insyn i förvaltningens ärendehantering vid vissa

automatiserade förfaranden ..................................

524

14.3.3 Digital kommunikation.........................................

524

14.3.4Skyldighet att lämna uppgifter om

it-kostnader............................................................

524

14.4 Ytterligare konsekvenser av övriga förslag..........................

524

14.4.1Rättssäkra AI-förfaranden i en samverkande

 

förvaltning..............................................................

524

14.4.2

Digitala tjänster med eget utrymme.....................

524

14.4.3

Informationssäkerhet ............................................

525

14.4.4Utökat stöd för it-avtal och

personuppgiftsbiträdesavtal ..................................

525

14.4.5Organisation för beredning av

författningsförslag .................................................

525

15

Innehåll

SOU 2018:25

15

Ikraftträdande .........................................................

527

15.1

Ikraftträdande avseende den nya lagen och lagändringar...

527

15.2

Ikraftträdande avseende förordningsändring......................

527

16

Författningskommentar ............................................

529

16.1

Förslaget till lag (2019:000) om tystnadsplikt

 

 

vid utkontraktering av teknisk bearbetning och lagring ....

529

16.2

Förslaget till lag om ändring i offentlighets-

 

 

och sekretesslagen (2009:400) .............................................

533

16.3

Förslaget till lag om ändring

 

 

i förvaltningslagen (2017:900) .............................................

537

Bilagor

 

 

Bilaga 1

Kommittédirektiv 2016:98...........................................

543

Bilaga 2

Mötesstöd .....................................................................

555

16

Sammanfattning

Inledning

Digitaliseringen beskrivs som vår tids starkaste förändringsfaktor. Tecken på detta är tillgången till smarta mobiltelefoner och stora datamängder samt utvecklingen inom artificiell intelligens (AI) och sakernas internet. Denna utveckling påverkar den grundläggande verksamheten inom den offentliga förvaltningen inbegripet dess möjligheter att tillhandahålla service till privatpersoner och företag.

Den snabba teknik- och samhällsutvecklingen kräver ett pro- aktivt arbete med att rättsligt analysera hur den offentliga för- valtningen påverkas av digitaliseringen och vice versa. Vi ser att det finns och kommer att finnas fortsatt behov av att anpassa lag- stiftningen för att kunna stödja utvecklingen. I betänkandet utgår vi från de politiska mål och den inriktning som riksdag och regering givit och behandlar frågor om hur rättsliga utmaningar kan hanteras samtidigt som förvaltningens digitalisering främjas.

Värdegrunder i den digitala förvaltningen

De centrala värden som under lång tid burit upp den svenska för- valtningen behöver fortsatt vara en bas för den digitaliserade verksamheten. Det är givetvis angeläget att även det digitala sam- hället genomsyras av ett demokratiskt synsätt och att alla ska känna en grundtrygghet i den digitala förvaltningen.

För att enskildas tillit till den digitala förvaltningen ska upprätt- hållas är öppenhet i myndigheternas verksamhet genom möjlighet till insyn fortsatt av stor betydelse. En transparent förvaltning med ordning och reda på uppgifter och informationssamlingar är därtill en nödvändig förutsättning för att den offentliga förvaltningens

17

Sammanfattning

SOU 2018:25

datamängder ska kunna vidareutnyttjas på ett sätt som skapar både ekonomiska och i övrigt samhällsnyttiga värden.

En allt mer digitaliserad förvaltning kan samtidigt innebära att samhället öppnar upp för olika risker. God informationssäkerhet är därför nödvändig i den digitala förvaltningen. Att krav på rätts- säkerhet i grundlag och förvaltningslagstiftning följs och att dessa värden kan stärkas i den digitala förvaltningen utgör ytterligare centrala aspekter för den framtida utvecklingen. Frågor om vad som ur integritetssynpunkt kan anses tillåtet, såväl när det gäller data- skyddsreglering som sekretessreglering, är också centrala.

För att säkerställa en fortsatt trygg digital förvaltning, som också är innovativ och effektiv, har utredningen beaktat och utgått från de värden som här kort presenterats.

Kartläggning av hindrande eller hämmande lagstiftning

Vårt uppdrag är att i ett brett perspektiv kartlägga lagstiftning som i onödan försvårar digitalisering och digital samverkan inom den offentliga förvaltningen. Vi har träffat representanter för myndig- heter och andra berörda aktörer vid 28 särskilda s.k. kartläggnings- möten. Vid urvalet av de verksamheter vi besökt har ansatsen varit att inhämta information ur ett brett perspektiv. I syfte att bl.a. få synpunkter från den privata sektorn har vi vidare anordnat en hearing och även sökt kunskap vid andra aktiviteter, t.ex. deltagande i olika nätverksträffar. I betänkandet presenteras den övergripande bilden av kartläggningsresultatet.

Bland områden där hindrande eller hämmande lagstiftning upp- märksammats särskilt under kartläggningen kan nämnas digital kommunikation med enskilda, frågor om elektroniska identiteter, underskrifter och annan koppling till person, frågor om grunddata, informationsförsörjning och informationsutbyten liksom frågor om digitalisering av ärendeprocesser och automation i förvaltningen. Därtill redovisar vi vårt kartläggningsresultat gällande öppenhet i den digitala förvaltningen, bl.a. vad avser rättsliga frågeställningar som rör öppna data. Kartläggningsresultat visar också på flera frågor om upphandling, utkontraktering och it-avtal. Frågor som rör myndig-

18

SOU 2018:25

Sammanfattning

hetssamverkan, kompetens och stöd liksom samverkan kring för- fattningsändringar har också förts fram under kartläggningen vilket redovisas i betänkandet.

En reflektion över kartläggningsresultatet är att lagstiftningen i vidsträckt bemärkelse omfattande lag, förordning eller föreskrift, kan hindra eller hämma digital utveckling inom förvaltningen på flera sätt; genom uppenbara rättsliga hinder, rättslig osäkerhet eller genom avsaknad av reglering.

Automation i förvaltningen

I betänkandet analyseras om gällande rätt nu och framöver möjliggör en tillräckligt god offentlighetsstruktur för att säkerställa insyn i hur förvaltningens verksamhet bedrivs. Detta gäller särskilt vid automa- tiserade förfaranden när algoritmer med anknytande datorprogram får en allt mer framträdande roll i myndigheters verksamhet. Fråge- ställningen bottnar i att beslutsfattande och urvalsförfaranden för kontroll m.m. i ökad grad sker helt eller delvis automatiserat med stöd av nya tekniker i stället för av mänskliga handläggare som kan svara på frågor om hur verksamheten bedrivs. Vi bedömer att en anpassning bör göras i den reglering som säkerställer insynsmöjlig- heter när vissa sådana automatiserade förfaranden används, i syfte att undanröja en rättslig osäkerhet som nu hindrar eller hämmar digitaliseringen samtidigt som offentlighetsprincipen säkerställs och rättssäkerheten stärks.

Vi föreslår närmare bestämt att det ska regleras i författning att en myndighet ska se till att kunna lämna information om hur myndigheten vid handläggning av mål eller ärenden använder algo- ritmer eller datorprogram som, helt eller delvis, påverkar auto- matiserade urval eller beslut. Bestämmelsen föreslås införas i 4 kap. offentlighets- och sekretesslagen (2009:400).

Vi lämnar också förslag som främjar inhämtande av besluts- underlag på annat sätt än direkt från enskilda samtidigt som för- valtningen säkerställer ordning och reda på beslutsunderlag. Upp- gifter som utgör underlag i ett mål eller ärende ska som huvudregel tillföras handlingarna i det målet eller ärendet, även när underlaget kommer från databaser eller andra digitala källor. En myndighet behöver dock inte tillföra underlaget om det finns särskilda skäl mot

19

Sammanfattning

SOU 2018:25

det, men föreslås då behöva se till att information kan lämnas om vilken eller vilka databaser eller andra digitala källor som innehåller ett underlag för handläggningen. Förslaget innebär en anpassning av 4 kap. 3 § offentlighets- och sekretesslagen.

De föreslagna bestämmelserna ska inte påverka tillämpningen av sekretessregleringen.

Vi föreslår också organiserat arbete för att framgent säkerställa rättssäkra förfaranden när förvaltningen använder artificiell intelligens med maskininlärda algoritmer samtidigt som såväl innovation som samverkan främjas.

Digital kommunikation

I vårt uppdrag ska vi särskilt analysera och föreslå vilket författ- ningsstöd som krävs för att tillvarata den fulla potentialen i reger- ingens satsning Digitalt först. Det handlar om att möjliggöra en övergång från traditionella ärendeflöden till digitala informations- utbyten mellan den offentliga förvaltningen och individer eller privata aktörer.

Vi föreslår en ny och anpassad reglering om digital kommuni- kation i förvaltningslagen (2017:900). Syftet är att stärka kraven på att förvaltningen ska vara digitalt tillgänglig på det sätt som allmän- heten förväntar sig, samtidigt som tilliten till digitala förfaranden stärks med klara regler om hur sådan kommunikation förväntas gå till.

Förslagen innehåller en ny huvudregel om att myndigheter ska vara skyldiga att tillhandahålla, och på lämpligt sätt anvisa, en eller flera digitala mottagningsfunktioner dit handlingar kan förmedlas. För att säkerställa en lämplig balans mellan intressen av bl.a. effek- tivitet och säkerhet föreslås att huvudregeln inte tillämpas om det är olämpligt av säkerhetsskäl eller av andra skäl. Ytterligare anpass- ningar i fråga om förvaltningens kommunikation föreslås också för att skapa tillit till förvaltningens digitala förfaranden. Det gäller reglering om ankomstdag för handlingar som förmedlas digitalt till förvaltningen och om underrättelser om ankomst.

Vi föreslår också en ny huvudregel om att förvaltningens kom- munikation till enskilda ska vara digital, om det inte är olämpligt av säkerhetsskäl eller av andra skäl. Enskilda ska också kunna meddela

20

SOU 2018:25

Sammanfattning

att de inte önskar ta emot skriftliga underrättelser eller andra hand- lingar från myndigheten i digital form.

För att stärka de rättsliga förutsättningarna för tillhandahållande av digitala tjänster där ärenden t.ex. kan inledas föreslår vi också att en myndighet bör ges i uppdrag att ta fram allmänna råd eller annat stödmaterial som avser utformningen av sådana tjänster.

Informationssäkerhet

Förvaltningens digitalisering kan inte diskuteras utan att frågor om informationssäkerhet belyses särskilt. Det kan konstateras att reglering beträffande informationssäkerhet som träffar olika aktörer och information, med delvis olika syften, finns spridd i olika före- skrifter. För närvarande pågår också ett antal utredningar och andra initiativ som syftar till att stärka informationssäkerheten ytterligare i den offentliga förvaltningen. Vi ser också en tydlig utveckling, både på EU-nivå och nationellt, att i allt större utsträckning ställa rättsliga krav på informationssäkerhet. Här kan exempelvis nämnas NIS- direktivet1 och dataskyddsförordningens2 uttalade krav på säkerhet och förslaget till en reformerad säkerhetsskyddslag.3

Ett mer sammanhållet arbete med informationssäkerhet i den offentliga förvaltningen har potential att effektivisera den digitala utvecklingen utan att säkerheten åsidosätts. Det gäller inte minst när myndigheter samarbetar i gemensamma utvecklingsarbeten som innefattar informationsutbyten. Mot den bakgrunden bedömer vi att det även efter genomförandet av bl.a. NIS-direktivet och ikraft- trädandet av en ny säkerhetsskyddslag, kommer att vara angeläget att utforma en generell informationssäkerhetsreglering som omfattar hela förvaltningen, dvs. också kommuner och landsting.

I syfte att stärka informationssäkerheten i hela den offentliga förvaltningen föreslår vi därför att regeringen låter utreda förut- sättningarna för att ta fram en kompletterande reglering om infor- mationssäkerhet som omfattar hela den offentliga förvaltningen.

1Europaparlamentets och rådets direktiv (EU) 2016/1148 av den 6 juli 2016 om åtgärder för en hög gemensam nivå på säkerhet i nätverks- och informationssystem i hela unionen.

2Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).

3Ett modernt och stärkt skydd för Sveriges säkerhet – ny säkerhetsskyddslag, prop. 2017/18:89.

21

Sammanfattning

SOU 2018:25

Tystnadsplikt för privata leverantörer

Ur olika perspektiv står frågor om samverkan i fokus för vårt uppdrag. Samverkan i förhållande till privata leverantörer av it-drift och andra it-baserade funktioner har också kommit att utkristallisera sig som ett centralt område. En förklaring till detta är att myndig- heter inte alltid har möjlighet att med egna resurser effektivt utveckla de digitala förfaranden som används eller kommer att behöva användas för fortsatt digitalisering i förvaltningen.

Frågan om sekretessregleringen utgör hinder för att i vissa fall lämna ut uppgifter som omfattas av sekretess till privata leverantörer i samband med utkontraktering har diskuterats sedan en tid. Diskussionen har lyfts fram även under vår kartläggning, eftersom osäkerheten kring rättsliga förutsättningar för att utkontraktera särskilt it-drift och andra it-baserade funktioner kan hindra eller hämma digitaliseringen i den offentliga sektorn. En myndighets utlämnande av sekretessreglerade uppgifter vid utkontraktering måste baseras på klara och tydliga regler och skyddet för uppgifter som omfattas av sekretess behöver vara starkt.

Vi föreslår därför en i lag reglerad tystnadsplikt för uppgifter som omfattas av sekretess och som lämnas ut till en privat leverantör i samband med utkontraktering när det är fråga om enbart teknisk bearbetning eller lagring. Tystnadsplikten ska gälla för anställda och uppdragstagare hos en privat leverantör som tekniskt bearbetar eller lagrar uppgifter för en myndighets räkning. Bestämmelsen om tystnadsplikt föreslås införas i en ny lag som ska benämnas lag om tystnadsplikt vid utkontraktering av teknisk bearbetning och lagring. Lagen, som är subsidiär i förhållande till säkerhetsskydds- lagstiftningen, ska tillämpas när myndigheter, eller vissa organ eller verksamheter som trätt i stället för en myndighet, uppdrar åt en privat leverantör att behandla uppgifter för enbart teknisk bearbet- ning eller lagring för myndighetens, organets eller verksamhetens räkning. Den föreslagna bestämmelsen om tystnadsplikt är straff- sanktionerad.

Vi föreslår också en ny sekretessbrytande bestämmelse för att myndigheter i samband med utkontraktering av enbart teknisk bearbetning eller lagring ska kunna lämna ut sekretessbelagda upp- gifter till privata eller offentliga leverantörer. Ett sådant sekretess- genombrott får emellertid bara ske om uppgiften behövs för att

22

SOU 2018:25

Sammanfattning

leverantören ska kunna utföra uppdraget. En uppgift får inte heller lämnas ut om övervägande skäl talar för att det intresse som sekretessen ska skydda har företräde framför intresset av att upp- giften lämnas ut eller det av andra skäl är olämpligt. Bestämmelsen föreslås införas i 10 kap. offentlighets- och sekretesslagen.

It-avtal

Mot bakgrund av vår kartläggning har vi funnit anledning att också belysa förvaltningens it-avtal med anknytande personuppgifts- biträdesavtal. I syfte att skapa bättre förutsättningar för att hantera rättsliga utmaningar med anledning av den fortsatta digitaliseringen bedömer vi att myndigheter allmänt sett bör tillhandahållas utökat stöd i arbetet med att formulera juridiskt hållbara och affärsmässigt gynnsamma villkor i it-avtal.

Vi föreslår därför att den nya Myndigheten för digital förvaltning får i uppdrag att främja den offentliga förvaltningens digitala investe- ringar genom att stödja myndigheters inköps- och avtalsprocesser och bidra till spridning av goda exempel i fråga om it-avtal.

Vidare föreslår vi ett särskilt uppdrag till vissa myndigheter om ett gemensamt organiserat arbete med att utforma standardavtals- klausuler för personuppgiftsbiträdesavtal. Förslaget gäller sådana personuppgiftsbiträdesavtal som tecknas mellan en myndighet och en privat leverantör i fråga om myndigheters köp av it-drift eller andra it-baserade funktioner.

Rättsutveckling för den digitala förvaltningen

Åtgärder och ställningstaganden från såväl riksdag som regering pekar mot att förvaltningens arbete med digitalisering nu ska genomdrivas med ökat fokus. De förslag till författningsändringar och andra åtgärder som vi lämnar i detta betänkande för att ge en stabil och förvaltningsgemensam bas där juridiken stödjer fortsatt digitalisering kommer inte att vara tillräckliga för att möta de kom- mande årens behov av förändringar i lagstiftningen. Det finns ett väsentligt större förändringsbehov i lagstiftningen än vad vi inom ramen för denna utredning har haft i uppdrag att ta omhand.

23

Sammanfattning

SOU 2018:25

Våra analyser i flera av de frågeställningar som förts fram under kartläggningen redovisas i betänkandet. Fortsatta rättsliga över- väganden och ställningstaganden kommer emellertid att behöva göras för att möjliggöra eller stödja digitaliseringen av förvaltningen, samtidigt som teknikutvecklingen fortsätter.

Det kommer att krävas prioriteringar och avvägningar kring hur de rättsliga resurserna används på bästa sätt för att så resurseffektivt som möjligt åstadkomma den rättsutveckling som önskas. Vi bedömer att formerna för samordning av arbetet med författnings- ändringar kan förbättras så att ändringar kan åstadkommas i rätt tid och i lämplig omfattning för att inte hindra eller hämma önskad digital utveckling inom förvaltningen.

Vi föreslår därför att regeringen tillsätter ett rättsligt bered- ningsorgan i form av en kommitté eller särskild utredare som under de närmast kommande åren får i uppdrag att löpande ta fram bered- ningsunderlag för anpassning av gällande rätt vid ärendehandlägg- ning som stöds av såväl befintliga som nya former för digital infor- mationsförsörjning.

I förlängningen ser vi behov av ytterligare insatser för att säker- ställa att Sverige kan ligga i framkant vad gäller rättsliga förut- sättningar för digitalisering. Här kan den nya Myndigheten för digital förvaltning få en roll att spela. Vi lämnar i denna del inte något förslag, med anledning av att myndigheten för närvarande är under bildande, men bedömer att regeringen bör överväga att i den nya myndigheten också inrätta en funktion med juridisk expertis.

Rapportering av arbete med it och digitalisering

I vårt uppdrag ska vi vidare analysera och lämna förslag på hur en utvidgad rapportering av hela den offentliga förvaltningens löpande arbete med it och digitalisering kan åstadkommas och utformas. It- kostnader utgör det andra största utgiftsslaget i statsförvaltningens verksamhetskostnader och uppgår till uppskattningsvis mellan 25 och 30 miljarder kronor per år. För kommuner, landsting och regioner saknas motsvarande uppgifter om it-kostnadernas storlek.

En rapportering av den offentliga förvaltningens löpande arbete med it och digitalisering syftar enligt vår uppfattning bl.a. till att skapa förutsättningar för bättre uppföljning, styrning, samordning

24

SOU 2018:25

Sammanfattning

och kostnadskontroll av hela den offentliga förvaltningens digitala utveckling. Det krävs en god kontroll över de kostnader som digitaliseringen för med sig och en styrning mot digitalisering av de förfaranden där störst mervärde kan skapas.

Vi har mot den bakgrunden bedömt att den offentliga förvalt- ningen i författning bör åläggas en skyldighet att lämna uppgifter om it-kostnader. Vi har också bedömt att regelverket kring den officiella statistiken kan utgöra en lämplig rättslig infrastruktur för en sådan uppgiftsskyldighet.

Vi föreslår att det i förordningen (2001:100) om den officiella statistiken föreskrivs att kommuner, landsting och kommunalför- bund ska lämna uppgifter om it-kostnader för den officiella statis- tiken. Vi föreslår vidare att Myndigheten för digital förvaltning ska vara ansvarig myndighet för den officiella statistiken för statistik- området it-kostnader, och att it-kostnader ska vara ett statistikområde under ämnesområdet offentlig ekonomi. Statliga myndigheters upp- giftsskyldighet är redan i dag mer vidsträckt och det krävs ingen ytterligare reglering för att även uppgifter om it-kostnader ska kunna samlas in från dessa myndigheter. Det framgår av befintlig reglering att det ankommer på varje statistikansvarig myndighet att hitta metoder som kan minska uppgiftslämnarbördan. Vi föreslår vidare att regeringen i förordning med instruktion för Myndigheten för digital förvaltning ska utfärda nödvändiga föreskrifter för uppdraget.

25

Summary

Using the law to support digitalisation of public administration

The Inquiry’s remit has focused on the legal considerations for public administration that is digitally interoperable. The remit included surveying and analysing the extent to which there is legislation that unnecessarily obstructs digital transformation and interoperability in public administration.

The remit also included presenting proposals for the legislative amendments considered to offer the greatest potential to support continued digitalisation of public administration. We also present certain other measures aimed at creating better conditions for handling legal challenges resulting from the digitalisation of public administration.

We present proposed amendments to Chapter 4 of the Public Access to Information and Secrecy Act (2009:400) aimed at making it easier for public authorities to maintain a good structure for public access to information in certain automated procedures, while safe- guarding the principle of public access to official documents and strengthening legal certainty. This means ensuring the ability to provide insight into certain automated procedures when algorithms or computer programmes are used in connection with selection or decision-making processes. The Inquiry also presents proposals that promote the possibilities for public administration to collect decision-making data by means other than directly from individuals, at the same time as public administration safeguards good order regarding decision-making data collected or read from digital sources.

We also present proposals for continued organised work to ensure legally certain procedures when public administration uses AI

27

Summary

SOU 2018:25

systems with machine learning algorithms, while promoting both innovation and interoperability.

In our report, we further propose introducing new and adapted regulations on digital communication in the Administrative Procedure Act (2017:900). The aim is to strengthen requirements on public administration to meet the public’s expectations of digital accessi- bility, at the same time as clear rules on how this communication is expected to take place strengthen confidence in digital procedures. The proposals contain a new general rule stipulating that public authorities will be required to provide and, in an appropriate manner, allocate one or more digital reception functions to which documents can be delivered. Certain exceptions to the general rule are proposed to guarantee a good balance between the interests of e.g. efficiency and security. Additional adjustments are also proposed when it comes to communication by public administration in order to create confidence in public administration’s digital procedures concerning adjustment of rules on the date of arrival for documents sent digitally to a public administration body and on notifications. To strengthen the legal conditions for the provision of digital services where cases can be opened, we have also proposed tasking a public authority with drafting general advice or other support material regarding the design of such services. We also propose a new general rule stating that public administration communications to individuals must be digital.

Digital administration must be legally certain as well as being secure in other aspects. Therefore, in addition to the proposals presented above, the Inquiry also presents some proposals aimed at creating a stable legal basis for the continued development of a digital administration that is interoperable both internally and in relation to private actors. We propose that the Government appoint an inquiry to examine the need to strengthen regulations on information security for public administration as a whole. We also propose a new act on confidentiality when outsourcing to private suppliers who handle public authority information solely for technical processing or storage purposes. In addition, we propose a new provision that overrides secrecy in Chapter 10 of the Public Access to Information and Secrecy Act to allow public authorities to provide certain classified information to private or public suppliers in connection with outsourcing of technical processing or storage. Furthermore, we propose strengthening the conditions for handling legal challenges resulting from digitalisation

28

SOU 2018:25

Summary

by means of the Government tasking certain public authorities with providing increased support in authorities’ IT agreement processes and with regard to personal data processor agreements.

Measures and positions from both the Riksdag and the Government indicate that even greater focus will now be given to digitalisation work carried out by public administration. Our remit also included presenting proposals on how all actors in public administration can collaborate on the need for new or amended legislation to promote digitalisation. We propose that the Govern- ment appoint a legal preparatory body that, over the next few years, is tasked with regularly providing preparatory material for adapting current legislation on digitalisation of case processing in public administration, supported by digital information exchanges and new forms of digital information supply.

In addition, the Inquiry was tasked with providing proposals on possible designs for augmented reporting of the entire public administration’s regular work on IT and digitalisation. In this part of its remit, the Inquiry proposes that, in the Official Statistics Ordinance (2001:100), an obligation be imposed on public admini- stration to provide information on IT costs.

29

1 Författningsförslag

1.1Förslag till lag (2019:000) om tystnadsplikt vid utkontraktering av teknisk bearbetning och lagring

Härigenom föreskrivs följande.

Lagens tillämpningsområde

1 § Denna lag gäller när en myndighet uppdrar åt en privat leveran- tör att behandla uppgifter för enbart teknisk bearbetning eller tek- nisk lagring för myndighetens räkning.

2 § Vid tillämpningen av denna lag ska följande organ och verk- samheter jämställas med en myndighet

1.aktiebolag, handelsbolag, ekonomiska föreningar och stiftelser där kommuner, landsting eller kommunalförbund utövar ett rättsligt bestämmande inflytande enligt 2 kap. 3 § offentlighets- och sekretess- lagen (2009:400),

2.de organ som anges i bilagan till offentlighets- och sekretess- lagen beträffande den verksamhet som anges där, eller

3.en yrkesmässigt bedriven enskild verksamhet som till någon del är offentligt finansierad och som anges i 2 § första stycket lag (2017:151) om meddelarskydd i vissa enskilda verksamheter.

3 § Om det i säkerhetsskyddslagen (2018:000) eller i säkerhets- skyddsförordningen (1996:633) finns bestämmelser som avviker från denna lag ska de bestämmelserna gälla.

31

Författningsförslag

SOU 2018:25

Tystnadsplikt

4 § Den som på grund av anställning eller uppdrag hos en privat leverantör tekniskt bearbetar eller tekniskt lagrar uppgifter för en myndighets räkning, får inte obehörigen röja eller utnyttja dessa uppgifter.

I det allmännas verksamhet tillämpas i stället bestämmelserna i offentlighets- och sekretesslagen (2009:400).

_________

Denna lag träder i kraft den 1 juli 2019.

32

Om en myndighet för hand- läggning av ett mål eller ärende använder sig av ett underlag i en databas eller annan digital källa, ska underlaget tillföras handling- arna i målet eller ärendet i läsbar form. En myndighet behöver inte tillföra underlaget till handlingarna i målet eller ärendet enligt första meningen om det finns särskilda skäl mot det.
När en myndighet tillämpar första stycket andra meningen ska myndigheten se till att informa- tion kan lämnas om vilken eller vilka databaser eller andra digi- tala källor som innehåller ett underlag för handläggningen av målet eller ärendet.
33

SOU 2018:25

Författningsförslag

1.2Förslag till lag om ändring i offentlighets- och sekretesslagen (2009:400)

Härigenom föreskrivs i fråga om offentlighets- och sekretesslagen (2009:400)

dels att 4 kap. 3 § och rubriken före 4 kap. 3 § ska ha följande lydelse,

dels att det ska införas två nya paragrafer, 4 kap. 3 a § och 10 kap. 2 a §, och en ny rubrik före 10 kap. 2 a § av följande lydelse.

Nuvarande lydelse

Föreslagen lydelse

4 kap.

Överföring av upptagning för God offentlighetsstruktur vid vissa automatiserad behandling i läsbar automatiserade förfaranden

form i vissa fall

3 §

Om en myndighet för hand- läggning av ett mål eller ärende använder sig av en upptagning för automatiserad behandling, ska upptagningen tillföras hand- lingarna i målet eller ärendet i läsbar form, om det inte finns särskilda skäl mot det.

Författningsförslag

SOU 2018:25

3 a §

En myndighet ska se till att information kan lämnas om hur myndigheten vid handläggning av mål eller ärenden använder algo- ritmer eller datorprogram som, helt eller delvis, påverkar utfallet eller beslutet vid automatiserade urval eller beslut.

10 kap.

Teknisk bearbetning och lagring

2 a §

Sekretess hindrar inte att en uppgift lämnas ut till en enskild eller till en annan myndighet som utför uppdrag för enbart teknisk bearbet- ning eller teknisk lagring för den utlämnande myndighetens räkning, om uppgiften behövs för att utföra uppdraget.

En uppgift ska inte lämnas ut om 1. övervägande skäl talar för att det intresse som sekretessen ska skydda har företräde framför intres-

set av att uppgiften lämnas ut, eller 2. det av andra skäl är olämpligt.

Denna lag träder i kraft den 1 juli 2019.

34

SOU 2018:25

Författningsförslag

1.3Förslag till lag om ändring i förvaltningslagen (2017:900)

Härigenom föreskrivs i fråga om förvaltningslagen (2017:900) dels att 22, 25 och 33 §§ ska ha följande lydelse,

dels att det ska införas tre nya paragrafer, 7 a, 8 a, och 22 a §§, två nya rubriker före 8 a § och en ny rubrik före 22 a § av följande lydelse.

Lydelse enligt SFS 2017:900

Föreslagen lydelse

 

7 a §

 

En myndighet ska tillhandahålla

 

och på lämpligt sätt anvisa en eller

 

flera digitala mottagningsfunktioner

 

dit handlingar kan förmedlas, om

 

det inte är olämpligt av säkerhetsskäl

 

eller av andra skäl.

 

Digital kommunikation

 

Hur handlingar översänds till

 

enskilda

 

8 a §

 

En myndighets skriftliga un-

 

derrättelser eller andra handlingar

 

till enskilda ska förmedlas digitalt,

 

om det inte är olämpligt av säker-

 

hetsskäl eller av andra skäl.

 

Enskilda kan meddela att de inte

 

önskar ta emot skriftliga under-

 

rättelser eller andra handlingar från

 

myndigheten digitalt.

35

Författningsförslag

SOU 2018:25

22 §

En handling har kommit in till en myndighet den dag som handlingen når myndigheten eller en behörig befattningshavare.

Om en handling genom en postförsändelse eller en avi om en betald postförsändelse som innehåller handlingen har nått en myndighet eller behörig befattningshavare en viss dag, ska hand- lingen dock anses ha kommit in närmast föregående arbetsdag, om det inte framstår som osannolikt att handlingen eller avin redan den föregående arbetsdagen skilts av för myndigheten på ett postkontor.

En handling som finns i en myndighets postlåda när myndigheten tömmer den första gången en viss dag ska anses ha kommit in närmast föregående arbetsdag.

En handling som förmedlats till en anvisad digital mottag- ningsfunktion ska anses ha kom- mit in när den tagits emot där.

Underrättelse om ankomst

22 a §

När en handling har anlänt till en anvisad digital mottagnings- funktion ska myndigheten digitalt förmedla underrättelse till avsän- daren om detta.

Myndigheten behöver inte för- medla underrättelse till avsändaren enligt första stycket om

1. det på annat sätt framgår för avsändaren att handlingen har tagits emot,

2. handlingen utan onödigt dröjs- mål besvaras med ett helt eller delvis automatiserat beslut, eller

3. det är olämpligt.

36

Myndigheten bestämmer om underrättelse ska ske muntligen eller skriftligen. En underrättelse ska dock alltid vara skriftlig om en part begär det. Underrättelse får ske genom delgivning.

SOU 2018:25

Författningsförslag

25 §

Innan en myndighet fattar ett beslut i ett ärende ska den, om det inte är uppenbart obehövligt, underrätta den som är part om allt material av betydelse för beslutet och ge parten tillfälle att inom en bestämd tid yttra sig över materialet. Myndigheten får dock avstå från sådan kommunikation, om

1.ärendet gäller anställning av någon och det inte är fråga om prövning i högre instans efter överklagande,

2.det kan befaras att det annars skulle bli avsevärt svårare att genomföra beslutet, eller

3.ett väsentligt allmänt eller enskilt intresse kräver att beslutet meddelas omedelbart.

Myndigheten bestämmer hur

Myndigheten bestämmer om

underrättelse ska ske. Underrät-

underrättelse ska ske muntligen

telse får ske genom delgivning.

eller skriftligen. Underrättelse får

 

ske genom delgivning.

Underrättelseskyldigheten gäller med de begränsningar som följer av 10 kap. 3 § offentlighets- och sekretesslagen (2009:400).

33 §

En myndighet som meddelar ett beslut i ett ärende ska så snart som möjligt underrätta den som är part om det fullständiga innehållet i beslutet, om det inte är uppenbart obehövligt.

Om parten får överklaga beslutet ska han eller hon även under- rättas om hur det går till. Myndigheten ska samtidigt upplysa parten om avvikande meningar som har antecknats enligt 30 § eller enligt särskilda bestämmelser i någon annan författning. En underrättelse om hur man överklagar ska innehålla information om vilka krav som ställs på överklagandets form och innehåll och vad som gäller i fråga om ingivande och överklagandetid.

Myndigheten bestämmer hur underrättelsen ska ske. En under- rättelse ska dock alltid vara skrift- lig om en part begär det. Under- rättelse får ske genom delgivning.

Denna lag träder i kraft den 1 juli 2019.

37

Författningsförslag

SOU 2018:25

1.4Förslag till förordning om ändring i förordningen (2001:100) om den officiella statistiken

Härigenom föreskrivs i fråga om förordningen (2001:100) om den officiella statistiken att 5 c och 5 d §§ och bilagan ska ha följande lydelse.

Nuvarande lydelse

Föreslagen lydelse

5 c §1

Kommuner och landsting ska för den officiella statistiken lämna de uppgifter som avses i 5 § 1–7, samt uppgifter om

1.preliminära och definitiva årliga bokslut,

2.budget och plan för resultat- och balansräkning enligt 5 kap.

1och 2 §§ lagen (1997:614) om kommunal redovisning,

3.utfall av kommunernas och landstingens resultaträkning för räkenskapsårets första tertial samt årsprognoser för innevarande år vid utgången av samma tertial,

4. kommun- och landstings-

4. kommun- och landstings-

ägda företag, och

ägda företag,

5. alternativa utförare av kom-

5. alternativa utförare av kom-

mun- och landstingsfinansierad

mun- och landstingsfinansierad

verksamhet.

verksamhet, och

 

6. it-kostnader.

Kommuner och landsting ska för den officiella statistiken dess- utom lämna kvartalsvisa uppgifter om intäkter och kostnader, finan- siella tillgångar och skulder, balansräkningsposter, investerings- utgifter samt kvartalsvisa årsprognoser för dessa.

5 d §2

Kommunalförbund ska för den

Kommunalförbund ska för den

officiella statistiken lämna de upp-

officiella statistiken lämna de upp-

gifter som avses i 5 § 1–7 och upp-

gifter som avses i 5 § 1–7, uppgifter

gifter från de årliga boksluten.

från de årliga boksluten och upp-

 

gifter om it-kostnader.

Kommunalförbund ska för den officiella statistiken dessutom lämna kvartalsvisa uppgifter om intäkter och kostnader, finansiella

1Senaste lydelse 2013:946.

2Senaste lydelse 2013:946.

38

SOU 2018:25 Författningsförslag

tillgångar och skulder, balansräkningsposter, investeringsutgifter samt kvartalsvisa årsprognoser för dessa.

Nuvarande lydelse

Bilaga3

Den officiella statistiken

De statistikansvariga myndig- heterna

Arbetsmiljöverket Brottsförebyggande rådet Centrala studiestödsnämnden Domstolsverket Ekonomistyrningsverket Finansinspektionen Försäkringskassan

Havs- och vattenmyndigheten Kemikalieinspektionen Konjunkturinstitutet Kungliga biblioteket Medlingsinstitutet

Myndigheten för familjerätt och föräldraskapsstöd

Myndigheten för kulturanalys Myndigheten för tillväxtpoli- tiska utvärderingar och analyser Naturvårdsverket Pensionsmyndigheten Riksgäldskontoret Skogsstyrelsen

Socialstyrelsen

Statens energimyndighet Statens jordbruksverk Statens skolverk Statistiska centralbyrån

Sveriges lantbruksuniversitet Tillväxtverket

Trafikanalys

Universitetskanslersämbetet

----------------------------------------------------------------------------

3 Senaste lydelse 2018:35.

39

Författningsförslag SOU 2018:25

-----------------------------------------------------------------------------

Officiell statistik och vilka myndigheter som ansvarar för respektive område

Officiell statistik Ansvarig myndighet

-----------------------------------------------------------------------------

OFFENTLIG EKONOMI

 

Finanser för den kommunala

SCB

sektorn

 

Statlig upplåning och statsskuld

Riksgäldskontoret

Beskattning

SCB

Utfallet av statsbudgeten

Ekonomistyrningsverket

PRISER OCH KONSUMTION

-----------------------------------------------------------------------------

Föreslagen lydelse

Bilaga

Den officiella statistiken

De statistikansvariga myndig- heterna

Arbetsmiljöverket Brottsförebyggande rådet Centrala studiestödsnämnden Domstolsverket Ekonomistyrningsverket Finansinspektionen Försäkringskassan

Havs- och vattenmyndigheten Kemikalieinspektionen Konjunkturinstitutet Kungliga biblioteket Medlingsinstitutet

Myndigheten för digital förvalt- ning

Myndigheten för familjerätt och föräldraskapsstöd

Myndigheten för kulturanalys Myndigheten för tillväxtpoli- tiska utvärderingar och analyser

40

SOU 2018:25 Författningsförslag

Naturvårdsverket

Pensionsmyndigheten Riksgäldskontoret Skogsstyrelsen Socialstyrelsen

Statens energimyndighet Statens jordbruksverk Statens skolverk Statistiska centralbyrån

Sveriges lantbruksuniversitet Tillväxtverket

Trafikanalys Universitetskanslersämbetet

-----------------------------------------------------------------------------

Officiell statistik och vilka myndigheter som ansvarar för respektive område

Officiell statistik Ansvarig myndighet

-----------------------------------------------------------------------------

OFFENTLIG EKONOMI

Finanser för den kommunala

SCB

sektorn

 

Statlig upplåning och statsskuld

Riksgäldskontoret

Beskattning

SCB

Utfallet av statsbudgeten

Ekonomistyrningsverket

It-kostnader

Myndigheten för digital förvalt-

 

ning

PRISER OCH KONSUMTION

 

-----------------------------------------------------------------------------

Denna förordning träder i kraft den 1 januari 2019.

41

2Utredningens uppdrag och arbete

2.1Utredningens uppdrag

Regeringen beslutade den 24 november 2016 att ge en särskild utredare i uppdrag att kartlägga och analysera i vilken utsträckning det förekommer lagstiftning som i onödan försvårar digital ut- veckling och samverkan inom den offentliga förvaltningen (se bilaga 1). Av utredningsdirektiven framgår bl.a. att utredaren ska lämna förslag till de författningsändringar som bedöms ha störst potential att stödja den fortsatta digitaliseringen av den offentliga förvaltningen. Utredaren ska vidare lämna förslag till hur en ut- vidgad rapportering av hela den offentliga förvaltningens löpande arbete med användning av it och digitalisering kan utformas samt hur aktörerna inom förvaltningen som helhet kan samverka kring behovet av ny eller ändrad lagstiftning för att främja digitaliseringen.

Det kan noteras att uppdraget att kartlägga och lämna för- fattningsförslag omfattar hela den offentliga förvaltningen och all den förvaltningsgemensamma lagstiftningen förutom grundlag och därtill inte heller författningar på personuppgiftsområdet. Begräns- ningen gäller emellertid bara i förhållande till de författningsförslag som lämnas. I utredningsarbetet har vi därför inte sett oss för- hindrade att inkludera såväl grundlagsområdet som personuppgifts- området i kartläggningen och efterföljande analys.

Vårt omfattande uppdrag i kombination med den begränsade tid vi har haft till förfogande har gjort det nödvändigt med vissa priori- teringar av vilka frågor vi ska ta oss an. Mot denna bakgrund har vi valt att lägga fokus på förvaltningsgemensam lagstiftning och rätts- frågor som enligt vår bedömning har bäst förutsättningar att ge störst effekt för att stödja hela den offentliga förvaltningens digita- lisering. Därtill har vi också prioriterat att lyfta fram vissa områden,

43

Utredningens uppdrag och arbete

SOU 2018:25

såsom informationssäkerhet och it-avtal, som också spelar en av- görande roll för att den offentliga sektorn ska fortsätta sin utveck- ling i riktning mot en trygg, innovativ och effektiv digital förvalt- ning.

2.2Utredningens arbete

Vi har varit angelägna om att bedriva ett utåtriktat utredningsarbete för att få ett så brett och djupt underlag som möjligt. Det gäller både underlag om användning och utveckling av it i den offentliga sektorn och underlag kring vilken lagstiftning som kan anses försvåra digita- lisering inklusive digital samverkan inom förvaltningen.

Vi har genomfört totalt 28 kartläggningsmöten där vi har träffat företrädare för både statliga och kommunala myndigheter liksom privata aktörer med en nära koppling till den offentliga sektorn (se vidare kapitel 5.1.2 om vår metod i kartläggningsarbetet och vilka aktörer som deltagit). Vi har därutöver bl.a. haft ett särskilt möte med Kammarkollegiet och ett antal möten med privata företag som erbjuder tjänster med ny digital teknik. I syfte att bl.a. inhämta synpunkter från den privata sektorn har vi vidare anordnat en hearing där ett hundratal representanter från privat och offentlig sektor deltog. Därtill har vi deltagit på konferenser och i olika nätverk och arbetsgrupper.

Vi har haft tre sammanträden med expertgruppen. Dessutom har vi haft särskilda fördjupningsmöten i avgränsade frågor med vissa experter och även andra specialister inom olika områden.

Det har inte uttryckligen ingått i vårt uppdrag att göra en inter- nationell utblick. Vi har trots det, i viss utsträckning, tagit del av information om främst våra grannländers (Danmark, Finland, Norge och Estland) digitala utveckling inom ramen för offentlig förvaltning. Vi har därtill deltagit på seminarier med internationellt fokus.

Vi har enligt våra utredningsdirektiv haft att samråda med Data- inspektionen, Myndigheten för samhällsskydd och beredskap och Sveriges Kommuner och Landsting. Vi har under arbetets gång haft separata möten med dessa aktörer och samråden har även fullgjorts genom att dessa tre aktörer varit representerade i utredningens expertgrupp. Viss kontakt har förevarit med Försvarsmakten. Parallellt

44

SOU 2018:25

Utredningens uppdrag och arbete

med vårt uppdrag har flera andra utredningar behandlat frågor med nära anknytning till vårt arbete. Här kan särskilt nämnas Utredningen om effektiv styrning av nationella digitala tjänster1 som vi har träffat vid flera tillfällen. Vi har även haft kontakt med Expertgruppen för digitala investeringar,2 Delegationen för korrekta utbetalningar,3 Utredningen om vissa säkerhetsskyddsfrågor,4 Delegationen för unga och nyanlända till arbete,5 Tillitsdelegationen6 och Utredningen om inrättande av en myndighet för digitalisering av den offentliga sektorn.7

2.3Betänkandets disposition

I betänkandets inledande kapitel 3 och 4 redogörs för framväxten av, och värdegrunder i, den digitala förvaltningen. I kapitel 5 och 6 ges en översiktlig presentation av kartläggningen följt av några inledande reflektioner.

Kapitel 7 tar sitt avstamp i pågående och kommande automation i förvaltningen. I kapitlet behandlas bl.a. frågor om god offentlighets- struktur vid vissa automatiserade förfaranden, rättssäkerhet vid för- valtningens användning av AI-system med maskininlärda algoritmer och automationsanpassad lagstiftning.

Kapitel 8 handlar om digital kommunikation, både när det gäller tillgänglighet till förvaltningen och sättet för förvaltningens kom- munikation till enskilda.

I kapitel 9 redogörs för vikten av god informationssäkerhet för att trygga den fortsatta utvecklingen av en digital förvaltning. Kapitel 10 handlar om en författningsreglerad tystnadsplikt för privata leverantörer vid utkontraktering av teknisk bearbetning och lagring. I kapitel 11 redogörs för hur bl.a. myndigheters utkontrak- tering föranleder behov av att teckna juridiskt hållbara och affärs- mässigt gynnsamma it-avtal.

Kapitel 12 omhändertar vissa frågor där vi av olika anledningar inte har haft möjlighet att göra djupare analyser eller lämna konkreta

1Fi N 2016:01.

2Fi 2017:04.

3Fi 2016:07.

4Ju 2017:08.

5A 2014:06.

6Fi 2016:03.

7Fi 2017:09.

45

Utredningens uppdrag och arbete

SOU 2018:25

förslag. I samma kapitel lämnas också förslag på hur det fortsatta arbetet med nödvändiga författningsändringar ska bedrivas för att sådana ändringar ska kunna åstadkommas i lämplig tid och om- fattning.

I kapitel 13 lämnas förslag på hur den offentliga förvaltningen ska rapportera om sitt arbete med it och digitalisering.

I de avslutande kapitlen 14–16 återfinns konsekvensbedöm- ningar, förslag på ikraftträdande avseende de författningsförslag som lämnas och författningskommentar.

46

3Framväxten av den digitala förvaltningen

3.1Tillbakablick

Vårt uppdrag är i huvudsak rättsligt inriktat. För att sätta in vårt arbete i en bredare kontext ser vi emellertid skäl att här kort presen- tera hur framför allt styrningen av den digitala förvaltningen har växt fram.

Svenska myndigheter har använt it för att utveckla sin verksamhet sedan 1950-talet. Myndigheterna byggde tidigt upp olika typer av dataregister som blev centrala i deras kärnverksamhet, bl.a. med anledning av att välfärdsstatens socialförsäkringsprogram förutsatte en väl utvecklad registerföring. Frågor om hur datordriften i stats- förvaltningen och i den kommunala förvaltningen borde samordnas och organiseras har också sedan lång tid tillbaka varit föremål för diskussion.1

Under 1980-talet skapade regeringen ett rationaliseringstryck på myndigheterna som en konsekvens av en debatt kring den stora staten och det höga skattetrycket. Därigenom hamnade bl.a. ADB (automatisk databehandling) i fokus som ett verktyg för att öka myndigheternas produktivitet och effektivitet. Den politiska ut- maningen var att förvaltningen skulle leverera mer för mindre. Under denna period i utvecklingen hade medborgaren huvudsak- ligen rollen som skattebetalare.2 Denna utveckling kan beskrivas som den första generationen av den datoriserade förvaltningen.

1Se bl.a. Datasamordningskommitténs betänkande ADB och samordning – samordning av ADB-verksamheten inom den offentliga förvaltningen (SOU 1976:58) och Knutsson, Från räknesnurra till dataplatta – 60 år med kommunal IT 1954–2014, Institutet för informations- teknologi, 2015.

2E-delegationens betänkande Strategi för myndigheternas arbete med e-förvaltning (SOU 2009:86), s. 33.

47

Framväxten av den digitala förvaltningen

SOU 2018:25

En andra fas i utvecklingen av myndigheternas digitala verksam- het inleddes när internet och webben växte fram under 1990-talet. Myndigheterna hade redan då en relativt hög teknikmognad och e- tjänster blev ett sätt att underlätta kontakten utåt, men även ett sätt att effektivisera informationsutbytet mellan myndigheter.

Regeringen lade år 2000 fast en strategi för att skapa s.k. 24- timmarsmyndigheter.3 Syftet var att myndigheterna skulle öka tjänsteutbudets effektivitet och tillgänglighet. Medborgaren betrak- tades nu i allt större utsträckning som kund och utmaningen låg i att leverera användarcentrerade och interaktiva e-tjänster.4 Myndig- heternas service och information skulle finnas på webben på tider och platser som passade individen. Utvecklingen under denna period dominerades av omfattande centrala initiativ med gemensamma lösningar för hela förvaltningen. Många länder hade t.ex. byggt upp nationella medborgarportaler. I Sverige fanns också sedan en tid tillbaka Sverige.se med avsikten att fungera som medborgarnas ingångsdörr till förvaltningens samlade tjänsteutbud. De stora centrala initiativen visade sig emellertid vid den tiden vara en relativt svårframkomlig väg. I stället växte sektorsvisa samverkansprojekt fram som ett sätt att driva utvecklingen framåt i Sverige med tätare samarbeten mellan myndigheter utan att för den skull kräva alltför stora samlade initiativ.5

Sverige kom under denna period ut väl i olika internationella jämförelser om förvaltningsutvecklingen. Svensk e-förvaltning var den bästa i världen år 2008 enligt FN och tog därmed för första gången över förstaplatsen från USA. I The Economist’s ranking klättrade Sverige från en tredje plats till en andra plats mellan åren 2008 och 2009, medan Danmark tog förstaplatsen.6

Allt mer frekvent förde dock myndigheterna fram krav på en tydligare styrning, finansiering och koordinering av e-förvaltnings- arbeten liksom behovet av ökade möjligheter till samverkan med

3Ett informationssamhälle för alla, prop. 1999/2000:86.

4SOU 2009:86 s. 33.

5Bland annat initiativ som Nationell IT-strategi för vård och omsorg, Geodatarådet, RIF- rådet, Verksamt.se, TIFOS (en utökning av tillhandahållandet av folkbokföringsuppgifter i samhället), Minpension.se, Elegitimation.se och Krisinformation.se. Se t.ex. Verva 69 Myndig- heter redovisar 915 strategiska insatser för utveckling av e-förvaltningen. Analys och samman- ställning (2008:14).

6SOU 2009:86 s. 34.

48

SOU 2018:25

Framväxten av den digitala förvaltningen

tredje part. Det fanns också indikationer på att det inte var tillräck- ligt många som använde de e-tjänster som myndigheterna tog fram för att det skulle vara möjligt att realisera förväntade besparingar.7

Regeringen aviserade i budgetpropositionen för år 2007 att den avsåg att stärka styrningen och snabba på utvecklingen av e-förvalt- ningen.8 I mars 2008 tillsatte regeringen en särskild statssekreterar- grupp för strategiska frågor inom e-förvaltning. Under denna grupps ledning arbetade man fram en handlingsplan för e-förvaltning.9 I handlingsplanen lades vissa principiella utgångspunkter för e-för- valtningsarbetet fast.

Stabsutredningen föreslog vid ungefär samma tid att dåvarande stabsmyndighet Verket för förvaltningsutveckling (Verva) skulle avvecklas.10 I stället skulle en delegation för e-förvaltning tillsättas för att i nära samverkan med Regeringskansliet driva arbetet med e- förvaltning. Verva avvecklades den 31 december 2008 och i mars 2009 fattade regeringen beslut om direktiv till E-delegationen. Delegationen arbetade under åren 2009–2015 med den förvalt- ningsgemensamma utvecklingen för att skapa förutsättningar att nå regeringens övergripande mål för e-förvaltningen och lämnade ett flertal betänkanden.11 Under den tidsperioden inrättades också E- legitimationsnämnden.

Efter E-delegationen fortsatte myndigheterna som ingick i dele- gationen och Sveriges Kommuner och Landsting (SKL) att driva frågor om digital samverkan i ett egeninitierat samarbete, E-sam- verkansprogrammet (eSam).12 Efterhand har fler myndigheter anslutit sig och för närvarande ingår 25 medlemmar i eSam.

Regeringen har efter E-delegationen tillsatt ett råd för digitali- seringen av det offentliga Sverige. Rådet består av 11 ledamöter som representerar myndigheter, kommuner och landsting. Regeringen har också under senare år beslutat om ett antal olika uppdrag på digitaliseringsområdet till statliga myndigheter.13

7A.a.

8Budgetpropositionen för 2007, prop. 2006/07:1.

9Handlingsplan för e-förvaltning (Fi2008/491).

10Stabsutredningens betänkande Ett stabsstöd i tiden (SOU 2008:22).

11Se E-delegationens slutbetänkande En förvaltning som håller ihop (SOU 2015:66) med däri gjorda hänvisningar till delegationens delbetänkanden.

12Se vidare www.esamverka.se

13Se bl.a. Utredningen om effektiv styrning av nationella digitala tjänsters delbetänkande digitalforvaltning.nu (SOU 2017:23), s. 74.

49

Framväxten av den digitala förvaltningen

SOU 2018:25

På senare tid har Sverige halkat efter andra länder i internationella jämförelser på digitaliseringens område, särskilt när det gäller digitaliseringen av den offentliga sektorn. Digitaliseringskommis- sionen har framfört att digitaliseringen av det offentliga är Sveriges akilleshäl. Kommissionen beskrev att placeringen inom detta område var märkbart sämre än inom andra områden, och att det över tid var möjligt att se en negativ trend i hur Sverige placerar sig på området e-förvaltning. Sammanhållna ärendekedjor, transparens i ärendeprocesser och användare i fokus angavs som exempel på aspekter som mäts i indexen där Sverige inte presterar lika bra som andra jämförbara länder, däribland våra nordiska grannländer.14 Enligt Utredningen om effektiv styrning av nationella digitala tjänster är den främsta orsaken till detta ett medvetet val att delegera ansvaret för digitaliseringen av den offentliga förvaltningen till myndigheterna. Att arbetet hos myndigheterna varit framgångsrikt i många avseenden kompenserar enligt den utredningen inte för de begränsningar som delegeringen inneburit. Regeringen har också enligt den utredningen avstått från att använda de styrinstrument som står till buds, t.ex. genom att inte förtydliga vilka uppdrag som myndigheterna har när det gäller digitalisering. Utredningen före- slog mot den bakgrunden bl.a. att ansvaret för digitaliseringen skulle samlas hos en myndighet.15

I budgetpropositionen för år 2018 föreslog regeringen att en ny myndighet med uppgift att samordna och stödja den förvaltnings- övergripande digitaliseringen skulle inrättas.16 Regeringen har också, i uppdraget till organisationskommittén, anfört att den nya myndig- heten medför förbättrade förutsättningar för en säker, effektiv och innovativ verksamhetsutveckling som utgår från användarnas behov. Den nya myndigheten ska placeras i Sundsvall och ska inleda sin verksamhet den 1 september 2018. Myndigheten övertar uppgifter från E-legitimationsnämnden, Ekonomistyrningsverket, Skatte- verket, Post- och telestyrelsen, Riksarkivet och Tillväxtverket.17

Den senaste tidens initiativ från regeringen markerar en tydlig förändring av inriktningen av politiken för den digitala förvalt- ningen, på ett sätt som i flera avseenden innebär en omprövning av

14För digitalisering i tiden (SOU 2016:89), s. 54.

15SOU 2017:23 s. 89 f.

16Budgetpropositionen för år 2018, prop. 2017/18:1, utg.omr. 2 s. 99 f.

17Inrättande av en myndighet för digitalisering av den offentliga sektorn (dir. 2017:117).

50

SOU 2018:25

Framväxten av den digitala förvaltningen

tidigare ställningstaganden. Utredningen om effektiv styrning av nationella digitala tjänster har därför beskrivit det som att nu pågår en omstart av politiken för digitalisering inom den offentliga sektorn.18

3.2Internationell utblick

Vi har inte haft i uppdrag att göra någon särskild internationell utblick i vårt arbete. Ett uppdrag inom området för digitalisering kan emellertid knappast utföras utan viss orientering om andra länders förutsättningar och arbeten. Vi har därför, främst med de nordiska länderna i åtanke men även i en global kontext, översiktligt studerat framför allt de rättsliga förutsättningarna för en digital förvaltning. De snäva tidsramarna för vårt arbete har dock inte medgett några mer omfattande internationella kontakter, men som framgått i kapitel 2 har vi tagit del av information om främst våra grannländers (Danmark, Finland, Norge och Estland) digitala utveckling inom ramen för offentlig förvaltning. Vi har bl.a. träffat den pågående norska förvaltningslagsutredningen och deltagit vid ett seminarium om Estlands nationella digitala plattform X-Road. Vi har vidare haft möjlighet att ta del av olika författningar från Danmark, Finland och Norge, bl.a. tack vare kontakter som Utredningen om effektiv styrning av nationella digitala tjänster haft med dessa länder.19

Vi redovisar inte här på ett sammanhållet sätt utredningens ovan beskrivna begränsade internationella utblick utan återkommer i det följande till vissa internationella referenser vid våra överväganden, där vi funnit det vara relevant.

3.3Rättsliga förutsättningar

Den i kapitel 3.1 beskrivna tillbakablicken över framväxten av den digitala förvaltningen utgår främst från hur styrningen av densamma fungerat och vilka organisationsformer som har förekommit. Under den beskrivna tidsperioden har också ett omfattande utrednings- och lagstiftningsarbete ägt rum med relevans för utvecklingen av den digitala förvaltningen. Vi sammanfattar inte här alla de tidigare arbeten som är relevanta för utredningen, utan återkommer i det

18reboot- omstart för den digitala förvaltningen (SOU 2017:114), s. 73 f.

19Se även bl.a. SOU 2017:23.

51

Framväxten av den digitala förvaltningen SOU 2018:25

följande till några av de tidigare (och pågående) arbetena i sina respektive sammanhang.

Det kan här noteras att tidigare utredningsarbeten i hög grad har varit begränsade i så måtto att utredningarna har varit avgränsade till vissa specifika lagstiftningsområden. Det har alltså inte förut, på motsvarande sätt som för denna utredning, gjorts något utrednings- arbete som i ett bredare perspektiv tagit sikte på bl.a. kartläggning och analys av all lagstiftning på området för digitalisering i den samverkande offentliga förvaltningen. Vi redovisar därför utförligt det som framkommit i utredningens kartläggning om hindrande eller hämmande lagstiftning i kapitel 5. Först finns dock anledning att kort presentera några rättsområden som är centrala för den digitala förvaltningen, se kapitel 4.

52

4Värdegrunder i den digitala förvaltningen

4.1Rättsliga utgångspunkter för en fortsatt trygg, innovativ och effektiv digital förvaltning

Möjligheterna i den digitala förvaltningen är stora. Många myndig- heter gör mycket och har också kommit långt i sitt arbete med att genom digitala lösningar ge privatpersoner och företag tillgång till enklare och mer sammanhängande tjänster. På så vis minskar bl.a. behovet av uppgiftslämnande och myndigheternas verksamheter kan allmänt sett effektiviseras. I takt med utvecklingen av ny teknik och nya arbetssätt skapas också mervärden genom nya möjligheter till uppföljning, styrning, forskning och kunskap. Samtidigt behöver de centrala värden som under lång tid burit upp den svenska förvalt- ningen fortsatt vara en bas för den digitala förvaltningen. Det är angeläget att även det digitala samhället genomsyras av ett demo- kratiskt synsätt och att alla känner en grundtrygghet i den digitala samhällsutvecklingen.

För att enskildas tillit till den digitala förvaltningen ska kunna upprätthållas är inledningsvis transparens i myndigheternas verk- samhet genom möjlighet till insyn fortfarande av grundläggande betydelse. En öppen förvaltning med ordning och reda på uppgifter och informationssamlingar är därtill en nödvändig förutsättning för att den offentliga förvaltningens uppgifter ska kunna vidareutnyttjas på ett sätt som skapar både ekonomiska och samhällsnyttiga värden.

God informationssäkerhet är en annan faktor som är nödvändig i den digitala förvaltningen. Att krav på rättssäkerhet i grundlag och förvaltningslagstiftning följs och att dessa värden kan stärkas i den digitala förvaltningen utgör ytterligare centrala aspekter för den framtida utvecklingen. Frågor om vad som ur integritetssynpunkt

53

Värdegrunder i den digitala förvaltningen

SOU 2018:25

kan anses tillåtet, såväl när det gäller dataskyddsreglering som sekre- tessreglering, är också centrala.

Det som beskrivs i det följande gör inte anspråk på att ge någon heltäckande bild av rättsläget, utan ska tjäna som en kort presen- tation av centrala rättsliga områden för förståelsen av utredningens bedömningar och förslag. För att främja läsbarheten hänvisar vi i denna introducerande framställning inte till konkreta lagrum, de återkommer vi till i våra fördjupade analyser i kapitel 7–13. Genom att beakta och utgå från de värden som här kort presenteras är det enligt utredningen möjligt att säkerställa en fortsatt trygg digital förvaltning, som också är innovativ och effektiv.

4.2God offentlighetsstruktur är en nödvändig grund

Öppenhet är en central värdegrund för den svenska förvaltningen. Bakom den grundläggande rätten till insyn i myndigheters verk- samhet ligger offentlighetsprincipen. Offentlighetsprincipen har kommit till uttryck på olika sätt i svensk lagstiftning. I tryckfrihets- förordningen stadgas rätten att ta del av allmänna handlingar, även kallad handlingsoffentligheten. Huvudprinciper om rätt till med- delarfrihet för bl.a. offentliganställda tjänstemän och om offentlig- het vid domstolsförhandlingar och beslutande församlingars sam- manträden är andra uttryck för offentlighetsprincipen.

Syftet med rätten att ta del av allmänna handlingar är rent gene- rellt att främja ett fritt meningsutbyte och en allsidig upplysning. På det sättet markeras att det är fråga om en del av den medborgerliga yttrande- och informationsfriheten, som också utgör en av förut- sättningarna för den fria demokratiska åsiktsbildningen. Rätten att ta del av allmänna handlingar har också kommit att fungera som ett viktigt medel för kontroll av offentliga organs verksamhet. All- mänheten får möjlighet att kontrollera handläggningsrutiner, ambitioner och effektivitet. Vetskapen om att en granskning kan ut- föras anses som en garanti för att myndigheter utför sina uppgifter korrekt. Offentlighetsprincipen har därtill under årens lopp i bety- dande utsträckning kommit att ligga till grund för uttag av allmänna handlingar för kommersiella ändamål.

Det som ovan beskrivits om syftena med rätten att ta del av all- männa handlingar gäller också i den digitala förvaltningen och måste

54

SOU 2018:25

Värdegrunder i den digitala förvaltningen

ses som en förutsättning för att medborgarna ska fortsätta att sätta sin tillit till det offentliga. Att allmänheten fortsatt ges goda möjlig- heter till insyn i den digitala förvaltningen är alltså fundamentalt. I det sammanhanget bör också framhållas att transparens gentemot enskilda är en grundpelare i den reformerade EU-rätten om data- skydd, liksom att möjligheter till partsinsyn regleras för att garantera en rättssäker förvaltning. Som närmare redovisas nedan finns dock begränsningar i insynsrätten genom att allmänna handlingar kan omfattas av sekretess.

Här lämnas inte någon fullständig presentation av vad som anses utgöra en allmän handling som omfattas av handlingsoffentligheten enligt tryckfrihetsförordningen (se vidare kapitel 7.6.3). Helt kort kan konstateras att ett antal kriterier måste uppfyllas för att upp- gifter i digital miljö ska klassificeras dels som en handling, dels som en allmän sådan. I många fall måste ganska svåra rättsliga över- väganden göras för att avgöra om, och i så fall när, ett visst elektro- niskt material är att anse som en allmän handling. Handlingsoffent- ligheten innebär dock som utgångspunkt att myndigheters egna möjligheter till kontroll, sökning och sammanställning av uppgifter i allmänna handlingar ska motsvaras av allmänhetens möjligheter till insyn.

Myndigheter ska ta hänsyn till handlingsoffentligheten när de organiserar sina allmänna handlingar. Utan en god offentlighets- struktur även i den digitala förvaltningen blir allmänhetens möjlig- heter till insyn i praktiken kraftigt beskuren. Det är därför nödvän- digt att myndigheter även i digitala miljöer håller ordning och reda bland sina informationsmängder. Vissa krav måste också ställas när det gäller dels diarieföring och annan registrering, dels dokumen- tation av åtgärder. Författningsreglering kring diarieföring och beskrivning av myndighetens allmänna handlingar finns i offentlig- hets- och sekretesslagstiftningen. För arkiverade handlingar inne- håller arkivlagstiftningen därtill vissa bestämmelser om förteck- ningar som ska föras. Krav på dokumentation för att möjliggöra transparens gentemot enskilda finns dessutom i dataskyddsregle- ringen. I förvaltningslagstiftningen finns andra krav på dokumen- tation som syftar till att garantera rättssäkra förfaranden. Det kan konstateras att bilden över författningskrav för säkerställande av att den digitala förvaltningen håller ordning och reda i sina infor- mationsmängder inte är lättöverskådlig.

55

Värdegrunder i den digitala förvaltningen

SOU 2018:25

Förutom de ovan nämnda syftena med rätten att ta del av all- männa handlingar har den offentliga förvaltningen också en central roll i samhällets informationsförsörjning i vidare mening. Att den offentliga förvaltningen försörjer samhället i stort med information är i sig inte någonting nytt. Allt mer framhålls dock vikten av att de uppgifter som myndigheter samlar in och producerar digitalt också tillgängliggörs digitalt som öppna data för att nå en större sam- hällsnytta. Detta gäller särskilt med tanke på att myndigheterna i den offentliga förvaltningen står för en stor del av produktionen av den datamängd som hela det digitala samhället bygger på, och att mängden av information som produceras ökar i allt snabbare takt. Det handlar om uppgifter som rör bl.a. ekonomi, geografi, lantbruk, meterologi, skog, trafik, turism och vetenskap och som kommer från till exempel register, sensorer eller rapporter. All information som samlas in, produceras och lagras i offentlig förvaltning har både ekonomiska och samhällsnyttiga värden för människor och företag. Att ta till vara på dessa värden, genom innovationer eller med kända medel, bidrar till att öka tillväxten i samhället. Innovationer som bygger på myndigheters informationsmängder kan i förlängningen också användas av det offentliga och i sin tur leda till en än mer effektiv och rättssäker förvaltning genom användande av ny teknik för exempelvis automatiserade beslutsprocesser eller bättre ut- formade välfärdstjänster.

Öppenhet i den digitala förvaltningen är alltså en helt central värdegrund även för frågan om samhällets informationsförsörjning, och i förlängningen hela samhällets utveckling. En nödvändig faktor för att upprätthålla den transparensen är att även i den digitala för- valtningen åstadkomma en god offentlighetsstruktur med ordning och reda bland förvaltningens informationsmängder. Med en god offentlighetsstruktur som grund kan den tekniska utvecklingen också tas till vara på ett sätt som därtill stärker förvaltningens öppen- het. I förlängningen kommer en sådan transparens också att vara av grundläggande betydelse för den demokratiska förankringen av den offentliga och digitala förvaltningens verksamhet.

56

SOU 2018:25

Värdegrunder i den digitala förvaltningen

4.3God informationssäkerhet behövs för att möta nya risker

Privatpersoner och företag har, utöver krav på öppenhet, också befogade krav på att den digitala förvaltningen upprätthåller en hög säkerhet när myndigheternas informationsmängder bearbetas, lagras och kommuniceras. Även myndigheter emellan krävs en viss form av tillit till varandras informationssäkerhet för att exempelvis sam- verkan om informationsutbyten ska kunna komma till stånd.

En allt mer digitaliserad förvaltning kan innebära att samhället öppnar upp för olika risker. Om myndigheter brister i hanteringen av eller säkerheten för information kan det få omfattande konse- kvenser, såväl för samhället i stort som för enskilda. Den it-relate- rade hotbilden (attacker, it-brott, spionage och kränkningar m.m.) står också under snabb utveckling. För att privata och offentliga utövare ska fortsätta att sätta sin tillit till den digitala förvaltningen krävs förtroende för att myndigheter vid varje tidpunkt har förmåga att hantera information på ett säkert sätt och att möta rådande hotbild.

Med informationssäkerhet förstås företrädesvis en strävan efter att skydda information så att den alltid finns när den behövs, att det går att lita på att den är korrekt och inte manipulerad eller förstörd, att endast behöriga personer får ta del av informationen och att det går att följa hur och när informationen har hanterats och kom- municerats. Informationssäkerheten garanteras genom dels admini- strativa åtgärder för att skydda information som till exempel före- skrifter eller behörighetsrutiner, dels tekniska åtgärder för it- säkerhet eller fysiska inpasseringskontroller.

I juli 2016 antogs inom EU ett direktiv om åtgärder för en hög gemensam nivå på säkerhet i nätverks- och informationssystem i hela unionen (det s.k. NIS-direktivet), i syfte att förbättra den inre marknadens funktion. Direktivet ska genomföras i svensk rätt och regeringen har lämnat förslag till en ny lag om informationssäkerhet för samhällsviktiga tjänster och digitala tjänster. Regelverket ska enligt förslaget tillämpas av vissa leverantörer av samhällsviktiga eller digitala tjänster. När det gäller reglering avseende informations- säkerhet bör vidare framhållas att sådan information som är sekre- tessreglerad med hänsyn till rikets säkerhet ges ett särskilt skydd genom säkerhetsskyddslagstiftningen.

57

Värdegrunder i den digitala förvaltningen

SOU 2018:25

Att statliga myndigheter ska se till att informationshanteringen uppfyller krav på säkerhet framgår också i förordningsreglering om krisberedskap och höjd beredskap. Myndigheten för samhällsskydd och beredskap föreskriver dessutom att de statliga myndigheterna dels ska rapportera it-incidenter, dels ska införa ett ledningssystem för informationssäkerhet.

Här finns även anledning att nämna dataskyddsreglernas krav på säkerhet vid behandling av personuppgifter liksom arkivregleringens krav rörande bevarande av handlingar och uppgiftssamlingar över lång tid. Sektorsspecifik reglering om hantering av information kan också innehålla bestämmelser om informationens säkerhet. I sam- manhanget bör även den straffrättsliga reglering som innebär krimi- nalisering av vissa handlingar nämnas, t.ex. brottsbalkens reglering av dataintrång. Det kan konstateras att reglering beträffande infor- mationssäkerhet som träffar olika aktörer och information, med delvis olika syften, finns spridd på olika håll.

På vilket sätt förvaltningen svarar upp mot de olika kraven på informationssäkerhet måste bedömas i enskilda fall så att skyddet för olika typer av information i olika verksamheter varken blir för begränsat eller för krångligt och dyrt. Det förtjänar också att fram- hållas att en digital förvaltning inte bara medför nya risker som vid varje tidpunkt behöver mötas av en god och väl avvägd infor- mationssäkerhet. En digital förvaltning kan också möjliggöra en hantering av information som är mer säker än en traditionell infor- mationshantering per telefon, fax eller papperspost, utan krav på tidsödande administration som motringningar, säkerställande av att rätt person står vid faxen hos mottagande myndighet vid rätt tid- punkt eller hantering av rekommenderade brev.

4.4Rättssäkerheten kan stärkas med digitala medel

Vissa grundläggande principer anses känneteckna en rättsstat och tillmäts en avgörande vikt i EU:s rättssystem liksom i Europa- konventionen. Legalitetsprincipen brukar framhållas som ett skydd mot en nyckfull och godtycklig maktutövning från det allmännas sida. Principen kommer till uttryck i regeringsformens krav på att all offentlig makt i Sverige ska utgå från folket och utövas under lagarna. I förarbetena till den nya förvaltningslagen ställs också krav

58

SOU 2018:25

Värdegrunder i den digitala förvaltningen

på att myndigheternas maktutövning i vidsträckt mening måste ha stöd i någon av de källor som tillsammans bildar rättsordningen – exempelvis förvaltningslagen, speciallagstiftning, myndighetens instruktion eller annan förordningsreglering eller regeringsbeslut. Även likabehandlingsprincipen, eller objektivitetsprincipen, vilken regleras i regeringsformen och som därtill kommer till uttryck i motiven till den nya förvaltningslagen bör här särskilt framhållas. Till skydd mot godtycke och diskriminering vid tillämpning av regler ska myndigheter vara sakliga och opartiska. En allmän pro- portionalitetsprincip har under tid utvecklats genom Högsta för- valtningsdomstolens praxis och innebär ett skydd för enskilda in- tressen mot en ensidig prioritering av det allmännas önskemål vid myndigheternas agerande. Också den principen kommer till uttryck i förslaget till ny förvaltningslag.

Att myndigheter vid service, ärendehandläggning och faktiskt handlande möter sådana krav på rättssäkerhet som de ovan angivna principerna ger uttryck för är av avgörande betydelse för allmän- hetens tilltro till den offentliga förvaltningen. Det är med andra ord givet att den digitala förvaltningen ska följa den reglering som ger uttryck för dessa grundläggande principer. Här redogörs inte närmare för hur den digitala förvaltningen möter och i takt med utvecklingen fortsatt kan leva upp till dessa krav, bl.a. när det gäller att inkludera och tillgodose olika gruppers behov för en tillgänglig digital förvaltning där alla har möjlighet att tillvarata sin rätt. Dessa och andra frågor som rör grunderna för rättssäkra förfaranden i den digitala förvaltningen återkommer vi till i samband med våra över- väganden och förslag.

Ur rättssäkerhetssynpunkt är det emellertid inte tillräckligt att förvaltningen rent principiellt uppfyller de ovan angivna kraven. Kraven måste därtill mötas i tid och på ett kostnadseffektivt sätt. För att enskilda ska ha en reell möjlighet att ta tillvara sin rätt krävs näm- ligen att ärenden avgörs och frågor besvaras utan oskälig för- dröjning. Att behöva vänta lång tid på ett myndighetsbeslut kan skapa otrygghet, leda till ekonomiska förluster eller i värsta fall personligt lidande för den enskilde. Långa förseningar i det offent- ligas verksamhet kan också undergräva allmänhetens förtroende för förvaltningen i stort. Myndigheterna behöver därför kunna lämna snabba, enkla och entydiga besked och hjälpa den enskilde att ta till

59

Värdegrunder i den digitala förvaltningen

SOU 2018:25

vara sin rätt, utan att detta förenas med orimliga kostnader för den offentliga förvaltningen.

När myndigheter ger service och handlägger ärenden digitalt innebär det generellt sett fördelar för enskilda ur rättssäkerhets- synpunkt. Digitala lösningar medför nämligen oftast en snabbare, enklare och mer kostnadseffektiv service och ärendehandläggning än vad som är möjligt att erbjuda med en manuell hantering av frågor och ärenden. På så sätt stärks rättssäkerheten med digitala medel. Generellt sett har myndigheter redan kommit långt i arbetet med att digitalisera den egna verksamheten även om det finns undantag. När en viss verksamhet har övergått från manuella till automatiserade förfaranden är det sällan möjligt att återgå till en manuell och pappersbaserad handläggning som möter kraven på rättssäkerhet med rimliga svars- och handläggningstider inom tänkbara kostnads- ramar. Som exempel kan nämnas Försäkringskassans och Skatte- verkets befintliga automatiserade förfaranden på socialförsäkrings- området och skatteområdet. Hur fortsatt utveckling på området för automation i förvaltningen genom effektiv användning av ny teknik kan förenas med rättssäkra förfaranden förtjänar noggranna över- väganden.

I takt med att de tekniska möjligheterna att inhämta eller ta del av uppgifter av god kvalitet ökar, höjs också förväntningarna på att förvaltningens åtgärder och beslut grundas på fullgoda och korrekta underlag. I detta sammanhang bör principen om uppgiftslämnande endast en gång, ”The Once-Only Principle” nämnas. Principen har kommit till uttryck inom EU med syfte att i första hand minska de administrativa bördorna för företag som kommunicerar med offentlig sektor. Den syftar också till att minska administrationen inom förvaltningen. Att återanvända uppgifter av god kvalitet, som redan finns hos myndigheter, som underlag för olika typer av åtgärder och beslut skapar förutsättningar för än mer rättssäkra förfaranden. Att förvaltningen inte gång efter annan kräver in- rapportering av samma uppgifter underlättar för de enskilda sam- tidigt som antalet tillfällen när fel kan uppstå i de uppgifter som lämnas minskar. Vikten av att uppgifter som direkt eller indirekt relaterar till en person är korrekta speglas också i dataskydds- regleringens principer om skydd för personuppgifter.

60

SOU 2018:25

Värdegrunder i den digitala förvaltningen

4.5Personlig integritet – en mänsklig fri- och rättighet som inte är absolut

Grundläggande bestämmelser till skydd för den personliga integri- teten finns i regeringsformen. Den offentliga makten ska utövas med respekt för den enskilda människans frihet och det allmänna ska värna den enskildes privatliv och familjeliv. Var och en är gentemot det allmänna skyddad mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden. In- skränkningar i det grundlagsfästa skyddet kan dock under vissa förutsättningar göras genom lag.

I EU:s stadga om de grundläggande rättigheterna bekräftas de rättigheter som har sin grund i medlemsstaternas gemensamma författningstraditioner, internationella förpliktelser och rättspraxis vid Europeiska unionens domstol och Europeiska domstolen för de mänskliga rättigheterna. Enligt rättighetsstadgan har var och en rätt till skydd av de personuppgifter som rör honom eller henne. Sådana uppgifter ska behandlas lagenligt för bestämda ändamål och på grundval av den berörda personens samtycke eller någon annan legitim och lagenlig grund. Var och en har rätt att få tillgång till insamlade uppgifter som rör honom eller henne och att få dem rättade. En oberoende myndighet ska kontrollera att reglerna följs. I detta sammanhang bör även Europakonventionen nämnas, som reglerar att var och en har rätt till respekt för sitt privat- och familjeliv, sitt hem och sin korrespondens. Med detta avses bl.a. skyddet av personuppgifter. Rättigheterna enligt EU:s stadga och Europakonventionen är dock inte heller absoluta. Vissa inskränk- ningar får göras med stöd av lag om det är nödvändigt och pro- portionerligt i ett demokratiskt samhälle med hänsyn till vissa särskilt angivna ändamål.

Inom EU har det sedan mitten av 90-talet funnits gemensamma regler om dataskydd. Mot bakgrund av den tekniska och samhälleliga utvecklingen sedan de reglerna antogs, och den fortsatt snabbt för- änderliga digitala miljön, beslutades år 2016 om en ny dataskydds- reform inom EU. Reformen har flera övergripande syften – att ytter- ligare harmonisera och effektivisera skyddet för personuppgifter och öka enskildas kontroll över sina personuppgifter, men också att förbättra framför allt den digitala inre marknadens funktion. Här

61

Värdegrunder i den digitala förvaltningen

SOU 2018:25

redogörs inte i detalj för innebörden av de dataskyddsregler som ska börja tillämpas i maj 2018. De grundläggande principerna om data- skydd kan dock förklaras på följande sätt.

Personuppgifter får behandlas bara om det finns lagligt stöd för det.

Personuppgifter ska alltid behandlas på ett korrekt sätt och i enlighet med god sed. Uppgifterna ska som huvudregel behandlas på ett öppet sätt i förhållande till den registrerade.

Personuppgifter får samlas in endast för särskilda, uttryckligt angivna och berättigade ändamål.

Personuppgifter får inte behandlas för något ändamål som är oförenligt med det för vilket uppgifterna samlades in.

Personuppgifter som behandlas ska vara adekvata och relevanta i förhållande till ändamålen med behandlingen.

Personuppgifter får behandlas endast om det är nödvändigt med hänsyn till ändamålen med behandlingen, det vill säga fler upp- gifter än vad som är nödvändigt får inte behandlas.

Personuppgifter som behandlas ska vara riktiga och, om nöd- vändigt, aktuella.

Personuppgifter som är felaktiga eller ofullständiga med hänsyn till ändamålet med behandlingen ska rättas, blockeras eller ut- plånas.

Personuppgifter får inte bevaras under längre tid än vad som är nödvändigt med hänsyn till ändamålen med behandlingen.

För den offentliga förvaltningen gäller i stor utsträckning specifika regler om när personuppgifter får behandlas och under vilka förut- sättningar. Ofta finns reglerna i de så kallade registerförfattningarna. Det förekommer att digitalisering inom förvaltningen inte innebär behandling av personuppgifter, t.ex. vid användande av en viss typ av sensorer för mätning av luftföroreningar, men det är dock vanligare att digitalisering också innebär att direkta eller indirekta person- uppgifter på något sätt kommer att behandlas. Mot bakgrund av EU- rätten om dataskydd och att det finns ett stort antal nationella författningar på relativt detaljerad nivå ställs det därför höga krav på

62

SOU 2018:25

Värdegrunder i den digitala förvaltningen

i första hand lagstiftaren att i tillräcklig takt göra de avvägningar som behövs för att förena regelverket med en önskad utveckling. Lag- stiftaren har, med beaktande av den utveckling som är önskvärd och under de förutsättningar som översiktligt redogjorts för ovan, vissa möjligheter att inskränka skyddet för personuppgifter och se till att sådana inskränkningar står i rimlig proportion till ändamålet med behandlingen.

Det bör lyftas fram att det för myndigheters arbete med digita- lisering också är möjligt att söka stöd i regelverket om skydd för personuppgifter. I samband med utveckling av ny teknik som inne- bär personuppgiftsbehandling finns det exempelvis ofta möjlighet att bygga in ett särskilt skydd för den personliga integriteten (så kallad inbyggd integritet eller ”privacy by design”). Det kan till exempel handla om att minska mängden personuppgifter som ska registreras, att införa tekniska begränsningar för tillgång till person- uppgifter och att låta systemet styra hur personuppgifter registreras.

4.6Välavvägd sekretess för skyddsvärda uppgifter

Offentlighetsprincipen innebär, som framgått ovan, att allmänheten ska ha möjlighet till insyn i den offentliga förvaltningens verk- samhet. Rätten att ta del av allmänna handlingar får bara begränsas av vissa särskilda skäl som räknas upp i tryckfrihetsförordningen. Sådana begränsningar ska anges noga i bestämmelser i offentlighets- och sekretesslagen eller lag som denna lag hänvisar till. En sådan begränsning av rätten att ta del av allmänna handlingar, med andra ord sekretess, innebär ett förbud att röja en uppgift vare sig det sker muntligen, genom utlämnande av allmän handling eller på något annat sätt. Sekretessen innebär alltså både en handlingssekretess och en tystnadsplikt. I vissa fall begränsas även den grundlagsfästa rätten att meddela och offentliggöra uppgifter. Det finns sekretessbestäm- melser som är tillämpliga för alla myndigheter. Andra sekretess- bestämmelser riktar sig bara till vissa myndigheter, t.ex. inom skolområdet eller socialtjänsten. Sedan finns det sekretessbestäm- melser som avser att skydda vissa allmänna intressen, t.ex. det all- männas ekonomiska intresse. Flertalet sekretessbestämmelser syftar till att skydda enskildas personliga eller ekonomiska intressen. Även

63

Värdegrunder i den digitala förvaltningen

SOU 2018:25

vissa privaträttsliga organ ska tillämpa reglerna i offentlighets- och sekretesslagstiftningen.

Sekretessbestämmelser består i regel av tre förutsättningar för bestämmelsens tillämplighet. För det första anges alltid sekretessens föremål, dvs. vilken information eller med andra ord vilka uppgifter som kan eller ska hemlighållas. Till exempel kan det gälla uppgift om enskilds personliga förhållanden. För det andra anges i de flesta fall sekretessbestämmelsens räckvidd, dvs. om sekretessen bara gäller i en viss typ av ärende, i en viss typ av verksamhet eller hos en viss myndighet. För det tredje bestäms sekretessens styrka med hjälp av ett s.k. skaderekvisit. Här finns olika varianter, allt från att sekre- tessen är absolut, dvs. alltid gäller, till att uppgifterna som utgångs- punkt är offentliga och att sekretess bara gäller om det kan antas att en viss skada uppkommer om uppgiften röjs.

Sekretess gäller som huvudregel inte bara i förhållande till en- skilda utan också mellan myndigheter, eller inom en myndighet om där finns olika verksamhetsgrenar som är att betrakta som själv- ständiga i förhållande till varandra. Så kan vara fallet t.ex. inom en kommun med flera förvaltningar inom organisationen. När sekre- tess gäller i förhållande till andra myndigheter eller inom en myndig- het krävs sekretessbrytande bestämmelser för att uppgifter ska få lämnas ut från myndigheten eller verksamheten där de finns. Som huvudregel följer inte sekretessen med när en uppgift har förts över till en annan myndighet. Det beror bl.a. på att behovet av och styrkan i en sekretess inte kan bestämmas enbart med hänsyn till intresset av att skydda uppgiften. Skyddsintresset måste nämligen i varje sammanhang vägas mot insynsintresset i den myndighet eller verksamhet där uppgiften finns. Det finns dock vissa bestämmelser om överföring av sekretess, som innebär att sekretessen följer med uppgiften när den flyttas till en annan myndighet eller verksamhet.

I den digitala förvaltningen, likväl som varit fallet i den traditio- nella förvaltningen, gäller att insynen i en myndighets verksamhet ibland behöver begränsas genom sekretess, under de särskilda för- utsättningar som regleras i grundlag och för att skydda vissa utpe- kade intressen. Däri ligger också att uppgifter i vissa fall inte ska lämna en viss myndighet, verksamhet eller databas på grund av den rådande sekretessen. Det finns emellertid aspekter i samband med digitaliseringen som gör det nödvändigt för i första hand lagstiftaren att överväga hur regleringen till skydd för dessa intressen bör se ut.

64

SOU 2018:25

Värdegrunder i den digitala förvaltningen

Utvecklingen går mot att myndigheter i allt högre grad antingen åläggs att samverka med varandra med stöd av tekniska lösningar eller av andra skäl behöver samverka för att fullgöra sina uppdrag på ett sätt som möter allmänhetens förväntningar och inom givna kost- nadsramar. En sekretessreglering som utformats med andra arbets- sätt hos myndigheterna i åtanke, eller utifrån dåtida teknik, kan därför behöva anpassas så att inte befintlig reglering av sekretess nu hindrar en önskad utveckling. Nya bestämmelser som rör sekretess- regleringen kan också behöva tillkomma för att stödja den fortsatta digitaliseringen.

4.7Regleringen behöver stå i samklang med den önskade utvecklingen

Redogörelsen ovan visar på några centrala rättsliga områden som varit och fortsatt kommer att vara av avgörande betydelse för allmänhetens förtroende för den offentliga verksamheten. Trots att redogörelsen inte gör anspråk på att vara fullständig framgår med tydlighet att det är en omfattande regelmassa som den offentliga förvaltningen har att förhålla sig till vid all digital utveckling. De beskrivna värdegrunderna är alltjämt centrala för tilltron till för- valtningen. Förändringar i regleringen behöver emellertid löpande göras för att tillåta och stödja sådan utveckling och digitalisering som är önskvärd och nödvändig i vårt demokratiska samhälle. I detta sammanhang kan inte heller bortses från den pågående rätts- utvecklingen inom EU som i flera avseenden drivs av att i tid finna rättsliga lösningar som upprätthåller centrala värdegrunder och möter den tekniska utvecklingen liksom samhällsutvecklingen i stort. Om inte rättsutvecklingen bedrivs i takt med teknik- och samhällsutvecklingen ser vi risk för två alternativa scenarier.

Å ena sidan löper den offentliga förvaltningens digitalisering en risk för att stagnera om gällande reglering hindrar eller hämmar en önskad utveckling. Det kan leda till att förvaltningen framöver får en minskad förmåga att möta kommande samhällsutmaningar och att förtroendet för förvaltningen därför avtar. Den offentliga för- valtningen kan i det sammanhanget inte ses fristående från samhället i övrigt. En förvaltning som inte är föränderlig kan också leda till

65

Värdegrunder i den digitala förvaltningen

SOU 2018:25

bristande förmåga till innovation och utveckling i övriga samhället med ekonomiska eller andra konsekvenser som följd.

Å andra sidan finns det också en risk för att andra incitament eller styrmedel snabbt driver utvecklingen i offentlig verksamhet vidare utan att regleringen anpassas eller beaktas i tillräcklig utsträckning. Det kan leda till att lagstiftningen slutligen står för långt ifrån verk- liga förhållanden, eller t.o.m. att centrala värden träds för när eller går förlorade.

Det framstår som angeläget att finna en god balans och att stödja den digitala utvecklingen i förvaltningen genom rättsutveckling som står i samklang med den önskade digitala utvecklingen.

66

5Kartläggning av hindrande eller hämmande lagstiftning

5.1Genomförandet av kartläggningen

5.1.1Vårt uppdrag

I vårt uppdrag ingår att i ett brett perspektiv kartlägga lagstiftning som i onödan försvårar digitalisering och digital samverkan inom den offentliga förvaltningen. Kartläggningen ska också omfatta lag- stiftning som inte i sig är direkt hindrande men där det finns en rättslig osäkerhet som har en hämmande inverkan på den digitala utvecklingen inom den offentliga förvaltningen.

Enligt uppdraget ska vi vid kartläggningen särskilt prioritera frågor som rör regeringens satsning Digitalt först, där digitala tjänster så långt det är möjligt och där det är relevant ska vara förstahandsval vid den offentliga sektorns kontakter med medborgare, organisa- tioner och företag. Vi ska också prioritera sådan lagstiftning som i onödan försvårar digitalt informationsutbyte inom den offentliga förvaltningen och behandla frågor om digitalt informationsutbyte mellan den offentliga förvaltningen och privata utförare av offentligt finansierade tjänster.

Vid kartläggningen ska vi vidare prioritera sådan lagstiftning som i sin helhet, eller i stora delar, påverkar den offentliga förvaltningen. I möjligaste mån ska vi visa på konkreta fall där utvecklingen av digitala tjänster hindrats som en följd av den aktuella lagstiftningen.

67

Kartläggning av hindrande eller hämmande lagstiftning

SOU 2018:25

5.1.2Metod

Vi har uttolkat vårt uppdrag som att kartläggningen ska avse inte endast lagstiftning i form av lag beslutad av riksdagen, utan även normgivning genom förordning eller föreskrift. Inledningsvis över- vägde vi att genomföra en enkät till underlag för kartläggningsdelen av vårt uppdrag. Vi insåg emellertid att det inte skulle vara enkelt att beskriva hindrande eller hämmande lagstiftning i enkätsvar och att den formen för genomförande av uppdraget skulle innebära att vi inte gavs möjligheter till följdfrågor för djupare förståelse av svaren. För att genomföra vårt kartläggningsuppdrag har vi i stället valt att träffa representanter för ett antal myndigheter och andra berörda aktörer vid särskilda s.k. kartläggningsmöten.

Vid urvalet av de verksamheter vi har besökt har ansatsen varit att inhämta information ur ett brett perspektiv. Vår utgångspunkt har därför varit att träffa personer vid såväl statliga, kommunala som landstingskommunala myndigheter, myndigheter ur olika sektorer, med skilda uppdrag, av olika storlek, med olika geografisk belägen- het och olika förutsättningar när det gäller hur verksamheten finan- sieras. Vi har vidare vinnlagt oss om att inkludera både myndigheter som har kommit långt i sitt arbete med digitalisering och digital samverkan men också sökt träffa representanter för myndigheter som befinner sig i en mer inledande fas i sitt digitaliseringsarbete. Därtill har vi även besökt privata aktörer vars verksamhet har en nära koppling till det offentliga.

Under kartläggningen har vi mött representanter vid Arbetsför- medlingen, Bolagsverket, Centrala studiestödsnämnden (CSN), Stockholms universitet (eGovLab), eHälsomyndigheten, Försäk- ringskassan, Institutet för framtidsstudier, Inera AB, Kungliga Tekniska högskolan (KTH), Lantmäteriet, Länsstyrelsen i Norr- bottens län, Migrationsverket, Naturvårdsverket, Pensionsmyndig- heten, Polismyndigheten, Region Halland, Riksarkivet, Skatteverket, Socialstyrelsen, Statens servicecenter, Stockholm stad, Sveriges kom- muner och landsting (SKL), Tillväxtverket, Transportstyrelsen, Tullverket och Uppsala kommun. SKL har i detta arbete varit be- hjälpliga med att samla in information från ytterligare kontakt- personer vid kommuner. I något fall har fler än ett möte ägt rum.

Gensvaret från de aktuella myndigheterna och andra aktörerna har varit mycket positivt. Vi är tacksamma för den respons vi fått vid

68

SOU 2018:25

Kartläggning av hindrande eller hämmande lagstiftning

våra mötesförfrågningar och den tid som representanter för olika discipliner (arkiv, it, juridik, ledning, verksamhet etc.) har lagt ned på att bereda oss ett gott underlag. Endast ett par av dem vi sökt kontakt med har svarat att de inte haft tillfälle att träffa utredningen.

Kartläggningsmötena har genomförts i samtalsform. Som dis- kussionsunderlag har vi använt ett mötesstöd (se bilaga 2) men vid mötena har i hög grad våra samtalspartners fått styra vilka områden som lyfts fram för oss. Det har rört sig om beskrivningar av rättsliga hinder och utmaningar i genomfört, pågående eller planerat digita- liseringsarbete liksom rättsliga hinder eller trösklar som hämmar effektiv myndighetssamverkan i digitala utvecklingsarbeten. Vi har även samlat in tankar om hur en effektivare samverkan kring rättslig reglering kan utvecklas i syfte att skapa bättre förutsättningar för författningsarbetet att gå i takt med önskad digital verksamhets- utveckling.

Vid samtliga kartläggningsmöten har minnesanteckningar förts. De representanter vi träffat har fått tillfälle att ge synpunkter på anteckningarna som också har omhändertagits för arkivering.

Som framgått i kapitel 2 har vi också anordnat en hearing där såväl deltagare från det privata näringslivet som myndighetsrepresen- tanter deltog, haft särskilda möten med representanter för företag och, utöver SKL, även samrått med Datainspektionen och Myndig- heten för samhällsskydd och krisberedskap (MSB). Erfarenheterna från dessa och andra aktiviteter har också höjt vår kunskap men har inte dokumenterats på samma sätt som de särskilda kartläggnings- mötena.

5.1.3Läsanvisningar

Sammanfattningen i detta kapitel tar sin utgångspunkt i den infor- mation, synpunkter, förslag och konkreta exempel som de delta- gande aktörerna i kartläggningsarbetet har förmedlat till oss. Att fullständigt återge all den information vi har fått ta del av inom ramen för kartläggningsarbetet låter sig inte göras eftersom mate- rialet är alltför omfattande. Vi har alltså tvingats sålla och prioritera vid sammanställningen av kartläggningsresultatet. Vi har valt att främst lägga fokus på de områden där de deltagande aktörerna varit i någon utsträckning samstämmiga och vissa områden där påtagliga

69

Kartläggning av hindrande eller hämmande lagstiftning

SOU 2018:25

rättsliga utmaningar för en trygg, innovativ och effektiv digital förvaltning har lyfts fram. För en fullständigare bild av kartlägg- ningsresultatet hänvisas till de minnesanteckningar som vi fört och arkiverat.

I detta kapitel ges således den övergripande bilden av kartlägg- ningsresultatet. Framställningen utgår från vad vi fångat under kart- läggningen. Vi har alltså inte anlagt ett eget analysperspektiv i det förevarande kapitlet. Vid våra överväganden och förslag i följande kapitel fördjupar vi dock i flera avseenden beskrivningen av kart- läggningsresultatet. I dessa följande kapitel gör vi också egna analyser och presenterar rättsläget på ett närmare sätt.

Vid våra samtal under kartläggningen har det visat sig att det kan vara svårt att separera de rättsliga utmaningarna från hämmande faktorer som t.ex. har med tekniska möjligheter eller finansiering att göra. I vissa av beskrivningarna och exemplen som följer framgår detta. En påtaglig del av de rättsligt relaterade hinder eller hämmande faktorer som lyfts fram för oss har också handlat om en önskan om tydligare stöd i juridiken för att möta en kommande digital framtid som i viss utsträckning redan är här, snarare än en uppräkning av konkreta hinder som man har stött på i gällande lagstiftning. Även detta speglas i den följande beskrivningen.

5.2Digital kommunikation med enskilda

5.2.1Gränserna för Digitalt först

Regeringens ansats är att digitala tjänster, när det är möjligt och relevant ska vara förstahandsval i den offentliga sektorns kontakter med medborgare, organisationer och företag. Ansatsen kan sam- manfattas vara en princip om Digitalt först.

I vårt kartläggningsarbete har det tydliggjorts att flertalet myn- digheter, men inte alla, tekniskt och utvecklingsmässigt har möjlig- het att erbjuda digitala kanaler för enskildas myndighetskontakter och ärenden. Flera av dem vi talat med har emellertid fört fram att det behöver klargöras var de rättsliga gränserna går för hur långt myndigheterna kan tillämpa principen om Digitalt först. Ett exem- pel på en fråga som lyfts är om en myndighet kan kräva att enskilda ska använda digitala kanaler för att kontakta myndigheten eller för

70

SOU 2018:25

Kartläggning av hindrande eller hämmande lagstiftning

att ge in en ansökan eller anmälan. Det har framförts vara ett värde- fullt stöd för myndigheterna om gränserna för Digitalt först för- tydligas rättsligt i stället för att myndigheterna på egen hand ska söka sig fram. Med ett tydligare rättsligt stöd beskrivs det också vara lättare för myndigheterna att ta ytterligare steg framåt i sin digita- lisering.

Kartläggningsarbetet visar att även om myndigheterna strävar efter att använda digitala kanaler för sin kommunikation med pri- vatpersoner och företag behövs ibland komplement med möjlighet till kontakt via andra kanaler. Vissa personer har inte de förutsätt- ningar som krävs för att kunna kommunicera digitalt med förvalt- ningen. Det kan röra sig om otillräcklig kunskap om, och tillgång till, den digitala tekniken eller om språkförbistringar. Men det be- höver inte betyda att skriftlig kommunikation medelst papper och postbefordran är det bästa alternativet till digitala kommunika- tionskanaler för dessa personer.

Exempel: Pensionsmyndigheten, som inom ramen för sitt uppdrag har omfattande kontakter med den äldre delen av befolkningen, har funnit att kommunikation via telefon är den kanal som bäst matchar service- nivån i en digital tjänst. Vid muntlig kontakt kan handläggare anpassa det stöd och den information som ges direkt efter samtalspartens behov.

I detta sammanhang har vi också hört önskemål om förbättrade tekniska förutsättningar för säker digital tvåvägskommunikation med enskilda.

5.2.2Registerförfattningar

Reglering i författningar om skydd för personuppgifter (register- författningar1) kan begränsa myndigheters möjligheter att kom- municera digitalt med enskilda. Det rör sig främst om begränsningar i snävt formulerade ändamålsbestämmelser eller särskild reglering om direktåtkomst till personuppgifter.

Exempel: CSN har tekniska möjligheter att skicka e-post eller sms i stället för brevförsändelse till personer som har antagits till en studie- medelsberättigad utbildning för att informera om rätten att ansöka om studiemedel. Att skicka e-post eller sms vore lämpligt dels för att unga

1 En registerförfattning innehåller bestämmelser om personuppgiftsbehandling som främst kompletterar regleringen i dataskyddsförordningen. Myndigheter som behandlar (känsliga) uppgifter om ett stort antal personer tillämpar ofta en särskild registerförfattning.

71

Kartläggning av hindrande eller hämmande lagstiftning

SOU 2018:25

människor inte alltid bor på den adress där de är folkbokförda, dels för att många är vana att kommunicera via en mobil enhet t.ex. en smart telefon. CSN är dock förhindrad att skicka e-post eller sms eftersom CSN saknar lagligt stöd i studiestödsdatalagen och studiestödsdata- förordningen2 för att behandla uppgifter om e-postadress och telefon- nummer för ändamålet att informera studiestödsberättigade om studie- stödsförmåner.

Exempel: På fordonsområdet hindrar de nuvarande bestämmelserna om direktåtkomst till uppgifter i vägtrafikregistret och i viss mån även ändamålsbestämmelserna en önskvärd utveckling av tillgången till upp- gifter i digitala servicetjänster. Transportstyrelsen lämnade i juni 2014 en framställan till regeringen om ändring i vägtrafikregisterlagen och vägtrafikregisterförordningen för att möjliggöra detta. Framställan har lett till ändring såtillvida att enskilda kan ges direktåtkomst till egna personuppgifter. I övrigt har framställan inte lett till ändringar.3

5.2.3Sekretess

Sekretess kan verka hindrande vid utveckling av effektiva och ända- målsenliga digitala tjänster på ett sätt som förefaller vara i viss ut- sträckning onödigt. Viss typ av sekretessreglering, s.k. absolut sek- retess, gör ingen skillnad på typen av uppgifter utan sekretess gäller för alla uppgifter som omfattas av regleringen. Det innebär att den sekretessen gäller oavsett om det rör sig om utlämnande av en enstaka och mer harmlös uppgift.

Exempel: Att använda förvalslistor i digitala tjänster genererar goda förutsättningar att automatisera ärendehandläggning. En positiv effekt av förvalslistor är dessutom att uppgifterna som hämtas in är kvalitets- säkrade och att uppgifterna som ska ligga till grund för handläggning och beslut i ärendet blir rätt från början. Skatteverket har emellertid mycket begränsat utrymme att tillhandahålla förvalslistor i digitala tjänster oavsett om det är en intern eller myndighetsgemensam tjänst. Eftersom samtliga uppgifter i beskattningsdatabasen omfattas av absolut sekretess4 har Skatteverket gjort bedömningen att dessa uppgifter inte kan användas i förvalslistor i digitala tjänster. Ett konkret exempel är hantverksföretagens ansökningar om rotavdrag.5 I ansökan krävs att det ansökande företaget registrerar korrekt fastighetsbeteckning för den

2Studiestödsdatalagen (2009:287) och studiestödsdataförordningen (2009:321).

3Framställan om ändring i lagen (2001:558) och förordningen (2001:650) om vägtrafikregister gällande behandling av personuppgifter i vägtrafikregistret i Transportstyrelsens service- tjänster, 16 juni 2014, (TSV 2014:1632).

427 kap. 1 § offentlighets- och sekretesslagen (2009:400).

5Rotavdrag är en skattesubvention som ges till privatpersoner för vissa typer av renoverings- arbeten som utförs i hemmet.

72

SOU 2018:25

Kartläggning av hindrande eller hämmande lagstiftning

fastighet som rotavdraget avser. Ett sätt att säkerställa att den som fyller i ansökan verkligen får alla bokstäver och siffror rätt i fastighets- beteckningen skulle vara att ta hjälp av en s.k. förvalslista som anger relevanta förslag i takt med att fastighetsbeteckningen fylls i. Men eftersom de förslag på fastighetsbeteckning som lämnas i förvalslistan skulle behöva hämtas från beskattningsdatabasen menar Skatteverket att en sådan funktion inte kan tillhandahållas.

Företeelsen journaler på nätet har också lyfts fram. Vissa landsting tillhandahåller journaler på nätet till enskilda individer. En förut- sättning för att journaler ska kunna tillhandahållas på det sättet är att vårdgivaren säkerställer att inga uppgifter som är sekretessbelagda i förhållande till patienten lämnas ut. I regel kan enskilda ta del av all sin patientinformation men det finns vissa begränsningar om det med hänsyn till ändamålet med vården eller behandlingen är av synnerlig vikt att uppgiften inte lämnas ut till den enskilde.6 Efter- som sekretess för vissa uppgifter alltså kan gälla även mot den en- skilde har det beskrivits att det, innan en kanal för utlämnande av patientuppgifter på nätet etableras, först behöver genomföras en menprövning i fråga om sekretessen hindrar utlämnande. Men hur ska en sådan gå till i praktiken? Kan menprövningen göras schablon- mässigt?7 Vem fattar beslutet i fråga om sekretess? Och kan beslutet läggas till grund för automatiserat utlämnande?

5.2.4Digitala tjänster med eget utrymme

Kartläggningsarbetet visar att det blir allt vanligare att myndigheter utvecklar digitala tjänster som innefattar ett s.k. eget utrymme för tjänstens användare. Ett eget utrymme tillhandahålls som en service åt användaren och ingen annan än användaren ska ha insyn i den information som lagras där. Avsikten är att det ska vara möjligt för enskilda att t.ex. spara utkast för en ansökan eller anmälan eller vidta andra åtgärder utan att handlingarna i det egna utrymmet ska anses ha kommit in till myndigheten enligt tryckfrihetsförordningen eller förvaltningslagen.8

625 kap. 6 § offentlighets- och sekretesslagen.

7Jfr Regeringens proposition med förslag till sekretesslag m.m., prop. 1979/80:2 Del A, s. 80 f. om s.k. massuttag.

8Här och i det följande avses förvaltningslagen (2017:900) med ikraftträdande den 1 juli 2018 om inte referens till äldre version av lagen särskilt anges.

73

Kartläggning av hindrande eller hämmande lagstiftning

SOU 2018:25

Det blir också allt vanligare att myndigheter, och ibland även privata aktörer, i samverkan utvecklar eller använder tjänster som omfattar ett eget utrymme. Som exempel kan nämnas Mina med- delanden hos Skatteverket, det personliga hälsokontot Hälsa för mig som utvecklas av eHälsomyndigheten samt verksamt.se som är en myndighetsgemensam webbplats där det egna utrymmet tillhanda- hålls av den samverkande myndigheten i respektive e-tjänst.

Å ena sidan har kartläggningen visat att flera av de myndighets- representanter som vi talat med känner sig trygga med den myndig- hetspraxis som har utvecklats när det gäller utformning av tjänster med eget utrymme. Att en sådan myndighetspraxis har kunnat utvecklas, och digitala tjänster har kunnat införas, beror till stor del på de vägledningar som har tagits fram inom ramen för E-delega- tionen.9 Å andra sidan har flera av dem vi mött under kartläggningen framhållit att det fortfarande råder en rättslig osäkerhet inom området. Vilka tjänster kan anses omfattas av tryckfrihetsförord- ningens lokution ”endast som led i teknisk bearbetning eller teknisk lagring för annans räkning”? Vilken service kan en myndighet ge inom ramen för ett eget utrymme utan att en handling ska anses inkommen? Behövs ett uttryckligt författningsstöd för behandling av personuppgifter i ett eget utrymme? Dessa frågeställningar har också samband med frågor om hur dataskyddsregleringens krav på rättslig grund för personuppgiftsbehandling ska förstås beträffande egna utrymmen och hur personuppgiftsansvaret för behandling av personuppgifter i utrymmet ska fördelas. Även frågor om vem som tar ansvar för informationssäkerheten har relevans i sammanhanget.

Flera myndigheter framhåller att oproportionerligt mycket tid och resurser avsätts för att utreda fördelningen av personupp- giftsansvar i egna utrymmen. Under kartläggningen har någon röst hörts för att författningsreglering av tjänster med egna utrymmen är det enda rimliga alternativet för att bl.a. lösa fördelningen av person- uppgiftsansvaret.

Myndigheter med breda kontaktytor mot allmänheten har en hög ambitionsnivå för den service de vill kunna erbjuda enskilda i deras användning av myndighetens digitala tjänster som inkluderar ett eget utrymme. Det ska vara enkelt för enskilda att hantera sina ärenden och myndigheten ska hålla hög kvalitet i handläggningen. Inom ramen för det egna utrymmet finns stor potential att förenkla för

9 Vägledningarna är publicerade på eSamverkansprogrammets (eSam) webbplats, www.esamverka.se

74

SOU 2018:25

Kartläggning av hindrande eller hämmande lagstiftning

enskilda i deras myndighetskontakter. Samtidigt kräver den service som lämnas inom ramen för ett eget utrymme ibland att myndig- hetens personal tar sådan befattning med de uppgifter som hanteras där, att det uppstår svåra gränsdragningsfrågor om åtgärden ska anses leda till att uppgifterna i utrymmet blir att anse som allmän handling. Även nödvändig teknisk support kan föranleda rätts- frågor. Har felaktigheter av någon anledning uppstått kan tekni- kerna behöva komma ”under huven” i systemet vilket innebär att de oundvikligen kommer att ta del av uppgifter som finns lagrade i den enskildes eget utrymme. Medför denna åtkomst att uppgifterna som teknikerna tar del av ska anses ha kommit in till myndigheten?

Kartläggningsarbetet visar vidare att det vid sidan av eget ut- rymme för enskilda också förekommer att myndigheter tillhanda- håller motsvarande funktioner åt andra myndigheter. En sådan funktion, t.ex. ett mottagningsställe för elektroniska handlingar, kan fungera som ett eget utrymme för respektive myndighet där syftet är att de handlingar som hanteras inte anses som inkomna hos den mottagande myndigheten innan detta varit avsändarens avsikt. Eget utrymme för myndigheter är en företeelse som, såvitt vi kan bedöma, sannolikt kommer bli allt vanligare ju fler myndighets- gemensamma processer som digitaliseras.

Exempel: I Lantmäteriets digitala tjänst för ansökan om lantmäteriför- rättning tillhandahåller Lantmäteriet mottagningsställen för elektro- niska handlingar åt de kommunala lantmäterimyndigheterna. Först när ansökningar når respektive kommuns mottagningsställe anses de vara inkomna till den kommunala lantmäterimyndigheten.

5.2.5Språklagen

Frågan om vilket språk som kan användas i digitala tjänster är yt- terligare en aspekt som har framhållits för oss. För domstolar, för- valtningsmyndigheter och andra organ som fullgör uppgifter i of- fentlig verksamhet är språket svenska.10 Men för att alla och envar ska kunna använda sig av de digitala tjänster som det offentliga till- handahåller behöver tjänsterna erbjudas på flera språk och enskilda måste kunna kommunicera på andra språk än svenska i tjänsterna.

10 10 § språklagen (2009:600).

75

Kartläggning av hindrande eller hämmande lagstiftning

SOU 2018:25

Exempel: Till följd av bl.a. företagsrörligheten inom EU, tjänstedirek- tivet11 och eIDAS-förordningen12 ökar kraven på svenska myndigheters digitala tjänster. I Sverige gäller språklagen och det innebär t.ex. för en digital tjänst som tillhandahålls företag att information om ett företags verksamhet ska vara på svenska. När informationsutbyte sker över gränserna blir språket ett hinder eftersom enskilda från andra EU-länder i regel inte har tillräckliga kunskaper i svenska språket för att kunna använda sig av våra nationella digitala tjänster. Ska svenska alltjämt krävas för att t.ex. göra en ansökan i en digital tjänst behöver översättning ske automatiskt om tjänsten ska kunna utnyttjas av icke-svenskspråkiga individer. Norge har löst en viss del av problemet genom att företags- information kan registreras antingen på norska eller på engelska.

Myndigheter med breda kontakter mot allmänheten kan se en fort- satt inriktning mot att det behöver finnas rättsliga förutsättningar för att tillhandahålla digitala tjänster med flera olika språkalternativ. Förutom nationella minoritetsspråk rör det sig om språk som talas inom EU eller stora invandrarspråk.

5.3Identiteter, underskrifter och annan koppling till person

5.3.1Identiteter och identifiering

En effektiv och ändamålsenlig digital förvaltning kräver att tradi- tionellt analoga förfaranden, t.ex. identifiering med id-kort, upprät- tande av pappersfullmakt, underskrift på papper m.m., kan ersättas av digitala motsvarigheter med bibehållen rättsverkan. Nya digitala rättsinstitut med koppling till fysiska personer behöver vara till- gängliga och användbara för alla oavsett om det är en privatperson, juridisk person eller behörig företrädare som utför en rättshandling.

En digital identitet måste kunna säkerställa kopplingen till en fysisk person. Det kan t.ex. göras genom att den digitala identiteten knyter an till en unik identitetsmarkör såsom personnummer. I kart- läggningsarbetet pekar ett par myndighetsrepresentanter på att det i framtiden inte kommer vara tillräckligt att enbart använda person-

11Europaparlamentet och rådets direktiv 2006/123/EG av den 12 december 2006 om tjänster på den inre marknaden.

12Europaparlamentets och rådets förordning (EU) nr 910/2014 av den 23 juli 2014 om elek- tronisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre markna- den och om upphävande av direktiv 1999/93/EG.

76

SOU 2018:25

Kartläggning av hindrande eller hämmande lagstiftning

nummer som unika identitetsmarkörer. Andra unika identitets- markörer som kan komma att bli aktuella sägs vara biometriska uppgifter eller passnummer.

Att en enskilds personnummer utgör den enda unika identitets- markören mellan dennes digitala identitet och det verktyg han eller hon använder för identifiering, t.ex. en e-legitimation, kan vara pro- blematiskt.

Exempel: En enskild näringsidkare har inte något organisationsnummer utan driver sin verksamhet under sitt personnummer. En individ kan emellertid ha fler än en enskild firma vilket kan leda till otydligheter vid myndighetskontakter. I de fall den enskilde företräder sin firma är det ett problem att personnumret är den enda identifieraren. Hur ska myndigheten veta i vilken roll den enskilde agerar när denne använder sig av myndigheternas digitala tjänsteutbud? Företräder den enskilde sig själv som privatperson eller något av sina bolag? Bolagsverket framhåller att det vore önskvärt att näringsidkare, i stället för personnummer, till- delas en annan typ av identitetsmarkör t.ex. ett löpnummer.

Exempel: Inom utbildningsväsendet skulle det underlätta om varje elev hade en digital identitet som kan användas i alla skol- och utbildnings- sammanhang, oavsett vilken skola eller utbildning eleven deltar i. En digital identitet möjliggör bl.a. för eleven att lagra sin information och kunna ta den med sig vid ett skolbyte.

5.3.2Behöriga företrädare

Inom ramen för kartläggningsarbetet har några framfört uppfatt- ningen att det ur vissa perspektiv är lättare att utveckla digitala tjänster som riktar sig till privatpersoner, t.ex. för socialförsäk- ringsförmåner, studiestöd, ansökan om förskola m.m. När det gäller digitala tjänster riktade till juridiska personer verkar utvecklingen ha gått långsammare. En förklaring kan vara att det saknas en utpekad myndighet som ensam ansvarar för att registrera alla typer av juridiska personer. Registreringsansvaret är i stället fördelat på flera olika aktörer, bl.a. Bolagsverket, Skatteverket, länsstyrelser och Lantmäteriet. För vissa juridiska personer saknas krav på registre- ring, t.ex. för föreningar, nätverk, klubbar och andra liknande sam- manslutningar.

En konsekvens av det splittrade ansvaret är att det saknas ett centralt register eller decentraliserat system över samtliga juridiska personer dit det också skulle gå att koppla uppgifter om behöriga

77

Kartläggning av hindrande eller hämmande lagstiftning

SOU 2018:25

företrädare. På samma gång är det orimligt att behörig firmatecknare i ett stort bolag själv ska utföra alla ärenden som rör registrering, avregistrering eller redovisning och som kräver behörig firma- tecknares signering. När enskilda individer tvingas identifiera sig i rollen som privatperson, fast de företräder ett företag, väcks bl.a. frågor om vem som skulle bära det rättsliga ansvaret om ansvars- frågor uppkommer under det aktuella digitala förfarandet.

Myndigheternas förutsättningar att utveckla e-tjänster där en behörig företrädare tillåts att agera för en juridisk persons räkning ser olika ut.

Exempel: Inom ramen för programmet Serverat13 har man identifierat att det finns behov av en nationell och tvärfunktionell behörighets- lösning. Många av de ansökningar och anmälningar som kan göras till kommuner genom Serverat behöver utföras av behöriga företrädare för bolag. En behörig företrädare kan vara en fysisk person som har fått ledningens ansvar att agera för bolagets räkning. Det kan också vara ett externt företag som på uppdrag av ett annat bolag ska utföra en uppgift som kräver en ansökan eller anmälan, t.ex. ett skyltföretag som ska montera en skylt på en restaurangfasad och som behöver ansöka om bygglov hos kommunen.

Även myndigheter behöver utse behöriga företrädare för att utföra rättshandlingar digitalt i myndighetens namn, t.ex. i bygglovs- ärenden. Därtill kan även fysiska personer ha behov av att låta ett ombud agera i deras ställe.

5.3.3Fullmakter

En del av de myndighetsrepresentanter som deltagit i kartläggnings- arbetet menar att ett centralt fullmaktsregister skulle underlätta digitala processer och på sikt möjliggöra fler automatiserade myndighetsbeslut. Det förtjänar dock att nämnas att även motsatta synpunkter har lagts fram. Frågan om digitala fullmakter är kom- plex, oavsett om de finns att tillgå i ett centralt register eller inte. Hur återkallas en digital fullmakt? Går det att använda blockkedje- teknik14 för att upprätta en rättsligt giltig fullmakt? Finns det eller

13SKL driver programmet Serverat tillsammans med kommuner, Tillväxtverket och Bolags- verket. Syftet med Serverat är att utveckla digitala lösningar för att förenkla för restaurang- företagare att starta och driva företag. Se även kapitel 5.11.5.

14Se kapitel 7.3.4 för beskrivning av blockkedjetekniken.

78

SOU 2018:25

Kartläggning av hindrande eller hämmande lagstiftning

går det att åstadkomma nödvändiga rättsliga förutsättningar för en aktör att tillhandahålla ett centralt register över fullmakter?

5.3.4Underskrifter och andra liknande rättsinstitut

Kartläggningsarbetet visar att det inte alltid är tydligt när en fysisk underskrift kan ersättas med en digital. Ibland är det juridiska förut- sättningar i kombination med andra svårlösta frågor som gör att det tar tid att utveckla nya lösningar.

Exempel: Socialstyrelsen har utvecklat en tjänst för digitala ansökningar om vårdlegitimation, bl.a. läkarlegitimation. Det kvarstår dock vissa manuella moment kopplade till underskrifter som måste kunna lösas tekniskt innan hela förfarandet kan digitaliseras. Den som ansöker om läkarlegitimation ska bifoga en s.k. AT-bok vari klinikernas verksam- hetschefer ska lämna fyra separata intyganden om den utförda allmän- tjänstgöringen. En förutsättning för att AT-boken ska kunna skickas in digitalt är att verksamhetscheferna kan lämna digitala intyganden, t.ex. med stöd av digitala underskrifter. Socialstyrelsen måste dessutom ha anpassad teknik som ger möjlighet att hantera och verifiera de digitala underskrifterna. Exemplet är belysande i så måtto att det pekar på svårigheterna, juridiskt och tekniskt, med att implementera digitala underskrifter i en i övrigt automatiserad process.

Ett flertal myndighetsrepresentanter vittnar om problematiken i att avgöra när det befintliga regelverket medger, kräver eller hindrar an- vändning av elektroniska underskrifter. Om uppgifter ska lämnas på heder och samvete – innebär det att den enskilde måste bekräfta upp- gifternas riktighet med stöd av en elektronisk underskrift? Eller går det lika bra att bekräfta att uppgifterna är riktiga genom att klicka i en ruta i webbläsaren eller att lämna ett muntligt intygande per telefon?

Det kan dessutom finnas behov av att kunna koppla både digitala och analoga underskrifter till ett och samma dokument utan att behöva framställa dubbletter av dokumentet i fråga, t.ex. när flera olika individer med sinsemellan olika tekniska förutsättningar ska signera samma handling.

Frågor om hur andra traditionellt analoga rättsinstitut kan över- föras till digitala processer har också lyfts fram. Det är t.ex. oklart hur ett bestyrkande kan göras i en digital process. Inom fastighets- rättens område används också s.k. makemedgivanden. Om det i

79

Kartläggning av hindrande eller hämmande lagstiftning

SOU 2018:25

dagsläget finns rättsliga förutsättningar att lämna ett sådant med- givande digitalt är ännu inte utrett.

5.3.5Delgivning

Behovet av att använda nya tekniska lösningar för att delge enskilda personer handlingar med t.ex. kallelse till domstolsförhandling har framhållits under kartläggningen. Inställda domstolsförhandlingar är ett stort problem för rättsväsendet, nästan en fjärdedel av alla förhandlingar ställs in och huvudorsaken är bristande delgivning. En förändring av delgivningssystemet i linje med den danska modellen, där varje medborgare utrustas med en officiell e-postbrevlåda och där man anses delgiven om meddelandet skickats dit har diskuterats av vissa. Nuvarande delgivningsmöjligheter beskrivs ha flera brister som, i vart fall delvis, skulle kunna åtgärdas med hjälp av rättslig reglering som stödjer digitala förfaranden.

Exempel: Delgivningslagen15 innehåller flera regler med koppling till analoga förfaranden. I dag hanteras delgivningshandlingar på papper i stängda kuvert. Det rör sig många gånger om brådskande ärenden, t.ex. en kallelse till en förhandling, som ska delges en enskild. När personen som ska delges väl påträffas sker det dock inte sällan på en annan plats än där de fysiska delgivningshandlingarna befinner sig. Följden kan bli att delgivning inte kan ske och att t.ex. en domstolsförhandling måste ställas in.

5.4Grunddata och informationsförsörjning

Bolagsverket, Lantmäteriet, Skatteverket och Transportstyrelsen är registeransvariga myndigheter för s.k. grunddata.16 I ett grunddata- register lagras uppgifter som på ett eller annat sätt inhämtats från en rad olika aktörer till den registeransvariga myndigheten. Den in- rapporterande aktörens skyldighet att överföra uppgifter till den registeransvariga myndigheten är i regel författningsstyrd. Lagstift- ningen är, såsom vi fått det beskrivet, inte sällan omfattande och fragmenterad.

15Delgivningslagen (2010:1932).

16Det saknas en legaldefinition av begreppet grunddata. I detta sammanhang avses med grund- data sådan grundläggande registerinformation som finns i fastighetsregistret, folkbokförings- registret, vägtrafikregistret, de olika företagsregistren och viss geografisk information.

80

SOU 2018:25

Kartläggning av hindrande eller hämmande lagstiftning

Kartläggningsarbetet visar vidare att det inte är helt tydligt vad ett författningsreglerat registeransvar faktiskt innebär. Måste myn- digheten som ska föra registret lagra all information själv? Eller är det tillräckligt att informationen är åtkomlig via den myndigheten genom att myndigheten, när informationen behövs eller efterfrågas, gör ett direktanrop till den aktör som faktiskt producerar infor- mationen i fråga? Flera anser att uppgifter exempelvis bara ska lagras hos den myndighet som ursprungligen har inhämtat eller producerat uppgiften och hämtas där vid behov. Det finns med andra ord en strävan mot att uppgifter ska hämtas vid den ”bästa källan”.

Exempel: Lantmäteriet har i uppdrag att tillhandahålla fastighetsre- gistret. Varje dag fattas tusentals beslut baserade på beslutsunderlag från fastighetsregistret. Uppdateringen av registret sker i dag på olika sätt och med olika handläggnings- och registreringssystem. I vissa fall är uppdateringen helt eller delvis digital men ren analog registrering förekommer fortfarande. Att uppdateringen sker på flera olika sätt och av flera olika aktörer innebär att uppgifterna kan variera i kvalitet och aktualitet.

Några myndighetsrepresentanter har också gett uttryck för att insamling och registrering av uppgifter, även när det inte rör sig om grunddata, kan kräva mycket manuellt arbete. Det kan vara en utmaning att se till att registren innehåller uppgifter av god kvalitet och som därtill är aktuella och uppdaterade.

Exempel: Socialstyrelsen ansvarar för flera olika register med koppling till hälso- och sjukvård och socialtjänstområdet. Insamlingen av register- uppgifter regleras av flera olika förordningar och i vissa fall finns format- krav för uppgifterna i Socialstyrelsens egna föreskrifter. För vissa av registren krävs det i nuläget mycket manuellt arbete både hos de aktörer som ska förse Socialstyrelsen med uppgifter och hos Socialstyrelsen för att säkerställa att de uppgifter som tillförs registren håller en godtagbar kvalitet. Den manuella hanteringen medför eftersläpningar i registre- ringen vilket leder till att underlag för rapporter m.m. inte är upp- daterade i den mån som eftersträvas. För Socialstyrelsen och för de aktörer som använder uppgifterna i registren finns stora vinster att vänta om den manuella hanteringen framöver kan minskas.

Behovet av ytterligare uppgifter än dem som i nuläget finns i t.ex. nationella grunddataregister har också framförts. Det gäller särskilt uppgifter om personer, där folkbokföringsadress m.fl. befintliga uppgifter anses behöva kompletteras med kontaktuppgifter för digi- tal kontakt med enskilda.

81

Kartläggning av hindrande eller hämmande lagstiftning

SOU 2018:25

I dagsläget kan statliga myndigheter utbyta grunddata avgifts- fritt. Ekonomistyrningsverket har i en rapport föreslagit en ny finansieringsmodell i syfte att även kommuner och landsting ska omfattas av det avgiftsfria grunddatautbytet.17 Även om förslaget genomförs kommer dock avgiftskravet kvarstå i förhållande till pri- vata aktörer. Flera myndigheter påtalar att kravet på att ta ut avgifter för grunddata kan verka hindrande för en effektiv och ändamålsenlig användning av informationen.

Exempel: Inom ramen för tjänsten Mina meddelanden lämnar Bolags- verket efter begäran ut uppgifter om behöriga företrädare för företag, t.ex. firmatecknare, till Skatteverket. Skatteverket lämnar i sin tur ut uppgifterna i fråga till privata brevlådeoperatörer anslutna till Mina meddelanden. Utlämnandet av uppgifter från Bolagsverket till Skatte- verket sker avgiftsfritt liksom utlämnandet från Skatteverket till brev- lådeoperatörerna. Bolagsverket saknar dock förutsättningar att utan avgift lämna ut uppgifterna direkt till de privata brevlådeoperatörerna. Det är dock värt att notera att huvudskälet till den valda lösningen är en annan, nämligen att få likformig tolkning av regelverket. Att avgifterna hanteras är en positiv bieffekt av detta.

Ett annat rättsligt problem som kan uppstå bl.a. till följd av avgifts- kravet är att det skapas kopior av register med uppgifter av sämre kvalitet hos andra aktörer som t.ex. har begärt ut uppgifterna i fråga med stöd av offentlighetsprincipen. Kopior av register med upp- gifter av sämre kvalitet, och som inte hålls uppdaterade i samma utsträckning, kan vara olämpligt ur dataskyddssynpunkt.

5.5Informationsutbyten

5.5.1Informationssäkerhet

I digitaliseringsarbetet står myndigheterna inför många gemen- samma utmaningar. Det gäller inte minst informationssäkerheten. Flera av dem vi träffat har påtalat att ju mer information som samlas in och hanteras desto svårare blir det att leva upp till säkerhets- kraven.

17 Ny finansieringsmodell för grunddatautbyte mellan statliga myndigheter samt kommuner och landsting (ESV 2017:54).

82

SOU 2018:25

Kartläggning av hindrande eller hämmande lagstiftning

Varje myndighet ansvarar självständigt för att informationsklassa sin information.18 Men när myndigheter samverkar och utbyter information framhålls att det behövs en enhetlig informations- klassning för att informationen ska få likvärdigt skydd hos alla myndigheter som hanterar den. Inom ramen för myndighetsgemen- samma system uppstår dessutom ofta nya informationsmängder och även dessa måste kunna hanteras korrekt ur ett informationssäker- hetsperspektiv.

I kartläggningsarbetet har vissa myndighetsrepresentanter efter- frågat mer styrande reglering kring myndigheternas informations- säkerhetsarbete. Någon har framfört att det vore lämpligt med en förvaltningsgemensam reglering av behörighetsstyrning. På så sätt skulle man kunna säkerställa tillgänglighet till information av god kvalitet till dem som har ett konstaterat behov av att ta del av informationen från en viss källa. Någon annan har framfört att ett bredare tillsynsuppdrag över myndigheters arbete med infor- mations- och cybersäkerhet behövs.

5.5.2Registerförfattningar

En majoritet av dem vi träffat har framhållit att lagstiftningen ofta hindrar eller hämmar myndigheternas önskade informationsutbyten vid digitala utvecklingsarbeten. Problemen beskrivs vara främst hän- förliga till dataskyddsregleringen i särskilda registerförfattningar och sekretessregleringen.

Myndighetsrepresentanterna är relativt samstämmiga i uppfatt- ningen att dataskyddsregleringen är svåröverskådlig, komplex, frag- menterad och onödigt detaljerad. Detaljreglering av informations- utbyten har lett till att regelverket över tid har blivit ett lappverk eftersom nya uppgiftsutbyten ideligen kräver författningsändringar. Lagstiftningsarbetet håller inte heller det tempo som myndig- heternas utvecklingsarbeten kräver vilket leder till att arbetena för- dröjs eller genomförs endast delvis, dvs. inte med den fulla potential som först identifierats. Några har framfört att det vore önskvärt att

18 Med informationsklassning avses att genom konsekvensanalys identifiera skyddsbehovet för en viss informationsmängd. Se 4 § Myndigheten för samhällsskydd och beredskaps före- skrifter om statliga myndigheters informationssäkerhet (MSBFS 2016:1).

83

Kartläggning av hindrande eller hämmande lagstiftning

SOU 2018:25

författningsreglera digitala informationsutbyten på mer principiell nivå, kanske inom ramen för en generell myndighetsdatalag.19

Två sätt att reglera digitalt utlämnande

I registerförfattningar regleras inte sällan i vilken utsträckning det är tillåtet med utlämnande på medium för automatiserad behandling eller med direktåtkomst till personuppgifter. Det saknas legal- definition av såväl begreppet utlämnande på medium för auto- matiserad behandling som begreppet direktåtkomst.

Frågan om vad som är direktåtkomst och vad som är utlämnande på medium för automatiserad behandling har emellertid börjat klarna efter Högsta förvaltningsdomstolens (HFD) dom om För- säkringskassans fråga/svartjänst LEFI Online.20 I regel synes myn- digheternas målsättning nu vara att de system som utvecklas för informationsöverföring ska spegla den tekniska lösningen i LEFI Online. På så sätt blir det inte fråga om direktåtkomst för den mottagande myndigheten. Uppgifterna anses i stället utlämnade på medium för automatiserad behandling och myndigheterna slipper den särskilda problematik med överskottsinformation som blir en effekt av direktåtkomst.21

En konsekvens av HFD:s dom är att visst informationsutbyte, som tidigare förmodats vara direktåtkomst och reglerats därefter, snarare utgör utlämnande på medium för automatiserad behandling med den teknik som numera används. Som en följd härav har viss reglering av direktåtkomst kommit att bli överflödig. Någon av dem vi talat med menar dock att bestämmelser om direktåtkomst ändå kan ha ett signalvärde trots att bestämmelserna inte tillämpas i praktiken.

19Se Informationshanteringsutredningens betänkande Myndighetsdatalag (SOU 2015:39).

20Se HFD 2015 ref. 61. Frågan i målet gällde om socialnämndernas åtkomst till uppgifter i socialförsäkringsdatabasen genom datasystemet LEFI Online var att anse som direktåtkomst i socialförsäkringsbalkens mening. I målet fann HFD att innebörden av begreppet direkt- åtkomst i socialförsäkringsbalken skulle bestämmas med utgångspunkt i bestämmelserna i

2kap. 3 § andra stycket tryckfrihetsförordningen.

21Överskottsinformation uppstår därför att det på förhand inte går att avgöra vilka specifika uppgifter i den utlämnande myndighetens informationssamling som den mottagande myndig- heten kan komma att behöva ta del av. Oaktat det förhållandet att den mottagande myndig- heten inte behöver ta del av vissa uppgifter gäller enligt tryckfrihetsförordningen att uppgif- terna anses vara inkommen allmän handling hos den mottagande myndigheten. Se mer om överskottsinformation i Informationshanteringsutredningens betänkande Överskottsinfor- mation vid direktåtkomst (SOU 2012:90).

84

SOU 2018:25

Kartläggning av hindrande eller hämmande lagstiftning

Direktåtkomst

Reglering om direktåtkomst är ofta detaljerad. Inom ramen för kartläggningsarbetet vittnar flera om att en sådan reglering i prak- tiken inte alltid uppfyller sitt syfte. Det kan bl.a. bero på att det är svårt att förutse exakt vilka uppgifter den mottagande myndigheten faktiskt har behov av. Om behovet förändras krävs en författnings- ändring som tar tid. När direktåtkomsten inte uppfyller den mottagande myndighetens informationsbehov kan det få effekten att den utlämnande myndigheten, vid sidan av direktåtkomsten, också manuellt måste hantera begäran om utlämnande av uppgifter.

Exempel: Transportstyrelsen har direktåtkomst till uppgifter i Polis- myndighetens misstanke- och belastningsregister. I vissa ärenden, t.ex. körkortstillstånd, har dock Transportstyrelsen behov av ytterligare information än den som ges via direktåtkomsten. Detta leder till att Polismyndigheten årligen, vid sidan av det utlämnande som sker genom direktåtkomsten, behöver hantera över 30 000 begäran om utlämnande till Transportstyrelsen rörande kompletterande ärendeinformation.

Det förekommer också att den mottagande myndighetens direkt- åtkomst är inskränkt genom sökbegränsningar, dvs. att myndighe- ten saknar rättsligt stöd för att använda vissa sökbegrepp i den ut- lämnande myndighetens informationssamling. Om det gjorts av- sevärda sådana sökbegräsningar kan det innebära att den mottagande myndigheten inte kan få den information som den har behov av.

Exempel: I lagen om fastighetsregister22 finns ett förbud mot att använda personnummer eller del av personnummer som sökbegrepp vid direkt- åtkomst. Vissa myndigheter har emellertid behov av att kunna söka på personnummer i fastighetsregistret. Eftersom nuvarande lagstiftning inte medger detta inom ramen för regleringen av tillåten direktåtkomst behöver den uppgiftshämtande parten kontakta Lantmäteriet för att få stöd med sådana sökningar i varje enskilt fall. Ett annat alternativ som tillämpas i stället för direktåtkomst är att begära ut kopior av relevanta delar av registret för att möjliggöra verksamhetsanpassade sökningar hos den mottagande aktören. En reglering som har till syfte att skydda den enskildes personliga integritet kan på det sättet, dvs. genom att vara alltför restriktiv, leda till ökat utlämnande.

Inom ramen för kartläggningsarbetet har ett par myndighetsrepre- sentanter också lämnat exempel på oönskad direktåtkomst, dvs. där

22 Lagen (2000:224) om fastighetsregister.

85

Kartläggning av hindrande eller hämmande lagstiftning

SOU 2018:25

myndigheterna om val funnits hellre hade fått uppgifterna ut- lämnade på medium för automatiserad behandling i stället för genom direktåtkomst. På så sätt slipper mottagande myndighet bl.a. att hantera problemet med överskottsinformation.

Utlämnande på medium för automatiserad behandling

Det finns inte någon enhetlig systematik för hur utlämnanden på medium för automatiserad behandling är reglerade. I vissa register- författningar, t.ex. 114 kap. socialförsäkringsbalken, är regleringen om utlämnande på medium för automatiserad behandling för- hållandevis tillåtande.23 I andra registerförfattningar, t.ex. studie- stödsdatalagen och studiestödsdataförordningen, finns en uttöm- mande reglering av vilka uppgifter som får lämnas ut under vilka förutsättningar. En sådan detaljerad reglering kan hindra digitala informationsutbyten.

Detaljreglering avseende tillåtligheten av utlämnande på medium för automatiserad behandling kan hindra myndigheter från att exem- pelvis digitalisera masshantering av ärenden som innefattar informa- tionsöverföring till en annan myndighet, t.ex. överklagandeärenden till domstol eller nämnd. Digitalisering av stora ärendeflöden ger betydande effektivitetsvinster för myndigheterna men kan bara ske under förutsättning att den rättsliga regleringen stödjer elektroniskt utlämnande.

5.5.3Sekretess

Även sekretessregleringen kan uppställa hinder mot nödvändiga och ändamålsenliga informationsutbyten mellan myndigheter. I kart- läggningsarbetet har vissa myndighetsrepresentanter framhållit problematiken med sekretessgränser mellan olika verksamheter i förvaltningen. Sekretessgränser uppstår delvis som en följd av hur statsförvaltningen är organiserad med självständiga myndigheter. Men sekretessgränser kan dessutom finnas inom skilda verksam- hetsområden hos en och samma myndighet. Sekretessgränser uppstår också som en effekt av hur en kommunal verksamhet väljer

23 114 kap. 24–26 a §§ socialförsäkringsbalken och Behandling av personuppgifter inom social- försäkringens administration, prop. 2002/07:135 s. 97 f.

86

SOU 2018:25

Kartläggning av hindrande eller hämmande lagstiftning

att organisera sig. Varje enskild nämnd utgör en egen myndighet med egna sekretessgränser. Det kan ifrågasättas om förvaltningens val av organisation verkligen ska ha den betydelsen som sekretess- gränserna medför.

En förutsättning för att en myndighet ska kunna lämna ut en upp- gift till en annan myndighet är att utlämnandet inte hindras av sekretess. Som utgångspunkt gäller sällan sekretess i förhållande till den enskilde som berörs av ett ärende. I myndighetsgemensamma tjänster som tillhandhålls enskilda har därför i vissa fall valet gjorts att sekretessbelagda uppgifter lämnas ut till den enskilde först. Denne får i sin tur välja om uppgifterna ska lämnas vidare till en annan myndig- het. Den enskilde har då själv kontroll över processtegen. Men några har framfört att de tekniska processer som utvecklas blir onödigt tillkrånglade, särskilt med tanke på att digitaliseringen ska förenkla enskildas kontakter med myndigheter.

I sektorsspecifik lagstiftning kan det finnas detaljerad reglering av uppgiftsskyldigheter och sekretessgenombrott. Om det i sam- band med utvecklingsarbeten klargörs att den mottagande myndig- heten har behov av ytterligare någon uppgift, det kan vara en enstaka uppgift, men den inte finns uppräknad i den sekretessbrytande bestämmelsen kan detta utgöra ett hinder i arbetet med att utveckla enklare tjänster för enskilda och därmed uppnå en mer effektiv digital informationshantering. Så som vi fått beskrivet för oss genomförs ändå utvecklingsarbetet med det digitala informations- utbytet, utan att alla uppgifter som det egentligen finns behov av kommer att utbytas. Myndigheterna hemställer således inte alltid om författningsändringar för att få till stånd ett mer effektivt förfarande.

5.5.4Informationsutbyte med privata utförare

Kartläggningsarbetet visar att den kommunala sektorn upplever hinder för informationsutbyten med privata utförare. Det rör sig delvis om att regelverket, främst dataskydds- och sekretessregle- ringen, kan uppställa hinder för en kommun att lämna ut infor- mation. Det beskrivs emellertid att det även i flera avseenden saknas modeller, system och standarder som möjliggör digitala infor- mationsutbyten. Det är också oklart om en kommun kan kräva av

87

Kartläggning av hindrande eller hämmande lagstiftning

SOU 2018:25

privata utförare att de ska använda sig av ett specifikt format för att hantera sin information för att möjliggöra informationsutbyte.

Ett exempel är problem med informationsöverföringar när elever byter skola. Den nya skolan behöver information om såväl elevens kunskapsläge som om elevens hälsa och eventuella behov av särskilt stöd. Skolor med kommunala huvudmän kan i regel lämna ut infor- mation med stöd av generalklausulen i offentlighets- och sekre- tesslagen.24 Men när uppgifter behöver lämnas från en fristående skola, vars anställda lyder under tystnadsplikt, görs i regel bedöm- ningen att eleven eller förmyndaren behöver lämna samtycke för att sekretessbelagda uppgifter ska kunna lämnas ut till den nya skolan. Det upplevs som inkonsekvent att olika regler gäller för den digitala informationsöverföringen beroende på om en skola har en privat eller en offentlig huvudman.

Kartläggningsarbetet visar också att det inom hälso- och sjukvårds- sektorn finns utmaningar med informationsutbyte mellan de inblandade aktörerna. Sekretessgränser finns såväl mellan landstings- finansierade och kommunala vårdgivare som mellan privata vårdgivare och andra privata utförare. Även aktörer som bidrar med åtgärder närliggande vårdsektorns, t.ex. rehabilitering och arbetsterapi, har behov av att kunna ta del av viss information från vårdgivare. Proble- matiken är särskilt märkbar för multisjuka och deras anhöriga när överlämning mellan vårdgivare inte fungerar optimalt på grund av att regelverket uppställer hinder mot informationsutbyte.

Privata utförare vars anställda omfattas av tystnadsplikt, t.ex. inom hälso- och sjukvården, ställs inför frågan om en informations- överföring till en myndighet innebär ett obehörigt röjande av sekretessbelagda uppgifter. Det kan röra sig om en privat utförare som agerar på uppdrag av en kommunal nämnd. Kan den privata utföraren i detta läge lämna sekretessbelagda uppgifter till den kommunala nämnden utan att uppgifter röjs obehörigen?

5.5.5Informationsutbyte ur ett internationellt perspektiv

Frågan om möjligheter att tillhandahålla direktåtkomst eller lämna ut uppgifter på medium för automatiserad behandling aktualiseras också i EU-rättsliga sammanhang. EU-rättsliga regler kan ställa krav

24 10 kap. 27 § offentlighets- och sekretesslagen.

88

SOU 2018:25

Kartläggning av hindrande eller hämmande lagstiftning

på informationsutbyten mellan medlemsländernas myndigheter. Vissa av dem vi träffat framhåller att det behöver klargöras om det, när nationella registerförfattningar innehåller regler om direkt- åtkomst, också krävs rättsligt stöd för att medge direktåtkomst till utländska organisationer när informationsutbytet följer av EU-rätt. Och har det någon betydelse om utlämnandet sker till statliga eller privata aktörer? Den rättspraxis och de vägledningar som finns rörande direktåtkomst gäller bara nationella förhållanden och i första hand direktåtkomst mellan myndigheter. Frågan om vad som egentligen utgör direktåtkomst har här också relevans (se kapitel 5.5.2).

Även andra exempel på när just internationella informations- utbyten ställer rättsliga frågor på sin spets har lämnats under kart- läggningen.

Exempel: Av förarbetena till studiestödslagstiftningen framgår att CSN förutsätts lämna ut personuppgifter till studiestödsmyndigheter i andra länder i syfte att säkerställa att enskilda inte uppbär studiestöd från flera olika länder samtidigt. Studiestödsdatalagen ger CSN rätt att behandla personuppgifter för ändamålet att lämna ut dem i den mån en sådan skyldighet föreligger för myndigheten. Det saknas dock en rättslig skyldighet för CSN att lämna ut uppgifter till utländska studiestöds- myndigheter varför det rättsliga stödet är mycket svagt för den person- uppgiftsbehandling CSN förutsätts utföra.

5.5.6En uppgift en gång – The Once-Only Principle

Arbetet med att förenkla för företagare och privatpersoner genom att de bara ska behöva lämna samma uppgift en gång till den offentliga förvaltningen bedrivs både nationellt och på EU-nivå.25 Regeringens målsättning är att uppgifter, i de fall det är möjligt och relevant, bara ska behöva lämnas en gång.26

Av kartläggningsarbetet framgår att principen om en uppgift en gång än så länge inte har fått något större genomslag i den offentliga förvaltningen. En förutsättning för att principen om en uppgift en gång ska kunna genomföras är att myndigheterna kan hämta infor- mationen från bästa källan t.ex. den myndighet som initialt har hämtat in eller producerat uppgiften i fråga. Sekretesslagstiftningen

25Se t.ex. EU:s handlingsplan för e-förvaltning för 2016–2020, Snabbare digital omvandling av förvaltningar, COM (2016) 179 final och Uppgiftslämnarutredningens slutbetänkande Upp- giftslämnarservice för företagen, (SOU 2015:33).

26Budgetpropositionen för 2017, prop. 2016/17:1, utg.omr. 22, avsnitt 4.5.1.

89

Kartläggning av hindrande eller hämmande lagstiftning

SOU 2018:25

kan emellertid uppställa hinder mot att den myndighet som förfogar över bästa källan lämnar ut uppgifterna i fråga. Även ändamåls- bestämmelser i registerförfattningar kan hindra att personuppgifter lämnas ut till en myndighet för fortsatt behandling där.

Exempel: Skatteverkets sekretessreglering utgår i från att absolut sekre- tess råder för uppgifter i beskattningsdatabasen. Den stränga sekretess- regleringen innebär bl.a. att Skatteverket måste samla in enskildas kontaktuppgifter flera gånger när de behövs i Skatteverkets skilda verk- samhetsgrenar. Sekretessen hindrar också Skatteverket från att lämna ut enskildas kontaktuppgifter till andra myndigheter.

Exempel: Inom vård- och läkemedelssektorn har principen om en upp- gift en gång svagt genomslag på grund av rådande sekretessgränser. Patienter måste gång på gång lämna samma information t.ex. vid sina kontakter med vårdgivare. Det kan röra sig om väsentliga uppgifter om allergier, kontaktpersoner, läkemedel m.m.

Exempel: Sekretessgränser mellan kommunala nämnder kan hindra återanvändande av uppgifter mellan nämnderna. Kommunala nämnder utgör separata myndigheter och uppgifter kan inte överföras från en nämnd till en annan utan att det finns lagligt stöd för detta. Det kan leda till att samma typ av uppgifter lagras på många olika ställen hos de olika nämnderna.

Exempel: De ärendeslag som hanteras inom en och samma myndighet kan spänna över ett stort och mångfacetterat område. Om person- uppgifter som enskilda lämnat till myndigheten inom ramen för ett ärendeslag ska kunna behandlas inom ramen för ett annat ärendeslag behöver det finnas rättsligt stöd i dataskyddsregleringen för behand- lingen för det nya ändamålet.

5.5.7Vilka uppgifter uppfyller myndigheternas faktiska informationsbehov?

Vid reglering av uppgiftsutbyten mellan myndigheter kan det vara svårt att förutspå, för såväl lagstiftaren som för myndigheterna i fråga, vilka uppgifter som en mottagande myndighet faktiskt har behov av på längre sikt. Den rättsliga regleringen kring vilka uppgif- ter som får lämnas ut på medium för automatiserad behandling eller genom direktåtkomst leder inte alltid till att den mottagande myn- dighetens faktiska informationsbehov uppfylls, trots att detta många gånger får förutsättas ha varit avsikten.

90

SOU 2018:25

Kartläggning av hindrande eller hämmande lagstiftning

Regleringen kan också innehålla begränsningar såtillvida att informationen inte kan lämnas vid den tidpunkt, eller snarare inte kan lämnas vid det processteg som egentligen önskas. Regleringen kan t.ex. medge att en myndighet får lämna ut en uppgift till en annan myndighet om att ett visst beslut har fattats i ett ärende. Den utlämnande myndigheten får alltså först när beslutet har expedierats upplysa den mottagande myndigheten om viss information. Men redan det förhållandet att en enskild har givit in en ansökan om en förmån till den utlämnande myndigheten kan vara den relevanta informationen för den mottagande myndigheten i den myndig- hetens ärendehandläggning, inte det beslut som sedermera fattas.

Det förekommer också att reglering kring informationsutbyten knyter an till traditionell pappershantering och till tidsperspektiv som inte längre är aktuella när beslutsprocesser har automatiserats. Lagstiftningen har med andra ord inte uppdateras i takt med att digitala processer har effektiviserat den offentliga förvaltningen. Detta leder till att myndigheter kan behöva fatta beslut som grundas på uppgifter som är onödigt gamla.

Exempel: Beslut om återbetalning av studiemedel grundar sig bl.a. på enskildas inkomstuppgifter från två år tillbaka i tiden. I dagens digitala förvaltning finns dock reella möjligheter att grunda återbetalnings- beslutet på mer aktuella uppgifter.

Ytterligare en aspekt att beakta vid informationsutbyten är att myndigheter måste kunna förlita sig på att de uppgifter som överförs är korrekta. Det förekommer att enskilda rapporterar in en uppgift till en myndighet som därefter ska överföra samma uppgift till en annan myndighet. Har den enskilde rapporterat in en uppgift som inte överensstämmer med verkliga förhållanden kan det leda till att de myndigheter som är sekundära mottagare av uppgiften i fråga grundar sitt beslutsfattande på felaktig information.

Exempel: Arbetsgivare ska månadsvis lämna digitala arbetsgivardekla- rationer på individnivå till Skatteverket. De uppgifter som rapporteras in ska Skatteverket kunna lämna ut digitalt till Försäkringskassan, Migrationsverket och Arbetsförmedlingen som använder dem som beslutsunderlag i sin respektive ärendehandläggning. Eftersom upp- gifterna i fråga initialt härrör från de inrapporterande arbetsgivarna kan Skatteverket inte garantera att uppgifterna är korrekta. Det kan leda till att de mottagande myndigheterna fattar beslut på ett felaktigt eller ofullständigt beslutsunderlag. Regleringen anger emellertid att det är den individuppgift som lämnats av arbetsgivaren som ska lämnas vidare.

91

Kartläggning av hindrande eller hämmande lagstiftning

SOU 2018:25

Digital information skulle kunna beskrivas ha tre olika bestånds- delar.

1.Beståndsdata, dvs. en saklig uppgift som sådan, t.ex. en uppgift om beskattning.

2.Processdata, dvs. information om hur en uppgift har tagits fram.

3.Metadata, dvs. uppgifter som beskriver innehållet eller strukturen i en viss informationssamling.

Lagstiftning som rör informationsutbyten mellan myndigheter om- fattar i regel enbart det som i exemplet ovan benämns som be- ståndsdata. Med nya tekniska möjligheter skulle det, med ett annat sätt att beskriva problematiken som exemplifierats ovan, kunna vara mer intressant att veta att en person är skönstaxerad (processdata) än själva taxeringsuppgiften (beståndsdata).

5.5.8Informationsstandarder

Inom ramen för kartläggningsarbetet har det tydligt framgått att myndigheter har behov av gemensamma informationsstandarder. En standard kan sägas vara en gemensamt överenskommen lösning på ett återkommande problem. För informationshanteringen efter- frågas standarder för bl.a. digitala format, certifikat, gränssnitt och metadata. Riksarkivet har ett pågående arbete med att ta fram för- valtningsgemensamma specifikationer27 för, i första hand, statliga myndigheter.28 Att det inte funnits någon utpekad aktör som haft ansvar för frågan om gemensamma standarder för informations- hanteringen inom den offentliga förvaltningen har påpekats vara en brist.29

I kartläggningsarbetet har det påtalats att det behövs en sam- ordning av vilka krav på standarder som ska ställas av det offentliga när system utvecklas eller upphandlas. Avsaknaden av samordning

27En förvaltningsgemensam specifikation är en specifikation som beskriver hur man struktu- rerar information i ett utbytesformat som möjliggör överföring av information till valfritt system, valfri e-tjänst, annan myndighet, mellan arkiv, slutarkiv osv., samt identifiering av informationen.

28Se Riksarkivets regleringsbrev för budgetåret 2018 (Ku2017/00774/KL m.fl.).

29Regeringen har beslutat att inrätta en ny myndighet för digitalisering av den offentliga sek- torn som bl.a. ska. kunna meddela föreskrifter om nationell digital infrastruktur, såsom till- lämpning av standarder, format och specifikationer för informationsutbyte, it-system och grunddata (dir. 2017:117).

92

SOU 2018:25

Kartläggning av hindrande eller hämmande lagstiftning

kan leda till oklarheter när en myndighet t.ex. har fått bemyndigande att på ett visst område föreskriva om standarder. Även på föreskrifts- nivå behöver det finnas en samordning för att få en helhetssyn.

Nedan ges ett exempel på arbete med att enhetliggöra olika typer av standarder för att skapa en gemensam informationsstruktur.

Exempel: Socialstyrelsen har ett pågående arbete för att skapa en ge- mensam informationsstruktur för hälso- och sjukvården och social- tjänsten i syfte att information som registreras om t.ex. patienter och brukare ska kunna återanvändas på ett ändamålsenligt sätt. En ända- målsenlig och strukturerad dokumentation innebär att varje behov av information är tillgodosett. Det finns flera olika behov varav ett är att dokumentationen ska vara en utgångspunkt för vård, stöd och behand- ling av en enskild individ. Genom att använda en gemensam beskrivning av processen i vård och omsorg, utifrån ett patient- och brukar- perspektiv, kan olika verksamheter strukturera sin dokumentation om en och samma individ på samma sätt även om de bara deltar i delar av processen. Då blir det lättare att sammanställa och samordna vad som är planerat eller genomfört kring individens hälsotillstånd så att nästa aktör kan ta vid och fortsätta processen. Den gemensamma beskriv- ningen säkerställer att dokumentationen kan återanvändas och att den kan följa individen mellan olika aktörer och organisationer. I Social- styrelsens arbete ingår för det första att skapa en nationell informa- tionsstruktur med enhetliga process-, begrepp- och informations- modeller för hälso- och sjukvården och socialtjänsten. För det andra krävs ett nationellt fackspråk grundat på Socialstyrelsens termbank, hälsorelaterade klassifikationer och Snomed CT (ett internationellt medicinskt begreppssystem som är utvecklat för att användas i digitala informationssystem). Den nationella informationsstrukturen beskriver verksamheten inom vård och omsorg på en generisk nivå med pro- cessmodeller (vad gör man i verksamheten), begreppsmodeller (vilka företeelser i verksamheten skapar informationsbehov, vilken typ av information behövs av vem i processen) och informationsmodeller (vil- ken information ska dokumenteras och hur olika informationsmängder hänger ihop). Tillsammans skapar modellerna en karta över det som behöver dokumenteras i verksamheten för att olika informationsbehov ska tillgodoses och säkerställer att information kan återanvändas i flera delar av processen.

Exemplet från Socialstyrelsen visar bl.a. att en ändamålsenlig infor- mationsförsörjning inte i första hand bygger på tekniska kompo- nenter utan på gemensamma definitioner, modeller och beskriv- ningar av information.

I kartläggningsarbetet framhåller vissa myndigheter att arbetet med gemensamma standarder går fortare på EU-nivå än nationellt och att det kanske beror på att tekniska krav fastställs direkt i de

93

Kartläggning av hindrande eller hämmande lagstiftning

SOU 2018:25

EU-gemensamma regelverken. I Inspire-direktivet30 finns en detalje- rad reglering av standarder. Det är positivt i bemärkelsen att det ger en god styrning. Men samtidigt är den regleringen så pass detaljerad att den riskerar att snabbt låsa in gammal teknik.

5.6Digitalisering av ärendeprocesser och automatiserat beslutsfattande

5.6.1Reglering av ärendeprocesser

Digitalisering av förvaltningen stannar inte vid digital kommuni- kation med enskilda när t.ex. ärenden inleds i en digital tjänst eller digitala informationsutbyten mellan myndigheter. En påtaglig del av de myndigheter vars representanter vi träffat under kartläggningen undersöker möjligheten att öka graden av automation vid ärende- handläggning och beslutsfattande. Bland aktörer som strävar mot detta återfinns myndigheter som redan har automatiserat vissa ärendeprocesser och beslutsfattande, och som nu överväger om detsamma är möjligt också inom andra områden. Möjligheterna undersöks emellertid också hos myndigheter som hittills inte har använt den automatiserade beslutsformen. Någon har lyft fram för oss att det här finns förutsättningar för effektivitetssprång i för- valtningen.

I kapitel 5.3.4 har vi resonerat kring några av de frågor som framkommit under kartläggningen avseende formkrav på under- tecknande etc. Den typen av formkrav är emellertid långt i från de enda rättsligt reglerade kraven på viss form för informations- hantering. Kartläggningsresultatet visar på ett bredare behov av att anpassa rättsregler som styr formerna för informationshantering vid kommunikation och ärendehandläggning. Det kan röra sig om att regleringen av processen för hur information ska hanteras hindrar fullt tillvaratagande av digitaliseringens möjligheter.

Nedan lämnas ett axplock av de exempel på krav på viss form för att hantera information i en ärendeprocess som vi har fått pre- senterade för oss under kartläggningen.

30 Europaparlamentets och rådets direktiv 2007/2/EG av den 14 mars 2007 om upprättande av en infrastruktur för rumslig information i Europeiska gemenskapen (Inspire).

94

SOU 2018:25

Kartläggning av hindrande eller hämmande lagstiftning

Exempel: Begäran om viss komplettering av en årsredovisning ska enligt årsredovisningslagen31 skickas till en registrerad postadress. För att Bolagsverket ska kunna digitalisera processen krävs en lagändring.

Exempel: Miljölagstiftningen innehåller regler som utgår från pappers- förfaranden. Som exempel kan nämnas bestämmelser om att rekom- menderade brev ska användas för en viss försändelse, att en viss infor- mationsmängd ska kungöras i ortstidningar eller att domar ska publi- ceras på ett visst ställe. Det är ett lappverk av regler som sammantaget är svårt överblicka och hantera i strävan efter en digital förvaltning.

Exempel: I socialförsäkringsbalken finns regler om anmälan respektive ansökan för t.ex. föräldrapenning. Det härrör från en tid då informa- tionen hanterades i två steg. I den digitala informationshanteringen be- hövs egentligen inte två olika förfaranden utan det räcker med enbart ansökan. Reglerna som träffar anmälningsförfarandet har helt enkelt blivit överflödiga.

Exempel: Lagstiftningen kring kravet på att certifikat och andra till- ståndshandlingar i original ska medföras på fartyg och luftfartyg hindrar en övergång till en helt digital ärendehantering. Även i EU-lagstiftning och andra internationella rättsakter finns framtagna mallar för ansökan och certifikat. Mallarna innehåller krav på underskrifter och fysiska stämplar vilket hindrar en övergång till en helt digital ärendehantering.

Exempel: Inom fastighetsinskrivning är Lantmäteriets mål att ärenden om fastighetsöverlåtelser, upplåtelseavtal och pantbrev ska hanteras i en helt digitaliserad process. Dessa ärendetyper är dock hårt formbundna i jordabalken och utgår från en pappershantering. Det finns även flera olika rättsinstitut, t.ex. bestyrkande, som måste kunna överföras från analoga till digitala förfaranden. Lantmäteriets hantering är av stor betydelse för samhällsutvecklingen i övrigt. En analog hantering hos Lantmäteriet förhindrar digitalisering hos andra aktörer.

5.6.2Digitala handlingar

Det har framkommit att myndigheter gör olika bedömningar av hur det är möjligt att hantera digitala handlingar. Det generella önske- målet är dock att slippa hantera pappershandlingar. Men under vilka förutsättningar är det möjligt att enbart hantera en handling digitalt? Kan en digital handling vara säkrare och svårare att förfalska än ett pappersdokument? En annan fråga som lyfts fram är om det är nöd- vändigt att bevara fysiska handlingar när handlingarna har skannats

31 Årsredovisningslagen (1995:1554).

95

Kartläggning av hindrande eller hämmande lagstiftning

SOU 2018:25

in och finns i digital version. Kan den fysiska handlingen gallras eller finns det risk för att handlingens autenticitet i ett senare skede inte går att fastställa?32

Exempel: Sedan slutet av 1990-talet rapporteras alla slutbetyg in digitalt. Kommuner kan dock fortfarande välja om de vill arkivera betygs- katalogen analogt eller digitalt.

5.6.3Automation av ärendehandläggning och beslutsfattande

Förutsättningarna för automatiserat beslutsfattande har förtydligats genom ny reglering i förvaltningslagen.33 Men hur långt är det möjligt att gå i fråga om automatiserat beslutsfattande? Och utgör särreglering i andra författningar om automatiserade beslut ett hinder för de myndigheter som har att tillämpa dessa specialför- fattningar att automatisera andra beslut än dem som medges där?

Under kartläggningsarbetet har några framhållit att en förutsätt- ning för att myndigheter i ökad utsträckning ska kunna digitalisera sina beslutsprocesser, i alla fall med nu kända medel, är att författ- ningstext kan översättas till algoritmer.34 Vidare har reflektioner gjorts och frågor ställts som rör säkerställande av beslutsunderlag, t.ex. om det rör sig om stora underlag såsom informationssamlingar med sensordata.

Såväl rättsliga hinder i gällande rätt som oklara rättsförhållanden har vidare beskrivits kunna hindra eller hämma en utveckling mot en ökad grad av automation i en digital förvaltning. Under kart- läggningen har också ett antal frågor och reflektioner framkommit som på en övergripande nivå kan sägas utgöra en rättslig osäkerhet avseende på vilka sätt den allt mer digitala förvaltningen ska gå till- väga för att säkerställa att förfaranden både är, och kan visas vara, rättssäkra.

Exempel: En kommun använder ett automatiserat förfarande för skol- placeringar. I det fria skolvalet beaktas bl.a. närhetsprincipen. Närhets- principen är som sådan inte exakt utan bara en vag princip. Det behöver fastställas var den geografiska punkten för skolan ska förläggas. Är det i matsalen, rektors kontor eller på skolans parkeringsplats? Valet av

32Riksarkivet kan i sina myndighetsspecifika föreskrifter (RA-MS) reglera statliga myndig- heters möjligheter att gallra en fysisk handling som har skannats in.

3328 § förvaltningslagen.

34En algoritm är enligt en klassisk definition en noggrann plan eller metod för att stegvis göra något.

96

SOU 2018:25

Kartläggning av hindrande eller hämmande lagstiftning

geografisk markering för skolans belägenhet kan få en avgörande betydelse i förhållande till vilken elev som därefter bedöms ha närmast till skolan. Ett urval baserat på närhetsprincipen måste vidare baseras på ett kartunderlag. Men vilket?

Kartläggningsresultatet visar även på osäkerhet om vilka rättsliga förutsättningar som finns när det gäller en övergång till förfaranden där stora datamängder används i förening med artificiell intelligens och anknytande maskininlärda algoritmer.35 Dessa frågor gör sig också, och i kanske än högre grad, gällande i ett kunskapsperspektiv. Hur kan man göra det möjligt att nyttja förvaltningens informations- mängder för att med hjälp av ny teknik nå ökad kunskap?

Det är vidare inte bara lagtext som behöver översättas till algo- ritmer för att digitala processer ska kunna utnyttjas. Även den fy- siska världen behöver ibland få en digital motsvarighet som enskilda sätter tillit till och som är rättsligt accepterad.

Exempel: Lantmäteriet har utrett förutsättningarna för ett nytt regel- system för fastighetsgränser där i första hand koordinater bestämmer gränspunkternas läge.36 I arbetet har bl.a. följande frågor ställts på sin spets. Hur kan samhället gå över till ett system där digital information, t.ex. koordinater över en fastighet, i stället för analog information, t.ex. fysiska gränsmärken, utgör rättsfigurer eller handlingar som medför rättsverkan? Hur kan det säkerställas att rättigheter, t.ex. äganderätten, och skyldigheter som baseras på det hittillsvarande analoga systemet inte inkräktas på? Digitala fastighetsgränser som fastställs med koor- dinater kommer inte bli identiska med de nuvarande fastighetsgrän- serna. Men förtroendet för det digitala systemet behöver vara lika stort som för det befintliga analoga systemet.

Inom ramen för kartläggningsarbetet framhåller flera av dem vi träffat att handläggning med helt eller delvis stöd av automatiserade processer många gånger är mer rättssäker än motsvarande manuell handläggning, åtminstone när beslutsunderlaget utgörs av ”hårda fakta” där bedömningsutrymme saknas eller är litet. När man ser till helheten av de beslut som i dag fattas automatiserat beskrivs detta normalt leda till en mer rättssäker hantering.

Exempel: När Skatteverket tidigare masshanterade deklarationer i pappersformat kontrollerades maskinellt att blanketterna var underteck- nade. Det fanns emellertid inga maskinella funktioner för att kontrollera att det var rätt individ som hade undertecknat deklarationen i fråga. I dag

35Se kapitel 7.3.2 för förklaring av begreppen.

36Lantmäteriets rapport Koordinatbestämda gränser, 27 mars 2017, dnr 508-2017/939.

97

Kartläggning av hindrande eller hämmande lagstiftning

SOU 2018:25

deklarerar större delen av befolkningen digitalt vilket innebär att det med en hög grad av säkerhet kan fastställas att det är rätt person som har undertecknat deklarationen i fråga eftersom undertecknandet sker med stöd av en tvåstegsautentisering t.ex. e-legitimation.

Men hur blir det om automatiserade förfaranden ska börja tillämpas på ärendeprocesser som inte enbart utgår från t.ex. sifferberäk- ningar? Under kartläggningen har vi också fått veta att Försäk- ringskassan har påbörjat en utredning av vilka möjligheter som finns att, med bibehållen eller ökad rättssäkerhet, göra mer avancerade bedömningar med stöd av automatiserade förfaranden. Vilka risker för rättsosäkerhet kan uppstå och hur kan de hanteras? Standardise- ring av individärenden får t.ex. inte leda till att vissa grupper diskri- mineras.

Exempel: Inom sjukförsäkringen är bedömningsutrymmet större än i de processer som Försäkringskassan hittills har automatiserat t.ex. besluts- processer för föräldrapenning och tandvård. Försäkringskassan har drivit ett utvecklingsarbete med utgångspunkten att hitta ärenden där risken för längre sjukskrivning statistiskt sett är låg och där auto- matiserade processer inte skulle leda till ett annat utfall än vid en manuell handläggning. Detta skulle möjliggöra en förflyttning av hand- läggare till ärenden där manuell handläggning skapar mer värde. Under utvecklingsarbetet gjorde dock Försäkringskassan det juridiska ställ- ningstagandet att vissa moment i ärendeprocessen som bedömning av arbetsförmåga, kräver manuell handläggning.

Vi har också under kartläggningen fått höra ett par exempel på när det varit svårt att uppmärksamma och utreda fel i bakomliggande tekniska förfaranden. Hur säkerställs att de upptäcks, och vem bär ansvaret för den typen av fel och för dess följder?

5.7Automation av faktiskt handlande

En annan form av digitalisering som ökar i den offentliga förvalt- ningen är automatisering av uppgifter som hittills skötts av männi- skor och som inte utförs inom ramen för förvaltningens ärenden eller ärendehandläggning. Ett exempel som har lyfts fram under kartläggningsarbetet är användningen av digitala trygghetstekniker i bl.a. socialtjänstens verksamhet. Digitala trygghetstekniker (även kallat välfärdsteknik) är t.ex. kameror och sensorer som används för tillsyn i stället för att vårdpersonal är fysiskt på plats för att se till

98

SOU 2018:25

Kartläggning av hindrande eller hämmande lagstiftning

vårdtagaren. Det kan röra sig om nattlig tillsyn via kamera eller sensorer som larmar när en blöja behöver bytas.

I kartläggningsarbetet har aktörer med koppling till vård- och omsorgssektorn pekat på behovet av en ändamålsenlig reglering för att skapa bättre förutsättningar för användning av digitala trygghets- tekniker. Att det saknas särskild reglering om användandet av dessa tekniker medför bl.a. att det i allmänhet krävs att vårdtagaren sam- tycker till den behandling av personuppgifter som äger rum. I prak- tiken är det dock inte alltid möjligt att inhämta den enskildes sam- tycke. Exempelvis har inte alla vårdtagare beslutsförmåga, t.ex. till följd av demenssjukdom.

5.8Öppenhet i den digitala förvaltningen

5.8.1Dokumentation

En förutsättning för att upprätthålla öppenheten i den digitala för- valtningen är att det finns dokumentation av vilka informations- tillgångar och/eller it-system som finns.37 Utan en sådan god of- fentlighetsstruktur är det inte möjligt för allmänheten att veta vilken information som finns tillgänglig hos myndigheterna och som kan begäras ut. Dokumentation är också av stor vikt inte minst när det gäller frågor om i vilken utsträckning myndigheter ska eller kan till- handahålla öppna data eller öppen källkod. Under kartläggnings- arbetet har det framkommit att kunskapen om författningsreglerade dokumentationskrav kan stärkas. Det gäller särskilt i frågor som rör utveckling av, eller ändringar i, de it-system som används.

5.8.2Öppna data

Med öppna data menas all information som uppfyller kraven för s.k. öppen kunskap, dvs. information som tillhandahålls fritt utan krav på avgifter och med få eller inga tekniska eller rättsliga begränsningar för hur den får användas.38 Skillnaden mellan öppna data och Public Sector Information (PSI) som utgångspunkt för vidareutnyttjande

37Se vidare kapitel 7.6 i fråga om vissa dokumentationskrav.

38Se www.vidareutnyttjande.se/om-vagledningen/terminologi/

99

Kartläggning av hindrande eller hämmande lagstiftning

SOU 2018:25

av handlingar från den offentliga förvaltningen är långt i från själv- klar.39 Det kan med andra ord skönjas en viss otydlighet vad gäller förhållandet mellan de skyldigheter som regleras av PSI-direktivet40 och lagen (2010:566) om vidareutnyttjande av handlingar från den offentliga förvaltningen jämfört med den frivilliga möjligheten att publicera öppna data.

Att det inte finns någon särskild författning som styr publice- ringen av öppna data har vi också under kartläggningen uppfattat leda till osäkerhet. Vad är öppna data i förhållande till den rättsliga regleringen? Vilka uppgifter bör publiceras som öppna data och hur? Under kartläggningen har vi i något sammanhang uppfattat att fri- villig publicering av öppna data inte varit prioriterat när nyttan med sådan publicering främst uppstår utanför den egna verksamheten. Samtidigt framhålls att det finns potentiell nytta även för myndig- heter att ta del av andra myndigheters öppna data. Någon har fram- fört behov av att explicit reglera skyldigheter att tillhandahålla öppna data.

Representanter för myndigheter som är i färd med att börja eller som redan har börjat publicera öppna data vittnar om att det kan vara besvärligt att avgöra vilken slags information som kan publiceras som öppna data. Varje myndighet ansvarar för sina bedömningar och informationssäkerhets-, dataskydds- och sekretessfrågor måste be- aktas såväl ur ett individ- som ur ett samhällsperspektiv. Det finns en oro över att uppgifter som en myndighet publicerar på aggregerad nivå ska kunna återskapas till personuppgifter om de kombineras med uppgifter som t.ex. har hämtats från en annan källa, eller att något säkerhetsrelaterat hot kan uppstå som en enskild myndighet inte har överblick över. Ett par aktörer har därför uppmärksammat behovet av en central aktör som har överblick över samtliga öppna data som publiceras av myndigheterna. Någon annan har pekat på att myndigheterna också måste beakta eventuella verksamhetsrisker som kan uppstå till följd av publicering av öppna data som rör verksamheten. Det har emellertid också poängterats att publicering av öppna data i de rekommenderade standarder som finns möjliggör för privata näringslivet att utveckla tjänster och bygga nya lösningar

39Riksarkivet beskriver på webbplatsen www.oppnadata.se hur de olika begreppen skiljer sig åt.

40Europaparlamentets och rådets direktiv 2003/98/EG av den 17 november 2003 om vidare- utnyttjande av information från den offentliga sektorn.

100

SOU 2018:25

Kartläggning av hindrande eller hämmande lagstiftning

som kan komma till nytta hos myndigheterna. I förlängningen kan myndigheterna dra nytta av det privata näringslivets innovationer.

Vissa myndigheter, t.ex. Bolagsverket och Lantmäteriet, är skyl- diga att ta ut avgifter för sin information. Ett sådant avgiftskrav kan inte kombineras med ett tillhandahållande av öppna data som per definition ska ske avgiftsfritt. Avgiftsfinansieringen beskrivs vara hämmande.

Exempel: Lantmäteriet har publicerat en liten mängd s.k. geodata som öppna data, motsvarande cirka 2 procent av avgiftsintäkterna. Innan publiceringen gjordes cirka 8 000 nedladdningar av denna datamängd under en kalendermånad. När avgifter inte längre togs ut ökade siffran till över 40 000 nedladdningar på en kalendermånad. Intresset av myndighetens uppgifter som öppna data har alltså varit stort.

Ett annat rättsområde som i något fall kan inbegripa hinder mot publicering av öppna data är immaterialrätten. Företrädare för Lant- mäteriet har påpekat att geodata, bl.a. kartor, skyddas av upphovs- rätt. Skyddsintresset är emellertid enbart myndighetens ekonomiska rättighet. Om avgiftskravet skulle slopas skulle det inte heller finnas hinder i immaterialrätten för publicering som öppna data. Om avgiftskravet behålls kan informationen inte publiceras som öppna data eftersom den inte får vidareutnyttjas gratis.

I samarbeten om öppna data mellan myndigheter och/eller andra aktörer kan vidare nya informationsmängder uppstå, s.k. aukto- ritetslistor. En sådan lista skapas för att hålla samman uppgifter som rör samma ämne, händelse eller annat och som hämtas från olika aktörer, dvs. för att hålla samman s.k. distribuerade data. Det kan vara oklart vem som är ansvarig för den nya informationsmängden i en sådan lista och var den ska förvaltas och bilda arkiv.

5.8.3Elektroniskt utlämnande av allmän handling

I ett digitaliserat samhälle förväntar sig enskilda att få allmänna handlingar utlämnande digitalt. Vi har under kartläggningen upp- fattat att det finns pedagogiska svårigheter med att förklara för enskilda som önskar använda e-post för att ta emot de efterfrågade handlingarna varför en myndighet inte lämnar ut handlingar digitalt, eller varför vissa handlingar lämnas ut digitalt men inte andra. Det har framförts att enskilda ibland i onödan och oriktigt har uppfattat

101

Kartläggning av hindrande eller hämmande lagstiftning

SOU 2018:25

det som att en myndighet försöker dölja något när vissa handlingar bara lämnas ut på papper och inte i den digitala form som har begärts. Utöver de handlingar som har lämnats ut på papper begärs då ytter- ligare handlingar ut avseende digitala spår, t.ex. loggar och cookie- filer.

Det har vidare beskrivits för oss att det inte alltid är enkelt att avgöra vad som utgör en handling och när den är allmän i dagens digitala informationsflöden och behandling av stora mängder data. Bedömningen kan innebära komplicerade avvägningar i det dagliga arbetet. Ibland rör det sig om begäranden om utlämnande av allmän handling som omfattar stora informationsmängder och mycket arbetstid läggs vid myndigheterna på att beräkna kostnader för utlämnanden. Det förekommer också att begärandena inte fullföljs när det står klart vad kostnaderna blir.

Exempel: På en myndighet ägnades två veckor åt att rensa cookiefiler från uppgifter som inte skulle lämnas ut. Totalt sett rörde det sig om ca 60 000 sidor med uppgifter. Den som begärt ut uppgifterna hämtade sedan aldrig handlingarna.

5.9Rensning, arkivering, gallring och bevarande

Digital informationshantering ger förutsättningar att samla in och lagra stora mängder information. I digitala miljöer betraktas inte arkivet som en slutdestination för information. Snarare uppkommer frågor om vilka uppgifter som genast kan rensas, vilka uppgifter som ska lagras, var de ska lagras och hur länge de ska bevaras. När data i realtid samlas in genom t.ex. sensorer kan det innebära att infor- mationsmängden hela tiden förändras. Vad gäller då om infor- mationsmängden ska användas som beslutsunderlag? Är myndighe- ten skyldig att för varje enskilt beslut lagra all den data som har samlats in eller räcker det att lagra informationsmängden på ett ställe med fastställda intervall? Är det verkligen relevant att tillämpa arkivlagens krav på alla de informationsmängder som kommer att skapas i den digitala förvaltningen?

I vårt kartläggningsarbete har det framkommit att arkivfrågorna, trots dess centrala betydelse inte minst för bibehållen öppenhet i förvaltningen, har en viss tendens att hamna i skymundan vid utvecklingsarbeten. Men frågor om rensning, arkivering, gallring eller bevarande av uppgifter i myndighetsgemensamma system kan

102

SOU 2018:25

Kartläggning av hindrande eller hämmande lagstiftning

innebära särskilda svårigheter som måste redas ut. Företrädare för Riksarkivet framhåller att det är av stor vikt att fastställa arkiv- ansvaret, inte minst för att veta vilken aktör som är arkivbildande myndighet. Det blir både kostsamt och ineffektivt att behöva utreda frågan om arkivansvar i efterhand, när det blir aktuellt att arkivera, för att senare gallra eller bevara.

Utgångspunkten vid fastställande av arkivansvar när flera myn- digheter har åtkomst till en viss informationsmängd genom antingen läs- eller skrivbehörighet är att arkivansvaret ska placeras hos den myndighet som har skrivbehörighet. Under kartläggningen har vi emellertid fått beskrivet att det i dagens digitala miljöer inte längre är relevant att enbart tala om läs- och skrivbehörigheter. Den digitala informationshanteringen är betydligt mer komplex än så. Det har vidare framförts att det ibland krävs tid för att få till stånd en ny informationshantering som också är långsiktigt hållbar.

Företrädare för Riksarkivet har också pekat på vikten av att databaser hålls samman ur arkivsynpunkt. Nyttan av att bevara sammanhållna databaser är bl.a. att det ger överlägsna möjligheter att bedöma handlingars autenticitet och att söka och sammanställa uppgifter och handlingar. Även andra har framhållit riskerna med att fragmentera informationen vid arkivering genom att dela upp och gallra uppgifter efter olika myndigheters reglering. En sådan frag- mentering leder till att det inte går att säkerställa kontinuitet och att informationen kan användas på samma sätt som i den gemensamma databasen efter arkivering. Det kan göra att det i efterhand kan vara komplicerat att avgöra vilken information som har legat till grund för ett beslut.

Särskilt från arkivarier har det framförts att det behövs en generell lagstiftning som styr informationshanteringen i en digital riktning för offentlig sektor. Det behövs med andra ord en gemensam rikt- ning så att inte alla sitter med olika lösningar i olika utvecklings- arbeten. I nuläget är de krav som finns för informationshanteringen splittrade i olika regelverk. Exempelvis är gallringsbesluten starkt kopplade till myndigheternas organisation. En representant för en myndighet som använder ett it-system som är gemensamt med andra har beskrivit att gallringsbesluten hos de olika myndigheterna ser olika ut. Bedömningen av om en handling ska bevaras eller om den kan gallras görs nämligen bl.a. i förhållande till sitt sammanhang hos respektive myndighet. Det har emellertid framförts i kartläggningen

103

Kartläggning av hindrande eller hämmande lagstiftning

SOU 2018:25

att när det saknas samordning av myndigheternas bevarande- och gallringsrutiner kan det leda till att information sparas på flera håll eller inte alls.

När myndigheter utkontrakterar sin informationshantering har vi vidare fått beskrivet för oss att det behöver finnas garantier för att systemleverantörerna verkligen utplånar uppgifterna ur systemen när de har fått i uppdrag att gallra. Men är det tekniskt möjligt att gallra uppgifter i molntjänster41 med omedelbar verkan? Eller ska radering av en uppgift i molnet snarast ses som en markering om radering med följd att uppgiften skrivs över med ny information över tid?

Även utmaningar rörande förhållandet mellan arkivreglering och dataskyddsreglering har beskrivits för oss. Dataskyddsregleringens princip om lagringsminimering innebär att personuppgifter inte ska bevaras under längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas.42 I regel beskrivs det dock inte vara praktiskt möjligt att enbart gallra en eller ett fåtal uppgifter i ett system utan att det påverkar den kvarvarande informations- mängden på ett eller annat sätt. Av denna anledning är det angeläget att redan innan uppgifter samlas in ta ställning till om det finns ett relevant behov av dessa eller inte.

5.10Upphandling, utkontraktering och avtal

5.10.1Regelverk och teknisk utveckling

Under kartläggningsarbetet har flera aktörer framhållit att myndig- heter i varierad grad har behov av att utkontraktera it-drift eller andra it-baserade funktioner till privata leverantörer. Representanter för myndigheter som utkontrakterar it-drift eller andra it-baserade funktioner till privata leverantörer framhåller dels att det är svårt att genomföra upphandlingar där den levererade tjänsten faktiskt mot- svarar myndighetens behov, dels att avtalshanteringen är kompli- cerad.

41Molntjänster är tjänster som tillhandahålls med nätverksåtkomst och där resursdelning, möjlighet till snabb skalbarhet, självbetjäning och betalning efter användning eller volym är några av de centrala kännetecknen, se Pensionsmyndighetens rapport Molntjänster i staten, en ny generation av outsourcing, januari 2016, s. 9.

42Artikel 5.1. e dataskyddsförordningen.

104

SOU 2018:25

Kartläggning av hindrande eller hämmande lagstiftning

Flera har uttalat att upphandlingsreglerna är komplicerade och att det är en utmaning att åstadkomma nödvändig flexibilitet vid upp- handling av varor och tjänster relaterade till myndigheternas digi- talisering. Ett mindre lyckat upphandlingsresultat kan leda till att verksamheten under flera år får en produkt eller tjänst som inte svarar mot verksamhetens behov. Problemet är bl.a. att det kan vara komplicerat att få till stånd en kravspecifikation som svarar mot myndighetens behov.

Vi har också fått förklarat för oss att det förekommer att leve- rantörer inte alltid är intresserade av att delta i de upphandlings- former som kanske lämpar sig bäst för upphandling av it, nämligen konkurrenspräglad dialog och förhandlat förfarande. För leveran- törerna kan de upphandlingsformerna innebära tidsödande arbete som inte alltid leder till något konkret och affärsmässigt resultat.

Någon aktör har särskilt pekat på att den snabba tekniska ut- vecklingen innebär särskilda utmaningar i upphandlingsarbetet. Myndigheters utvecklingsarbete bedrivs ofta i agila processer43 och för att matcha sådana processer i upphandlingen behöver också upp- handlingsprocessen kunna arbeta mot ett rörligt mål.

Exempel: En innovationsupphandling görs vanligen i flera steg, t.ex. utred- ning, förstudie, utveckling och implementation. Eftersom myndigheten inte vet hur slutprodukten kommer att se ut är det i princip omöjligt att från början kravställa för hela kedjan. Upphandlingen sker i stället steg- vis vilket innebär att den upphandlande myndigheten kan behöva byta leverantör mitt i innovationsprocessen och börja om på nytt med en ny leverantör. Bristande kontinuitet i leverantörsledet beskrivs hämma den digitala utvecklingen.

Utöver myndigheters skyldighet att efterleva upphandlingsreglerna ska myndigheterna se till att följa annan lagstiftning som reglerar myndighetens informationshantering. Om utkontrakteringen inne- bär att sekretessbelagda uppgifter kommer att lämnas ut till leveran- tören måste utlämnandet vara tillåtet enligt offentlighets- och sekre- tesslagen. Rör det sig om uppgifter som omfattas av sekretess och som rör rikets säkerhet gäller också kraven i säkerhetsskyddslagen.44 Om informationsmängden som lämnas ut till leverantören inne-

43Se vidare kapitel 7.4.2 om begreppet ”agil”.

44Säkerhetsskyddslagen (1996:627). En ny säkerhetsskyddslag har föreslagits träda i kraft den

1april 2019, se Ett modernt och stärkt skydd för Sveriges säkerhet – ny säkerhetsskyddslag, prop. 2017/18:89.

105

Kartläggning av hindrande eller hämmande lagstiftning

SOU 2018:25

håller personuppgifter måste myndigheten även säkerställa att regel- verket kring dataskydd efterlevs. Består den utlämnade informa- tionsmängden av allmänna handlingar behöver myndigheten kontrollera att det finns förutsättningar att uppfylla regleringen kring bevarande och gallring.

Under kartläggningsarbetet har vi förstått att myndigheter inte alla gånger anser sig själva besitta all den kompetens och den förmåga som krävs för att genomföra upphandling av it som svarar mot samt- liga dessa rättsliga krav, och därtill de rättsliga krav som kan följa av andra regelverk som gäller för en myndighets verksamhet. Vi har särskilt uppfattat att små och medelstora myndigheter vill ha mer stöd. De samlade reglerna som ska följas är omfattande och kan ibland vara svåra att tolka och tillämpa. Om en myndighet missar att spegla samtliga relevanta rättsliga bestämmelser i sin kravställning kan det leda till att myndigheten i ett senare skede inte efterlever regelverket om informationen inte skyddas av leverantören på det sätt som krävs.

Vid samverkan mellan myndigheter som innebär att en myndig- het utför arbete på uppdrag av en annan myndighet, dvs. som en form av utkontraktering, kan det så som kartläggningsarbetet visar, vidare uppstå osäkerhet i fråga om gränserna om när upphandlings- lagstiftningen i stället ska tillämpas.

5.10.2Sekretess och tystnadsplikt

Kartläggningsarbetet har visat att flera myndigheter, och andra aktörer, upplever osäkerhet om det i vissa situationer finns rättsligt stöd i sekretesslagstiftningen för att lämna ut uppgifter som om- fattas av sekretess vid utkontraktering till privata leverantörer.

Flera myndighetsrepresentanter har beskrivit för oss att det finns en tvekan kring hur röjandebegreppet i sekretesslagstiftningen ska tolkas. Kan myndigheten lämna ut sekretessbelagda uppgifter utan att uppgifterna röjs för leverantören, genom att ställa upp avtals- villkor som förhindrar leverantörens personal att ta del av myndig- hetens information?45 Finns det lagringstjänster där leverantören inte behöver ta del av myndighetens sekretessreglerade uppgifter?

45 Jfr Outsourcing – en vägledning om sekretess och persondataskydd, s. 16 f., eSam, januari 2016.

106

SOU 2018:25

Kartläggning av hindrande eller hämmande lagstiftning

Eller behöver det mer eller mindre alltid finnas möjligheter för leve- rantörens personal att ta del av myndighetens uppgifter för att fel- söka, korrigera felaktigheter eller ge annan support?

Under kartläggningen har det även framförts osäkerhet om hur den sekretessbrytande bestämmelsen i 10 kap. 2 § offentlighets- och sekretesslagen om nödvändigt utlämnande ska tolkas och i vilken utsträckning sekretessbelagda uppgifter kan lämnas ut med stöd av bestämmelsen i den situation som nu avses. Det har även fram- kommit att osäkerheten kring de rättsliga förutsättningarna för att utkontraktera it-drift eller andra it-baserade funktioner har lett till att myndigheter har avstått från att utkontraktera till privata leverantörer. I något fall har myndigheten i stället infört separata manuella rutiner för intern hantering av ett fåtal sekretessreglerade uppgifter i en större informationsmängd som i övrigt hanteras digitalt av en privat leverantör.

Frågor om förhållandet mellan den nya dataskyddsförordningen och nationella tystnadsplikter har också lyfts fram för oss under kartläggningsarbetet, särskilt vad gäller vård- och omsorgssektorn. Kartläggningen visar vidare att myndigheter hanterar sekretess- problematiken på olika sätt. Vissa myndigheter har beslutat att tills vidare inte anlita molntjänstleverantörer för informationshantering. Andra myndigheter menar att utlämnandet av sekretessbelagda uppgifter i vissa fall av utkontraktering till privata leverantörer är nödvändigt och därför omfattas av den sekretessbrytande regeln i 10 kap. 2 § offentlighets- och sekretesslagen. Flera myndigheter har påpekat att de generellt är tveksamma till att anlita privata leveran- törer om det inte står klart att offentlighets- och sekretesslagen inte hindrar ett utlämnande av de uppgifter som ska hanteras av leveran- tören. Därtill menar flera att det finns behov av antingen ett väg- ledande uttalande i frågan eller en förtydligande reglering.

5.10.3It-avtal

Flera av de myndighetsrepresentanter vi träffat anser att avtals- arbetet vid köp av it är resurskrävande och fordrar att avtalsansvariga tjänstemän har bred och hög kompetens. De menar att det är svårt att upprätta avtal som är väl avvägda och juridiskt hållbara ur alla aspekter. Avtalsinnehållet ska spegla de juridiska krav myndigheten

107

Kartläggning av hindrande eller hämmande lagstiftning

SOU 2018:25

har att uppfylla men behöver också vara affärsmässigt gynnsamt. Myndigheten vill t.ex. kunna tillgodogöra sig den tekniska utveck- lingen som sker under avtalets löptid. Har en myndighet inte till- räcklig kompetens eller resurser för att teckna ändamålsenliga och balanserade avtal kan det leda till att leverantören intar ett överläge, vilket kan resultera i att myndigheten ingår ett ofördelaktigt avtal som kan få ekonomiskt kännbara konsekvenser i ett senare skede.

Vi har fått förklarat för oss att det finns utmaningar i att formulera förutsebara avtalsvillkor, t.ex. sådana som leder till att det inte uppstår s.k. inlåsningseffekter. Det kan exempelvis vara kompli- cerat att utforma tydliga avtalsvillkor som ålägger leverantören att samarbeta vid ett framtida leverantörsbyte.

Exempel: Om det saknas avtalsvillkor som förbinder leverantören att samarbeta vid ett framtida leverantörsbyte eller att överföra myndig- hetens information i ett användbart format vid avtalets upphörande kan det leda till svårigheter när myndigheten vill byta leverantör.

5.10.4Personuppgiftsbiträdesavtal

När en myndighet uppdrar åt en extern leverantör att hantera myndighetens information blir leverantören ett personuppgifts- biträde46 åt myndigheten om informationen i fråga innehåller personuppgifter.47 Dataskyddsförordningen ställer höga krav på transparens, insyn och kontroll när en behandling av personupp- gifter överlämnas till ett personuppgiftsbiträde. Samtidigt kan vissa leverantörers driftsmodeller vara påfallande komplicerade och t.ex. involvera en mängd underleverantörer,48 vilket kan verka hindrande för myndighetens möjlighet till insyn och kontroll. Några av de aktörer vi träffat påtalar att dataskyddsregleringens långtgående krav blir svåra att applicera på verkliga förhållanden.

Flera aktörer som har deltagit i kartläggningsarbetet upplever osäkerhet när det gäller personuppgiftsbiträdesavtal som tecknas med privata leverantörer. Det gäller särskilt när avtal ska tecknas

46Ett personuppgiftsbiträde är en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som behandlar personuppgifter för den personuppgiftsansvariges räkning, artikel 4.8 dataskyddsförordningen.

47Personuppgifter är varje upplysning som avser en identifierad eller identifierbar person, artikel 4.1 dataskyddsförordningen.

48Underleverantörer som behandlar personuppgifter som omfattas av den personuppgifts- ansvariges ansvar är också personuppgiftsbiträden till den personuppgiftsansvarige. I det följande benämns de dock enbart som underleverantörer.

108

SOU 2018:25

Kartläggning av hindrande eller hämmande lagstiftning

med en molntjänstleverantör. Hur säkerställs att myndigheten får kännedom om samtliga underleverantörer som kan komma att behandla personuppgifter åt myndigheten? Och hur säkerställs att underleverantörerna blir bundna av samma avtalsvillkor som stipule- ras i personuppgiftsbiträdesavtalet? Hur ska myndigheten utöva kontroll över sina personuppgiftsbiträdens (leverantörens och alla underleverantörers) behandling av personuppgifter?

En generell uppfattning är att oproportionerligt mycket tid läggs ned på att utforma och förvalta personuppgiftsbiträdesavtal. Flera aktörer som har deltagit i kartläggningsarbetet menar att avtals- hanteringen i högre utsträckning borde gå att standardisera om den alls ska vara nödvändig när offentliga aktörer biträder varandra. I myndighetssamarbeten är det vanligt att en myndighet agerar i rollen som personuppgiftsbiträde åt en annan myndighet. Ett sådant exempel är informationsöverföringstjänsten SSBTEK.49 Inom ramen för den tjänsten har vi fått förklarat att de involverade aktörerna initialt bedömde att om samtliga aktörer skulle teckna separata personuppgiftsbiträdesavtal sinsemellan skulle antalet biträdesavtal komma att uppgå till över 800 stycken. En sådan omfattande avtals- hantering ansågs vara orealistisk och inte medföra något mervärde varför en annan modell för avtalstecknande valdes som begränsade antalet separata personuppgiftsbiträdesavtal.

Vid användning av förvaltningsgemensamma tjänster är det inte ovanligt att det är personuppgiftsbiträdet, som också kan vara den part som utvecklar och förvaltar tjänsten i fråga, som utformar personuppgiftsbiträdesavtalen.

Exempel: Inera AB50 tillhandahåller tjänster till bl.a. hälso- och sjuk- vården. I dessa sammanhang agerar bolaget i rollen som personuppgifts- biträde och respektive vårdgivare är personuppgiftsansvarig. Inera AB anlitar dessutom underleverantörer som i sin tur blir personuppgifts- biträden till de personuppgiftsansvariga vårdgivarna. För att reglera personuppgiftsbehandlingen för alla inblandade parter har Inera AB tagit fram tre olika modeller av personuppgiftsbiträdesavtal. Ett avtal som tecknas mellan vårdgivaren som personuppgiftsansvarig och Inera AB som personuppgiftsbiträde. Ett annat avtal där landsting agerar personuppgiftsbiträde åt en personuppgiftsansvarig privat vårdgivare. Och

49Se vidare om SSBTEK i kapitel 5.11.5.

50Inera AB är ett bolag som ägs gemensamt av SKL företag AB och av landsting, regioner och kommuner. Ineras uppdrag är att utveckla gemensamma lösningar som bidrar till att effektivisera verksamheter t.ex. genom att tillhandahålla kvalitetssäkrade digitala tjänster, koordinering av digital utveckling och kompetens inom interoperabilitet.

109

Kartläggning av hindrande eller hämmande lagstiftning

SOU 2018:25

slutligen ett tredje avtal som tecknas mellan Inera AB som person- uppgiftsbiträde och privata leverantörer som underleverantörer. Avtalen mellan Inera AB och dess underleverantörer förhandlas fram var för sig, dvs. avtalen kan skilja sig åt innehållsmässigt med respektive avtalspart. Därtill tecknar Inera AB också separata ”kundavtal” med respektive vårdgivare. Att förhandla fram och förvalta samtliga dessa avtal är en mycket tidskrävande uppgift.

Även inom skolområdet finns frågor kring hur personuppgifts- biträdesavtal ska hanteras. Hur ska varje skolhuvudman rimligen kunna säkerställa att det finns acceptabla personuppgiftsbiträdes- avtal på plats för applikationer med digitala läromedel som laddas ned till elevernas mobila enheter? Dataskyddsförordningen ställer höga krav på innehållet i personuppgiftsbiträdesavtal oberoende av om det endast är ett fåtal indirekta personuppgifter eller en större mängd personuppgifter som behandlas.

5.10.5Uppföljning av avtal

För att säkerställa att leverantörer följer de avtalsvillkor som har tecknats med en myndighet behöver myndigheten följa upp leveran- törens avtalsefterlevnad. På det sättet säkerställs bl.a. att myndig- heten efterlever rättsliga krav även när viss verksamhet utkontrak- terats. Av de kontakter vi haft med leverantörssidan i vårt utred- ningsarbete har vi förstått att det inte är ovanligt att myndigheter saknar särskilda rutiner för uppföljning av avtal. I de fall uppföljning sker är det inte alltid myndigheten har gjort klart vad det närmare är som ska följas upp. Uppföljningen leder i sådana fall sällan till något konkret resultat.

I dataskyddsförordningen finns särskild reglering som ska under- lätta för personuppgiftsansvariga att kontrollera att deras per- sonuppgiftsbiträden, inklusive underleverantörer, efterlever de vill- kor som stipuleras i personuppgiftsbiträdesavtalen.51 I vissa sam- manhang har den personuppgiftsansvariga myndigheten ganska små möjligheter att faktiskt utföra nödvändiga kontroller. Så kan vara fallet när personuppgiftsbiträdet anlitar egna underleverantörer. I en sådan situation kan det vara mer rationellt att låta personuppgifts- biträdet kontrollera och följa upp underleverantörernas efterlevnad av avtalsvillkoren i personuppgiftsbiträdesavtalen.

51 Artikel 28.3 h dataskyddsförordningen.

110

SOU 2018:25

Kartläggning av hindrande eller hämmande lagstiftning

5.11Samverkan

5.11.1Myndigheters uppdrag

Genom kartläggningen står det klart för oss att digitaliseringen dri- ver på behovet av samverkan. Det gäller samverkan i myndighets- gemensamma utvecklingsarbeten, samverkan vid inköp av it och andra it-baserade funktioner från privata leverantörer, samverkan som snarast är att betrakta som utkontraktering mellan myndigheter och andra former av samarbeten såväl mellan myndigheter som med det privata näringslivet.

Under kartläggningsarbetet har flera framhållit att den svenska förvaltningsmodellen med fristående myndigheter och självstyrande kommuner kan vara svår att förena med det allt ökande behovet av myndighetsöverskridande samverkan. Det är vidare inte alltid tydligt vad som utgör den yttre ramen för den verksamhet en myndighet ska ägna sig åt och det gäller i synnerhet i gränsytorna mot andra aktörer. Även i utvecklingsarbeten måste myndigheterna hålla sig innanför gränserna för sina respektive myndighetsuppdrag. Om en förstudie eller annat arbete på idéstadiet leder till att en myndighet ska utföra nya uppgifter, t.ex. ansvara för utveckling och förvaltning av en ny digital tjänst, kan myndighetens uppdrag behöva breddas.

5.11.2Myndigheters samverkan med varandra

Flera av dem vi träffat under kartläggningsarbetet efterfrågar tyd- ligare styrning för att effektivare nå målen i digitaliseringsarbeten. Representanter från vissa myndigheter som deltar i flera eller breda samverkansarbeten pekar på svårigheter som kan uppstå till följd av att de deltagande myndigheterna styrs från olika departement i Regeringskansliet. Ökad samordning efterfrågas. Utmaningar i samverkansarbeten kan också uppstå på grund av att en myndighet som fått en samordnande roll har givits ett otydligt mandat. Även krav på konsensusbeslut i utvecklingsarbeten kan bli en hämsko.

Myndigheters samverkan i digitaliseringsarbeten sker också på frivillig basis, utan ett särskilt uppdrag från regeringen. Ibland träffas överenskommelser mellan parterna men sådan samverkan kan också ske utan mer formliga överenskommelser. Oavsett om samverkan sker frivilligt eller till följd av t.ex. ett särskilt regeringsuppdrag kan

111

Kartläggning av hindrande eller hämmande lagstiftning

SOU 2018:25

det vara ett resurs- och tidskrävande arbete att ta fram närmare överenskommelser som styr samverkansarbetet.

I kartläggningsarbetet har det framkommit att tolkning och tillämpning av gällande rätt ofta är en komplex och tidsödande uppgift i myndighetsgemensamma utvecklingsinsatser. De skarpa myndighetsgränserna i kombination med sektorsspecifik reglering avseende t.ex. sekretess och dataskydd medför att myndigheterna måste lösa alla rättsliga frågor var för sig innan ett myndighets- samarbete kan resultera i gemensamma digitala processer. En utmaning i varje enskilt utvecklingsarbete är att myndigheternas jurister inte sällan gör olika tolkningar och bedömningar av samma rättsliga frågor.

När samverkan mellan myndigheter innebär att en myndighet utför arbete på uppdrag av den andra, dvs. närmast en form av ut- kontraktering, kan det så som kartläggningsarbetet visar, uppstå osäkerhet om när upphandlingslagstiftningen i stället ska tillämpas.

Den svenska förvaltningsmodellen med kommunalt självstyre där respektive kommun ansvarar för sådana angelägenheter som har anknytning till kommunens område eller dess medlemmar (lokali- seringsprincipen) kan också verka hindrande för digitala samver- kansarbeten över kommungränserna. I dagsläget sker kommunala samarbeten i regel genom att en ny gemensam nämnd eller ett kommunalförbund inrättas.52 Samarbete kan också äga rum inom ramen för gemensamt ägande, t.ex. Inera AB.

Samtidigt som önskemål om bättre förutsättningar för samverkan har förts fram under kartläggningen har det också påpekats att beslutsfattare bör vara medvetna om att digitala förfaranden som en gång har samordnats mellan flera myndigheter kan vara svåra att ändra.

Exempel: Flera kommuner utvecklar i samverkan med varandra en ge- mensam plattform för en digital tjänst, t.ex. ansökan om förskoleplats. Om en av kommunerna sedan vill ändra reglerna för sin förskole- verksamhet genom att ta bort syskonförtur, kan detta vara ogörligt i den gemensamma plattformen.

52 Se dock lagrådsremissen En generell rätt till kommunal avtalssamverkan, från den 22 februari 2018.

112

SOU 2018:25

Kartläggning av hindrande eller hämmande lagstiftning

5.11.3Myndigheters samverkan med privata aktörer

Kartläggningsarbetet visar att det blir allt vanligare att myndigheter samverkar med det privata näringslivet, även i andra former än vad gäller upphandling och inköp av varor och tjänster. Det kan gälla t.ex. sammankomster där myndighetsrepresentanter och represen- tanter från privata näringslivet träffas och utvecklar kod i gemen- samma plattformar (öppen källkod).

Myndigheter och privata aktörer har emellertid helt olika förut- sättningar för samverkan. Myndigheternas verksamhet är regelstyrd och det gäller därför att hitta fungerande former för att samverka med det privata. I kartläggningen har vi fått höra om det arbete som läggs på att säkerställa att samverkan sker på ett konkurrensneutralt sätt och för att se till att upphandlingsreglerna inte träds för när. Även regleringen om otillåtet statsstöd har nämnts för oss i det sammanhanget som en faktor att hålla i åtanke. Myndigheterna behöver också ha kompetens och förmåga att ta fram välgrundade och genomtänkta avtal för att skydda sin verksamhet vid olika former av samverkan med det privata.

5.11.4Arbetsro vid myndighetssamverkan

I ett utvecklingsarbete behöver ofta handlingar av den typ som internt inom en myndighet utgör arbetsmaterial delas mellan de samverkande aktörerna för att inhämta synpunkter inför fortsatt arbete. Enligt rådande rättspraxis anses det eventuella svaret med synpunkter bli en allmän handling. Det kan röra sig om utkast till rapporter, arbetsplaner eller delredovisningar som förmedlas mellan de samverkande myndigheterna eller som tas fram gemensamt. Om sådant arbetsmaterial i ofärdigt skick sprids beskrivs det kunna leda till missförstånd. Även om det inte rör sig om känslig information är arbetsutkasten inte färdigarbetade dokument. De utgör snarare arbetsmaterial på samma sätt som arbetsutkast som hittills i högre grad hanterats internt inom en myndighet och som anses utgöra arbetsmaterial och inte allmänna handlingar. Avsevärd tid läggs på att utreda hur myndigheter i samverkansarbeten ska hantera utkast och annat arbetsmaterial. Önskemål finns om att reglerna för när handlingarna blir att anse som allmänna borde vara desamma för

113

Kartläggning av hindrande eller hämmande lagstiftning

SOU 2018:25

arbetsmaterial som hanteras i myndighetsgemensamma samver- kansarbeten, som för arbetsmaterial som hanteras internt inom en myndighet.

5.11.5Särskilda samverkansarbeten

Regeringens program Digitalt först

Digitalt först är regeringens program för digital förnyelse av det offentliga Sverige som genomförs under perioden 2015–2018. Inom ramen för programmet Digitalt först har ett antal myndigheter fått i uppdrag av regeringen att verka för digitalt först och leda digita- liseringen inom sina områden.

Lantmäteriet, tillsammans med Boverket, har i uppdrag att ut- veckla en smartare samhällsbyggnadsprocess för att öka bostads- byggandet.

Jordbruksverket, tillsammans med Livsmedelsverket, har i upp- drag att öka tillväxten genom en smartare livsmedelskedja.

Naturvårdsverket har i uppdrag att utveckla smartare miljö- information för att nå miljömålen.

SKL, tillsammans med Tillväxtverket och Bolagsverket, har i upp- drag att förenkla för restaurangföretagare genom verksamt.se.

Tillväxtverket har i uppdrag att skapa enkla och digitala myndig- hetskontakter för företag.

Sammansatta bastjänster – SSBTEK och SSBTGU

Sammansatt bastjänst för ekonomiskt bistånd (SSBTEK) är en in- formationsöverföringstjänst som används av kommunerna vid handläggning av ärenden som rör denna form av försörjningsstöd. Genom SSBTEK kan kommuner få uppgifter utlämnande elektro- niskt från Arbetslöshetskassornas samorganisation, Arbetsförmed- lingen, CSN, Försäkringskassan och Pensionsmyndigheten. Åt- komsten till uppgifterna är reglerad och det är bara handläggare med ett pågående ärende som får hämta in uppgifter via tjänsten. En enskild kan alltså inte själv hämta uppgifter via SSBTEK. Tjänsten är

114

SOU 2018:25

Kartläggning av hindrande eller hämmande lagstiftning

ett exempel på där digital utveckling i samverkan har vunnit såväl tidsbesparingar som ekonomisk framgång. I stället för att hand- läggare ägnar tid åt att med manuella medel samla in uppgifter kan samtliga relevanta uppgifter hämtas in sekundsnabbt. Samtidigt har kostnaden för användningen av tjänsten över tid kunnat minskas från 1 krona per invånare till 80 öre per invånare.

Sammansatt bastjänst för grunduppgifter för företag (SSBTGU) är en s.k. vidareförmedlingstjänst som hämtar uppgifter från den bästa källan (Bolagsverket, Skatteverket och Statistiska central- byrån). Tjänsten används av den myndighetsgemensamma webb- platsen verksamt.se och av kommuner inom ramen för bl.a. Serverat- programmet. En enskild som har skapat ett eget utrymme kan hämta in uppgifter från de anslutna myndigheterna genom fördefinierade frågor. Sammansatta svar förmedlas sekundsnabbt genom elek- troniska utlämnanden. SSBTGU underlättar och förenklar ansök- nings- och anmälningsförfaranden genom att enskilda kan ta del av företagsuppgifter från flera olika myndigheter och återanvända upp- gifterna i andra myndigheters digitala tjänster. I denna tjänst är det i dagsläget den enskilde själv som har åtkomst till uppgifterna, medan andra myndigheter inte har det.

SSBTEK och SSBTGU är uppbyggda med samma tekniska lös- ning i grunden men riktar sig till olika användare och har utformats på olika sätt för att möta kraven i gällande reglering. Under kart- läggningen har det framhållits för oss att det, även om tjänsterna har effektiviserat myndigheternas handläggning, finns en outnyttjad potential i tjänsterna som skulle kunna realiseras genom att öppna upp tjänsterna för nya användare och användningsområden. Om enskilda individer hade åtkomst till sina uppgifter i SSBTEK skulle de med stöd av den samlade informationen kunna avgöra om det över huvud taget är meningsfullt att ansöka om ekonomiskt bistånd. Det skulle i sin tur kunna minska arbetsbördan för kommunernas handläggare som behöver hantera färre ärenden som resulterar i avslag. Kommunerna skulle inom ramen för sin tillsynsverksamhet kunna vara betjänta av att hämta in företagsuppgifter direkt från SSBTGU. I dagsläget måste kommunerna förlita sig på att före- tagarna skickar in korrekta uppgifter alternativt köpa avgiftsbelagd information från den statliga myndighet som är bästa källan.

Tjänsterna SSBTEK och SSBTGU belyser hur det i och för sig varit tekniskt möjligt att utforma digitala tjänster inom ramen för

115

Kartläggning av hindrande eller hämmande lagstiftning

SOU 2018:25

gällande lagstiftning, men där det beskrivits för oss att det finns potential för ännu större nyttor om tjänsterna vidareutvecklas. Det kan dock behövas författningsändringar.

Verksamt.se

Tillväxtverket, Bolagsverket och Skatteverket har inom ramen för ett myndighetssamarbete utvecklat tjänsten verksamt.se. Syftet med tjänsten är bl.a. att förenkla processen för enskilda att starta och driva företag. Inom ramen för verksamt.se tillhandahålls enskilda ett eget utrymme i tjänsten där de t.ex. kan skapa affärsplaner.

Den som vill använda verksamt.se för att starta ett företag dirigeras först till Bolagsverket för att i Bolagsverkets e-tjänst anmäla ett företag för registrering och få ett organisationsnummer. När Bolagsverket har fattat beslut kan den enskilde göra moms- anmälan m.m. hos Skatteverket genom att logga in på nytt och dirigeras till Skatteverkets e-tjänst. Såväl sekretessregleringen som det förhållandet att varje myndighet ansvarar för sina egna infor- mationssamlingar och bara har möjlighet att ge service inom sitt eget ansvarsområde har beaktats när tjänsten skulle utformas. Utgångs- punkten i verksamt.se är att det inte ska förekomma något direkt uppgiftsutbyte mellan myndigheterna utan att den enskilde ska styra uppgiftsflödet. Inom ramen för kartläggningsarbetet har det dock uttryckts önskemål om rättsliga förutsättningar för att verksamt.se ska kunna ta ett steg vidare mot att bli en ännu bättre hantera-ditt- företag-portal.

En fråga som har diskuterats inom ramen för verksamt.se är vilka möjligheter det finns att närvara på sociala medier, t.ex. Facebook och Twitter. Sociala medier ger goda förutsättningar för snabb kom- munikation med företagare och skulle också kunna vara ett sätt att marknadsföra tjänsten. Men eftersom verksamt.se inte är en egen juridisk person och inte agerar i rollen som personuppgiftsansvarig har bedömningen gjorts att det saknas förutsättningar att närvara på sociala medier när det inte tillräckligt tydligt framgår vilken myndig- het som är avsändare.

116

SOU 2018:25

Kartläggning av hindrande eller hämmande lagstiftning

Serverat

Inom ramen för regeringens Digitalt först-satsning driver SKL programmet Serverat tillsammans med Tillväxtverket, Bolagsverket och ett antal kommuner. Syftet med Serverat är att utveckla digitala lösningar för att förenkla för restaurangföretagare att starta och driva företag. Bolagsverkets uppdrag i programmet är att leverera företagsinformation från SSBTGU både på verksamt.se och i Serverats e-tjänster, dvs. de e-tjänster som tillhandahålls direkt av kommunerna för t.ex. ansökan om olika tillstånd. Tillväxtverkets roll är att på verksamt.se bygga en guide och checklista för att starta restaurang. SKL fokuserar på e-tjänsterna för de olika typer av kommunala tillstånd som krävs för att starta restaurang.

I det initiala arbetet har det uppmärksammats att många kom- muner gör olika tolkningar av regelverket för olika tillstånd, t.ex. tillståndskrav för alkoholförsäljning. Det beskrivs vara en utmaning i arbetet att ensa tolkningarna och få en gemensam nationell tolkning och tillämpning av de styrande författningarna.

5.12Kompetens och stödmaterial

I kartläggningsarbetet har flera av dem vi talat med pekat på att förmågan att samarbeta tvärfunktionellt behöver stärkas. Den digitala utvecklingen är inte en fråga som kan hanteras isolerat av en viss avdelning utan kräver att hela verksamheten involveras för att bästa resultat ska uppnås. Vissa framhåller behovet av fortsatt breddad kompetens för att få bättre förutsättningar att skapa för- ståelse över professionsgränserna. En förutsättning för gott sam- arbete över avdelningsgränser beskrivs vidare vara att de olika pro- fessionerna har förståelse för varandras uppdrag.

Likväl som jurister kan behöva bredda sin kompetens inom it och informationssäkerhet framhålls att även andra yrkesroller t.ex. it- och informationssäkerhetsspecialister, tekniker, upphandlare m.fl. behöver ha baskunskaper i det rättsliga regelverket som styr digita- liseringen. Att tolka dataskyddsbestämmelser i förhållande till befintlig teknik bör inte helt överlämnas till jurister som saknar djupare teknisk kunskap. Det finns med andra ord ett basbehov av kunskap i rättsinformatik, dvs. insikter om samband mellan materiell

117

Kartläggning av hindrande eller hämmande lagstiftning

SOU 2018:25

it-rätt och metoder för att proaktivt integrera juridiken i digita- liseringsarbetet.

Under kartläggningsarbetet framkommer vidare att myndigheter generellt efterfrågar ett utökat rättsligt stöd i form av t.ex. ut- talanden i förarbeten eller praxis. Myndigheternas rättstillämpare vill kunna känna sig trygga med rättsliga bedömningar och vägval i digitala utvecklingsarbeten. Dessvärre finns det sparsamt med för- arbetsuttalanden och praxis som direkt går att applicera på dagens digitala miljöer.

Ett par myndighetsrepresentanter påtalar också att vägledningar bör utformas ur ett mer praktiskt perspektiv. Det är inte tillräckligt att veta att något ska göras. Myndigheterna måste också få ledning i hur det ska göras.

5.13Den rättsliga begreppsapparaten

5.13.1Äldre begrepp i digitala miljöer

Inom ramen för kartläggningen har flera myndigheter påtalat komplexiteten i att applicera bestämmelser med föråldrade begrepp på dagens digitala miljöer. Regelverket som styr den digitala för- valtningen innehåller en mängd begrepp som tankemässigt knyter an till analoga förhållanden. Som exempel kan nämnas ärende, handling, inkommen, upprättad, skriftlig och underskrift. Det finns också begrepp som knyter an till tekniska förfaranden men som är så ålder- domliga att de är svåra att tillämpa på dagens tekniker. Ett exempel är begreppet utlämnande på medium för automatiserad behandling. Begreppet saknar legaldefinition men vanligen avses ett överläm- nande av elektroniskt lagrade uppgifter via t.ex. e-post eller genom filöverföring från ett datorsystem till ett annat.53

Den begreppsbildning som finns i tryckfrihetsförordningen har också beskrivits som komplicerad att sätta i relation till nutida teknikanvändning. Det gäller t.ex. lokutionen teknisk bearbetning eller teknisk lagring i 2 kap. 10 § tryckfrihetsförordningen.54 Genom en ändring i offentlighets- och sekretesslagen den 1 januari 2018 har

53Se t.ex. Patientdatalag m.m., prop. 2007/08:126, s. 77.

54Observera att ändringar i bl.a. 2 kap. tryckfrihetsförordningen föreslås i Ändrade medie- grundlagar, prop. 2017/18:49. Ändringarna innebär bl.a. ändrade beteckningar på lagrum.

118

SOU 2018:25

Kartläggning av hindrande eller hämmande lagstiftning

sekretesskyddet ökats för uppgifter som tekniskt lagras eller bear- betas av en myndighet för någon annans räkning.55 Även om änd- ringen välkomnas menar vissa att det fortfarande är oklart vad som är den faktiska innebörden av begreppen teknisk lagring och teknisk bearbetning i dagens digitala miljöer.

I 2 kap. 11 § första stycket 1 tryckfrihetsförordningen stadgas att brev, telegram eller annan sådan handling som har inlämnats till eller upprättats hos myndighet endast för befordran av meddelande inte anses vara allmän handling. Varken förarbeten eller praxis ger emellertid tillräcklig ledning om hur begreppet befordran av med- delande (post, telegram etc.) ska tolkas och tillämpas i förhållande till dagens teknikanvändning.

Någon av dem vi träffat har påpekat att när tolkning och tillämp- ning av otidsenliga begrepp på dagens digitala miljöer överlämnas till tjänstemän vid enskilda myndigheter blir en effekt att begreppen fylls med olika innebörd och räckvidd hos de olika myndigheterna, vilket kan bli problematiskt vid myndighetsöverskridande sam- arbeten.

5.13.2En splittrad begreppsapparat

I kartläggningsarbetet har flera aktörer uppmärksammat behovet av en gemensam begreppsapparat i författningar. I dagsläget kan ett och samma begrepp användas med olika betydelser. Avsaknaden av en enhetlig begreppsapparat leder till att myndigheter behöver lägga tid och resurser på att lösa definitionsfrågor i varje enskilt utvecklings- arbete. Ska t.ex. en interoperabel tjänst för juridiska personer ut- vecklas behöver det finnas en entydig tolkning av begreppet företag. Eller kanske är det inte alls begreppet företag som ska användas utan bolag? Eller organisation? Skillnader i begreppsanvändningen riske- rar att slå tillbaka i framtiden, när olika tjänster hos olika myndig- heter ska kopplas ihop.

Det har vidare framhållits att begrepp som knyter an till digital arkivering och gallring behöver användas på ett enhetligt sätt. Be- greppet gallring kan ha olika innebörd i olika författningar och ibland används andra begrepp t.ex. radera, ta bort, utplåna eller förstöra trots

55 11 kap. 4 a § och 40 kap. 5 § offentlighets- och sekretesslagen.

119

Kartläggning av hindrande eller hämmande lagstiftning

SOU 2018:25

att det är gallring som avses. I Utredningen om 2016 års data- skyddsdirektiv56 görs ett arbete för att rensa upp i begreppsfloran och hålla isär arkivregleringen från personuppgiftsregleringen. Konkret handlar det om att ta bort begreppet gallring från personuppgifts- regleringen och i stället reglera att en viss behandling av person- uppgifter ska upphöra.

Det beskrivs vara önskvärt att åstadkomma ytterligare för- bättrade processer vid författningsändringar som motverkar tve- tydighet eller motstridighet i olika lagstiftningsprodukter. Den typ av tvetydighet eller motstridighet som ovan beskrivits kan annars hindra eller hämma utvecklingsarbeten som avser digitala informa- tionsutbyten.

5.14Samverkan kring författningsändringar

Samverkan i frågor som rör behov av författningsändringar med anledning av förvaltningens digitalisering äger rum såväl horisontellt dvs. mellan myndigheter, som vertikalt, dvs. mellan myndigheter och Regeringskansliet. Under kartläggningen har vi fått bilden av att myndigheter i allt högre grad samverkar med varandra och gemen- samt hemställer om nödvändiga författningsändringar i t.ex. ett digitalt utvecklingsarbete som involverar informationsutbyte mellan myndigheterna. Generellt sett efterfrågar myndigheterna dock effektivare och smidigare processer för att kunna föra fram behov av ny eller förändrad reglering till lagstiftaren. I dagsläget finns det flaskhalsar där lagstiftningsarbetet riskerar att fastna. Det beskrivs vara värdefullt för myndigheter att få snabb återkoppling från departementen på gjorda hemställningar om författningsändringar. Är en beskrivning tillräckligt detaljerad eller saknas någon del i analysen? Det beskrivs också vara viktigt att lagstiftningsprocessen till stöd för den digitala förvaltningen bedrivs löpande och myndig- heter efterfrågar en samordning eller gemensam kontaktpunkt för frågor som rör författningsändringar i anledning av utvecklingen mot en allt mer digital förvaltning.

En annan faktor som lyfts fram av flera myndigheter är tid. Författningsändringar tar lång tid att åstadkomma även när det rör

56 Brottsdatalag – kompletterande lagstiftning (SOU 2017:74). Se även Myndighetsdatalag

(SOU 2015:39), kapitel 14.

120

SOU 2018:25

Kartläggning av hindrande eller hämmande lagstiftning

sig om förordningsändringar och än längre tid om det gäller lag- ändringar. I stället för att invänta en regeländring kan det leda till att myndigheter anpassar sig efter rådande reglering med följd att utvecklingsinsatsen inte blir optimal.

En följd av att nya digitala informationsutbyten mellan myndig- heter i regel kräver författningsändringar är att departementen belastas med olika hemställningar om författningsändringar. Vid informationsutbyten mellan myndigheter berörs ofta fler än ett departement och det krävs samordning och likvärdig prioritering mellan departementen för att nödvändiga författningsändringar ska komma till stånd.

Några har framhållit att uppdragsgivaren ibland tenderar att för- bise att vid myndighetssamverkan i den digitala förvaltningen be- höver frågor om reglering kring digital informationshantering i princip alltid omhändertas. Rättsliga frågor behöver lösas i ett tidigt skede i utvecklingsprocessen för att åstadkomma rättsligt stöd för det digitala informationsutbyte som planeras. Av denna anledning är det önskvärt att departementen redan från början, när ett uppdrag bereds, tänker i digitala processer. Om så inte sker riskerar det att gå åt onödigt mycket tid för att i efterhand lösa rättsliga frågor om t.ex. förutsättningarna för digitalt informationsutbyte. Alternativt hind- ras effektiva och ändamålsenliga digitala processer eftersom de får brytas med manuella mellanled.

Flera av dem som deltagit i kartläggningsarbetet reagerar på att de nya författningar som tas fram sällan är anpassade till digitala processer. Man kan i någon mån hävda att lagstiftningsprodukter, trots att utgångspunkten är teknikneutralitet, i de flesta fall fort- farande utgår i från analoga förfaranden i stället för digitala.

121

6Några inledande reflektioner över kartläggningsresultatet

6.1Offentlig förvaltning i hela dess vidd

Utredningens uppdrag är inte begränsat till viss verksamhet, viss organisation eller viss information inom förvaltningen. Utan att här gå in i någon närmare beskrivning av den svenska förvaltningen i hela dess vidd finns det därför anledning att inledningsvis i korta ordalag beskriva den spännvidd som såväl kartläggningsresultatet som upp- draget i stort omfattar.

Den pågående och förmodade framtida digitaliseringen av offent- lig förvaltning omfattar för det första vitt skilda verksamheter. De statliga myndigheternas respektive uppdrag är i flera avseenden av väsentligt skild karaktär och sträcker sig sammantaget över ett mycket brett område. Därtill har kommuner och landsting andra typer av uppdrag. Vid sidan av obligatoriska angelägenheter som t.ex. skolverksamhet och socialtjänst skiljer det sig också i viss ut- sträckning åt vilken verksamhet som bedrivs i olika kommuner. Såväl statliga som kommunala myndigheter och landsting samt regioner har för det andra också vitt skilda organisatoriska förutsättningar, inte minst när det gäller storlek och resurser. I den offentliga förvaltningen hanteras för det tredje information av vitt skilda slag. Det handlar om allt från uppgifter som rör rikets säkerhet, uppgifter som av annan anledning är särskilt skyddsvärda från verksamhets- synpunkt eller känsliga personuppgifter, till offentliga uppgifter av harmlöst slag. Ur ett förvaltningsrättsligt perspektiv berör digita- liseringen både myndigheternas ärendehantering, service gentemot privatpersoner, företag och organisationer liksom det faktiska handlande som utförs i verksamheten, exempelvis vid användande av trygghetstekniker i vården och omsorgen.

123

Några inledande reflektioner över kartläggningsresultatet

SOU 2018:25

En allmän reflektion över kartläggningsresultatet är också att den teknikutveckling och teknikanvändning som pågår eller planeras hos myndigheterna också innefattar en stor spännvidd, allt från att vissa nu står i begrepp att gå ifrån en pappershantering vid ärendehand- läggning till att undersöka tillämpningsområden för avancerad tek- nik med artificiell intelligens (AI).

Samtidigt som vi strävar efter att uppmärksamma problem och lämna förslag till åtgärder eller lösningar som är gemensamma för hela eller stora delar av den offentliga förvaltningen innebär den sam- mantagna spännvidd som här har beskrivits att såväl problem- beskrivningar som bedömningar och förslag kommer att behöva nyanseras i olika delar av betänkandet. Här kan också nämnas att utredningen använder begreppet offentlig förvaltning med avseende på förvaltningsmyndigheter (statliga, kommunala och landstings- kommunala) och domstolar. I de fall frågor rör andra aktörer eller hela den offentliga sektorn, dvs. all offentligt finansierad verksam- het, framgår det särskilt.

6.2Detaljerad reglering

Av kartläggningen framgår det tydligt att myndigheter, och olika aktörer som i olika avseenden samverkar med myndigheter, ställs inför en mängd rättsliga frågor i samband med att digital teknik används eller införs på olika områden inom förvaltningen. Snabb- heten i den tekniska utvecklingen och den förväntan på samhälls- utveckling som följer med denna innebär att de rättsliga frågorna kopplade till förvaltningens digitalisering också ökar såväl i antal som i komplexitet och behöver besvaras i allt snabbare takt. Myndig- heterna har också generellt sett en omfattande regelmassa att beakta i samband med varje digitaliseringsåtgärd.

Olika röster har i kartläggningsarbetet fört fram att regleringen i dag är detaljerad, och varken är anpassad eller hinner anpassas i den takt som behövs för att i tid svara upp mot de förväntningar som olika aktörer har på att förvaltningens verksamheter ska utvecklas i takt med teknik- och samhällsutvecklingen i övrigt. En inledande reflektion är att det allmänt sett synes vara problematiskt med rätts- lig styrning genom detaljerad reglering i lagform på områden som står under snabb utveckling.

124

SOU 2018:25

Några inledande reflektioner över kartläggningsresultatet

Enligt såväl vår samlade erfarenhet som kartläggningsresultatet rör det sig påfallande ofta om dataskyddsregleringen eller om sekre- tessregleringen i mer vidsträckt bemärkelse, innefattande även de sekretessgenombrott eller uppgiftsskyldigheter som kan tillämpas myndigheter emellan, när det görs gällande att juridiken på ett onödigt sätt hämmar eller hindrar digital utveckling i förvaltningen. De rättsliga hinder eller svårigheter som har beskrivits för oss under kartläggningen ger inte på något sätt uttryck för att grundläggande skyddsbestämmelser i svensk grundlag, EU:s stadga om de mänsk- liga rättigheterna eller Europakonventionen skulle utgöra onödiga rättsliga hinder för digital utveckling. Det rör sig snarare om uttryck för att den nationella regleringen inom dessa rättsområden är detaljerad och att det i den specifika nationella rätten finns regler som förefaller vara onödigt begränsande eller hindrande.

För att lagstiftningen nu och fortsättningsvis inte i onödan ska hämma eller hindra en önskvärd utveckling är ett alternativ att öka takten i lagstiftningsarbetet för att i tid och vid varje tillfälle åstad- komma nödvändiga och önskvärda förändringar i en fortsatt detaljerad nationell lagstiftning. Ett annat alternativ är att försöka åstadkomma en mer generisk reglering inom de ovan beskrivna områdena, dvs. sträva mot en reglering som inte innehåller lika detaljerade bestämmelser. Vi återkommer till frågorna i kapitel 12.

Vi har under kartläggningen också tagit till oss det perspektivet att en omfattande mängd detaljerade regler som styr digital infor- mationshantering inom förvaltningen medför, och måste medföra, ett resurskrävande arbete för att analysera varje digitaliseringsåtgärd i förhållande till den detaljerade och omfattande regleringen. Den tidsåtgången skulle också kunna minska med mer generella regler, bl.a. med hänsyn till att en högre grad av gemensamma förutsätt- ningar för myndigheter skulle skapa bättre möjligheter för en mer enhetlig tolkning och tillämpning av regleringen. Här finns anled- ning att understryka att digital informationshantering, exempelvis digitala informationsutbyten mellan myndigheter, vanligen ställer krav på en väsentligt större exakthet redan från början än vad som har behövts i en manuell eller analog miljö, där rutiner och andra förfaranden har kunnat bestämmas och anpassas efter hand. I en samverkande digital förvaltning finns med andra ord ett begränsat utrymme för att tolkning och tillämpning av rättsregler ska kunna skilja sig åt mellan myndigheter eller verksamheter.

125

Några inledande reflektioner över kartläggningsresultatet

SOU 2018:25

6.3Teknikneutral reglering

De allra flesta författningar reglerar i dag områden som också på något sätt styrs av eller genomförs genom informations- och kom- munikationsteknik. På området för digitalisering av den offentliga förvaltningen ligger det också i sakens natur att det förhåller sig på det sättet. Här finns inte utrymme för någon närmare redogörelse för hela den offentliga förvaltningens teknikanvändning men i den utsträckning det är relevant för utredningens överväganden och förslag återkommer vi i det följande till närmare beskrivningar av viss teknik.

Även om det finns ett samband mellan författningar och tekniska förutsättningar har riksdag och regering länge sökt utforma före- skrifter på ett sätt som är neutralt i förhållande till både den teknik som finns tillgänglig och används just vid tillfället för författningens tillkomst liksom okända framtida digitala lösningar. Fördelen med ett sådant förhållningssätt är att regleringen blir mer långsiktigt hållbar i den bemärkelsen att den inte behöver anpassas eller refor- meras i samma tempo som den tekniska utvecklingen, vilket i många avseenden inte vore möjligt med tanke på den noggrannhet som lagstiftningsarbete kräver och den tidsåtgång som detta medför.

Här finns också anledning att särskilt belysa frågan om vad som egentligen avses med en teknikneutral reglering. En sådan reglering är ofta neutral i den bemärkelsen att den inte pekar ut en viss teknisk lösning, t.ex. e-post, i författningens ordalydelse. Under kartlägg- ningen har emellertid vid ett flertal tillfällen uppkommit diskus- sioner om att en till synes teknikneutral reglering ofta innebär att traditionella förfaranden och processer som innefattar pappers- hantering utgör utgångspunkten för de handlingsdirektiv som författningen anger. Det kan bl.a. röra sig om att regleringen styr att viss information under ett visst skede ska överföras från en aktör till en annan, exempelvis genom att ange en process bestående av anmälan respektive ansökan eller att på annat sätt ange handlings- direktiv om att information i ett visst skede ska överföras. Sådana bestämmelser kan visserligen sägas vara neutrala i förhållande till vilken teknik som används vid det förfarande som regleras. Infor- mationshantering med digitala medel väcker emellertid frågor även rörande dessa typer av bestämmelser, eftersom den digitala tekniken

126

SOU 2018:25

Några inledande reflektioner över kartläggningsresultatet

möjliggör en helt annan typ av hantering av information än vad som var möjligt när processerna reglerades.

Enligt vår bedömning kan en teknikneutral reglering nu och i framtiden inte utgå från att papper är informationsbäraren och att postgång används för förmedling av information. Även de gällande författningar som kan framstå som teknikneutrala kan därför behöva förändras i anledning av digitaliseringen. Behovet av att författningar som nu och i framtiden tas fram beaktar att den verksamhet som regleras kommer att stödjas eller utföras genom digitala eller auto- matiserade processer återkommer vi till i kapitel 7.10.

Det finns också nackdelar med en långtgående ansats att hålla författningsregleringen teknikneutral i så stor utsträckning som möjligt. Att en sådan teknikmässigt fristående författning medför svårigheter för tillämparen som ska applicera de neutrala reglerna på en många gånger komplex teknisk verklighet måste här framhållas som den största nackdelen med den teknikneutrala ansatsen i lagstiftningsarbetet. En alltigenom teknikneutral reglering riskerar också att försvåra dess förutsebarhet, till nackdel såväl för tilläm- pande myndigheter som för enskilda. Otydliga rättsliga förut- sättningar för också med sig exempelvis risker för rättsosäkerhet när varje myndighet för varje utvecklingsarbete finner sina egna rättsliga lösningar. Det uppstår också risker för onödiga kostnader, eller av- saknad av effektiva lösningar, om eller när systemen i efterhand inte visar sig hållbara från rättslig synvinkel. Domstolspraxis skulle i viss utsträckning kunna läka de brister som en teknikneutral reglering innebär, men sådan praxis förekommer i påfallande låg utsträckning avseende den typ av rättsfrågor som här aktualiseras. Det finns dessutom sällan tid att invänta en eventuell framväxt av rättspraxis eftersom reformer eller andra regeringsuppdrag till myndigheter ofta förutsätter att det snabbt genomförs ett utvecklingsarbete i myndighetens it-system.

Samtidigt som teknikneutraliteten i författningar innebär att svåra rättsliga frågor lämnas åt enskilda rättstillämpare vid myndig- heter som står inför ett digitaliseringsarbete, innebär sådan verksam- hetsutveckling att avsevärda resurser läggs ned på utvecklings- insatsen. Att under de förhållandena lämna det fulla ansvaret för att dra rättsliga slutsatser av en neutral lagstiftning ställer omfattande krav på den som har till uppgift att stå för juridiska bedömningar i

127

Några inledande reflektioner över kartläggningsresultatet

SOU 2018:25

ett sådant digitaliseringsarbete. I kapitel 6.5 utvecklas vilka svårig- heter som, bl.a. med hänsyn till den teknikneutrala regleringen, är förenade med inte minst juristens roll i digitala utvecklingsarbeten.

I våra fortsatta överväganden och förslag tas frågan om teknik- neutralitet genomgående i beaktande. I de förslag som lämnas kommer utredningen att sträva efter att uppnå de fördelar som en teknikneutral reglering syftar till att åstadkomma. Den reglering som föreslås ska alltså vara långsiktigt hållbar och i princip inte innehålla detaljerade regler som knyter an till specifika tekniska lösningar som är kända och används i dag. Med andra ord ska för- slagen inte vara fastlåsta vid dagens tekniska lösningar och där- igenom hindra en fortsatt utveckling mot användandet av sådana trygga, innovativa och effektiva lösningar i förvaltningen som ännu inte är kända. Samtidigt strävar vi efter att uppnå målsättningen att lämna förslag och att motivera dessa på ett sätt som dels ska ge ett konkret rättsligt stöd till vägledning för tillämparen, dels tillvaratar enskildas intressen av bl.a. transparens och förutsebarhet.

6.4Lagliga och lämpliga digitala tjänster

En allmän utgångspunkt är att förvaltningens digitaliseringsarbeten i första hand ska resultera i tjänster som är användarvänliga och som genererar nytta för privatpersoner eller företag eller för för- valtningens verksamhet. Med andra ord är det inte tillräckligt att det finns rättsliga förutsättningar för att ta fram digitala tjänster som uppfyller de krav som följer av reglering, det behöver finnas rättsliga förutsättningar för att ta fram lämpliga tjänster. Annars finns risk för att förvaltningen lägger tid och resurser på att utveckla tjänster som inte ger nytta.

Vilka tjänster som är lämpliga i den bemärkelsen att de genererar nytta för allmänheten och förvaltningens verksamheter kommer att förändras över tid. Det bör dock framhållas att flertalet sådana tjänster redan i dag utgör något helt annat än en ersättning för den kommunikation med och inom förvaltningen som tidigare och traditionellt sett har ägt rum genom pappershantering. I det följande (se kapitel 8) går utredningen närmare in på hur digitala tjänster skiljer sig från kommunikation genom pappershantering och poten- tialen för bl.a. ökad service gentemot privatpersoner och företag.

128

SOU 2018:25

Några inledande reflektioner över kartläggningsresultatet

Därtill kommer att digitala tjänster skapar förutsättningar för ökad automation i förvaltningen (se kapitel 7), med de möjligheter till effektivitetssprång som detta innebär.

Om den fulla potentialen i förvaltningens digitaliseringsåtgärder ska kunna tas till vara behöver det därför finnas rättsliga förut- sättningar för en informationshantering som utgår från nya möjlig- heter, inte från traditionella förfaranden som omsätts i en helt mot- svarande digital informationshantering. Denna slutsats utgör en utgångspunkt för utredningens fortsatta analyser, bedömningar och förslag.

6.5Juridisk metod i utvecklingsarbeten

Under utvecklingsarbeten behöver frågor av rättslig karaktär disku- teras på ett tvärfunktionellt sätt och angripas från olika perspektiv av arkivarier, jurister, säkerhetsansvariga, tekniker, verksamhets- utvecklare och flera andra professioner. Ur ett rent rättsligt perspek- tiv behöver frågor analyseras med flera (se bl.a. kapitel 4) författ- ningar i åtanke. Det innebär att såväl specifika regler om myndig- heters verksamhet som generella offentligrättsliga regler måste beaktas. Inte sällan behöver därför flera jurister med olika kom- petens involveras i den rättsliga analysen. Ska tjänster upphandlas från privata leverantörer krävs därtill ofta ytterligare kompetens med avseende på kravställning och upphandling av it.

Det räcker emellertid inte att utgå från juristers bedömningar av vad som utgör gällande rätt vid de analyser som görs i samband med utvecklingsarbeten. Andra yrkeskategorier kan, som framgått ovan, från sitt perspektiv tillföra kunskap om att en digital informations- hantering kan ordnas mer effektivt eller säkert med ett helt annat tillvägagångsätt än vad som varit utgångspunkten när gällande rätt togs fram. Befintliga regler som styr en verksamhet har nämligen, som framgått, många gånger tillkommit med utgångspunkt i en traditionell och pappersbaserad process för ärendehandläggning eller annan informationshantering. I den utsträckning det finns rätts- regler som styr den processen kan dessa bestämmelser behöva för- ändras i anledning av digitaliseringen.

129

Några inledande reflektioner över kartläggningsresultatet

SOU 2018:25

Det framgår av kartläggningen att det påfallande ofta därtill behövs en analys avseende om det befintliga legala stödet är tillräck- ligt när en myndighets verksamhet utvidgas. Som exempel kan näm- nas att en myndighet står i begrepp att genom ett utvecklingsarbete ta på sig ett nytt åtagande att exempelvis tillhandahålla information till andra myndigheter. Den typen av åtaganden behöver på något sätt framgå av den skriftliga rättsordningen1 för att grundläggande krav på bl.a. legalitet ska anses vara uppfyllda. Även sekretess- lagstiftningen bygger på att myndigheters rutinmässiga utbyten av sekretessbelagda uppgifter normalt ska vara författningsreglerade.2 Under pågående utvecklingsarbete är det vanligt förekommande att en eller flera samverkande myndigheters åtagande anges i ett regeringsuppdrag, t.ex. i myndigheternas regleringsbrev. När ett utvecklingsarbete är färdigt och resultatet ska övergå i drift och förvaltning hos någon myndighet eller flera i samverkan, men det inte sedan tidigare framgår i rättsordningen att myndigheten eller myndigheterna har det aktuella uppdraget, kan emellertid ett nytt legalt stöd för uppdraget behöva tas fram.

En sådan metod för rättslig analys under utvecklingsarbeten som här översiktligt har beskrivits ställer höga krav på såväl jurister som andra tjänstemän (eller konsulter) i andra yrkeskategorier. Den ställer också krav på samarbete mellan myndigheter och Regerings- kansliet för att åstadkomma nödvändiga och önskvärda författnings- ändringar i takt med pågående utvecklingsarbeten. Utredningen återkommer därför i betänkandet till frågor om bl.a. organisatoriska förutsättningar för att bedriva rättsutveckling i takt med samhälls- och teknikutveckling (se kapitel 12). Det står också klart att det krävs noggranna överväganden inför bl.a. utkontraktering till privata leverantörer och tecknande av it-avtal. Utredningen återkommer till dessa frågor i kapitel 10 och 11.

1Jfr legalitetsprincipens krav på normmässig förankring för den verksamhet myndigheten bedriver. Det kan vara fråga om reglering i lag eller förordning, t.ex. myndighetens instruktion, men också om ett förvaltningsbeslut från regeringen, t.ex. i myndighetens regleringsbrev.

2Det förekommer emellertid att myndigheter rutinmässigt utbyter information utan att detta framgår uttryckligen av författning. Se även Lenberg m.fl., Offentlighets- och sekretesslagen (12 maj 2017, Zeteo), kommentaren till 10 kap. 27 § under rubriken Rutinmässigt utlämnande av uppgifter.

130

SOU 2018:25

Några inledande reflektioner över kartläggningsresultatet

6.6EU och utrymmet för nationell reglering

En allmän fråga som väckts inom ramen för utredningen är hur stort handlingsutrymme det egentligen finns att behålla eller införa nationella rättsregler för styrning eller stöd avseende förvaltningens digitala informationshantering och digitaliseringsåtgärder, med beaktande av de rättsakter och övriga initiativ som utarbetas inom EU. Under kartläggningen har det också lyfts fram att särskilda svårigheter vid digital samverkan, även nationellt mellan svenska myndigheter, kan uppstå när myndigheter i skilda verksamheter har att följa olika EU-rättsakter. Det finns därför anledning att här inledningsvis kort beskriva vissa utgångspunkter med anledning av EU-rätten.

Frågan om vilken kompetens EU har att anta rättsakter skiljer sig åt mellan olika områden. Enligt principen om tilldelade befogen- heter3 ska unionen endast handla inom ramen för de befogenheter som medlemsstaterna har gett unionen i fördragen för att nå de mål som fastställs där. Unionens befogenheter kan delas upp i exklusiva befogenheter, befogenheter som delas med medlemsstaterna och befogenheter att vidta åtgärder för att stödja, samordna eller komplettera medlemsstaternas åtgärder.4 Här går vi inte närmare in på de olika områdena men konstaterar att det skiljer sig åt inom olika rättsområden vilket utrymme för lagstiftning som förbehålls EU respektive medlemsstaterna. Det finns även rättsakter som vilar på särskilda EU-rättsliga grunder. Det gäller exempelvis rättsakter om skydd för personuppgifter.5 Rätten till skydd av personuppgifter har även fått status som en självständig rättighet i artikel 8 i Europeiska unionens stadga om de grundläggande rättigheterna.6

Antagna EU-rättsakter ska tillämpas vid svenska myndigheter, antingen direkt i den mån regleringen antagits i form av en förord- ning eller efter genomförande i svensk rätt om rättsakten antagits i form av ett direktiv. Bland rättsakter av generell betydelse för den svenska och digitalt samverkande förvaltningen bör t.ex. nämnas

3Artikel 5.2 i fördraget om Europeiska unionen. EUT C 202, 7.6.2016, s. 18. EUR-Lex (FEUF).

4Se Fördelning av befogenheter inom Europeiska unionen. EUR-Lex. 23 mars 2010 (senast ändrad den 26 januari 2016).

5Artikel 16 FEUF.

6EUT C 83, 30.3.2010, s. 389.

131

Några inledande reflektioner över kartläggningsresultatet

SOU 2018:25

NIS-direktivet7 med bestämmelser om informationssäkerhet, data- skyddsförordningen8 med bestämmelser om skydd för person- uppgifter och eIDAS-förordningen9 med bestämmelser om krav på ömsesidigt erkännande av anmälda e-legitimationer och krav på till- handahållande av betrodda tjänster och en rättslig ram för sådana tjänster. Även Inspire-direktivet10 och Tullkodexen11 kan här näm- nas som exempel på rättsakter som kräver vissa digitala förfaranden och som ska tillämpas av vissa svenska myndigheter eller verksam- heter.

Utredningen har givetvis att förhålla sig till de givna förutsätt- ningarna vad gäller fördelning av befogenheter mellan Sverige och EU när författningsändringar övervägs. Utrymmet för nationell rätt varierar därmed beroende på hur befogenheterna fördelas mellan EU och medlemsstaterna. I de avseenden vi i det följande överväger författningsändringar tar vi med oss det som ovan beskrivits om utrymmet för nationell rätt.

Utöver de rättsakter som antagits inom EU har också andra initiativ tagits med bäring på den digitala förvaltningen. Här bör särskilt EU:s handlingsplan för e-förvaltning nämnas.12 I handlings- planen anges ett antal principer, däribland ”Digitalt som standard”.

Den principen innebär att offentliga förvaltningar bör leverera sina tjänster digitalt (inklusive maskinläsbara uppgifter) som första- handsalternativ, samtidigt som andra kanaler hålls öppna för perso- ner som inte är uppkopplade, av eget val eller av nödtvång. Offent- liga tjänster bör också tillhandahållas via en enda kontaktpunkt

(”one-stop-shop”) och via olika kanaler.

7Europaparlamentets och rådets direktiv (EU) 2016/1148 av den 6 juli 2016 om åtgärder för en hög gemensam nivå på säkerhet i nätverks- och informationssystem i hela unionen.

8Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).

9Europaparlamentets och rådets förordning (EU) nr 910/2014 av den 23 juli 2014 om elek- tronisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden och om upphävande av direktiv 1999/93/EG.

10Europaparlamentets och rådets direktiv 2007/2/EG av den 14 mars 2007 om upprättande av en infrastruktur för rumslig information i Europeiska gemenskapen (Inspire).

11Europaparlamentets och rådets förordning (EU) nr 952/2013 av den 9 oktober 2013 om fastställande av en tullkodex för unionen.

12Meddelande från kommissionen till europaparlamentet, rådet, europeiska ekonomiska och sociala kommittén samt regionkommittén av den 19 april 2016, EU:s handlingsplan för e-förvaltning för 2016–2020, Snabbare digital omvandling av förvaltningar (COM [2016] 179 final). Se även www.eu2017.ee/news/insights/tallinn-declaration-egovernment-ministerial-meeting-during- estonian-presidency

132

SOU 2018:25

Några inledande reflektioner över kartläggningsresultatet

Ytterligare en av de principer som nämns i den EU-gemensamma handlingsplanen är ”The Once-Only Principle” (TOOP). Principen innebär att offentliga förvaltningar bör säkerställa att medborgare och företag endast behöver lämna samma uppgifter en gång på ett ställe i den digitala förvaltningen. Om myndigheten i fråga har rätt att vidareanvända dessa uppgifter internt ska de vidta åtgärder, med iakttagande av bestämmelser om dataskydd m.m., så att det inte medför några ytterligare bördor för medborgare och företag.

Även om handlingsplanen med bl.a. de angivna principerna inte har kommit till rättsligt bindande uttryck har den bäring även på svenska initiativ, varför den behöver tas i beaktande i våra över- väganden.

6.7Tydliga rättsliga hinder, rättslig osäkerhet eller avsaknad av reglering

Det finns flera aspekter i gällande rätt som kan anses hindrande eller hämmande för digital utveckling inom förvaltningen. I avsnitt 6.2 ovan beskriver vi översiktligt att kartläggningen visar på hindrande eller hämmande reglering bl.a. när det gäller sekretessregleringen och regleringen om skydd för personuppgifter. Även vad gäller exempelvis krav på undertecknande och vissa bestämmelser som kräver viss form när information hanteras i en ärendeprocess ger kartläggningsresultatet uttryck för att regleringen kan vara såväl tydligt hindrande som onödigt hindrande.

Gällande rätt kan emellertid hindra eller hämma digital utveckling inom förvaltningen även när det inte finns klara och tydliga rättsliga begränsningar. En påtaglig mängd av de rättsfrågor som redan har väckts med anledning av hittillsvarande utveckling av den digitala förvaltningen saknar givna svar i författning eller andra etablerade rättskällor. Med andra ord kan de rättsliga frågorna inte klart och entydigt besvaras med att det antingen finns tydliga och konkreta hinder i gällande rätt, som enkelt kan undanröjas i den mån de är onödiga, eller att åtgärden är klart och entydigt förenlig med gällande rätt. En sådan rättslig osäkerhet kan också hindra eller för- dröja digitalisering inom förvaltningen. Som framgår i kapitel 5.11.2

133

Några inledande reflektioner över kartläggningsresultatet

SOU 2018:25

visar det sig t.ex. inte sällan i myndighetsgemensamma utvecklings- arbeten att myndigheternas jurister gör olika tolkningar och bedöm- ningar av samma rättsliga frågor när rättsläget är oklart.

Kartläggningen visar också att avsaknad av rättsregler leder till en avsevärd osäkerhet i tillämpningen. Med avsaknad av rättsregler menar vi dels frånvaro av styrande rättsregler som ger handlings- direktiv för digitaliseringsåtgärder, dels även i någon utsträckning avsaknad av rättsregler som ger ett klart legalt stöd för vissa av förvaltningens digitaliseringsåtgärder. Som exempel kan här nämnas avsaknaden av reglering för styrning och stöd avseende vad målsätt- ningen om digitalt som förstahandsval vid förvaltningens kom- munikation med privatpersoner och företag egentligen innebär. Vi ser att även den osäkerhet som uppstår i frågor där rättsregler saknas kan hindra eller fördröja en digital utveckling som annars vore samhällsnyttig och önskvärd. Det förtjänar också att framhållas att flera aktörer som utredningen haft kontakt med, i kartläggnings- arbetet och i övrigt, har resonerat kring och framhållit vikten av att privatpersoner och företag behöver känna tillit till den digitala förvaltningen.

Inför våra fortsatta överväganden och förslag tar vi med oss de ovan beskrivna aspekterna av på vilket sätt gällande rätt kan hindra eller hämma digital utveckling inom förvaltningen; dvs. genom tydliga rättsliga hinder, rättslig osäkerhet eller avsaknad av reglering.

6.8De politiska målen

Politisk styrning innebär att tillgodose medborgarnas önskemål och preferenser genom att förverkliga politiska mål. Målen för för- valtningspolitiken och it-politiken är av särskilt intresse för oss. Den statliga förvaltningspolitiken bedrivs med målet en innovativ och samverkande statsförvaltning som är rättssäker och effektiv, har väl utvecklad kvalitet, service och tillgänglighet och som därigenom bidrar till Sveriges utveckling och ett effektivt EU-arbete.13 Reger- ingens mål för digitaliseringen av den offentliga förvaltningen är en enklare vardag för medborgare, en öppnare förvaltning som stödjer

13 Offentlig förvaltning för demokrati, delaktighet och tillväxt, prop. 2009/10:175, bet. 2009/10:FiU38, rskr. 2009/10:375.

134

SOU 2018:25

Några inledande reflektioner över kartläggningsresultatet

innovation och delaktighet samt högre kvalitet och effektivitet i verksamheten.14 Sverige ska också, enligt målet för it-politiken, vara bäst i världen på att använda digitaliseringens möjligheter.15

De angivna målen utgör enligt Utredningen om effektiv styrning av nationella digitala tjänster snarare mål för regeringens arbete och politiken som helhet, än sådana mål som myndigheterna förväntas uppnå. Utredningen har därför föreslagit att riksdagen ska anta ett nytt mål för den offentliga förvaltningens digitalisering som ska ligga till grund för regeringens redovisning till riksdagen och styr- ningen av de offentliga myndigheterna. Utredningen föreslår också ett digitaliseringsmål för de statliga myndigheterna.16

När det gäller den offentliga sektorns kontakter med privat- personer och företag anser regeringen att digitalt ska vara första- handsval. Detta är grunden i regeringens satsning Digitalt först. Digitalt som förstahandsval innebär att den offentliga förvaltningen, när det är lämpligt, ska välja digitala lösningar vid utformningen av sin verksamhet. Samtidigt ska säkerheten och skyddet för den personliga integriteten säkerställas. Med det i beaktande ska det vara enkelt att digitalt komma i kontakt med det offentliga Sverige.17

I kapitel 6.6 har den EU-gemensamma handlingsplanen för e-för- valtning presenterats. Den politiska inriktningen att åstadkomma en digitalt tillgänglig förvaltning har också nyligen stärkts inom EU genom en gemensam ministerdeklaration.18 Genom deklarationen har medlemsstaterna förklarat att steg ska tas för att bl.a. säkerställa att privatpersoner och företag ska kunna komma i digital kontakt med förvaltningen. Regeringen har också i en skrivelse till riksdagen utvecklat den politiska inriktningen för hur Sverige ska bli bäst i världen på att använda digitaliseringens möjligheter.19

14Budgetpropositionen för 2018, prop. 2017/18:1, utg. omr. 2, 6.2 Mål.

15Budgetpropositionen för 2012, prop. 2011/12:1, utg.omr. 22, bet. 2011/12:TU1, rskr. 2011/12:87.

16Utredningen om effektiv styrning av nationella digitala tjänsters delbetänkande digital- forvaltning.nu (SOU 2017:23), s. 113 f., och slutbetänkande reboot – omstart för den digitala förvaltningen (SOU 2017:114).

17Prop. 2017/18:1, utg. omr. 2, 6.2 Mål.

18Se Tallindeklarationen om e-förvaltning av den 6 oktober 2017 på www.eu2017.ee/news/insights/tallinn-declaration-egovernment-ministerial-meeting-during- estonian-presidency

19Regeringens skrivelse Hur Sverige blir bäst i världen på att använda digitaliseringens möjlig- heter – en skrivelse om politikens inriktning (skr. 2017/18:47).

135

Några inledande reflektioner över kartläggningsresultatet

SOU 2018:25

6.9Behövs fler regler för styrning och stöd av den digitala förvaltningen?

Som framgår i kapitel 4 ska redan i dag ett stort antal författningar tillämpas i samband med digitalisering av verksamhet och an- knytande informationshantering i den offentliga förvaltningen. Att mängden, ofta komplexa, regler i sig medför svårigheter för tilläm- pare och beslutsfattare framgår av den kartläggning som vi har genomfört och är också erfarenhetsmässigt känt. Det kan vidare med fog invändas att förvaltningen inte ska styras i detalj genom regle- ring, utan att tillit ska sättas till att myndigheter bäst själva utför sina respektive uppdrag och väljer formen för detta inom givna ramar. Mot den bakgrunden skulle det kunna invändas att det vore olämp- ligt att införa ytterligare bestämmelser som ska tillämpas i samband med förvaltningens digitaliseringsåtgärder liksom löpande använd- ning av informations- och kommunikationsteknik.

En utgångspunkt för utredningen är emellertid att möjliggöra ett större steg mot en framtida trygg, innovativ och effektiv digital förvaltning. För detta krävs en viss rättslig stabilitet som den fort- satta utvecklingen av den digitala förvaltningen kan vila på. Att åstadkomma en sådan, ur rättssäkerhetssynpunkt, nödvändig stabili- tet bedömer vi inte vara möjligt genom att enbart undanröja eller anpassa gällande regler. En begränsning till den typen av åtgärder och författningsändringar åstadkommer varken de handlingsdirektiv eller ger det rättsliga stöd som vi bedömer behövs. Det är också av stor vikt för tilliten till den digitala förvaltningen att enskilda genom lagstiftningen har möjlighet att få såväl en rättvisande bild av hur förvaltningen faktiskt sköts som insyn i densamma.

Den pågående digitaliseringen av förvaltningen med bl.a. ökande automation, kommer enligt vår bedömning att innebära påtagliga förändringar av själva verksamheten, inte bara det sätt som verk- samheten utövas på. Även ur ett konstitutionellt perspektiv finns det därför enligt vår bedömning anledning att överväga hur ansvar och risker som hör samman med dessa förändringar bör fördelas och i vilken utsträckning det bör göras genom rättsregler. Samtidigt behöver vi givetvis beakta att den lagstiftning som ska tillämpas i samband med åtgärder som rör förvaltningens digitalisering inte ska hindra eller hämma fortsatt utveckling.

136

SOU 2018:25

Några inledande reflektioner över kartläggningsresultatet

6.10Betänkandets fortsatta disposition

Våra närmare analyser, bedömningar och förslag framgår i kapitel 7–13. I kapitel 7, 8 och 10 presenteras utredningens prioriterade områden för författningsförslag. Författningsförslagen rör god offentlighets- struktur vid vissa automatiserade förfaranden i förvaltningen och ansatsen om Digitalt först vid förvaltningens kommunikation med enskilda. De rör också en tystnadsplikt för privata leverantörer som behandlar myndigheters uppgifter för enbart teknisk bearbetning eller lagring och en sekretessbrytande bestämmelse för att myndig- heter i samband med utkontraktering av teknisk bearbetning eller lagring ska kunna lämna ut vissa sekretessbelagda uppgifter till privata eller offentliga leverantörer. Områdena har valts ut efter de närmare överväganden som beskrivs i respektive kapitel. Över- gripande för dessa områden gäller dock att vi funnit dem centrala för att myndigheter fortsatt ska prioritera digitalisering av sin verk- samhet och våga ta effektivitetssprång genom att använda ny teknik till gagn för såväl enskilda som samhället i stort. Samma områden är också centrala för att säkerställa transparenta, säkra och rättssäkra förfaranden, så att enskilda kan känna tillit till den digitala för- valtningen och välja enkla digitala lösningar för kontakter med förvaltningen. Förvaltningens digitalisering kan knappast heller diskuteras utan att frågor om informationssäkerhet belyses. Det gör vi i kapitel 9.

Ur olika perspektiv står frågor om samverkan i fokus för vårt uppdrag. Samverkan inom förvaltningen, mellan myndigheter och i förhållande till regeringskansli, inte minst när det gäller frågor om lagstiftning, är högst relevanta för denna utredning. Samverkan i förhållande till privata leverantörer av it-drift och andra it-baserade funktioner har också kommit att utkristallisera sig som ett fokus- område, när myndigheter inte alltid har möjlighet att med egen kompetens effektivt utveckla de digitala förfaranden som används eller som är påkallade för fortsatt digitalisering i förvaltningen. För- utom i kapitel 10 belyses detta närmare i kapitel 11 där vi behandlar några frågor om it-avtal och personuppgiftsbiträdesavtal.

De författningsförslag och andra förslag på åtgärder som lämnas inom ramen för denna utredning är emellertid endast att se som ett steg i det fortsatta arbetet med att åstadkomma en rättsutveckling

137

Några inledande reflektioner över kartläggningsresultatet

SOU 2018:25

som möter den önskade digitala utvecklingen i förvaltningen. Åtgär- der från såväl riksdag som regering pekar mot att förvaltningens digitaliseringsarbete nu ska genomdrivas med ökad intensitet. Det medför också behov av fortsatt lagstiftningsarbete. I kapitel 12 åter- knyter vi till frågor om fortsatt rättsutveckling liksom de analyser vi gjort när det gäller bl.a. lagstiftning som rör informationsförsörj- ning, informationsutbyten och ärendeprocesser, liksom frågor som rör tillhandahållande av öppna data och elektroniskt utlämnande av allmän handling.

Slutligen redovisas i kapitel 13 våra överväganden och förslag i den delen av uppdraget som rör rapportering av förvaltningens arbete med it och digitalisering.

138

7 Automation i förvaltningen

7.1Kartläggningsresultatet och behovet av automation i förvaltningen

7.1.1En ökad grad av automation

En fråga som ibland ställs gäller den närmare inriktningen för den digitala förvaltningen. Vart är vi på väg? En allmän reflektion efter att ha fått ta del av underlag och tankar från ett flertal myndighets- representanter är att förvaltningen går mot en ökad grad av auto- mation. Frågor om bl.a. digitalisering avseende informationsför- sörjning eller informationsutbyten mellan myndigheter eller digital kommunikation med enskilda står i fokus för myndighetssam- verkan, men utgör också ett medel för en ökad digitalisering av myndigheters kärnverksamhet, t.ex. ärendehandläggning.

Under kartläggningen har vi funnit att en påtaglig del av myndig- heterna nu undersöker möjligheten att öka graden av automation i sina respektive verksamheter. Bland aktörer som strävar mot detta återfinns myndigheter som redan har automatiserat vissa ärende- processer och beslutsfattande och som nu överväger om detsamma är möjligt också inom andra områden. Möjligheter till exempelvis automatiserat beslutsfattande undersöks även hos myndigheter som hittills inte har använt den beslutsformen. Här finns möjligheter till effektivitetssprång i förvaltningen, men också risker som behöver belysas och hanteras rättsligt.

Att förvaltningen i flera avseenden behöver använda sig av kända tekniker, med beredskap för kommande, för att på ett tryggt och effektivt sätt fullgöra sin verksamhet står klart. Detta har bl.a. sin förklaring i att det på flera områden inte finns resurser för t.ex. mänsklig handläggning av ärenden inom de frister som behövs för att förfarandena ska vara rättssäkra ur en tidsaspekt. Behovet av att använda digitaliseringens möjligheter för att möta krav på att

139

Automation i förvaltningen

SOU 2018:25

myndigheters verksamhet bedrivs effektivt1 kan enligt utredningen också förutses öka med tanke på digitaliseringen av samhället i stort.2 Exempelvis har förvaltningen anledning att ha beredskap för att privata tjänster tas fram för att automatiserat inleda ärenden hos myndigheter.3 Förvaltningen behöver mot denna kortfattade bak- grund ha rättsliga förutsättningar för att kunna använda de möjlig- heter till digitalisering inbegripande automation av förfaranden som kan förenas med, eller stärka, de centrala värdegrunder som beskri- vits i kapitel 4.

Det finns anledning att framhålla att vi inom ramen för denna rättsligt orienterade utredning utgår från de politiska mål och in- riktning som riksdag och regering givit (se bl.a. kapitel 6.8, 9.3.1 och 10.1.2). Både nationellt och inom EU förekommer därtill politiska initiativ med innebörd att den offentliga förvaltningen ska leda vägen för den digitala omvandlingen genom att möjliggöra tekniska genom- brott och tidigt ta ny teknik i bruk.4 Detta sätter ljuset på att det parallellt med den ökade digitaliseringen i form av automation i förvaltningen också kommer att finnas ett växande behov av ett stabilt informationssäkerhetsarbete som ett fundament i myndig- heternas informationshantering (se vidare i kapitel 9).

Med automation inom förvaltningen5 kan flera aspekter avses. Det finns därför anledning att inledningsvis beskriva några olika typer av automation (se kapitel 7.2). Viss teknikutveckling introduceras i kapitel 7.3.

7.1.2God offentlighetsstruktur och rättssäkerhet

Såväl rättsliga hinder i gällande rätt som oklara rättsförhållanden kan komma att hindra eller hämma en utveckling mot en ökad grad av automation i en digital förvaltning. Under kartläggningen har ett

1 1 § första stycket lagen (1996:1059) om statsbudgeten och 3 § myndighetsförordningen (2007:515).

2 Se bl.a. Digitaliseringskommissionens slutbetänkande För digitalisering i tiden (SOU 2016:89), s. 104 f. med där gjorda hänvisningar.

3I Sverige finns t.ex. redan en app för hjälp att överklaga felparkeringsbot. Se Göran Lindsjö,

En AI-redo statsförvaltning, mars 2017, s. 23 på http://digitaltforst.se/wp-content/uploads/2017/03/En-AI-redo-statsförvaltning.pdf

4Se bl.a. regeringens digitaliseringsstrategi För ett hållbart digitaliserat Sverige – en digitaliseringsstrategi. Se även noter från Tallinn Digital Summit 29 september 2017, Conclusions of the Prime Minister of Estonia Jüri Ratas, på www.eu2017.ee/sites/default/files/inline-files/TallinnDigitalSummit_Conclusions_0.pdf

5I doktrin är förvaltningsautomation eller ”Verwaltungsautomation” vedertagna begrepp.

140

SOU 2018:25

Automation i förvaltningen

antal frågor och reflektioner framkommit som på en övergripande nivå kan sägas utgöra en rättslig osäkerhet avseende hur den allt mer digitala förvaltningen ska kunna säkerställa möjligheter till öppenhet och insyn, vilket ytterst kan sägas utgöra en garanti för att för- valtningens förfaranden både är och kan visas vara rättssäkra. Detta är, enligt såväl vår bedömning som vad flera gett till känna under kartläggningen, avgörande för att enskildas tillit till den digitala förvaltningen ska bestå vid en ökad grad av automation. Om insyns- möjligheterna efterhand visar sig brista riskerar detta inte bara leda till negativa konsekvenser för enskilda eller för samhället i stort, utan också hindra den fortsatta digitaliseringen. Den nu beskrivna rättsliga osäkerheten bedöms av oss ha en klart hämmande inverkan på förvaltningens fortsatta digitalisering.

Särskilt när digitala funktioner saknar sin direkta motsvarighet i en traditionell och manuell hantering har vi uppfattat att myndig- heter upplever det svårt att var och en för sig bedöma rättsläget. Här kan som exempel nämnas att det vid ett automatiserat besluts- fattande, utöver den ärenderelaterade information som t.ex. ges in vid en ansökan och beslutet i sig, tillkommer algoritmer och dator- program6 med anknytande dokumentation av de krav som ställs på hur dessa implementeras i datormiljön. Rättslig tydlighet om vilka krav som ställs på myndigheter att upprätthålla bl.a. god offentlig- hetsstruktur i den digitala miljön efterfrågas även, och kanske särskilt, i de fall insynsintressen hamnar eller riskerar att hamna i konflikt med behov av säker slutenhet.7 Här avses närmast den avvägning som behöver göras i förhållande till intressen av sekretess till skydd för bl.a. myndigheters verksamhet, intressen av skydd för personuppgifter och immaterialrättsligt skydd.

Svårigheterna att bedöma vad som krävs i fråga om att åstad- komma god offentlighetsstruktur vid automatiserade förfaranden förstärks när myndigheter inte har möjlighet att med egen kom- petens utveckla de digitala förfaranden som används eller kommer att behöva användas för fortsatt digitalisering i förvaltningen. Inte sällan torde nämligen privata leverantörer komma att stå för dessa funktioner, vare sig det handlar om att myndigheter gör inköp eller

6Se kapitel 7.4.1 om begreppen.

7Jfr begreppets användning i Katastrofkommissionens betänkande Tsunamibanden (SOU 2007:44), s. 169.

141

Automation i förvaltningen

SOU 2018:25

om olika former av utkontraktering.8 Utan tydlighet i regleringen blir det svårt för en myndighet att vid en upphandling ställa ut- tryckliga krav på att leverantören t.ex. måste tillgodose vissa insyns- möjligheter. Som ovan framgått riskerar också immaterialrättsliga intressen att komma i konflikt med insynsintressen, särskilt om avtalsförhållandena inte är klara på förhand.

De oklarheter som har uppmärksammats för oss gör att vi ser behov av en närmare analys av om gällande rätt nu och inför fram- tiden möjliggör en tillräckligt god offentlighetsstruktur för att säkerställa insyn i hur förvaltningens verksamhet bedrivs vid auto- matiserade förfaranden, särskilt när algoritmer och anknytande datorprogram får en allt mer framträdande roll i förvaltningens verksamhet. Analysen, liksom våra bedömningar och förslag, följer i kapitel 7.4–7.8. Ytterligare frågor som gäller den digitala förvalt- ningens öppenhet, bl.a. genom tillhandahållande av öppna data, analyseras i kapitel 12.

Kartläggningsresultatet visar även på myndigheters osäkerhet liksom uttryckliga hinder i fråga om rättsliga förutsättningar för över- gång till förfaranden där stora datamängder används i förening med artificiell intelligens och maskininlärda algoritmer (se kapitel 7.3.2 för förklaring av begreppen). I kapitel 7.8 går vi närmare in på den tek- niken.

7.1.3Behov av automationsanpassad lagstiftning

För att det ska vara möjligt att fullt ut ta till vara på digitaliseringens möjligheter genom att t.ex. digitalisera ärendeprocesser har vi under kartläggningen fått presenterat för oss ett flertal exempel på rättsregler som behöver ändras. I förlängningen, om automations- graden ökar i den utsträckning som vi förutspår, kommer det att finnas behov av anpassning av en påtaglig del av de rättsregler om bl.a. ärendeprocesser som förvaltningen tillämpar. Vi har med beak- tande av omfattningen av kartläggningens resultat och tiden som stått till vårt förfogande av naturliga skäl inte haft utrymme att gå på djupet i alla de rättsliga frågor och exempel vi fått på lagstiftning som hindrar eller kan hindra digitalisering av bl.a. ärendehantering inom

8 Här och i det följande har vi valt att i första hand använda det svenska begreppet utkontrak- tering i stället för begreppet outsourcing. Se vidare om begreppet i kapitel 10.1.1.

142

SOU 2018:25

Automation i förvaltningen

specifika sektorer, verksamheter eller myndigheter. I kapitel 12 återkommer vi dock till dessa frågor. I det sammanhanget överväger vi också frågan om hur det kan skapas bättre förutsättningar för att ta om hand sådana behov av författningsändringar i den tid och takt som är lämplig för att förvaltningens önskade digitala utveckling inte ska hindras eller hämmas i onödan av rättsliga skäl.

I vilken utsträckning gällande rätt med materiella bestämmelser som t.ex. tillämpas vid beslutsfattande bör ändras inför övergång till automatiserade förfaranden belyses i kapitel 7.9. I kapitel 7.10 diskuteras behovet av att bedöma konsekvenser för förvaltningens digitalisering när ny lagstiftning tas fram.

Här i kapitel 7 uppehåller vi oss särskilt vid rättsliga förutsätt- ningar för automation i förvaltningen och i huvudsak dess ärende- processer, sett ur ett mer övergripande rättssäkerhetsperspektiv. Eftersom det ligger i vårt uppdrag att belysa hela förvaltningens förutsättningar är detta en naturlig utgångspunkt.

7.2Förvaltningens verksamhet

7.2.1Ärendehantering

Att anställda eller uppdragstagare i offentlig förvaltning använder datorstöd i form av ordbehandlingsprogram, e-post eller ärende- hanteringssystem vid kommunikation med enskilda eller för doku- mentation av uppgifter i ärenden och beslut framstår i dag som en självklarhet. Det är med andra ord numera få av oss som reflekterar närmare över den automation som den formen av it-stöd innebär för förvaltningen. Myndigheternas förfaranden vid ärendehandläggning är emellertid redan i dag påtagligt mer automatiserade än så. De myndigheter som tillhandahåller digitala tjänster för att privat- personer och företag ska kunna inleda ett ärende har i samband här- med också skapat förutsättningar för att i vart fall inleda myndig- hetens handläggning av ärendet på ett helt automatiserat sätt. Ofta innebär detta att bl.a. diarieföring och första åtgärder för registrering av grundläggande uppgifter i myndighetens ärendehanteringssystem sköts helt automatiserat.

En inledande automatiserad ärendehandläggning kan, direkt eller i ett senare skede, övergå till att en mänsklig handläggare tar vid och med hjälp av ett maskinellt användarstöd fortsätter att hantera

143

Automation i förvaltningen

SOU 2018:25

ärendet och fatta beslut. Manuella förfaranden kan med andra ord kompletteras av automatiska. Beslut som fattas av människor kan exempelvis vara mer eller mindre tekniskt understödda, bl.a. när det gäller förvalda beslutsformuleringar. Det kan därför finnas anled- ning att tala om maskinellt understödda beslut även när mänskliga handläggare svarar för själva beslutsfattandet. Flertalet ärendetyper handläggs dock genom helt automatiserade förfaranden och avslutas med ett automatiserat beslutsfattande, bl.a. på skatte- och social- försäkringsområdet. I de enskilda fallen tar alltså ingen enskild befattningshavare aktiv del i beslutsfattandet, utan förfarandet kan betecknas som ett helt automatiserat beslutsfattande. Att en ärende- typ som utgångspunkt handläggs automatiskt och avslutas med helt automatiserade beslut medför dock vanligen att funktioner behöver finnas för urval av vissa ärenden som inte kan hanteras helt auto- matiserat utan behöver övergå till manuell handläggning.

Vid automatiserade beslut finns normalt också automatiska funktioner för att underrätta parten om beslutet, men underrättelsen kan skickas antingen genom digitala förfaranden eller genom tradi- tionell papperspost (se även kapitel 8.3.6). Även när en mänsklig handläggare står för beslutsfattandet förekommer det att användar- stödet har mer eller mindre automatiserade funktioner för expediering.

7.2.2Service

Att enskilda och företrädare för företag och organisationer själva kan söka efter information som myndigheter lämnar på sina webb- sidor är ett numera högst vanligt tillvägagångssätt, men som ändå innebär att förvaltningen lämnar en form av automatiserad service.

Nya tekniker för lämnande av service som också väcker nya rättsliga frågor är emellertid högst aktuella. I kapitel 8.4.5 och 12.2.9 berör vi rättsfrågor om bl.a. språk, tolkning och översättning, liksom frågan om när handlingar blir att anse som allmänna i situationer där stöd och service lämnas till enskilda redan innan ett ärende hunnit inledas (t.ex. via ett eget utrymme, se vidare kapitel 8.4). Den service som lämnas redan i skedet innan en handling, t.ex. en ansökan, lämnas in till en myndighet kan dock samtidigt sägas vara en förut- sättning för att uppgifterna i ärendet ska hålla en sådan kvalitet och

144

SOU 2018:25

Automation i förvaltningen

vara ordnade i sådan strukturerad form att den fortsatta hand- läggningen och beslutsfattandet i önskad grad kan automatiseras. Automationen kräver med andra ord att större vikt läggs vid myndighetens service gentemot enskilda innan ett ärende inleds, än vad som varit fallet vid traditionell handläggning av pappersbaserade anmälningar eller ansökningar.

Den ovan beskrivna vikten av att service ges redan innan ett ärende inleds i förvaltningslagens (2017:900) mening kan i sin tur väcka frågor om hur långt myndigheternas åtaganden enligt gällande rätt egentligen sträcker sig. Frågorna avser om eller när den service som myndigheten överväger att ge innan ett ärende inleds i något fall går utöver vad som är påkallat enligt gällande rättsordning, och där- för skulle kräva särskilt stöd i författning eller genom t.ex. regerings- beslut för att legalitetsprincipen ska vara uppfylld (se vidare kapitel 8.4.3 om legalitetsprincipen när digitala tjänster med eget ut- rymme används och kapitel 6.5 om metod för rättslig analys). Denna frågeställning kan aktualiseras vid utveckling av enkla och informa- tiva tjänster för enskilda. I skedet innan exempelvis en bygglovs- ansökan ges in skulle det i tjänsten kunna lämnas förslag på hur en tomt kan bebyggas utan att den enskilde själv matar in egna upp- gifter för beslutsunderlag. Någon generell lösning på denna typ av rättsfrågor har vi inte funnit inom de tidsramar som stått till utred- ningens förfogande utan stannar här vid att belysa att även ur denna aspekt kommer digitaliseringen och automationen i förvaltningen att föra med sig behov av överväganden om fortsatt rättsutveckling.

7.2.3Faktiskt handlande

Myndigheternas faktiska handlande (i förvaltningsrättslig mening) har tidigare i stor utsträckning varit åtskilt från frågor om auto- mation. Ett faktiskt handlande har nämligen till sin natur länge varit sådant att det endast kunnat utföras av en människa. Som exempel på faktiska handlanden kan nämnas en lärare som står i ett klassrum och undervisar eller en chaufför som kör en spårvagn, dvs. för- faranden som inte innefattar ärendehandläggning eller besluts- fattande i förvaltningsrättslig mening. Framtida tekniker förutspås emellertid i hög grad kunna ersätta mänskliga förfaranden. Det kan

145

Automation i förvaltningen

SOU 2018:25

röra sig om t.ex. självkörande fordon eller olika former av sensorer eller trygghetstekniker.9

I takt med ökad digitalisering och användning av nya tekniska möjligheter väcks det också nya rättsliga frågor, inte minst mot bakgrund av att ett automatiserat förfarande för med sig att hela den regelmassa som beskrivs översiktligt i kapitel 4 (om bl.a. god offent- lighetsstruktur, informationssäkerhet, skydd för personuppgifter och sekretess för uppgifter) blir tillämplig.

Här kan som exempel nämnas frågor som uppstått i samband med användandet av digitala trygghetstekniker i socialtjänsten. En sådan teknikanvändning kan redan i dag i viss utsträckning sägas ersätta ett faktiskt handlande eller mänskliga ögon. Samtidigt har svåra rättsliga frågor lämnats till rättstillämpare, däribland frågan om regeringsformens skydd mot betydande intrång i den personliga integriteten10 medför ett behov av särskilt lagstöd för användande av trygghetstekniker hos personer som själva inte är helt besluts- förmögna.

Vi ser inte möjlighet att prioritera närmare analys och eventuellt författningsförslag på det ovan beskrivna specifika området inom ramen för vårt uppdrag. Exemplet belyser emellertid väl de särskilda svårigheter som uppstår för rättstillämpare vid överväganden om automation på områden för faktiskt handlande inom förvaltningen, som hittills inte bedrivits på annat sätt än genom mänskliga för- faranden. Exemplet belyser också att lagstiftare och andra besluts- fattare i förvaltningen bör ha särskild beredskap och förståelse för att digitalisering och automation på områden för faktiskt handlande inom förvaltningen, som hittills förbehållits mänskliga förfaranden, i för- längningen kan kräva lagstiftningsåtgärder för att inte digitaliseringen ska hindras eller hämmas på grund av avsaknad av reglering.11

7.2.4Ett kunskapsperspektiv

En förvaltning som är digital medför att de uppgifter som hanteras dels håller hög kvalitet även för statistik, dels kan länkas samman på

9 Se bl.a. Digitaliseringskommissionens slutbetänkande För digitalisering i tiden (SOU 2016:89) s. 104 f. med där gjorda hänvisningar.

102 kap. 6 § andra stycket regeringsformen.

11Här kan nämnas att ”bruk av varslings- og lokaliseringsteknologi” har getts ett uttryckligt stöd i den norska loven om pasient- og brukerrettigheter.

146

SOU 2018:25

Automation i förvaltningen

nya sätt. I en digital förvaltning hanteras också stora digitala infor- mationsmängder. Dessa förutsättningar ger i sin tur nya möjligheter att analysera informationen och därigenom få ny kunskap om för- valtningens verksamhet. Genom möjligheten att spåra och följa uppgifter kan t.ex. genomströmningstider och annan information om förvaltningens ärendehantering tas fram. Flödesstatistik av detta slag kan bland annat användas för att göra analyser av effektivitet. Den kan också ge mer tillförlitliga resultatmått. Sådan statistik kan tas fram både på nationell nivå och brytas ned på myndigheter eller mindre organisatoriska enheter, vilket bland annat ger ökade möjlig- heter att göra jämförelser. I förlängningen kan bl.a. bättre underlag skapas för regeringens styrning av förvaltningen. Det blir lättare att identifiera och bedöma var och hur resurserna ska användas och vilka konsekvenser eventuella resursförändringar kan förväntas få. Där- igenom ökar möjligheterna att med träffsäkerhet genomföra refor- mer. Myndigheternas interna kvalitetsarbete och verksamhets- uppföljning underlättas också. Det kan även bli lättare att utvärdera lagändringar, till exempel hur en ny lag har tillämpats.

De uppgifter som samlas in och lagras i offentlig förvaltning kan också spela en central roll för den kunskapsutveckling som forsk- ningen bidrar till. Nya tekniska möjligheter och stora datamängder kan användas för att få svar på frågor om samhällsförändring över tid och med stöd av analyser förutse framtida samhällsutveckling. Hur förutsättningarna för registerbaserad forskning kan förbättras analy- seras inte närmare i denna utredning utan inom ramen för uppdraget i Forskningsdatautredningen.12

Genom att använda de möjligheter till analys som en strukturerad och digital informationshantering medger kan alltså kunskapen om förvaltningens verksamhet öka. Den kunskapen kan också återföras till verksamheten och användas för att stödja personal som har att hantera ärenden eller fatta beslut, eller på annat sätt vara till nytta för de enskilda som kommer i kontakt med förvaltningen. Här kan t.ex. det försäkringsmedicinska beslutsstödet nämnas. Beslutsstödet ger läkare stöd och rekommendationer vid sjukskrivningsbedömningar. Genom att beslutsstödet visar upp viss information direkt för användaren när en viss diagnoskod skrivs in i det system som läkaren använder får denne del av kunskap som han eller hon kanske inte

12 Personuppgiftsbehandling för forskningsändamål (dir. 2016:65).

147

Automation i förvaltningen

SOU 2018:25

visste fanns eller annars hade fått ägna tid åt att eftersöka. Infor- mationen kan därigenom sägas bli en del av läkarens kunskaps- underlag men det är fortfarande läkaren som avgör hur det enskilda fallet ska hanteras.

Ett annat exempel är s.k. learning analytics, som innebär att mäta, samla, analysera och rapportera data om bl.a. hur elever eller studen- ter lär sig och vad de lär sig. Genom analyserna kan underlag tas fram för att tidigare kunna ge stöd till de elever som behöver det. Sådana analyser kan också användas som underlag för att t.ex. utveckla nya läromedel.

Samtidigt som digital informationshantering i förvaltningen ger förbättrade möjligheter till kunskap uppkommer också nya rättsliga frågeställningar. Under kartläggningen har vi uppmärksammats på att det t.ex. inte alltid är så lätt att avgöra vad som är en statistik- uppgift eller vad som är en personuppgift. När ny statistik behöver sammanställas av uppgiftsmängder som kommer från olika källor kan det exempelvis vara problematiskt att överblicka om det kan gå att härleda underlaget tillbaka till en viss person.

Frågor om förutsättningar för att använda stora datamängder gör sig bl.a. gällande vid överväganden om att skapa maskininlärda algo- ritmer (se närmare beskrivning i kapitel 7.3.2) och utföra avancerade analyser. Ibland kan uppgifter som har rensats från personuppgifter eller i vart fall rensats från direkta personuppgifter användas för analyserna, men ibland kan det vara just uppgifter om individer som är av intresse för forskning eller för att med stöd av de nya tekniska möjligheterna kunna förbättra för den enskilda individen ifråga. Vi återkommer till vissa av dessa frågeställningar i kapitel 7.8.

7.3Teknikutvecklingen

7.3.1Vårt uppdrag

Det ligger i vårt uppdrag att analysera den pågående digitala utveck- lingen utifrån ett rättsligt perspektiv för att skapa en förståelse för vilka områden och företeelser som kommer att kräva lagstiftnings- åtgärder så att förvaltningen ska kunna ta till vara digitaliseringens möjligheter. I våra direktiv beskrivs det också som angeläget att den offentliga förvaltningens verksamhet bygger på anpassade och lång- siktigt hållbara rättsliga regler som ger stöd för digital utveckling,

148

SOU 2018:25

Automation i förvaltningen

samtidigt som de säkerställer behovet av informationssäkerhet och skydd av den personliga integriteten, liksom allmänhetens rätt till insyn och tillgång till god offentlig service.

Vi har inte möjlighet att inom ramen för utredningen lämna någon fullständig beskrivning av teknikutvecklingen. I det följande beskrivs emellertid kortfattat några områden för snabb teknik- utveckling som är av betydelse för våra fortsatta rättsliga analyser, nämligen artificiell intelligens (AI) och maskininlärning, ”sakernas internet” (Internet of Things, IoT) och blockkedjeteknik. Tekni- kerna kan också i olika avseenden vara förenade med varandra.

7.3.2Artificiell intelligens och maskininlärda algoritmer

Artificiell intelligens (AI) kan på en övergripande nivå beskrivas vara intelligens som uppvisas av maskiner. Det är också namnet på det forskningsområde som studerar hur man skapar datorer och dator- program med intelligent beteende.13 Inom AI finns flera olika del- områden. Här bör bl.a. maskininlärning nämnas, där logiken inte längre är statisk, dvs. exakt programmerad på förhand, utan (förenklat beskrivet) tränas på stora datamängder med syfte att själv förstå samband mellan datapunkter. Allteftersom processorkraften ökar kan allt mer komplexa tillämpningar göras med artificiell intelligens. Vi återkommer i kapitel 7.8 till hur AI-system med maskininlärda algo- ritmer kan användas, bl.a. för att på nytt sätt analysera och bearbeta stora datamängder.

Vid tillämpning av AI och maskininlärda algoritmer kan vad som i kapitel 7.4.1 beskrivs vara olika former av indata hanteras i stor mängd och i många lager. Det kan röra sig om att det beslutsunderlag som processas och bedöms kan innehålla långt fler uppgifter (data) än vad en mänsklig handläggare kan hantera. Området för system som hanterar många lager av indata, ibland upp till miljontals data- punkter, och som med hjälp av maskininlärning uppdaterar sina algoritmer, benämns djupinlärning.14

Flera bakomliggande faktorer har samverkat för att utvecklings- takten inom AI nu ökat högst påtagligt. Förutom forskning har

13https://sv.wikipedia.org/wiki/Artificiell_intelligens

14Systemen i sig benämns neurala nätverk.

149

Automation i förvaltningen

SOU 2018:25

många yttre förhållanden möjliggjort framstegen, exempelvis till- gång till större beräkningskraft, större lagringsutrymmen och större datamängder. Framför allt har tillgången till mera data varit av- görande för utvecklingen av många tillämpningar. 15

Kartläggningsarbetet visar att offentlig förvaltning i flera avseen- den står i begrepp att använda AI i sin verksamhet. Tekniken kan användas t.ex. i form av en chatbot (dialogrobot) för att ge service till allmänheten genom fråga-svar-funktioner på en myndighets webbplats. AI har också potential att ge stor nytta om tekniken används vid urval eller som beslutsunderlag eller beslutsstöd vid ärendehandläggning eller faktiskt handlande. Det kan t.ex. röra sig om kvalificerade beslutsstöd vid diagnosticering inom sjukvården, stöd för korrekta utbetalningar från välfärdssystemen eller stöd i den brottsbekämpande verksamheten. Det synes också förekomma att myndigheter använder eller planerar att använda denna teknik för att fatta helt automatiserade beslut vid ärendehandläggning.

Med maskininlärda algoritmer tillkommer ett moment som inte motsvaras av programmering av traditionella algoritmer. För rätts- säkra förfaranden krävs nämligen att en maskininlärd algoritm under en period tränas, innan den tas i drift för att leverera antingen beslut eller beslutsunderlag. Vi återkommer bl.a. i kapitel 7.8 till vilka ytter- ligare rättsliga dimensioner som den nya tekniken för med sig. Det förtjänar också att framhållas att det nu inte finns någon teknik för s.k. generell artificiell intelligens eller ”superintelligens” som klarar av att utföra vilken intellektuell uppgift som helst.

7.3.3Sakernas internet

Med ”sakernas internet” (Internet of Things, IoT) menas föremål som har försetts med inbyggd teknik som sensorer, programvara och internetuppkoppling vilket gör att sakerna kan kopplas samman fysiskt eller via trådlösa nätverk med andra föremål eller system för att utbyta data.

Användning av uppkopplade föremål blir allt vanligare inom det offentliga. Det kan röra sig om digitala tekniker i äldrevården, exem- pelvis blöjor med fuktsensorer. Det kan också röra sig om sensorer som mäter luftkvalitet eller kartlägger rörelsemönster i stadsmiljö. I

15 Göran Lindsjö, a.a. s. 3 f.

150

SOU 2018:25

Automation i förvaltningen

regel samlar föremålen in data i realtid vilket också innebär att det offentliga, med stöd av dessa uppgifter, får möjlighet att vidta relevanta åtgärder i realtid. Äldre kan med hjälp av den beskrivna tekniken med fuktsensorer slippa få sin nattsömn störd i onödan. Uppgifter om vilken kvalitet luften håller skulle t.ex. kunna använ- das för beslut om att det vid vissa tidpunkter är förbjudet för dieselfordon att köra på vissa gator i staden, medan förbudet direkt hävs när luftkvaliteten visar sig vara bättre. Sakernas internet har också potential att förenkla myndigheters tillsynsverksamhet. Inom livsmedelsbranschen skulle t.ex. smarta kylskåp och elmätare auto- matiskt kunna förmedla temperaturuppgifter till relevant tillsyns- myndighet, som efter analys av informationen skulle kunna besluta att vidta åtgärder. Det krävs dock att det finns ett förtroende för tekniken och att uppgifterna är korrekta.

Förutom frågor om hur en förvaltning som är uppkopplad mot digitala föremål kan säkerställa insyn vid den verksamhet som bedrivs, väcks, i den mån informationen som samlas in omfattar personupp- gifter, frågor om bl.a. skydd för personuppgifter och personlig integri- tet. Frågor om insynsmöjligheter analyseras närmare i kapitel 7.6 och 7.7.

7.3.4Blockkedjeteknik

Under kartläggningen och i anledning av utredningens hearing har vi uppmärksammats särskilt på teknikutvecklingen avseende s.k. blockkedjor.16 Tekniken nämns ofta i samband med framtida betal- ningslösningar. Den första tillämpningen av blockkedjetekniken utgör också basen för den elektroniska valutan bitcoin. Blockkedje- tekniken omtalas också i termer av att göra det möjligt att säkerställa att ett dokument inte förvanskats. Detta bör enligt vår bedömning vara av intresse för den digitala förvaltningen, både vid ärendehand- läggning och i administrativ verksamhet.

Blockkedjetekniken kombinerar kända tekniska byggstenar från datavetenskap och kryptografi på ett nytt sätt. Förenklat beskrivet fungerar en blockkedja så att ett digitalt informationsinnehåll, t.ex. ett elektroniskt dokument, ges en unik kod (ett s.k. hashvärde) med

16 Inte sällan används det engelska uttrycket Blockchain.

151

Automation i förvaltningen

SOU 2018:25

hjälp av en kryptografisk algoritm.17 Det ursprungliga dokumentet kan bevaras i ett exemplar hos innehavaren samtidigt som denna unika kod (hashvärdet) som representerar data sparas och förmedlas vidare i en blockkedja. Koderna aggregeras matematiskt ihop i block som länkas samman i en kedja där efterföljande block matematiskt knyts ihop med den unika koden (hashvärdet) från det föregående blocket. Det blir därför omöjligt att lägga in ny information i tidigare block i kedjan utan att alla de efterföljande länkade blocken också

ändras. Tekniken bygger även på att blockkedjan utgör en ”distri- buerad bokföring” som är just distribuerad och kontrolleras på många platser (hos alla deltagande intressenter). En tillförlitlighet skapas genom att integriteten på den matematiskt länkade kedjan måste godkännas och kontrolleras i en vidare krets än hos en enstaka aktör om t.ex. nya tillägg ska göras.

Med blockkedjetekniken skapas även nya möjligheter till hantering och spårbarhet av original i digitala miljöer. Enligt vad som har uppgetts för oss kan en applikation använda en blockkedja för att lagra referenser till en ursprungsfil, lagra vem som är nuvarande ägare av den samt kontrollera alla förändringar av den. Förändringar kan t.ex. vara tillägg, makulering eller överlåtelse till ny innehavare.

Den teknik som beskrivits för oss innebär att alla som har tillgång till blockkedjan och får en kopia av ursprungsfilen, liksom ägarens unika kod, kan kontrollera och verifiera original och innehavare om eller när sådan kontroll efterfrågas. Tekniken medger däremot inte att det genom dessa unika koder går att återskapa innehållet i själva dokumentet. Det är med andra ord bara innehavaren av den ur- sprungliga filen med informationsinnehåll som kan läsa eller sprida innehållet i dokumentet.

De befintliga lösningar med användning av blockkedjeteknik som vi nu har fått beskrivna för oss innefattar också en digital underskrift med e-legitimation eller motsvarande för att verifiera kopplingen till den fysiska person som är utställaren av dokumentet. Detta bl.a. med tanke på att det straffrättsliga skyddet för urkunder ska tas till vara. Vid en internationell utblick förefaller också tekniken med block- kedjor i förening med biometriska förfaranden för att säkerställa koppling till fysisk person vara föremål för undersökning.

17 Till exempel SHA-256. Den unika koden har också beskrivits som att varje dokument ges ett unikt digitalt fingeravtryck, se Lantmäteriets rapport Framtidens husköp i blockkedjan på www.lantmateriet.se/contentassets/6874bc3048ab42d6955e0f5dd9a84dcf/blockkedjan- framtidens-huskop.pdf

152

SOU 2018:25

Automation i förvaltningen

Vi återkommer till användningen av blockkedjeteknik främst i kapitel 11.6.1, där digitala avtal behandlas, och i kapitel 12, där bl.a. former för informationshantering i ärendeprocesser diskuteras.

7.4Särskilt om automation av ärendehantering

7.4.1Ärendeprocessen

I det förevarande kapitel 7 om automation i förvaltningen behandlas som framgått inte bara frågor som rör myndigheternas ärenden i förvaltningsrättslig mening. En betydande del av myndigheternas verksamhet cirkulerar emellertid kring ärendehandläggning och ärendehantering, varför det finns anledning att här uppehålla sig vid ärendeprocessen.

Ordet ”ärende” saknar en formell definition inom förvaltnings- rätten. Under kartläggningen har framkommit att termen fort- farande, och kanske i ökad grad genom digitaliseringen, utgör en källa till missförstånd mellan olika yrkesgrupper. En registrator, en handläggare och en systemvetare menar ofta olika saker när de talar om ”ärenden”.

Enligt förvaltningsrättslig praxis anses ett typiskt myndighets- ärende omfatta en kedja av aktiviteter som utmynnar i ett beslut med någon form av rättsverkan mot den som är part i ärendet. Även förvaltningslagens inriktning på att värna om den enskildes rätts- säkerhet talar för ett sådant synsätt. Det är emellertid tydligt att gränsen mellan vad som är ärenden och vad som är annan för- valtningsverksamhet i viss mån är flytande.18 Gränserna för vad som utgör ett specifikt ärende kan också behöva omprövas när nya möjligheter till informationshantering står till buds och ett specifikt ställningstagande hamnar i ett större sammanhang, dvs. sätts i en större kontext i en digitalt hanterad ärendeprocess jämfört med traditionell pappersaktshantering. Från den enskildes synpunkt kan det ”ärende” som privatpersonen eller företagaren önskar få behand- lat vid en eller flera myndigheter också vara bredare än vad som avhandlas i ett enskilt beslut.19 Digitaliseringen medför också behov

18Trygve Hellners och Göran Malmqvist, Förvaltningslagen med kommentarer, Norstedts Juridik, 2010, s. 38 f.

19E-delegationens slutbetänkande En förvaltning som håller ihop (SOU 2015:66), bl.a. i betänkandets bilaga 6.

153

Automation i förvaltningen

SOU 2018:25

av att reflektera särskilt över tidpunkten för när ett förvaltnings- rättsligt ärende anses inlett (se vidare kapitel 8).

En del av svårigheten att definiera ordet ”ärende” består av att det används för att beteckna både de aktiviteter som utförs (själva ärendeflödet eller ärendeprocessen) och den dokumentation som uppstår till följd av aktiviteterna. Det finns dock anledning att skilja mellan ärendeprocessen och dokumentationen.20

En ärendeprocess i en digital miljö kan beskrivas som att ett visst beslutsunderlag, t.ex. uppgifter i en individuell ansökan (vanligen betecknade indata) matas in i ett it-system som styrs av dator- program. Med ett datorprogram förstås en eller en serie av algorit- mer som är kodade, dvs. funktioner för att visualisera det problem som algoritmen eller algoritmerna har löst och andra styrfunktioner för datorn. En algoritm är enligt en klassisk definition en noggrann plan eller metod för att stegvis göra något.21

Som framgår närmare i kapitel 8.2 kan vi å ena sidan skönja ett ökat intresse av att enskilda har kontroll över information som rör dem (ibland används begreppet ”My data” i detta sammanhang). Å andra sidan ser vi tendenser att vilja minska kraven på att den enskilde själv behöver lämna in olika uppgifter till myndigheter som beslutsunderlag. Detta dels av intresset att ge service till den enskilde

(principen om ”en uppgift en gång”), dels av intresset att besluts- underlag ska innehålla uppgifter av bästa möjliga kvalitet (genom att hämtas direkt från den ”bästa källan”). Att låta uppgifter av bästa möjliga kvalitet utgöra underlaget kan sägas vara en förutsättning för, eller i vart fall underlätta, fortsatt automatiserat förfarande vid ärendehandläggning och beslutsfattande.

Digitaliseringen och den ökade graden av automation kommer med andra ord att föra med sig att beslutsunderlag i minskad grad kommer att avse uppgifter som den enskilde själv har angett i ansöknings- eller anmälningsformulär. I ökad grad kommer i stället beslutsunderlaget att inhämtas från andra databaser som anropas och, i fall det finns, läser eller inhämtar sådant underlag (ytterligare indata). Det kan röra sig om anrop till andra databaser inom en myndighet eller externa databaser, tillgängliga via internet eller genom särskilda åtkomstmöjligheter. Tekniskt kan information

20Se även Johan Eriksson, Öppna myndigheten, information och ärenden i e-förvaltningen, SKL Kommentus AB 2014.

21www.csc.kth.se/utbildning/kth/kurser/DD1340/inda09/algorithms/algoritmer/

154

SOU 2018:25

Automation i förvaltningen

finnas även i andra typer av digitala källor än databaser, t.ex. i filer eller sensorsystem. Vi återkommer till ytterligare överväganden med anledning av den förskjutning avseende hur beslutsunderlag in- hämtas som här kort beskrivits, bl.a. i kapitel 7.6.3.

När det sammantagna beslutsunderlaget, vare sig det inhämtats från den enskilde eller från andra källor, har processats, genereras ett beslut eller i andra fall kanske snarare ett beslutsstöd (utdata).

7.4.2Dokumentation

Krav på dokumentation av beslutsunderlag finns bl.a. i förvaltnings- lagen (se kapitel 7.6.2.). Noterbart är dock de pågående förändringar i förvaltningens informationsförsörjning för att nå digitaliseringens fulla potential som kortfattat har beskrivits i det föregående av- snittet. Som framgått är det alltså inte givet att digitalisering av ett förfarande innebär att den digitala informationsförsörjningen helt kommer att motsvara t.ex. en pappersbaserad anmälan eller ansökan med uppgifter som lämnas av den enskilde. Vi ser i stället att graden av inhämtande av beslutsunderlag från andra digitala källor kan förutses öka. En särskild bestämmelse om dokumentation avseende beslutsunderlag som inhämtas från andra databaser finns i 4 kap. 3 § offentlighets- och sekretesslagen (2009:400). I kapitel 7.6.3 går vi närmare in på denna bestämmelse.

Ytterligare en reflektion kring vilka förändringar som digitali- seringen av förvaltningen för med sig är att det inte alltid är de uppgifter som i pappersmiljön har dokumenterats på särskilda hand- lingar som efterfrågas som beslutsunderlag när nya former för infor- mationshantering övervägs. Det kan i stället vara andra uppgifter eller andra typer av uppgifter som nu får betydelse. Snarare än ett visst dokument kanske det är en enstaka uppgift, eller i stället en uppgift om att ett visst processteg har tagits, som är av intresse för en myndighets fortsatta åtgärder. Den förskjutningen får betydelse även ur ett rättsligt perspektiv. Vi återkommer till frågor om vilken rättsutveckling som kan behövas i anledning av detta, bl.a. i kapitel 12 när det gäller hur processer är reglerade.

Utöver beslutsunderlaget i ett specifikt ärende tillkommer i den digitala miljön ett antal dokument eller informationsbärare som saknar motsvarighet i den analoga miljön. Dessa typer av dokument

155

Automation i förvaltningen

SOU 2018:25

förhåller sig inte heller direkt till det enskilda ärendet.22 Framtagande av algoritmer och anknytande datorprogram inleds vanligen med en kravspecifikation från beställaren, innefattande s.k. verksamhets- regler bestående av dels rättsregler, dels andra krav på användning av standarder och dylikt som ska följas, utöver den tekniska uppgift som ska lösas. Tekniska designdokument kan därefter tas fram med dels beskrivning av idéer för t.ex. problemlösning i form av algo- ritmer, dels hur dessa ska omsättas i programkod (ibland beskrivs även t.ex. val av programspråk). Det förekommer dock att dessa typer av designdokument saknas vid s.k. agil utveckling.23 Genom kodning översätts algoritmen till ett givet programspråk och datorprogrammet tar sin form. Datorprogrammet, innefattande bl.a. de algoritmer som ingår, kan därmed beskrivas vara en dokumen- tation i sig.24 Särskilda dokument som beskriver hur implementa- tionen i algoritmer och datorprogram gått till, dvs. en särskild dokumentation med beskrivning av vad som faktiskt blev gjort, förekommer i varierad grad.

När det inledningsvis beskrivna beslutsunderlaget har processats och utmynnat i ett beslut ska detta beslut dokumenteras på särskilt sätt enligt författningskrav (se bl.a. kapitel 7.6.2), medan det där- emot verkar finnas få rättsregler som ställer särskilda krav på doku- mentationen avseende beslutsstöd (se dock kapitel 7.6.3 om krav på registrering och dokumentation av allmän handling i offentlighets- och sekretesslagen och arkivregleringen).

22Jfr förslag till skyldighet att hålla systemdokumentation tillgänglig för allmänheten i Data- lagskommitténs betänkande Integritet Offentlighet Kommunikationsteknik (SOU 1997:39), s. 569 f.

23Agil systemutveckling är ett samlingsnamn för ett antal systemutvecklingsmetoder som kan användas vid programvaruutveckling, även kallade lättrörliga metoder eller iterativa metoder.

Det engelska ordet ”agile” betyder smidig, vig, lättrörlig.

24Med ett datorprogram förstås, här enkelt beskrivet, en eller en serie av algoritmer, funk- tioner för att visualisera det problem som algoritmen eller algoritmerna har löst och andra styrfunktioner för datorn.

156

SOU 2018:25

Automation i förvaltningen

7.5Rättssäkra automatiserade förfaranden i en öppen digital förvaltning

7.5.1Rättsutveckling i takt med samhälls- och teknikutveckling

I kapitel 4 har vi konstaterat att rättssäkerheten kan stärkas med digitala medel. Vi har också tagit vår utgångspunkt i att god offent- lighetsstruktur är en nödvändig grund för en öppen digital för- valtning, liksom att god informationssäkerhet krävs för att möta nya risker som digitaliseringen för med sig. Där har vi också översiktligt beskrivit att lagstiftningen behöver stå i samklang med den önskade utvecklingen och att såväl reglering om skydd för personuppgifter som sekretessreglering kan behöva anpassas.

Men hur ska förvaltningen i sin helhet, dvs. såväl tillämpande myndigheter som lagstiftande organ, gå till väga för att i samverkan med varandra åstadkomma rättssäkra automatiserade förfaranden i en öppen digital förvaltning? Vi gör inte anspråk på att inom ramen för denna utredning kunna komma med fullständiga svar på den frågan utifrån alla tänkbara situationer som kan uppstå eller kommer att uppstå när förvaltningen i olika avseenden övergår från manuella förfaranden till helt eller delvis automatiserade sådana. Vi strävar emellertid mot att både i de överväganden vi gör och i samband med att vi motiverar våra förslag till författningsändringar metodmässigt beskriva och bedöma behovet av rättsutveckling i takt med den teknik- och samhällsutveckling vi ser. Vår förhoppning är att den ansatsen ska kunna underlätta vid de överväganden som behöver göras även efter utredningens arbete och vara till nytta även i sam- band med fortsatt rättsutveckling.

Inledningsvis vill vi här belysa att vissa risker som förvaltningens automationsåtgärder kan medföra behöver adresseras och omhän- dertas ur ett rättsligt perspektiv så att de fördelar, även ur rättssäker- hetssynpunkt, som dessa automationsåtgärder för med sig kan tas till vara. I följande avsnitt (kapitel 7.6–7.9) belyser vi närmare dels de behov av författningsändringar som vi ser som nödvändiga i ett första steg, dels ytterligare åtgärder för att åstadkomma rättssäkra automatiserade förfaranden i en öppen digital förvaltning.

157

Automation i förvaltningen

SOU 2018:25

7.5.2Omhändertagande av risker för rättsosäkerhet

Översättning av rättsregler till algoritmer eller datorprogram

Automation i samband med myndigheters ärendehantering kräver i hög grad ännu mänskliga direktiv i bemärkelsen att det är människor som, åtminstone initialt, i olika avseenden genom traditionell pro- grammering styr hur datorerna ska fungera. För att möjliggöra ett automatiserat beslutsfattande krävs exempelvis att tjänstemän vid myndigheten, eller upphandlade konsulter, utifrån gällande för- fattningar och andra styrdokument utformar en eller flera algoritmer som programkod. Den programmeringen föregås alltså av eller innefattar en översättning av rättskällor och, i varierad grad beroende på förhållandena, även annat underlag. Vid en sådan översättning tolkas författningstext, förarbeten, rättspraxis och doktrin och sätts samman till närmare regler som kan programmeras.

Datorrelaterad regelutformning i betydelsen omvandling av rätts- regler till algoritmer med anknytande datorprogram är inte en nyhet i förvaltningen,25 men fortfarande ett högst aktuellt exempel på när automationen riskerar att medföra rättsosäkerhet. Om den lagstift- ning som ska tillämpas vid helt eller delvis automatiserat besluts- fattande är vag eller oprecis kommer en hög grad av utfyllnad att äga rum vid översättningen till programkod. Det innebär att det, i vart fall när det gäller hittills använd teknik, blir fråga om en fixering eller likriktning genom datorrelaterad reglering i stället för genom rätts- regler.

Det har diskuterats om de datorprogram som här är aktuella där- för borde ha en särskild förvaltningsrättslig status i form av förvalt- ningsbeslut som kan överklagas eller vara inordnade i normgivnings- hierarkin. De algoritmer eller datorprogram som används i förvalt- ningen vid helt eller delvis automatiserat beslutsfattande har emellertid såvitt känt för utredningen inte vid något tillfälle hante- rats som sådana normer som följer av bemyndiganden och som ska kungöras eller publiceras i myndigheternas författningssamlingar. Den process som utförs när rättsreglerna ska tolkas och kon- kretiseras till algoritmer eller datorprogram behöver dock uppmärk-

25 Se vidare t.ex. Magnusson Sjöberg, Cecilia, Rättsautomation – Särskilt om statsförvaltningens datorisering. Norstedts Juridik, 1992.

158

SOU 2018:25

Automation i förvaltningen

sammas i syfte att minimera risker för att regeringsformens bestäm- melser om normgivningskompetens (se 8 kap. regeringsformen) träds för när i den processen.26

Nu står ny teknik som ovan beskrivits redan för dörren. Här avses närmast den form av artificiell intelligens som består av själv- lärande system. Både traditionellt programmerade algoritmer och maskininlärda sådana behöver därför hållas i åtanke vid våra fortsatta överväganden.

Möjligheter och utmaningar

Automatiserade förfaranden vid ärendehandläggning och besluts- fattande innebär inte enbart risker ur rättssäkerhetssynpunkt. I flera avseenden kan automatiserade förfaranden i stället skapa möjlighet till ökad rättssäkerhet, främst ur perspektivet förutsebarhet vid tillämpningen så till vida att ökad enhetlighet uppnås. Med auto- mationen kan t.ex. risker för mänsklig godtycklighet undanröjas, liksom risker för att det inom en myndighet växer fram olika lokala kulturer där utfallen i besluten varierar beroende på av vem eller var inom organisationen de har fattats. På en övergripande nivå leder automatiserade förfaranden därför generellt sett till en mer likställd hantering jämfört med en manuell hantering av många olika hand- läggare vid en myndighet. Därför medför automationen i det av- seendet en stärkt rättssäkerhet. Att automation medför snabbare förfaranden bidrar även detta till ökad rättssäkerhet för den enskilde.

Ett helt automatiserat beslutsfattande har såvitt känt för utred- ningen hittills främst kommit i fråga inom områden där den mate- riella rätten inte lämnar särskilt stort utrymme för bedömningar vid beslutsfattandet. En förklaring till detta är att de algoritmer som hittills används i svensk förvaltning till sin natur är deterministiska, dvs. de lämnar inte något utrymme för skönsmässiga bedömningar. Till exempel kan här nämnas beslutsfattande inom tandvårds- eller föräldrapenningsområdena där utfallet av beslut i princip inte skulle variera om besluten i stället hade fattats av mänskliga handläggare.

Automation inom områden där gällande rätt lämnar ett påtagligt utrymme för skönsmässighet vid beslutsfattande skulle emellertid i efterhand kunna visa sig vara till nackdel för en enskild, t.ex. om

26 A.a.

159

Automation i förvaltningen

SOU 2018:25

denne hade kunnat åberopa vissa särskilda omständigheter vilka inte kunde beaktas av den statiska algoritmen. Om bedömningsutrym- met i den materiella rätten inte kan användas för flexibla bedöm- ningar inom ramen för ett automatiserat förfarande riskerar därför utfallet av ett individuellt beslut att bli mindre rättssäkert trots den generellt sett ökade likställigheten. Den nu beskrivna risken för kvalitetsbrister i beslut som fattas automatiserat har adresserats på olika sätt i de förfaranden som hittills automatiserats i förvaltningen. I förordningen (2001:650) om vägtrafikregister finns exempelvis särskilda regler om omprövning av beslut som har fattats auto- matiserat.27 I kapitel 7.9.1 belyser vi närmare vilka överväganden om anpassning av materiell rätt som vi bedömer bör göras vid övergång från manuella till automatiserade förfaranden, i första hand avseende beslutsfattande.

Användandet av ny teknik som t.ex. AI-system med maskin- inlärda algoritmer kan i framtiden komma att undanröja vissa av de ovan beskrivna riskerna för rättsosäkerhet vid tillämpning av auto- matiserat beslutsfattande, främst risken för att inte individuella faktorer kan beaktas vid ett enskilt beslut. När sådan teknik kommer att användas medför det emellertid också att nya typer av risker behöver hanteras för att rättssäkra förfaranden ska kunna garanteras. I detta sammanhang diskuteras inte minst risken för att maskin- inlärda algoritmer ”smittas” med felkällor eller felaktiga utgångs- punkter, med risk för såväl rättsosäkra som diskriminerande för- faranden.28 Även risker för att algoritmerna medvetet manipuleras för att orsaka ekonomisk eller personlig skada behöver beaktas.29

I takt med att förvaltningen tar i bruk allt mer tekniskt avance- rade modeller för analys och stöd för mänskliga beslut kommer också frågan om ansvarstagande att behöva belysas, inte minst om eller när beslutsstöden blir så tekniskt avancerade att det snarare är ansvaret för funktionen i de algoritmer eller datorprogram som används som behöver diskuteras, än ansvaret för de enskilda besluten där de automatiskt genererade beslutsunderlagen används.

2718 kap. 5 och6 §§ förordningen om vägtrafikregister (2001:650).

28Se Joyce Chou m.fl., How to recognize exclusion in AI, Microsoft 2017.

29Se Daniel Klinedinst m.fl., 2017 Emerging Technology Domains Risk Survey, CMU/SEI- 2017-TR-008, Software engineering institute, Carnegie Mellon University, October 2017, https://resources.sei.cmu.edu/asset_files/TechnicalReport/2017_005_001_505319.pdf

160

SOU 2018:25

Automation i förvaltningen

De närmare åtgärder som av informationssäkerhetsskäl30 behöver vidtas för att möjliggöra förvaltningens användning av den nya tek- niken belyses inte närmare inom ramen för denna rättsligt orienterade utredning, men vikten av ett parallellt arbete med informations- säkerhet vid överväganden om ökad grad av automation i förvaltningen behöver framhållas. Vi belyser också frågor om de rättsliga förut- sättningarna för en god informationssäkerhet i kapitel 9.

Säkerställande av möjligheter till insyn är dock enligt vår bedöm- ning, ur rättsligt perspektiv, en av de grundläggande förutsättningarna för att förvaltningen ska kunna hantera rättsliga utmaningar i sam- band med automationsåtgärder och också kunna visa för allmän- heten att de risker som finns tas om hand. På det sättet utgör god offentlighetsstruktur genom säkerställande av insynsmöjligheter en grundläggande förutsättning för att säkerställa rättssäkra automa- tiserade förfaranden inom förvaltningen.

7.6Gällande rätt om insyn i algoritmer och beslutsunderlag

7.6.1Dataskyddsförordningen

Automatiserat individuellt beslutsfattande, inbegripet profilering

Enligt dataskyddsförordningen har den enskilde rätt att inte bli föremål för ett beslut som enbart grundas på automatiserad behand- ling, inbegripet profilering, om beslutet kan ha rättsliga följder för den enskilde eller på liknande sätt i betydande grad påverkar honom eller henne.31 Sådant automatiserat beslutsfattande kan emellertid vara tillåtet, t.ex. enligt unionsrätten eller nationell rätt som fast- ställer lämpliga åtgärder till skydd för den registrerades rättigheter, friheter och berättigade intressen.32

Profilering innebär varje form av automatisk behandling av personuppgifter när uppgifterna används för att bedöma vissa personliga egenskaper, i synnerhet för att analysera eller förutsäga

30För informationssäkerhet som avser digital information används ibland begreppet cyber- säkerhet. Cybersäkerhetsbegreppet är vanligt förekommande i en internationell kontext. Här använder vi dock främst begreppet informationssäkerhet.

31Artikel 22.1, se även skäl 71.

32Artikel 22.2.b.

161

Automation i förvaltningen

SOU 2018:25

personens arbetsprestationer, ekonomiska situation, hälsa, person- liga preferenser, intressen, pålitlighet, beteende, vistelseort eller förflyttningar.33

Automatiserade beslut kan fattas med eller utan profilering. Omvänt kan profilering användas utan att det leder till ett automatiserat beslut. Ett beslut kan också grundas på profilering utan att beslutet enbart är baserat på automatiserad behandling, dvs. ett delvis automatiserat beslutsfattande.

Rättsliga frågor om innebörden av bestämmelsen om auto- matiserat beslutsfattande har i varierande utsträckning diskuterats sedan det tidigare dataskyddsdirektivet från 1995 trädde i kraft.34 Diskussionerna har nu förts med förnyat intresse, bl.a. mot bak- grund av de sanktioner som kan följa om personuppgifter behandlas i strid med dataskyddsförordningen.

En av de frågor som har diskuterats är om sådana automatiserade processer som resulterar i ett stöd för beslut i individuella fall men inte genererar ett faktiskt beslut, med andra ord ett delvis men inte helt automatiserat beslutsfattande, faller utanför de ovan nämnda specifika krav som förordningen ställer upp beträffande automati- serade beslut. Det förefaller som att det finns få avgöranden i europeisk domstolspraxis där dessa frågor har belysts eller prövats i domstolar runt om i Europa trots att dataskyddsdirektivet varit i kraft i över 20 år.35

Mot den beskrivna bakgrunden är det välkommet att den s.k. artikel 29-gruppen36 nu lämnat en särskild vägledning om auto- matiserat individuellt beslutsfattande, inbegripet profilering. I väg- ledningen anges att med beslut som enbart grundas på automatiserad behandling avses att det inte finns någon mänsklig inblandning i

33Artikel 4.4, se även skäl 72. Se även information på Datainspektionens webbplats www.datainspektionen.se/dataskyddsreformen/dataskyddsforordningen/de-registrerades- rattigheter/automatiserad-behandling/

34EG:s dataskyddsdirektiv (95/46), som genomförts i svensk rätt genom personuppgiftslagen (1998:204). Se även Wachter, Sandra m.fl., Why a Right to Explanation of Automated Decision-Making Does Not Exist in the General Data Protection Regulation, December 28, 2016. International Data Privacy Law, 2017. Available at SSRN: https://ssrn.com/abstract=2903469

35A.a.

36För att dataskyddsdirektivet (95/46) skulle tillämpas på ett enhetligt sätt i medlemsstaterna bildades den så kallade artikel 29-gruppen. Gruppen har fått sitt namn av artikel 29 i data- skyddsdirektivet och i artikel 30 finns bestämmelser om gruppens uppgifter.

162

SOU 2018:25

Automation i förvaltningen

beslutsprocessen. Den personuppgiftsansvarige37 kan dock inte kringgå de särskilda reglerna om helt automatiserat individuellt beslutsfattande genom att införa en mänsklig inblandning som inte är meningsfull.38

I ett annex till vägledningen lämnar artikel 29-gruppen rekom- mendationer om hur personuppgiftsansvariga kan gå till väga för att möta de krav som följer av förordningen. I fråga om lämpliga skyddsåtgärder vid helt automatiserat beslutsfattande anges bl.a. att den personuppgiftsansvarige kan överväga regelbundna kvalitets- kontroller av sina system för att säkerställa att enskilda behandlas rättvist och inte diskrimineras, tillsyn och tester av sina algoritmer som t.ex. utvecklats genom maskininlärning, särskilda åtgärder för dataminimering, anonymisering eller pseudonymisering av uppgifter och att den enskilde tillerkänns vägar för att uttrycka sin mening och få mänsklig kontakt.

I rekommendationerna anges också att personuppgiftsansvariga kan utforska möjligheter till certifieringsmekanismer eller uppför- andekoder för tillsyn av processer som involverar maskininlärning, liksom översyn av etiska kommittéer eller liknande för att värdera risker och nytta med den profilering som avses.39

Information och tillgång till personuppgifter

Den personuppgiftsansvarige måste enligt dataskyddsförordningen informera de registrerade om att automatiserat beslutsfattande används. Denna rätt till information innebär bl.a. att den person- uppgiftsansvarige ska lämna information om förekomsten av beslut som enbart grundas på automatiserad behandling. I dessa fall ska den personuppgiftsansvarige också lämna meningsfull information om logiken bakom samt betydelsen och de förutsedda följderna av sådan behandling för den registrerade.40

En rättsfråga som diskuteras inom EU är vilka närmare explicita eller underförstådda krav förordningen egentligen ställer i fråga om

37Med personuppgiftsansvarig menas en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter; se artikel 4.7 dataskyddsförordningen.

38Se artikel 29-gruppen, Guidelines on Automated individual decision-making and Profiling for the purposes of Regulation 2016/679, 17 EN WP 251, Adopted on 3 October 2017 s. 9 f. om beslut som enbart grundas på automatiserad behandling.

39A.a. s. 30.

40Artikel 13.2.f och 14.2.g. Se även a.a. s. 23 f.

163

Automation i förvaltningen

SOU 2018:25

rätten för den enskilde att få en förklaring av ett individuellt beslut som fattats automatiserat. Vissa har menat att förordningens reglering medför en särskild rätt att få en förklaring av såväl det individuella beslutet som detaljer om det bakomliggande förfarande som lett fram till det, medan andra hävdar att enskilda enligt förord- ningen enbart har rätt att få övergripande information om logiken bakom besluten i generell bemärkelse.41 Frågan har besvarats i linje med det sistnämnda alternativet av artikel 29-gruppen.42

Den enskilde har också bl.a. rätt till tillgång till personuppgifter och meningsfull information om logiken bakom samt betydelsen och de förutsedda följderna av sådan behandling för den registre- rade.43 Rätten till tillgång är mycket snarlik den ovan beskrivna rätten till information, men en skillnad är att rätten till information ska tillgodoses innan en behandling av personuppgifter påbörjas medan rätten till tillgång ska mötas först efter den enskildes begäran. Även när det gäller rätten till tillgång har det förts diskussioner om hur långt denna rätt till tillgång egentligen sträcker sig, bl.a. när det gäller underliggande algoritmer och programkod, respektive hur den rättigheten förhåller sig till bl.a. immaterialrättslig skyddsreglering.44

Artikel 29-gruppen klargör i den ovan nämnda vägledningen att också rätten till tillgång innebär en mer övergripande rättighet, snarare än en rätt till en förklaring av ett specifikt beslut. Skälen i förordningen ger också uttryck för ett visst skydd för person- uppgiftsansvariga vad gäller immateriella rättigheter eller affärs- hemligheter. Dessa rättigheter behöver dock sättas i förhållande till den aktuella kontexten och balanseras mot enskildas rätt till infor- mation.45 Skyldigheten att ge den registrerade information om och tillgång till de personuppgifter som behandlas ska enligt förslaget till kompletterande dataskyddslag inte heller gälla personuppgifter som på grund av sekretess eller tystnadsplikt inte får lämnas ut till den registrerade.46

41Se Bryce Goodman och Seth Flaxman, European Union regulations on algorithmic decision- making and a “right to explanation”, augusti 2016, Oxford Internet Institute. Jfr Wachter, Sandra m.fl. a.a.

42A.a. s. 13 f.

43Artikel 13.2.f och14.2.g.

44Artikel 15.1.h och skäl 63.

45A.a. s. 24.

46Se förslag till 5 kap. 1 § lagen med kompletterande bestämmelser till EU:s dataskydds- förordning, Ny dataskyddslag, prop. 2017/18:105.

164

SOU 2018:25

Automation i förvaltningen

När det gäller rätten till information rekommenderar artikel 29- gruppen att den personuppgiftsansvarige kan överväga bl.a. visua- lisering eller ikoner som informerar den enskilde om profilering och automatiserat beslutsfattande. Meningsfull information om logiken som är involverad bör i de flesta fall innebära att den personuppgifts- ansvarige tillhandahåller information om vilka kategorier av upp- gifter som används i en profil, källan till de uppgiftsmängderna, hur profilen är uppbyggd (inklusive statistik som används i profilen), varför profilen är relevant för den automatiserade beslutsprocessen och hur den används för ett beslut som rör den enskilde.47

När det gäller rätten till tillgång rekommenderar artikel 29-gruppen bl.a. att det generellt sett kommer att vara mer relevant att lämna information om vilka kategorier av uppgifter som har använts eller kommer att användas vid profileringen eller beslutsprocessen och varför dessa tillämpas, än att tillhandahålla en komplex matematisk förklaring om hur algoritmer eller maskininlärning fungerar. Det sistnämnda bör dock också tillhandahållas om det är nödvändigt för att experter närmare ska kunna verifiera hur processen för besluts- fattande fungerar. Personuppgiftsansvariga kan vidare vilja överväga att implementera mekanismer som möjliggör för enskilda att kon- trollera sin profil, inklusive detaljer om uppgifter och källor som använts för att utveckla den.48

Övrig dataskyddsreglering

Utöver de bestämmelser som presenterats ovan gäller även de generella reglerna i dataskyddsförordningen vid automatiserat beslutsfattande. Här kan bl.a. nämnas kraven på att behandlingen av personuppgifter ska vara laglig, korrekt och öppen,49 att ändamålsbegränsningar ska beaktas,50 principerna om dataminimering, korrekthet och lagrings- minimering,51 att rättslig grund krävs för behandling52 och att laglig

47Se artikel 29-gruppen, a.a. s. 28.

48A.a. s. 29.

49Artikel 5.1.a.

50Artikel 5.1.b och 6.4.

51Artikel 5.1.c-e.

52Artikel 6.1, här framför allt c och e och förslag till 2 kap. 1 och2 §§ lagen med kompletterande bestämmelser till EU:s dataskyddsförordning, prop. 2017/18:105.

165

Automation i förvaltningen

SOU 2018:25

behandling av känsliga personuppgifter fordrar särskilt stöd,53 rätten till rättelse, radering och begränsning av behandling,54 rätten att göra invändning mot profilering,55 vikten av att iaktta särskild restrik- tivitet när det gäller behandling av barns personuppgifter56 och att konsekvensbedömning avseende dataskydd torde krävas vid varje form av automatiserat beslutsfattande, dvs. även när beslutsfattandet är delvis men inte helt automatiserat.57

Regeringen har vidare föreslagit att dataskyddsförordningen med vissa undantag ska gälla även utanför sitt egentliga tillämpnings- område, t.ex. i verksamhet som rör nationell säkerhet.58

Vid sidan av dataskyddsförordningen innehåller EU:s data- skyddsreform ett separat dataskyddsdirektiv som behandlar data- skyddet vid bl.a. brottsbekämpning, lagföring och straffverkställig- het.59 Direktivet innehåller reglering av samma eller liknande karaktär som dataskyddsförordningen men är anpassat för den särskilda verk- samhet som bedrivs på området för brottsbekämpning och brottmåls- hantering. Utredningen om 2016 års dataskyddsdirektiv har föreslagit att direktivet i huvudsak ska genomföras i svensk rätt genom en ny ramlag, brottsdatalagen. Lagen kompletteras med en förordning som genomför vissa detaljbestämmelser i direktivet.60 Utredningen har också föreslagit de anpassningar som krävs med anledning av ramlagen i de registerförfattningar som ingår i utredningens uppdrag, bl.a. polis- datalagen (2010:361). De särskilda registerförfattningarna på direk- tivets område föreslås gälla utöver brottsdatalagen. Det innebär att registerförfattningarna innehåller bestämmelser som är precise- ringar, undantag eller avvikelser från bestämmelserna i brottsdata-

53Artikel 9 och förslag till 3 kap. 1 § lagen med kompletterande bestämmelser till EU:s data- skyddsförordning, a. prop.

54Artikel 16–18.

55Artikel 21.1.

56Skäl 38.

57Artikel 35.3.a och artikel 29-gruppen, a.a.s. 27.

581 kap. 2 § förslag till lag med kompletterande bestämmelser till EU:s dataskyddsförordning, a. prop.

59Europaparlamentets och rådets direktiv (EU) 2016/680 av den 27 april 2016 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga på- följder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF (dataskyddsdirektivet).

60Brottsdatalag (SOU 2017:29).

166

SOU 2018:25

Automation i förvaltningen

lagen. Vidare innebär det att bestämmelserna i registerförfatt- ningarna ska läsas tillsammans med regleringen i brottsdatalagen och tolkas i ljuset av denna reglering.61

I dataskyddsdirektivet på det brottsbekämpande området före- skrivs att det ska införas förbud mot automatiserade beslut, såvida inte sådana beslut är tillåtna enligt unionsrätten eller nationell rätt och det är föreskrivet lämpliga skyddsåtgärder för den enskilde.62 Skyddsåtgärderna ska åtminstone ge den enskilde rätt till personlig kontakt med någon hos den personuppgiftsansvarige. Skyddsåtgär- derna ska vidare innefatta särskild information till den registrerade och rätt till personlig kontakt för att möjliggöra för honom eller henne att framföra synpunkter, att få beslutet förklarat för sig och att överklaga beslutet. Automatiserade beslut får inte grundas på känsliga personuppgifter, om inte lämpliga skyddsåtgärder har vid- tagits. Profilering som leder till diskriminering av fysiska personer på grundval av känsliga personuppgifter ska förbjudas.63

Utredningen om 2016 års dataskyddsdirektiv har anfört att det inom ramlagens tillämpningsområde i dag inte förekommer några automatiserade beslut, men att det med teknikutvecklingen inte kan uteslutas att det i framtiden kommer att finnas sådana. Den svenska ramlagen på direktivets område bör enligt utredningen innehålla en bestämmelse om automatiserade beslut eftersom direktivet sätter gränser för sådana beslut. Automatiserade beslut som enbart grun- dar sig på känsliga personuppgifter bör enligt utredningen för- bjudas.64

Våra inledande överväganden

Som framgått ovan har det under lång tid förelegat en rättslig osäker- het rörande dataskyddsregleringens bestämmelser om automatiserat beslutsfattande. Det är därför välkommet att artikel 29-gruppens vägledning klargör flera frågor inför att dataskyddsförordningen ska börja tillämpas. De rekommendationer som lämnas utöver väg- ledningen ger också en god bild över personuppgiftsansvarigas praktiska möjligheter att ordna sin personuppgiftsbehandling för att

61Brottsdatalag – kompletterande lagstiftning (SOU 2017:74), s. 328 f.

62Artikel 11 dataskyddsdirektivet.

63Skäl 38.

642 kap. 19 § förslag till brottsdatalag och SOU 2017:29 s. 287 f.

167

Automation i förvaltningen

SOU 2018:25

dels kunna följa förordningens krav, dels kunna visa att man följer dem. De rekommendationer som artikel 29-gruppen har lämnat är emellertid inte rättsligt bindande.

Det kvarstår vidare vissa frågor om hur den särskilda artikeln om automatiserat beslutsfattande ska tillämpas av svensk förvaltning. Det gäller t.ex. frågan om vad som i förordningens mening anses utgöra ett ”beslut”. Vad som utgör beslut enligt dataskyddsförord- ningen, med dess breda tillämpningsområde, är givetvis inte knutet till svensk förvaltningsrätt. Att i vart fall de slutliga beslut som fattas inom förvaltningen omfattas av begreppet ”beslut” bedömer vi stå klart. Vilka, om några, beslut under handläggningen som omfattas är däremot inte lika givet. Det är med andra ord oklart om förord- ningens särskilda artikel om automatiserat beslutsfattande ska tillämpas vid t.ex. förfaranden för automatiserat urval eller kontroll, med andra ord profilering, som inte renderar något slutligt beslut i förvaltningsrättslig mening.

Det är också oklart vilken räckvidd förordningens särskilda bestämmelse om automatiserat beslutsfattande har när personupp- gifter i och för sig förekommer i samband med ett beslut som är slutligt, men där själva beslutsunderlaget utgörs av annan infor- mation än personuppgifter. Det kan t.ex. röra sig om ett beslut om fastighetstaxering som t.ex. innehåller personuppgifter i form av kontaktuppgifter och fastighetsbeteckning, men där uppgifterna som utgör beslutsunderlaget har ingen eller mycket liten koppling till den enskildes (dvs. den registrerades) personliga egenskaper eller förhållanden. Ett sådant, om än slutligt och automatiserat, beslut kan i vart fall inte sägas innefatta någon profilering. Den enskildes insynsintresse i fråga om den bakomliggande logik som har styrt beslutet kan dock vara lika stort oavsett om förordningens bestämmelse ska tillämpas eller inte. Frågan är emellertid om det insynsintresset tillgodoses med stöd av dataskyddsförordningen eller med stöd av annan nationell rätt.

Det finns också anledning att särskilt reflektera över räckvidden i dataskyddsförordningens bestämmelser. En central iakttagelse är att förordningens bestämmelser syftar till att skydda fysiska perso- ners grundläggande rättigheter och friheter, särskilt deras rätt till skydd av personuppgifter. De rättigheter till bl.a. insyn som stipule- ras genom bestämmelserna om informationsskyldigheter och rätt till

168

SOU 2018:25

Automation i förvaltningen

tillgång till uppgifter tillerkänns därför enbart den eller de registre- rade. Förordningen ger med andra ord inte stöd för en bredare insyn i hur förvaltningens verksamhet bedrivs. Möjligheter till insyn i för- valtningens verksamhet för journalistisk granskning, granskning av Riksrevisionen, Riksdagens ombudsmän (JO) och Justitiekanslern liksom allmänhetens möjligheter till insyn följer i stället av nationell rätt.65

Det står också klart att vid processer som inte innefattar behand- ling av personuppgifter blir förordningen inte tillämplig. Auto- matiserade förfaranden i förvaltningen som inte innefattar person- uppgiftsbehandling kan t.ex. röra förvaltningsbeslut baserade på miljöinformation som varken direkt eller indirekt relaterar till någon enskild person. Inom exempelvis utvecklingsområdet ”smarta städer”66 och samhällsbyggnadsprocessen torde det också komma att aktualiseras att myndigheter i sina automatiserade processer fattar förvaltningsrättsliga beslut baserat på data som inte relaterar till individer eller alls innefattar behandling av personuppgifter. Där- emot är även den typ av beslut som rör stadens utformning och funktioner av påtaglig betydelse för utvecklingen av ett hållbart samhälle, och därmed också viktiga för många människor.

En utgångspunkt för utredningen är att den tekniska utvecklingen inom förvaltningen inte får leda till en försvagning av offentlighets- principen. Den utgångspunkten bottnar i tidigare gjorda rättspolitiska uttalanden.67 Dataskyddsförordningens stärkta insynsmöjligheter för den enskilde som registrerats inverkar enligt oss inte på den utgångspunkten. Även allmänhetens insyn, dvs. möjligheten för alla och envar att få insyn i myndigheternas verksamhet behöver alltså fortsatt säkerställas och inte vara beroende av tekniken för infor- mationshantering.68

65Artikel 85 och 86 dataskyddsförordningen.

66En smart och hållbar stad beskrivs bl.a. på www.smartastader.com vara en innovativ stad som använder informations- och kommunikationstekniker och andra medel för att förbättra livskvaliteten, effektiviteten hos stadsfunktioner och -tjänster och konkurrenskraften, sam- tidigt som den säkerställer att den uppfyller nuvarande och framtida generationers behov med hänsyn till ekonomiska, sociala och miljömässiga aspekter.

67Se bl.a. Offentlighets- och sekretesskommitténs delbetänkande Ordning och reda bland allmänna handlingar (SOU 2002:97), s. 94.

68Jfr även artikel 86 i dataskyddsförordningen.

169

Automation i förvaltningen

SOU 2018:25

7.6.2Partsinsyn och förvaltningslagen

Partsinsyn

Den som är part i ett mål eller ärende hos en myndighet eller en domstol har en principiell rätt till partsinsyn i förfarandet och rätt att ta del av den information som tillförs målet eller ärendet under handläggningen. Myndigheter är i varierande utsträckning skyldiga att se till att en part får del av sådan information. Generella bestäm- melser finns i förvaltningslagen.69 Sekretess hindrar inte insyn från den som är part och som på grund av sin partsställning har rätt att ta del av handlingar och material i målet eller ärendet.70 För att partens möjlighet till insyn enligt denna reglering ska gälla ska det emellertid vara fråga om uppgifter ”i” målet eller ärendet.71 Insynen får bara begränsas under förutsättning att det av hänsyn till allmänt eller enskilt intresse är av synnerlig vikt att en sekretessbelagd uppgift i en handling i målet eller ärendet inte lämnas ut till parten. Sekretess hindrar dock aldrig en part från att ta del av en dom eller ett beslut i målet eller ärendet.

Förvaltningslagen om automatiserade beslut, dokumentation av beslutsunderlag och beslutsmotivering

I förvaltningslagen framgår det uttryckligen att ett beslut kan fattas automatiserat.72 Det explicita författningsstödet är nytt i förhållande till 1986 års förvaltningslag. I propositionen med förslag till ny för- valtningslag konstaterade regeringen att automatiseringen av beslut under senare år kommit att bli en allt vanligare företeelse inom delar av den förvaltning som hanterar ett mycket stort antal ärenden år- ligen, t.ex. i Försäkringskassans verksamhet. Genom att det i för- valtningslagen slås fast att beslut kan fattas automatiserat tydliggörs att det inte behövs en reglering i en specialförfattning för att en

6910 och 25 §§ förvaltningslagen. Se även t.ex. 10 och 12 §§ förvaltningsprocesslagen (1971:291) och 45 kap. 9 § rättegångsbalken som innehåller bestämmelser om partsinsyn.

7010 kap. 3 § offentlighets- och sekretesslagen (2009:400).

71Eva Lenberg m.fl., Offentlighets- och sekretesslagen (12 maj 2017, Zeteo), kommentaren till 10 kap. 3 § offentlighets- och sekretesslagen.

7228 § förvaltningslagen.

170

SOU 2018:25

Automation i förvaltningen

myndighet ska kunna använda denna beslutsform. Regeringen an- förde vidare att regleringen därmed också skapar bättre förut- sättningar för en fortsatt utveckling av den digitala förvaltningen.73 Utöver den nya regleringen om form för beslutsfattande, upp- ställer förvaltningslagen olika former av dokumentationskrav. Här bör särskilt nämnas kravet på anteckningar och andra typer av dokumentation när en myndighet får uppgifter på något annat sätt än genom en handling, om de kan ha betydelse för ett beslut i ärendet. Det ska framgå av dokumentationen när den har gjorts och av vem.74 Det kan t.ex. vara fråga om information som någon ger muntligt eller som skaffas fram genom undersökningar eller besikt-

ningar av personer, föremål, fastigheter eller miljöer.75

Det ovan beskrivna dokumentationskravet motiveras av att beslutsunderlaget i ett ärende måste vara komplett, identifierbart och lättillgängligt för att möta grundläggande krav på rättssäkerhet och effektivitet. En enskild ska genom att t.ex. använda sin rätt till partsinsyn kunna försäkra sig om att myndigheten inte bara har tagit ställning till allt material som har tillförts ett ärende utan att den också har bevarat det. För myndigheten är det viktigt att ha kontroll över beslutsunderlaget, bl.a. för att den ska kunna fullgöra sin kom- munikationsskyldighet. Även utomstående som har bidragit med material måste kunna vara säkra på att materialet tagits om hand på ett korrekt sätt av myndigheten. Tillgång till allt material som har tillförts ett ärende är också en förutsättning för den prövning som en överinstans ska göra med anledning av ett överklagande av ett beslut eller för sådan tillsyn som utövas av t.ex. JO och Justitie- kanslern.76

Här bör också nämnas att förvaltningslagen innehåller en bestäm- melse med krav på en klargörande motivering av ett beslut som kan antas påverka någons situation på ett inte obetydligt sätt, om det inte är uppenbart obehövligt med sådan motivering.77 Kravet på att en motivering av ett beslut ska vara klargörande innebär att en part ska ges möjlighet att förstå hur myndigheten har resonerat i det enskilda fallet.

73En modern och rättssäker förvaltning - ny förvaltningslag, prop. 2016/17:180, s. 179 f. Se även

Budgetpropositionen för 2018, prop. 2017/18:1 Utgiftsområde 2 s. 94.

7427 § förvaltningslagen.

75Prop. 2016/17:180 s. 314.

76A. prop. s. 174.

7732 § förvaltningslagen.

171

Automation i förvaltningen

SOU 2018:25

Motiveringsskyldigheten innebär att myndigheten måste ange de skäl som har bestämt utgången i ärendet. Skälen måste presenteras på ett sådant sätt att de blir begripliga för den enskilde. Den klar- görande motiveringen ska innehålla uppgifter om vilka föreskrifter som har tillämpats och vilka omständigheter som har varit avgörande för myndighetens ställningstagande. I beslutsmotiveringen ska alltså det författningsmässiga stödet för beslutet anges. Kravet på redo- visning av omständigheter innebär ett krav på att redovisa vilka fakta som myndigheten har tillmätt betydelse och hur den har värderat dessa.

I förarbetena nämns bl.a. att motiveringsskyldigheten kan be- gränsas på grund av att motivering ibland är uppenbart obehövligt. Det kan t.ex. gälla när en myndighet meddelar ett beslut som helt tillgodoser den enskildes önskemål på grundval uteslutande av den enskildes egna uppgifter, och det inte finns någon enskild motpart som kan ha ett intresse av att ta del av en motivering för att överväga ett överklagande.78 Vissa ytterligare undantag görs i frågan om när en motivering helt eller delvis får utelämnas, men som huvudregel ska en myndighet ändå kunna ge en motivering i efterhand om någon enskild begär det och det behövs för att han eller hon ska kunna ta till vara sin rätt.79 Att skälen för ett avgörande ska framgå gäller också i dömande verksamhet.80

Våra inledande överväganden

Det saknas förarbetsuttalanden som anger hur bestämmelsen i för- valtningslagen om att beslut kan fattas automatiserat förhåller sig till dataskyddsförordningen. Mot bakgrund av regeringens tydliga avsikt att skapa bättre förutsättningar för en fortsatt utveckling av den digitala förvaltningen bedömer vi dock att det uttalade stödet för automatiserat beslutsfattande i förvaltningslagen som utgångs- punkt borde innebära att automatiserat beslutsfattande inom för- valtningen även ska anses tillåtet enligt dataskyddsförordningen.81

78A. prop. s. 320 f.

7932 § andra och tredje stycket förvaltningslagen.

8017 kap. 7 § första stycket 5 och 30 kap. 5 § första stycket 5 rättegångsbalken, 30 § andra stycket förvaltningsprocesslagen och 28 § lagen (1996:242) om domstolsärenden.

81Här avses förhållandet till artikel 22.2.b i dataskyddsförordningen.

172

SOU 2018:25

Automation i förvaltningen

Några särskilda åtgärder till skydd för den registrerades rättigheter, friheter och berättigade intressen med avseende på just auto- matiserade beslut har emellertid inte införts i förvaltningslagen.82 Förvaltningslagen innehåller dock generellt tillämpliga bestäm- melser om bl.a. rätt att lämna uppgifter muntligt i ett ärende, om det inte framstår som obehövligt, och bestämmelser om omprövning samt rätt att överklaga beslut.83 I kapitel 7.9.1 återkommer vi till ytterligare överväganden om på vilket sätt reglering i den materiella rätt som ska tillämpas vid beslutsfattande kan inverka på frågan om det är tillåtet eller lämpligt att beslut fattas automatiserat.

Några ytterligare inledande reflektioner från vår sida är att för- valtningslagen varken kräver att datorprogram (inkluderande algo- ritmer) som används vid automatiserat beslutsfattande dokumenteras, tillförs beslutsunderlaget i de enskilda förvaltningsärenden där de kommer till användning eller framgår av beslutsmotiveringen. Dessa tillkommer i stället snarast som ett eget lager av funktionalitet mellan å ena sidan de författningar med anknytande källmaterial som tillämpas och å andra sidan det beslutsunderlag i form av fakta som har tillförts ärendet (se beskrivning i kapitel 7.4.2). I linje med detta tillerkänns inte part någon särskild rätt att få insyn i hur myndigheten använder bakomliggande algoritmer med anknytande datorprogram enligt den uttryckliga rätten till partsinsyn (jfr dock kapitel 7.6.3 om hand- lingsoffentlighet och våra där gjorda överväganden om datorpro- gram som allmän handling).

Vad som däremot kan utläsas av förvaltningslagen och dess för- arbeten är vikten av ordning och reda när det gäller beslutsunderlag i enskilda fall, såväl när det gäller sakliga uppgifter som när det gäller möjlighet att spåra var de kommer ifrån. Detta framgår bl.a. genom en bestämmelse om att det ska framgå vem som har dokumenterat uppgifterna när en myndighet får uppgifter på något annat sätt än genom en handling.84

82Jfr artikel 22.2.b dataskyddsförordningen.

8324 och 36–48 §§ förvaltningslagen.

8427 § förvaltningslagen.

173

Automation i förvaltningen

SOU 2018:25

7.6.3Handlingsoffentlighet och arkivlagstiftning

Vad utgör en allmän handling?

I såväl offentlighets- och sekretesslagen som arkivlagen (1990:782) finns regler om att myndigheterna på olika sätt ska registrera och beskriva sina allmänna handlingar.85 Bestämmelsernas syfte är att garantera allmänhetens rätt att få tillgång till allmänna handlingar. För att offentlighetsprincipen praktiskt sett ska kunna fungera på det sätt som är avsett i tryckfrihetsförordningen har det ansetts nöd- vändigt att myndigheterna håller sina allmänna handlingar registrerade eller i vart fall så ordnade att det går att konstatera vilka allmänna handlingar som finns.86

Vad som är allmän handling framgår av 2 kap. tryckfrihets- förordningen.

Med handling förstås framställning i skrift eller bild samt upp- tagning som kan läsas, avlyssnas eller på annat sätt uppfattas endast med tekniskt hjälpmedel.87 Framställningar i skrift eller bild utgör handlingar i traditionell bemärkelse, dvs. framställningar som kan uppfattas visuellt utan tekniska hjälpmedel. Det är alltså fråga om alla former av pappersbaserade skriftliga uppteckningar, t.ex. tabeller, blanketter och protokoll, men även kartor, ritningar och olika slags bilder t.ex. fotografier eller röntgenbilder. En upptagning innebär att informationen i en framställning inte kan uppfattas eller förstås utan tekniskt hjälpmedel.

Handlingen är allmän, om den förvaras hos en myndighet och är inkommen till eller upprättad hos myndigheten.88 Termen förvaras har i tryckfrihetsförordningens bemärkelse en betydelse som skiljer sig från ordets innebörd enligt vanligt språkbruk. Utgångspunkten är att handlingen ska finnas inom myndighetens lokaler, men exem- pelvis en handling i form av ett färdigt dokument som finns i en tjänstemans förvar utanför myndighetens väggar anses även den förvarad av myndigheten. För upptagningar gäller att de endast anses

85Se särskilt 4 kap. 2 § och 5 kap. 1 § offentlighets- och sekretesslagen, 6 § 2 arkivlagen, 6 kap.

5§ RA-FS 2008:4 och 5 kap. RA-FS 2009:1.

86Avsnittet bygger i stor utsträckning på Alf Bohlin, Offentlighetsprincipen, Norstedt Juridik, 2015, Tsunamibanden (SOU 2007:44), s. 83 f. och Ordning och reda bland allmänna handlingar (SOU 2002:97), s. 57 f.

872 kap. 3 § första stycket tryckfrihetsförordningen. Observera att ändringar i bl.a. 2 kap. tryckfrihetsförordningen föreslås i Ändrade mediegrundlagar, prop. 2017/18:49. Ändringarna innebär bl.a. ändrade beteckningar på lagrum.

882 kap. 6 § och 2 kap. 7 § första stycket tryckfrihetsförordningen.

174

SOU 2018:25

Automation i förvaltningen

förvarade av en myndighet om upptagningen är tillgänglig för myndigheten med tekniskt hjälpmedel som myndigheten själv utnyttjar för överföring i sådan form att den kan läsas, avlyssnas eller på annat sätt uppfattas. För sammanställning av uppgifter ur en upptagning för automatiserad behandling, där upptagningen utgör allmän handling, gäller därutöver inskränkningen att samman- ställningen endast anses förvarad hos myndigheten om myndigheten kan göra den tillgänglig med rutinbetonade åtgärder.89

Genom formuleringen av sistnämnda inskränkning har lag- stiftaren uttryckt att en så kallad färdig elektronisk handling anses förvarad hos myndigheten oavsett om den kan tas fram med rutin- betonade åtgärder eller om det krävs mer omfattande åtgärder. Med uttrycket färdig elektronisk handling avses sådana elektroniska handlingar där utställaren, myndigheten eller den som lämnat in handlingen till myndigheten, har gett dem ett bestämt, fixerat, innehåll som går att återskapa gång på gång. Som typiska exempel på sådana handlingar kan, förutom e-postmeddelanden, nämnas pro- memorior och protokoll i elektronisk form.

I förarbetena till lagändringen90 anförde regeringen att det inte var tillfredsställande att en sådan handling skulle anses förvarad hos en myndighet endast om den kunde tas fram med rutinbetonade åtgärder. Det skulle i praktiken innebära att det kunde finnas färdiga elektroniska handlingar hos myndigheterna som inte rättsligt sett ansågs förvarade, och därför inte ansågs vara allmänna, därför att myndigheterna organiserat sina datasystem på sådant sätt att det inte gick att återfinna handlingen med rutinbetonade åtgärder. Detta ansågs av regeringen oacceptabelt från offentlighetssynpunkt. Om en färdig elektronisk handling ska anses förvarad hos en myndighet eller inte bör enligt förarbetsuttalandet i stället avgöras utifrån om den rent faktiskt är tillgänglig för myndigheten med tekniskt hjälp- medel som myndigheten själv utnyttjar, oavsett om det krävs endast rutinbetonade åtgärder för att ta fram den eller mer omfattande insatser från myndighetens sida.

892 kap. 3 § andra stycket tryckfrihetsförordningen. Ytterligare en begränsning gäller för en elektronisk sammanställning innehållande personuppgifter, dvs. all slags information som direkt eller indirekt kan hänföras till en fysisk person. En sådan sammanställning anses inte alls förvarad hos myndigheten om myndigheten saknar befogenhet enligt lag eller förordning att göra den tillgänglig (2 kap. 3 § tredje stycket tryckfrihetsförordningen).

90Offentlighetsprincipen och informationstekniken, prop. 2001/02:70, s. 18 f.

175

Automation i förvaltningen

SOU 2018:25

Sammanställningar av uppgifter ur dataregister, som inte av ut- ställaren getts en bestämd, fixerad form som kan återskapas gång på gång, är i stället ett typexempel på vad som inte brukar omfattas av begreppet färdiga elektroniska handlingar. Skyldigheten för myndig- heter att tillhandahålla sådana sammanställningar bör enligt samma förarbetsuttalande även i fortsättningen begränsas utifrån vad som är möjligt att åstadkomma med rutinbetonade åtgärder.

För att en handling som anses förvarad hos en myndighet ska vara allmän fordras som nämnts att den antingen har inkommit till myndigheten eller upprättats där. En handling anses inkommen till en myndighet när den har anlänt till myndigheten eller kommit behörig befattningshavare till handa. I fråga om en upptagning gäller i stället att den anses inkommen när annan har gjort den tillgänglig för myndigheten på sätt som innebär att myndigheten kan ta del av den med tekniskt hjälpmedel.91 Handlingar som utväxlas inom samma myndighet anses inte inkomna till myndigheten, om inte avsändande respektive mottagande organ utgörs av olika verksam- hetsgrenar inom myndigheten och kan anses självständiga i för- hållande till varandra.92

Även termen upprättad har i tryckfrihetsförordningen fått en innebörd som avviker något från vanligt språkbruk. En handling anses enligt tryckfrihetsförordningen upprättad först när den an- tingen expedierats eller när det ärende till vilket den hänför sig har slutbehandlats hos myndigheten. Hör inte handlingen till något visst ärende, anses den upprättad när den har justerats av myndigheten eller på annat sätt färdigställts.93 Innan sådana handlingar föreligger i sitt definitiva skick utgör de alltså myndighetsinternt material. För diarier, journaler och sådana register eller andra förteckningar som förs löpande gäller däremot att de anses upprättade redan när de har färdigställts för anteckning eller införing.94 Gemensamt för dessa handlingar är därför att de blir allmänna på ett mycket tidigt stadium, under förutsättning att de också anses förvarade hos myndigheten. E-postloggar har t.ex. ansetts vara sådana handlingar som utgör denna typ av register.95

912 kap. 6 § tryckfrihetsförordningen.

922 kap. 8 § tryckfrihetsförordningen.

932 kap. 7 § första stycket tryckfrihetsförordningen.

942 kap. 7 § andra stycket 1 tryckfrihetsförordningen.

95RÅ 1998 ref.44.

176

SOU 2018:25

Automation i förvaltningen

Det förtjänar att kort nämnas att det även för allmänna hand- lingar gäller begränsningar i insynsrätten. Uppgifter i allmänna handlingar kan omfattas av sekretess, vilket innebär att de inte är offentliga i denna del.

Våra inledande överväganden

Den ovan redovisade presentationen gör inte anspråk på att vara fullständig men kan förhoppningsvis tjäna som en illustration av den typ av komplicerade rättsliga överväganden som måste göras för att avgöra om, och i så fall när, ett visst elektroniskt material är att anse som allmän handling eller inte. Något slutligt och för hela förvalt- ningen i alla situationer allmängiltigt ställningstagande i t.ex. frågan om datorprograms (inkluderande algoritmers) offentligrättsliga status kan därför inte presenteras. Ett datorprogram som tagits i bruk inom en myndighet måste dock anses utgöra en upprättad handling, som är att anse som allmän om det också förvaras hos myndigheten.96

Gränsdragningen mellan vad som är en färdig elektronisk hand- ling respektive en sammanställning är emellertid många gånger problematisk. Det gäller vare sig det rör sig om sakliga uppgifter (data) eller beståndsdelar i ett program såsom en algoritm. Sannolikt skulle en algoritm i något fall kunna anses ha fått en bestämd, fixerad form av utställaren och därmed anses utgöra en färdig allmän hand- ling i sig. I andra fall skulle en algoritm som beskrivs i programkod kunna vara att anse som en osjälvständig del av programmet, som därmed endast vid förfrågan skulle kunna bli aktuell att samman- ställa som en allmän handling under förutsättning att det är möjligt att åstadkomma med rutinbetonade åtgärder.

Till det anförda måste läggas en särskild problematik som uppstår med tolkning och tillämpning av termen förvarad när en myndighet anlitar en utomstående leverantör. Avtalen med tjänsteleverantören om vad som ska finnas tillgängligt för en myndighet, i kombination med faktiska tekniska förutsättningar, synes kunna få avgörande betydelse för frågan om vad som ska anses utgöra allmän handling vid utkontraktering.97

96Jfr RÅ 2004 ref. 74.

97Jfr t.ex. kammarrättens dom av den 27 november 2013 i mål nr 2823-13, i fråga om uppgifter som en myndighet inte, enligt kontraktet, hade rätt att få tillgång till.

177

Automation i förvaltningen

SOU 2018:25

Sammantaget kan det konstateras att det fortfarande finns besvär- liga definitionsproblem vad gäller handlingsoffentligheten i digitala miljöer, inte minst vad gäller datorprograms mindre beståndsdelar.98 Rätten att ta del av allmän handling ger emellertid enligt vår bedömning inte en heltäckande möjlighet till insyn i förvaltningens verksamhet när datorprogram, inbegripet algoritmer, används vid automatiserade förfaranden.

Offentlighets- och sekretesslagen om beskrivning och registrering av allmänna handlingar

I såväl offentlighets- och sekretesslagen som arkivlagen finns flera regler om att myndigheterna på olika sätt ska registrera och beskriva sina allmänna handlingar.99

Allmänna handlingar ska som huvudregel enligt offentlighets- och sekretesslagen registreras så snart de har kommit in till eller upprättats hos en myndighet.100 Skyldigheten att registrera allmänna handlingar är inte ovillkorlig. Om det inte gäller sekretess för upp- gifter i de allmänna handlingarna får en myndighet i stället för registrering välja att hålla handlingarna så ordnade att det utan svårighet kan fastställas om en handling har kommit in eller upp- rättats. En ovillkorlig registreringsskyldighet omfattar därmed bara de handlingar som det gäller sekretess för.

När elektroniska handlingar skapas i tekniska system finns det normalt olika former av automatiserade funktioner, t.ex. loggar, eller kataloger, för att kunna finna handlingarna. Beroende på om de automatiserade funktionerna skapar register som uppfyller kraven i offentlighets- och sekretesslagen kan dessa funktioner vara till- räckliga också för att uppfylla registreringskraven.101 De uppgifter som ska framgå av registreringen är datum då handlingen102 kom in eller upprättades, diarienummer eller annan beteckning handlingen

98Se motsvarande slutsats i SOU 2007:44 och jfr t.ex. SOU 1997:39.

99Se särskilt 4 kap. 2 § och 5 kap. 1 § offentlighets- och sekretesslagen, 6 § 2 arkivlagen, 6 kap.

5§ RA-FS 2008:4, 5 kap. RA-FS 2009:1.

1005 kap. 1 § första stycket offentlighets- och sekretesslagen.

101Eva Lenberg m.fl., a.a., kommentaren till 5 kap. 1 § offentlighets- och sekretesslagen.

102Här synes i digitala miljöer fortfarande avses färdiga elektroniska handlingar, vår anmärk- ning. Jfr SOU 1997:39.

178

SOU 2018:25

Automation i förvaltningen

fått vid registreringen, i förekommande fall uppgifter om hand- lingens avsändare eller mottagare och i korthet vad handlingen rör. Uppgifter om avsändare eller mottagare och i korthet vad hand- lingen rör ska utelämnas eller särskiljas om det behövs för att regist- ret i övriga delar ska kunna hållas tillgängligt för allmänheten.103

Här bör även nämnas att Datalagskommittén år 1997 lämnade ett förslag till bestämmelse om skyldighet för myndigheter att hålla systemdokumentation tillgänglig för allmänheten. Systemdoku- mentationen skulle beskriva hur sådana program som fattar auto- matiserade beslut är konstruerade. Bestämmelsen borde enligt för- slaget införas i dåvarande sekretesslagen (1980:100) där övriga regler om myndigheternas skyldigheter att registrera och dokumentera fanns. Myndigheterna borde däremot inte åläggas en skyldighet att lämna ut datorprogram i elektronisk form, särskilt med beaktande av säkerhetsaspekter och upphovsrätt.104 Utredningens föreslog att den aktuella bestämmelsen skulle ha följande lydelse.

Systemdokumentation

12 §

En myndighet som i sin myndighetsutövning använder tekniska hjälp- medel för att fatta automatiserade beslut skall hålla systemdokumen- tation tillgänglig för allmänheten. Av dokumentationen skall framgå

1.ändamålet med systemet,

2.vilka uppgifter som används i systemet,

3.varifrån och hur de uppgifter som används i systemet hämtas,

4.hur aktuella rättsregler har omvandlats till logiska regler i systemet,

5.vem som hos myndigheten kan lämna närmare upplysningar om hur systemet fungerar.

Dokumentationen får dock inte innehålla upplysningar som kan leda till att sekretessbelagda uppgifter om systemet röjs.

Förslaget har inte lett till lagstiftning.

Dokumentation enligt arkivlagen

Även arkivregleringen innehåller krav på dokumentation.105 Riks- arkivets föreskrifter innebär relativt detaljerade dokumentations- krav vad gäller elektroniska handlingar. Med elektronisk handling

1035 kap. 2 § offentlighets- och sekretesslagen.

104SOU 1997:39 s. 569 f.

105Se särskilt 2 § arkivlagen, 6 kap. 5 § RA-FS 2008:4 och 5 kap. RA-FS 2009:1.

179

Automation i förvaltningen

SOU 2018:25

avses i Riksarkivets föreskrifter en upptagning för automatiserad behandling i enlighet med 2 kap. 3 § tryckfrihetsförordningen.

En myndighet ska enligt Riksarkivets föreskrifter bl.a. doku- mentera sina elektroniska handlingar för att handlingarna ska kunna framställas, överföras, hanteras, förvaras och vårdas på ett tillfreds- ställande sätt under den tid som de ska bevaras.106 Dokumen- tationens disposition, omfattning och detaljnivå ska anpassas till den typ av elektroniska handlingar som avses. Om det krävs för förståel- sen ska dokumentationen förses med innehållsförteckning, läs- anvisning samt beskrivning av den eller de metoder som har använts vid framtagning av dokumentation. Dokumentationen ska fort- löpande kompletteras och hållas aktuell. Sambanden mellan elek- troniska handlingar och dokumentation ska upprätthållas över tid.107

Dokumentationen ska bl.a. innehålla en översiktlig beskrivning, redogörelse för informationsinnehåll, redogörelse för indata och utdata, redogörelse för registrerings- och uttagsmöjligheter, be- skrivning av relationer mellan olika delar, beskrivning över hur koder och förkortningar har använts, beskrivning av rutiner och funk- tioner, beskrivning av lagrade data såsom struktur, samband och definitioner, redogörelse för ändringar, redogörelse för infor- mationskvalitet, redogörelse för användningen av standarder samt i förekommande fall avvikelser från standarder, dokumentation av strategi för bevarande, dokumentation av test och utvärdering vid driftsättning, dokumentation rörande informationssäkerhet och dokumentation rörande den gallring som sker av elektroniska hand- lingar. 108

Våra inledande överväganden

Vi noterar inledningsvis att såväl offentlighets- och sekretesslagens krav på beskrivning och registrering som arkivlagstiftningens krav på dokumentation, här främst redovisat genom en kort redogörelse av Riksarkivets föreskrifter, hänför sig till allmän handling som utgångspunkt för det som ska registreras respektive dokumenteras. De svårigheter som vi ovan redogjort för vad gäller att avgöra den offentligrättsliga statusen för sammanställningar av uppgifter ur

1065 kap. 1 § RA-FS 2009:1.

1075 kap. 2och3 §§ RA-FS 2009:1.

1085 kap. 4 § RA-FS 2009:1.

180

SOU 2018:25

Automation i förvaltningen

elektroniska handlingar i digital miljö blir därmed av betydelse även i fråga om dessa registrerings- och dokumentationsskyldigheter. Det föreligger alltså fortfarande en rättslig osäkerhet med avseende på vad som utgör en allmän handling när det gäller datorprogram och i än högre grad när det gäller dess mindre beståndsdelar i form av algoritmer.

Som framgått ovan kan algoritmer eller datorprogram i vissa fall utgöra färdiga elektroniska handlingar, som träffas av befintliga krav på registrering eller dokumentation enligt offentlighets- och sekre- tesslagen eller arkivregleringen. I andra fall kan en algoritm som beskrivs i programkod kunna vara att anse som en osjälvständig del av programmet, som därmed endast vid förfrågan skulle kunna bli aktuell att sammanställa som en allmän handling (under förutsätt- ning att det är möjligt att åstadkomma med rutinbetonade åtgärder). De sistnämnda algoritmerna träffas inte direkt av de befintliga registrerings- och dokumentationskraven. Kraven kan nämligen inte förstås på annat sätt än att de enbart träffar färdiga elektroniska handlingar. Som ovan framgått förstärks också problematiken när det är fråga om algoritmer eller anknytande datorprogram som till- handahålls av utomstående leverantörer.

Till detta bör läggas att Riksarkivets föreskrifter inte är direkt bindande i förhållande till kommuners hantering av allmänna hand- lingar.109 Under kartläggningen har det därtill blivit känt för oss att föreskrifterna som rör arkiv inte heller alltid beaktas från början när ett nytt it-system eller datorprogram tas i bruk, trots de olägenheter som uppstår när frågor om möjligheter till långtidsbevarande inte omhändertas redan när ett nytt system planeras.

7.6.4Offentlighets- och sekretesslagen om beslutsunderlag

Dokumentation av beslutsunderlag

I 4 kap. 3 § offentlighets- och sekretesslagen finns en särskild bestämmelse om dokumentation av beslutsunderlag som tillkom i mitten på 1970-talet. Den anger att om en myndighet för hand- läggning av ett mål eller ärende använder sig av en upptagning för automatiserad behandling, ska upptagningen tillföras handlingarna i

109 Samverkan äger dock rum mellan Riksarkivet, Sveriges Kommuner och Landsting (SKL) kommuner och landsting, bl.a. genom samrådsgruppen för kommunala arkivfrågor.

181

Automation i förvaltningen

SOU 2018:25

målet eller ärendet i läsbar form, om det inte finns särskilda skäl mot det. Bestämmelsen innebär med andra ord en huvudregel om skyldighet att överföra uppgifter som en myndighet hämtar från t.ex. ett visst register till handlingarna i det enskilda målet eller ärendet. Regeln tar även sikte på sådana upptagningar som inte innefattar upplysning om enskild person. Som skäl för bestäm- melsen anfördes att man inte i efterhand kan göra klart för sig vilka uppgifter som påverkade beslutet i ett mål eller ärende om inte alla uppgifter som hade betydelse för avgörandet ingår i akten. Det angavs vidare att eftersom ADB-register110 ofta ändras kontinuerligt, kunde deras innehåll vid viss tidpunkt vara svårt att fastställa. Bestämmelsens betydelse för att tillgodose offentlighetsprincipen framhölls också i förarbetena till densamma.111

Efter att ursprungligen varit placerad i dåvarande datalagen (1973:289) har bestämmelsen flyttats till den tidigare sekretesslagen och överförts till den nuvarande offentlighets- och sekretesslagen.112 Redan när den aktuella bestämmelsen infördes pekade flera remissinstanser på ekonomiska konsekvenser och att åtskilligt av vinsterna med nya datasystem skulle gå förlorat om myndigheterna tvingades överföra informationsmängder till akter (som då var pappersbaserade). Av det skälet infördes möjligheten till undantag. Det ankommer på myndigheten själv att avgöra i vilka fall man bör kunna underlåta att överföra en upptagning till handlingarna i målet eller ärendet i läsbar form. Det krävs dock att särskilda skäl före- ligger. Som exempel på sådana skäl angavs i förarbetena att upp- tagningen finns lätt tillgänglig, t.ex. via bildskärm. Departements- chefen förtydligade också att bestämmelsen endast avser upptagning som används i mål eller ärende. Till denna kategori borde normalt

inte räknas exempelvis framställning av statistikprodukt.113 Förarbeten till 1986 års förvaltningslag hänvisar till den aktuella

bestämmelsen. Där anges också att bestämmelsen ska tillämpas framför förvaltningslagens paragraf om skyldighet att dokumentera

110ADB står för automatiserad/automatisk databehandling.

111Se bl.a. Kungl. Maj:ts proposition med förslag till ändringar i tryckfrihetsförordningen, m.m.,prop. 1973:33,s. 141.

112Personuppgiftslag, prop. 1997/98:44 s. 112 och Offentlighets- och sekretesslag, prop. 2008/09:150, s. 365.

113Prop. 1973:33 s. 141 f. Se även prop. 1997/98:44 s. 112 f. och prop. 2008/09:150 s. 365, där formuleringen ”upptagning för automatiserad behandling” valdes i stället för begreppet

”ADB-register” som ansågs föråldrat.

182

SOU 2018:25

Automation i förvaltningen

information om uppgifter som en myndighet får på annat sätt än genom en handling och som kan ha betydelse för utgången i ärendet.114

Våra inledande överväganden

Den särskilda bestämmelsen i offentlighets- och sekretesslagen om överföring av upptagning för automatiserad behandling i läsbar form i vissa fall har i stor utsträckning lämnats oförändrad sedan dess till- komst i mitten på 1970-talet. Den förändring i lydelse som gjordes vid ikraftträdande av offentlighets- och sekretesslagen, när termen ADB-register utmönstrades till förmån för lydelsen upptagning för automatiserad behandling, kan i någon mån ha grumlat betydelsen av bestämmelsen eftersom det inte framgår lika tydligt att bestäm- melsen syftar till att träffa situationer när information hämtas eller läses från andra register eller databaser.

Under senare tid har sammanlänkningen av databaser och andra delar av it-system inom förvaltningen i allt högre grad ökat, liksom nyttorna med att använda stora datamängder (med en annan term

”Big Data”) till underlag för beslut och för framtagande av t.ex. beslutsstöd för delvis automatiserat beslutsfattande. Detta och den allt mer samordnade informationsförsörjningen inom förvaltningen gör att bestämmelsen enligt vår bedömning fortfarande är högst relevant.115

Undantagsmöjligheten från kravet på att beslutsunderlag ska tillföras målet eller ärendet motiverades ursprungligen av kostnads- skäl med avseende på kostnader för att ta fram och bevara pappers- handlingar i ärendeakter över uppgifter från olika datoriserade register. Kostnadsaspekten är enligt vår bedömning fortfarande av vikt vid val av hur uppgifter (data) bör lagras i förvaltningen. I nutid gäller det särskilt frågan om kostnader för att lagra stora volymer i varje enskilt ärende jämförd med kostnaden för lagring vid en central källa. Samtidigt behöver även bl.a. informationssäkerhetsaspekter beaktas vid val av lagringsplats. Behovet av att använda bestämmel-

114Regeringens proposition 1985/86:80 om ny förvaltningslag, s. 66.

115Tidigare har bestämmelsens relevans i förhållande till dokumentationsskyldighet enligt förvaltningslagen m.fl. författningar ifrågasatts, se bl.a. Elektronisk dokumenthantering (SOU 1996:40) s. 262 f.

183

Automation i förvaltningen

SOU 2018:25

sens undantagsmöjligheter för att undvika lagring av samma upp- gifter på flera håll inom en myndighet eller i förvaltningen torde emellertid enligt vår bedömning snarare öka än minska. Fortfarande behöver det dock, särskilt av rättssäkerhetsskäl men också av allmänt insynsintresse, finnas möjligheter till insyn i de uppgifter som relaterar till ett enskilt mål eller ärende. Vi ser därför ett behov av att göra en närmare analys avseende om, och i förekommande fall hur, möjligheten till insyn i beslutsunderlaget i enskilda mål eller ärenden behöver klargöras eller stärkas.

7.7God offentlighetsstruktur för insyn i förvaltningens ärendehantering

7.7.1Behövs ny eller anpassad reglering?

Utredningens bedömning: En anpassning bör göras i den reg- lering som säkerställer insynsmöjligheter när vissa automatise- rade förfaranden används. Det gäller regler som säkerställer möj- ligheter till insyn dels i hur den digitala förvaltningen använder vissa algoritmer eller datorprogram vid mål- eller ärendehante- ring, dels i underlaget i enskilda mål eller ärenden.

En sådan anpassning undanröjer en rättslig osäkerhet som nu hindrar eller hämmar digitaliseringen samtidigt som offentlig- hetsprincipen säkerställs och rättssäkerheten stärks.

Skälen för utredningens bedömning

Insyn i den digitala förvaltningens verksamhet

Vår utgångspunkt är att graden av digitalisering och automation i förvaltningen ökar för att möta framtida samhällsutmaningar och för att upprätthålla en förvaltning som är trygg, innovativ och effektiv även i fortsättningen. För att tilliten till den digitala förvaltningen ska bestå vid en ökad grad av automation är det emellertid avgörande att möjligheter till öppenhet och insyn även i fortsättningen kan säkerställas.

184

SOU 2018:25

Automation i förvaltningen

En första fråga att ta ställning till är om insynsmöjligheterna förändras när manuella förfaranden automatiseras, och i sådant fall på vilket sätt.

Även vid automatiserade förfaranden gäller bestämmelserna i bl.a. förvaltningslagen som kräver att en myndighet måste ange de skäl som har bestämt utgången i ett enskilt ärende och att skälen måste presenteras på ett sådant sätt att de blir begripliga för den enskilde.116 Det kan hävdas att det oavsett teknik är detta resultat av myndigheternas regeltillämpning som är det viktiga, och att det är denna regeltillämpning som allmänheten med stöd av offentlighets- principen behöver kunna få insyn i och kontrollera. Det finns inte heller någon särskild mekanism för insyn för att kontrollera hur ett manuellt framställt beslut har tillkommit annat än i den mån det framgår av beslutsmotiveringen. De rutiner och hjälpverktyg som den enskilde tjänstemannen i övrigt använder vid regeltillämpning är t.ex. sällan föremål för allmänhetens insyn.117

Vid en manuell handläggning kan emellertid frågor ställas i efterhand till ansvarig tjänsteman, t.ex. vid tillsyn och myndigheters interna egenkontroller. Det är också möjligt att kontrollera t.ex. vilken utbildning den ansvarige beslutsfattaren har haft eller i övrigt vilka förutsättningar som förelåg när tjänstemannen fattade beslutet. För att säkerställa, och också visa, att inga ovillkorliga hänsyn tas i samband med mänskligt beslutsfattande finns också flertalet bestämmelser om jäv.118

I den mån datorprogram som används vid myndigheters auto- matiserade förfaranden innehåller felkonstruktioner vilket leder till felaktiga resultat skulle det kunna hävdas att de befintliga rätts- säkerhetsgarantierna där oriktiga beslut kan angripas på vanligt sätt, t.ex. genom överklagande, fortfarande är tillräckliga. Under kart- läggningen har vi emellertid fått exempel på fall där det visat sig svårt att i efterhand dels alls upptäcka, dels tränga in i och närmare kontrollera dessa felaktigheter. Det behöver vara möjligt för den enskilde som berörs av ett visst beslut, för tillsynsmyndigheter, journalister eller andra intressenter hos allmänheten och inte minst för myndighetens egen personal att finna eventuella brister i de

11632 § förvaltningslagen och prop. 2016/17:180. Se även 17 kap. 7 § första stycket 5 och

30kap. 5 § första stycket 5 rättegångsbalken, 30 § andra stycket förvaltningsprocesslagen och

28§ lagen om domstolsärenden.

117Se motsvarande resonemang i SOU 1997:39 s. 567.

118Se t.ex. 16–18 §§ förvaltningslagen.

185

Automation i förvaltningen

SOU 2018:25

algoritmer eller anknytande datorprogram som används. Annars blir de formella möjligheterna att angripa fel genom överklagande av beslut kraftigt kringskurna.

Förvaltningens automationsåtgärder föranleder alltså vissa för- ändringar i möjligheten till insyn som behöver adresseras och belysas ur ett rättsligt perspektiv för att säkerställa fortsatt rättssäkra för- faranden.

Av våra inledande överväganden i kapitel 7.6 framgår samman- fattningsvis att den rätt till insyn i bl.a. logiken bakom ett auto- matiserat förfarande som föreskrivs i dataskyddsförordningen inte är heltäckande, vare sig när det gäller att tillgodose insynsintressen i enskilda ärenden eller allmänhetens generella insynsintressen. Den särskilda rätt till partsinsyn som följer av bl.a. förvaltningslagen ger inte heller rätt till insyn i de datorprogram (inklusive algoritmer) som används vid helt eller delvis automatiserat beslutsförfarande, eller särskilt upprättade krav- eller designdokument i den utsträck- ning sådana har tagits fram inom myndigheten.

Rättsläget är vidare i viss utsträckning oklart när det gäller den offentligrättsliga statusen för datorprogram och i än högre grad när det gäller dess beståndsdelar i form av framför allt algoritmer. Bedömningen av vad som utgör allmän handling i digital miljö får samtidigt helt avgörande betydelse för de nu gällande registrerings- och dokumentationsskyldigheterna som förvaltningen har att full- göra i syfte att möjliggöra allmänhetens insyn. Särskilt när det är fråga om algoritmer eller anknytande datorprogram som tillhanda- hålls av utomstående leverantörer ger nuvarande rättsliga förutsätt- ningar enligt vår bedömning inte fullgoda möjligheter till insyn för att följa förvaltningens verksamhet. För flera myndigheter behövs samtidigt samverkan med privata aktörer, vare sig det rör inköp eller utkontraktering, för att kunna ta tillvara digitaliseringens möjlig- heter eftersom vissa funktioner kräver specialistkompetens som inte varje myndighet kan sörja för på egen hand.

Den rättsliga osäkerhet gällande insynen i den allt mer automati- serade förvaltningen som beskrivits för oss under kartläggningen, och som vi i kapitel 7.1.2 bedömt ha en hämmande inverkan på förvaltningens fortsatta digitalisering med avseende på automations- åtgärder har sammanfattningsvis fog för sig även efter en analys av gällande rätt.

186

SOU 2018:25

Automation i förvaltningen

Därtill kan det enligt vår bedömning finnas skäl att stärka skyddet för enskilda genom att fastställa lämpliga skyddsåtgärder i nationell rätt på det sätt som föreskrivs i dataskyddsförordningen om automa- tiserat beslutsfattande. Våra ställningstaganden och förslag i det följande ska alltså också ses i förhållande till dataskyddsförord- ningens reglering om lämpliga åtgärder till skydd för enskilda.119

Sekretess

Det bör framhållas att det inte sällan kommer i fråga att någon form av sekretess gäller för myndigheters algoritmer eller datorprogram, liksom för särskild dokumentation kring framtagande av dessa i den mån sådana dokument skulle vara att anse som allmänna handlingar.

Det kan röra sig om sekretess för uppgifter som skulle kunna missbrukas om de blev allmänt kända, t.ex. uppgifter som ska hållas hemliga med hänsyn till myndighetens verksamhet för inspektion, kontroll eller annan tillsyn.120 Om en algoritm eller ett datorprogram som utgör allmän handling innehåller uppgifter som avslöjar de kontrollmetoder som myndigheten använder, t.ex. vilka uppgifter som jämförs för att kontrollera skattskyldiga eller hur urvalet av bidragsberättigade som ska granskas görs, kan den aktuella sekre- tessbestämmelsen vara tillämplig.

Det kan också röra sig om sekretess för uppgifter som lämnar eller kan bidra till upplysning om säkerhets- eller bevakningsåtgärd, om det kan antas att syftet med åtgärden motverkas om uppgiften röjs och åtgärden avser system för automatiserad behandling av information.121 Även annan sekretessreglering kan aktualiseras.

Det förhållandet att sekretess kan gälla för algoritmer eller dator- program inverkar emellertid inte på behovet av att upprätthålla god offentlighetsstruktur till gagn för en grundläggande möjlighet till insyn i förvaltningens förfaranden. Tvärtom gäller ovillkorliga krav på registrering av allmänna handlingar som omfattas av sekretess122 med hänsyn till den särskilda vikten av att sådana handlingar hålls ordnade hos myndigheterna. Att sekretess kan gälla för de algorit- mer eller datorprogram som vi nu närmare analyserar, stärker därför

119Artikel 22.2.b dataskyddsförordningen, se även våra inledande överväganden i kapitel 7.6.2.

12017 kap. 1 § offentlighets- och sekretesslagen.

12118 kap. 8 § 3 offentlighets- och sekretesslagen.

1225 kap. 1 § tredje stycket offentlighets- och sekretesslagen.

187

Automation i förvaltningen

SOU 2018:25

snarare än försvagar behovet av god offentlighetsstruktur. En sådan god struktur bidrar också till goda möjligheter för tillsyn och egenkontroll, särskilt i de situationer när allmänhetens möjligheter till insyn begränsas av sekretess.

Immaterialrätt

De immaterialrättsliga förutsättningar som kan finnas, framför allt i fråga om upphovsrätt för datorprogram, behöver också tas i beak- tande vid överväganden om vilka möjligheter till insyn som finns och ska finnas i en digital förvaltning.

Upphovsmannens och rättighetsinnehavarens intressen skyddas av upphovsrättslagstiftningen och andra lagar som ansluter till upp- hovsrättens område.123 Upphovsrättsligt skydd förhindrar normalt sett inte ett utlämnande av allmänna handlingar.124 Utlämnandet betyder dock inte att den som tar del av handlingen kan vidareutnyttja den fritt, t.ex. tillgängliggöra handlingen på webben eller sälja kopior av handlingen, eftersom upphovsrätten kvarstår efter ett utlämnande. I offentlighets- och sekretesslagen finns vidare sekretessreglering som träffar uppgift i ett upphovsrättsligt skyddat verk som inte kan antas sakna kommersiellt intresse.125 De förslag som utredningen lämnar behöver därför stå i god balans med intresset av att värna även det immaterialrättsliga skyddet. Den balansen diskuteras i kapitel 11.4.3 om it-avtal, där också bl.a. lagen (1990:409) om skydd för företags- hemligheter uppmärksammas.126

Myndigheters ansvar och möjligheter till egenkontroll

Som framgått i kapitel 7.5.2 följer också nya risker med modern teknik. Om brister i insynsmöjligheter består samtidigt som förvalt- ningen tar ett tekniksprång finns en påtaglig risk för att fel i bakom- liggande funktioner inte alls uppmärksammas. Några situationer där felaktigheter visat sig förekomma i samband med automatiserade

1231 kap. 8 § tryckfrihetsförordningen.

12426 b § upphovsrättslagen (1960:729).

12531 kap. 23 § offentlighets- och sekretesslagen.

126Regeringen har i lagrådsremiss En ny lag om företagshemligheter av den 8 februari 2018 föreslagit ny lagstiftning.

188

SOU 2018:25

Automation i förvaltningen

förfaranden har också beskrivits för oss under kartläggningen.127 Samtidigt har vi förstått att det inte alltid varit möjligt för en myndighet att på egen hand kontrollera fel i bakomliggande beräk- ningar, på grund av att myndigheten inte haft tillgång till det dator- program som använts eller för egen del haft tillräcklig möjlighet till insyn i den bakomliggande funktionaliteten. Det kan t.ex. ha berott på att myndigheten inte ställt särskilda krav i förhållande till leveran- törer på att viss insynsmöjlighet ska finnas (se även kapitel 11.4.3 om it-avtal).

Vad som anförts ovan om bristande möjligheter för myndigheter att för egen del kunna ta del av hur de algoritmer eller datorprogram som används i verksamheten fungerar aktualiserar frågan om hur en myndighet kan säkerställa att ansvar kan tas för ärendehandläggning och beslutsfattande vid automatiserade förfaranden. Det gäller särskilt i de fall algoritmer med anknytande datorprogram som används tillhandahålls av annan.

Ytterligare en av de frågor som har lyfts för oss under kartlägg- ningen är vem på myndigheten som kan eller bör anges som ansvarig för beslut som fattats automatiserat. Ytterst är myndighetschefen ansvarig för den verksamhet som bedrivs vid myndigheten. Men de ovan nämnda frågeställningarna visar på vikten av att det i myndig- heten finns en tydlig, och i förhållande till enskilda och allmänhet, transparent fördelning avseende vem som har att ta ställning till om, och på vilket sätt, automatiserade förfaranden ska införas och hur de ska utformas. Den ansvarige vid myndigheten, ytterst myndighets- chefen om delegation inte framgår av arbetsordning eller på annat sätt, behöver därförsäkerställa att det kommer att finnas tillräckliga möjligheter till insyn i den funktionalitet som ligger bakom auto- matiserade förfaranden så att det är möjligt att utöva ansvaret för den verksamhet som bedrivs och de beslut som fattas.

Här bör också nämnas att ansvarsfrågor rörande ökat automa- tiserat beslutsfattande i förvaltningen kan komma att angränsa till regeringsformens krav på att en förvaltningsuppgift som innefattar myndighetsutövning endast får överlämnas åt kommuner, andra juridiska personer och enskilda individer med stöd av lag.128 Detta utgör också ett skäl till varför myndigheter för egen del behöver ha förmåga att fullgöra sitt eget ansvar och inte passera gränsen för vad

127Se t.ex. förvaltningsrätten i Uppsalas dom av den 28 juni 2017 i mål nr 1333-17.

12812 kap. 4 § regeringsformen.

189

Automation i förvaltningen

SOU 2018:25

som utan särskilt författningsstöd är tillåtet att överlämna till en utomstående aktör.

Utöver allmänhetens intresse av insyn i förvaltningens verk- samhet kan mot den beskrivna bakgrunden också läggas intresset av att verksamhetsansvariga har fullgoda möjligheter att ta ansvar för den verksamhet som bedrivs, och de beslut som fattas, också genom automatiserade förfaranden. Vad som här diskuteras om behov av anpassad reglering för att säkerställa förmåga att ge tillräcklig insyn i den digitala förvaltningen bör därför även ses i ljuset av att skapa goda förutsättningar för förvaltningens egenkontroll och ansvars- tagande vid automatiserade förfaranden, särskilt med ny teknik i åtanke.

Författningsändringar eller andra alternativ

Inför fortsatta ställningstaganden har vi övervägt om den rättsliga analys som ovan beskrivits i sig skulle kunna bidra till att myndig- heter säkerställer insyn i den digitala förvaltningens verksamhet genom att bl.a. ställa krav på utomstående leverantörer och avtala om insynsmöjligheter. Kan med andra ord tillräckligt god offentlighets- struktur och möjligheter till insyn i den digitala förvaltningen åstad- kommas, utan att någon ny reglering föreslås vid sidan av den som gäller enligt t.ex. dataskyddsförordningen till skydd för den registre- rade?

Det finns flera situationer där en sådan god offentlighetsstruktur med insynsmöjligheter behövs, under förutsättning att det inte gäller sekretess. Behovet gör sig gällande i alla typer av utvecklings- arbeten, vid helt myndighetsinterna sådana såväl som vid myndig- hetssamverkan. Behovet visar sig också vid inköp eller utkontrakte- ring av olika slag. Det gör sig vidare gällande i såväl enskilda ärenden, som mer generellt när det gäller den bakomliggande funktionaliteten vid automatiserade förfaranden. Vi bedömer det dock sammantaget som osannolikt att krav som inte härrör från författning alltid skulle prioriteras i utvecklingsarbeten, vid inköp eller utkontraktering, särskilt inte om de i något fall kan komma att medföra kostnads- ökningar utan att genast ge verksamhetsnytta.

Under kartläggningen har vi också, å ena sidan, fått kännedom om att i vart fall delar av förvaltningen nu intar en försiktig hållning

190

SOU 2018:25

Automation i förvaltningen

och avvaktar med automationsåtgärder givet det oklara rättsläget. Detta även efter de ändringar i förvaltningslagen om automatiserat beslutsfattande som genomförts i syfte att underlätta förvaltningens fortsatta digitalisering. Här märks med andra ord en vilja att juridiska överväganden och fortsatt lagstiftningsarbete ska gå före innan nya automatiserade förfaranden sjösätts. De hittillsvarande diskussionerna om automatiserat beslutsfattande var rättsenligt utan uttryckligt författningsstöd har också visat på att förekomsten av rättslig osäkerhet kan hindra eller fördröja en digital utveckling inom förvaltningen, på ett sätt som nu i efterhand har visat sig onödigt när förvaltningslagen ändrats och ger ett generellt stöd åt den auto- matiserade beslutsformen.

Å andra sidan ser vi också en risk för att andra incitament eller styrmedel än rättsregler snabbt kan driva utvecklingen i offentlig verksamhet vidare. En faktor som talar för detta är det tekniksprång som nu äger rum, bl.a. genom AI-system med maskininlärda algorit- mer som har annan funktionalitet än de traditionellt programmerade algoritmerna. Om det inte står klart att grundläggande krav på god offentlighetsstruktur och möjlighet till insyn i verksamheten kan tillgodoses vid automation i förvaltningen samtidigt som t.ex. effek- tivitetsskäl driver utvecklingen snabbt framåt, finns risker för att nya funktioner byggs som i efterhand visar sig svåra eller kostsamma att ändra om rättsliga problem framkommer först efter hand.

Enligt vår bedömning bör inte grundläggande frågor om garantier för allmänhetens insyn och rättssäkra förfaranden vid förvaltningens automation lämnas åt enskilda rättstillämpare vid respektive myndighet att hantera. I linje med vad regeringen tidigare anfört129 behöver förvaltningen från offentlighetssynpunkt garantera i vart fall förmåga att tillhandahålla viss information om bakomliggande funktionalitet vid automatiserade förfaranden. Särskilt när nu sådana förfaranden blir av allt större betydelse för förvaltningens verk- samhet och ärendehandläggning.

Enligt vår bedömning är tiden mogen för att genom en proaktiv reglering ge ledning genom tydliga rättsregler som följer det kon- stitutionella förfarandet. På det sättet drivs utvecklingen framåt samtidigt som det undviks att funktioner och förfaranden tas fram som senare visar sig inte gå att förena med centrala rättsliga värden,

129 Prop. 2001/02:70 s. 18 f.

191

Automation i förvaltningen

SOU 2018:25

med onödiga kostnader och väsentliga risker för såväl det allmänna som enskilda som följd.

Frågan om anpassning av regleringen om god offentlighets- struktur för att ge möjlighet till insyn bör prioriteras. Den har po- tential att stödja den fortsatta digitaliseringen av den offentliga förvaltningen som helhet, genom att undanröja en rättslig osäkerhet som hindrar eller hämmar digitaliseringen samtidigt som offentlig- hetsprincipen säkerställs och rättssäkerheten stärks.

Varje myndighet som överväger att öka graden av automation i sin verksamhet behöver också överväga nyttan med åtgärden. På en övergripande nivå bedömer vi dock att en ny reglering som klargör vissa frågor om god offentlighetsstruktur för säkerställande av in- synsmöjligheter också medför goda möjligheter till såväl effek- tivitetssprång i förvaltningens verksamhet som innovation i sam- hället i stort. Bland de områden som enligt vår bedömning kommer att präglas av en ökad grad av automation i framtiden, och som kommer att gagnas av den rättsliga tydlighet som här diskuteras, kan nämnas effektiva kontroller av utbetalningar i välfärdssystemen.

Det finns som beskrivits ovan en god rättslig struktur att utgå från när det gäller reglering som säkerställer insyn i hur förvalt- ningens verksamhet bedrivs. Vi ser inte anledning att frångå den strukturen eller göra några större eller genomgripande förändringar i regleringen. En anpassning bör dock göras i den reglering som säkerställer insynsmöjligheter när vissa automatiserade förfaranden används. Det gäller för det första, och som här ovan främst har berörts, möjligheterna till insyn i hur den digitala förvaltningen an- vänder vissa algoritmer med anknytande datorprogram vid mål- eller ärendehandläggning. Det gäller för det andra även insynsmöjligheter i underlaget i enskilda mål eller ärenden.

7.7.2Förmåga att ge insyn i vissa automatiserade förfaranden

Utredningens förslag: Det ska regleras i författning att en myndighet ska se till att information kan lämnas om hur myndig- heten vid handläggning av mål eller ärenden använder algoritmer eller datorprogram som, helt eller delvis, påverkar utfallet eller beslutet vid automatiserade urval eller beslut.

192

SOU 2018:25

Automation i förvaltningen

Skälen för utredningens förslag

Stärkt förmåga att ge insyn

Som framgått av de ovan redovisade bedömningarna (se kapitel 7.6 och 7.7.1) har allmänheten inte någon generell rätt eller möjlighet att få reda på hur förvaltningen använder algoritmer eller anknytande datorprogram. I stora delar av förvaltningen kanske det hittills inte heller har varit särskilt relevant att undersöka dessa funktioner närmare. Från offentlighetssynpunkt är det givetvis inte intressant hur ett ord- och textbehandlingsprogram eller ett registrerings- program är funktionellt uppbyggt. Där är det normalt endast själva texten eller siffrorna som behandlas, eller med andra ord de sakliga uppgifterna som hanteras, som är intressanta att få insyn i. Det intresset tillgodoses också i gällande rätt.

Enligt vår bedömning är det främst av intresse att nu säkerställa att myndigheter kan lämna information om hur de vid handläggning av mål eller ärenden använder vissa algoritmer eller datorprogram som närmast ersätter mänskliga handläggare vid bedömningar i sam- band med ärendehantering (se vidare nedan för närmare avgränsning av vilka algoritmer eller datorprogram som avses). Ett sådant säker- ställande av offentlighetsprincipen och förstärkning av rätts- säkerhetsgarantierna i den digitala förvaltningen bedömer vi vara ett rättsligt fundament för att förvaltningen nu ska kunna ta effek- tivitetssprånget mot en ökad automation, och också kunna dra nytta av ny teknik som t.ex. AI-system med maskininlärda algoritmer. Det handlar med andra ord om att förvaltningen även i fortsättningen ska ha förmåga att kunna svara på frågor om hur verksamheten bedrivs, också när den inte längre sköts av mänskliga handläggare som själva kan svara på frågorna.

Intresset av att stärka förmågan att kunna ge insyn i hur förvalt- ningen använder sig av algoritmer med anknytande datorprogram gäller i och för sig redan för traditionellt programmerade algoritmer och datorprogram, där programutvecklaren har omvandlat rättsliga regler till logiska formler i programmet och i det sammanhanget varit tvungen att tolka vissa av reglerna.130 Det kan i dagsläget vara fråga om algoritmer eller datorprogram som t.ex. räknar ut skatter eller avgifter, eller som räknar ut hur mycket pengar en bidragsberättigad

130 Se Magnusson Sjöberg, Cecilia, a.a., s. 35.

193

Automation i förvaltningen

SOU 2018:25

person har rätt att få. Att proaktivt väga in detta intresse när användande av ny teknik övervägs i förvaltningen, samtidigt som en ökad grad av verksamheten kan förutspås bli automatiserad, är dock enligt oss ett än tyngre vägande skäl varför tiden nu är mogen för den reglering som diskuteras i detta kapitel.

I det föregående och nedan resoneras också om att förhållandet till dataskyddsförordningens reglering om automatiserade beslut är ett ytterligare skäl för utredningens förslag.

God offentlighetsstruktur genom förmåga att ge insyn i vissa automatiserade förfaranden

Intresset av att kunna kontrollera och få insyn i myndigheternas verksamhet även när den automatiseras motiverar enligt oss att allmänheten som utgångspunkt ska ha möjlighet att få svar på frågor om hur viss verksamhet vid myndigheterna bedrivs när den sköts av algoritmer eller datorprogram. Intresset av att kunna kontrollera och få insyn gör sig gällande även beträffande sådana algoritmer eller datorprogram som enligt gällande rätt inte skulle anses utgöra all- män handling. Det kunde därför vara aktuellt att undersöka ändringar i grundlagens reglering om handlingsoffentlighet för att säkerställa att algoritmer eller datorprogram som används vid vissa automatiserade förfaranden kommer att kunna granskas av allmän- heten.

Det ligger emellertid inte inom ramen för vårt uppdrag att föreslå grundlagsändring. En grundlagsändring tar därtill särskild tid att genomföra, och vår bedömning är att den komplettering av gällande rätt som vi nu undersöker bör åstadkommas i närtid. En ändring i grundlagen bedöms inte heller vara nödvändig för att åstadkomma den goda offentlighetsstruktur som kan säkerställa att myndigheter förmår ge nödvändig insyn för granskning även av automatiserade förfaranden.

Även om utgångspunkten är att allmänheten ska ges insyn i förvaltningens verksamhet, kommer vidare som framgått ovan sekretess inte sällan att gälla för dessa algoritmer eller datorprogram liksom för särskild dokumentation kring framtagande av dessa i den mån det skulle vara fråga om allmän handling. Behovet av att åstad- komma god offentlighetsstruktur stärks emellertid snarare än minskar när det också finns intressen av slutenhet (se kapitel 7.7.1

194

SOU 2018:25

Automation i förvaltningen

om sekretess och upphovsrätt). I sammanhanget bör det även beaktas att de algoritmer eller datorprogram som vi nu diskuterar normalt kommer att vara komplexa och inte i första hand enkla för var och en ur allmänheten att sätta sig in i och förstå.

Den förmåga att även i fortsättningen säkerställa möjligheter till granskning och insyn i förvaltningens verksamhet som vi strävar efter att åstadkomma behöver därför enligt vår bedömning i viss utsträckning kunna kompletteras av en myndighets egenkontroll av de automatiserade förfarandena, av revision, tillsyn eller andra former av utomstående kontroll eller andra åtgärder för att kunna visa allmänheten att förfarandena är rättssäkra även när det inte är möjligt för var och en att ta del av själva algoritmerna eller program- men. Vi återkommer till den frågan i kapitel 7.8.3 när det särskilt gäller AI-system.

Vilka automatiserade förfaranden avses?

De algoritmer eller datorprogram som är särskilt intressanta ur insynssynpunkt är i första hand de som används vid helt auto- matiserat beslutsfattande, dvs. beslut som fattas helt utan mänsklig inblandning. Algoritmer eller datorprogram som lämnar förslag till beslut, så kallade beslutsstöd eller delvis automatiserade beslut, kommer emellertid såvitt vi bedömer att få en allt ökande betydelse i den digitala förvaltningen. Gränsdragningen mellan vad som kom- mer att anses som helt automatiserade förfaranden och sådant beslutsfattande som fattas av människor med understöd av dator- genererade förslag kommer inte att vara helt skarp. Enligt vår bedömning finns det också ett intresse av att säkerställa förmåga till insyn i de beslutsstöd som kommer att ligga till grund för besluts- fattande.

Det har inte legat inom ramen för denna utredning att kartlägga i vilken omfattning förvaltningen tillämpar särskilda automatiska förfaranden för urval och kontroll som t.ex. syftar till att i förväg bedöma vilken sannolikhet det finns för att en individ ska agera felaktigt. Här analyseras inte heller närmare hur sådana kontroller kan utföras på ett effektivt sätt utan att stå i konflikt med grund- läggande bestämmelser om diskrimineringsförbudet i regerings- formen och om integritetsskydd i dataskyddsförordningen och i de

195

Automation i förvaltningen

SOU 2018:25

registerförfattningar som är aktuella.131 Vi ser dock behov av att också de algoritmer eller datorprogram som används vid den typen av urval, oavsett om det resulterar i något förvaltningsrättsligt beslut eller inte, omfattas av de här diskuterade möjligheterna att ge insyn.

Vi bedömer sammanfattningsvis att intresset av att myndigheter fortsatt ska säkerställa en förmåga att kunna lämna information om hur verksamheten bedrivs, även när den automatiseras, är särskilt angeläget vid handläggning av mål eller ärenden när myndigheter använder algoritmer eller datorprogram som påverkar automa- tiserade urval eller beslut.

Ett krav på funktion snarare än viss dokumentation

Den centrala frågan i sammanhanget är hur god offentlighetsstruk- tur kan åstadkommas som säkerställer grundläggande insynsmöjlig- heter, vilka i sin tur skapar tillit till den digitala förvaltningen vid de ovan beskrivna automatiserade förfarandena.

Vi ser inte behov av att i detalj reglera nya administrativa rutiner om vilken dokumentation som krävs för att tillgodose intressen av insyn i myndigheternas verksamhet när automatiserade förfaranden används. En sådan ansats skulle riskera att bli allt för administrativt betungande för myndigheterna. Det skulle vidare kunna bli kostsamt i onödan om krav på ingående dokumentation måste fullgöras och om detaljeringsgraden inte är anpassad för den enskilda situationen. Risken finns också att en detaljerad reglering om dokumentation i förlängningen inte visar sig gå i takt med teknikutvecklingen, på ett sätt som gör att det övergripande syftet med regleringen i form av att fortsatt upprätthålla goda insynsmöjligheter inte heller uppnås.

Det finns snarare behov av att säkerställa att en myndighet alltid har förmåga att kunna redogöra för hur den vid handläggning av mål eller ärenden använder vissa algoritmer eller datorprogram som är av avgörande betydelse, än behov av en viss specifik dokumentation i sig. Till skillnad från det förslag som lämnades av Datalagskom- mittén i Integritet Offentlighet Informationsteknik132 ser vi alltså inte anledning att föreslå någon generell bestämmelse som ålägger

131Jfr förslagen i Integritetskommitténs slutbetänkande Så stärker vi den personliga integriteten (SOU 2017:52), s. 142 f.

132SOU 1997:39.

196

SOU 2018:25

Automation i förvaltningen

myndigheterna att ta fram och hålla viss specifik systemdoku- mentation tillgänglig. Vi inriktar oss i stället på att myndigheter även när förfaranden automatiseras ska ha fortsatt förmåga att kunna ge insyn i verksamheten. Det handlar alltså snarare om att en sådan funktion ska upprätthållas, än att viss dokumentation måste finnas.

Med beaktande av det ovan anförda bör det regleras att myndig- heter alltid ska se till att ha förmåga att, på förfrågan, kunna lämna information om hur de vid handläggning av mål eller ärenden använder aktuella algoritmer med anknytande datorprogram. En sådan förmåga och funktion måste kunna krävas av den digitala för- valtningen för att säkerställa tilliten till automatiserade förfaranden. Vi föreslår därför att det ska komma till klart uttryck i författning att myndigheter ska kunna lämna sådan information om någon frågar efter den.

Regleringen bör dock inte utformas som ett mer vidsträckt krav än nödvändigt. Det är tillräckligt att en myndighet ser till att ha eller skaffar sig förmåga att kunna lämna övergripande redogörelser för hur de algoritmer med anknytande datorprogram som omfattas av den nya regleringen används av myndigheten vid frågor från t.ex. all- mänheten. Samtidigt bör även här understrykas att sekretess kan hindra att myndigheten alls svarar på allmänhetens frågor som rör användningen av algoritmer eller datorprogram. I de situationerna är det tillräckligt att myndigheten innehar förmåga att lämna infor- mation för att kunna svara t.ex. tillsynsmyndigheter eller i samband med att myndigheten utövar egenkontroll avseende de aktuella algoritmerna eller datorprogrammen.

Sammanfattningsvis föreslår vi alltså att det i författning bör framgå att en myndighet ska se till att information kan lämnas om hur myndigheten vid handläggning av mål eller ärenden använder algoritmer eller datorprogram som, helt eller delvis, påverkar utfallet vid automatiserade urval eller beslutet vid automatiserade beslut.

Vårt förslag omfattar såväl algoritmer eller datorprogram som är att anse som allmänna handlingar, som sådana som annars inte utgör allmän handling. Vi föreslår inga ytterligare ändringar av gällande rätt i fråga om dokumentation genom beskrivning och registrering av allmänna handlingar (se kapitel 7.6.3), varför dessa bestämmelser alltjämt ska tillämpas i de fall algoritmer eller datorprogram utgör allmän handling.

197

Automation i förvaltningen

SOU 2018:25

Närmare om förslagets innebörd

I de fall en myndighet själv utvecklar eller handhar driften av de algoritmer med anknytande datorprogram som här avses kommer myndigheten normalt sett, genom sina tjänstemän, också ha förmåga att kunna redogöra för hur dessa används i myndighetens verksam- het. Om utomstående leverantörer anlitas kan det emellertid behöva ställas särskilda krav i förhållande till dessa, så att myndigheten får den information som behövs för att i sin tur ha förmåga att kunna redogöra för hur myndigheten använder algoritmerna eller dator- programmen i sin verksamhet. Se också vidare i kapitel 11 i fråga om praktiskt stöd i bl.a. denna fråga när it-avtal tecknas.

En myndighets information bör vidare kunna vara mer eller mindre detaljerad, beroende på den aktuella situationen. En över- gripande beskrivning av hur de algoritmer med anknytande dator- program som omfattas av regleringen används av myndigheten ska emellertid alltid kunna lämnas. I de fall varken sekretess eller immaterialrättsliga förhållanden uppställer hinder kan därtill t.ex. programkoden med fördel hållas öppen (s.k. öppen källkod), till gagn för såväl insyn som de innovationsmöjligheter detta kan föra med sig. Vårt förslag innebär dock inte någon rättighet för allmän- heten att ta del av programkod. I andra fall kan det röra sig om att de tekniska designdokument som tagits fram i samband med imple- menteringen av algoritmer och datorprogram också kan fungera som underlag när myndigheten fullgör den nu diskuterade bestämmelsen om förmåga att kunna lämna information. Detsamma gäller doku- mentation som tagits fram för att möta offentlighets- och sekretess- lagens eller arkivlagens bestämmelser om beskrivning eller registre- ring av allmän handling, i de fall algoritmer eller datorprogram anses utgöra sådan. Något absolut krav på att ta fram särskilda design- dokument eller annan dokumentation är det dock inte fråga om, varför förslaget inte bedöms kunna hamna i konflikt med tillämp- ningen av agila metoder för utvecklingsarbete. Även affärsmässiga överväganden kan påverka på vilket sätt en myndighet väljer att full- göra den nu aktuella förmågan att ge insyn i hur myndigheten använder algoritmer med anknytande datorprogram som tillhandahålls av utom- stående leverantörer (se vidare kapitel 11.4.3 om it-avtal).

Det bör mot den beskrivna bakgrunden enligt vår mening lämnas åt tillämparen att närmare avgöra hur långtgående information som

198

SOU 2018:25

Automation i förvaltningen

bör kunna lämnas om användningen av en viss algoritm eller an- knytande datorprogram. På så sätt riskeras inte heller att den reglering vi föreslår kommer i konflikt med upphovsrätt eller andra immateriella rättigheter, eller skapar konkurrensmässiga nackdelar eller onödiga hinder mot utkontraktering. På det sättet kan det också säkerställas att kravet på att kunna ge information i varje sär- skild situation balanseras mot exempelvis krav på säker slutenhet som kan föreligga av t.ex. sekretesskäl.

Förmågan att kunna lämna information om hur myndigheten använder algoritmer eller datorprogram vid mål- eller ärendehand- läggning bör emellertid inte ses så snävt som att det alltid handlar om att kunna redogöra för den exakta tekniska utformningen av algoritmer eller datorprogram som sådana. I flera fall torde det vara av större eller lika stort värde att inneha förmåga att kunna svara på frågor om t.ex. vilka kategorier av indata som används vid det automatiserade förfarandet. Är det uppgifter som hämtats från enskilda, från internetbaserade källor, från databaser på annat håll inom förvaltningen eller från sensorer utplacerade i en viss stad? Detta för oss också vidare till frågan om vikten av att säkerställa möjligheten till insyn i beslutsunderlag i enskilda ärenden, se kapitel 7.7.3.

Syftet med den nu föreslagna författningsregleringen är att stärka den goda offentlighetsstrukturen vid myndigheternas användning av vissa automatiserade förfaranden. Behovet bottnar i att besluts- fattande och urvalsförfaranden i ökad grad sker helt eller delvis automatiserat med stöd av nya tekniker i stället för av mänskliga handläggare som själva kan svara på frågor om hur verksamheten bedrivs. För att uppnå det syftet krävs dock inte enligt oss att det införs några nya förfaranden med t.ex. möjlighet till domstols- prövning.

Förhållande till dataskyddsregleringen

I den utsträckning en myndighet använder algoritmer med anknytande datorprogram vid automatiserat individuellt beslutsfattande, in- begripet profilering, som omfattas av dataskyddsförordningen, ut- gör den av oss föreslagna regleringen om förmåga att kunna lämna information också en lämplig åtgärd till skydd för den registrerades

199

Automation i förvaltningen

SOU 2018:25

rättigheter, friheter och berättigade intressen.133 Vårt förslag till- kommer därför som en ytterligare säkerhetsåtgärd i förhållande till de allmänna rättssäkerhetsgarantierna som anges i t.ex. förvaltnings- lagen, vilket enligt vår bedömning stärker förvaltningens generella förutsättningar att använda sig av den automatiserade beslutsformen vid beslutsfattande. Se dock även överväganden i kapitel 7.9.1 om gällande rätt med materiella bestämmelser, om eventuella ytterligare behov av säkerhetsåtgärder i vissa fall.

7.7.3Insyn i beslutsunderlaget i enskilda ärenden

Utredningens förslag: Uppgifter som utgör underlag i ett mål eller ärende ska som huvudregel tillföras handlingarna i det målet eller ärendet, även när underlaget kommer från databaser eller andra digitala källor. En myndighet behöver dock inte tillföra underlaget till handlingarna i målet eller ärendet om det finns särskilda skäl mot det.

När en myndighet inte tillför underlaget till det enskilda målet eller ärendet ska myndigheten se till att information kan lämnas om vilken eller vilka databaser eller andra digitala källor som inne- håller ett underlag för handläggningen av målet eller ärendet.

Skälen för utredningens förslag

Huvudregel om att underlag tillförs det enskilda målet eller ärendet

Vår utgångspunkt är att det finns anledning att hålla fast vid huvud- regeln i 4 kap. 3 § offentlighets- och sekretesslagen om att uppgifter som utgör underlag i ett mål eller ärende ska tillföras handlingarna i det målet eller ärendet, även när underlaget kommer från olika databaser eller andra digitala källor, t.ex. filer eller sensorsystem, via automatiserade förfaranden. Detta torde fortfarande normalt krävas för att myndigheten ska kunna bereda part insyn i utrednings- materialet enligt 25 § förvaltningslagen. Regleringen i 4 kap. 3 § offentlighets- och sekretesslagen är vidare inte begränsad till att ge part insyn utan avser att säkerställa en allmän insynsmöjlighet i det

133 Artikel 22.1 och 22.2 b dataskyddsförordningen.

200

SOU 2018:25

Automation i förvaltningen

underlag som ligger till grund för myndigheters mål- och ärende- handläggning.

När huvudregeln tillämpas är det enligt oss inte aktuellt att över- väga några ytterligare klargöranden avseende hur det ska vara möjligt att spåra uppgifternas härkomst, utan det bör också i fortsättningen anses tillräckligt att de sakliga uppgifter som utgör beslutsunderlag tillförs akten, som kan vara digital, i det mål eller ärende som hand- läggs.

Möjlighet till undantag

Huvudregeln bör enligt vår bedömning även fortsättningsvis kunna frångås om det finns särskilda skäl mot att tillföra underlag till hand- lingarna i målet eller ärendet i läsbar form. Som ett sådant särskilt skäl bör alltjämt kunna räknas att det finns andra tekniska möjlig- heter som gör att underlaget finns tillgängligt, så att exempelvis part kan se eller få tillgång till uppgifterna utan att en dubblett lagras i det enskilda ärendet.134

I tidigare förarbetsuttalanden har det uttalats att åtskilligt av vinsterna med nya datasystem skulle gå förlorade om myndigheterna skulle tvingas till en betydande och dyrbar hantering av kopior, då i pappersform. Argumentet gör sig fortfarande gällande, varför möjligheten till undantag också fortfarande behöver kunna användas om alternativet vore att myndigheterna skulle vållas betydande kostnader för dubbel elektronisk lagring av uppgifter.135

Behovet av att använda undantagsmöjligheten torde komma att öka i linje med att graden av inhämtande av beslutsunderlag från digitala källor kan förutses öka.136 Strävan går i flera avseenden mot att förenkla för enskilda så att dessa inte själva ska behöva fylla i och tillhandahålla alla uppgifter som behövs för att pröva en ansökan eller anmälan, utan i högre grad ges service genom att uppgifter samlas in från andra källor och presenteras digitalt på ett sätt som också underlättar för det fortsatta automatiserade förfarandet vid

134Jfr prop. 1973:33 s.143. Se i detta sammanhang även våra bedömningar i kapitel 8.3.7 och 12.2.4 om att det, i samband med utarbetande av nya former för informationsförsörjning inom förvaltningen, finns skäl för att vissa grundläggande uppgifter inte ska behöva kommuniceras med enskilda enligt 25 § förvaltningslagen i varje enskilt ärende.

135Se a. prop. s. 141 f.

136Jfr dock även vad som angetts i kapitel 7.6.4 om behovet av att överväga lagringsplatser även utifrån t.ex. informations- och cybersäkerhetsintressen.

201

Automation i förvaltningen

SOU 2018:25

ärendehandläggning och beslutsfattande. I vissa ärenden torde det dessutom bli allt vanligare med stora datamängder som besluts- underlag, t.ex. när det gäller geografisk information eller miljö- information. Användande av ny teknik med möjlighet till hantering av stora datamängder får inte leda till onödiga kostnader för dubbel lagring av information.

Spårbarhet till beslutsunderlag

Vi ser inte anledning att frångå den bedömning som regeringen tidigare gjort om att den nu aktuella bestämmelsen i offentlighets- och sekretesslagen har företräde framför förvaltningslagens krav på dokumentation av beslutsunderlag.137 Konsekvensen blir emellertid att det enligt gällande rätt inte följer några uttryckliga krav på att kunna härleda beslutsunderlag från upptagningar för automatiserad behandling som inte tillförs det enskilda målet eller ärendet.

Även när underlag från en sådan upptagning som här avses inte tillförs dokumentationen i det enskilda målet eller ärendet behöver en myndighet alltid kunna redogöra för var beslutsunderlaget finns, för att rättssäkra förfaranden och insyn i handläggningen av mål och ärenden ska kunna garanteras. Det bör därför enligt vår bedömning framgå klart i författning att myndigheter ska kunna upprätthålla spårbarhet till ett beslutsunderlag. Vi föreslår för tydlighets skull att detta kommer till uttryck genom ett tillägg till befintlig reglering som anger att myndigheten i den aktuella situationen ska se till att information kan lämnas om vilken eller vilka databaser eller andra digitala källor, t.ex. sensorer, filer eller andra lagringsplatser, som innehåller ett underlag för handläggningen av målet eller ärendet. Vi föreslår också att det görs språkliga justeringar i nuvarande 4 kap. 3 § offentlighets- och sekretesslagen för att förtydliga att det är just möjligheterna till insyn i underlag i mål eller ärenden som behöver säkerställas.

Den förändring som vi föreslår bör enligt vår bedömning även fungera som en god grund för fortsatta överväganden om en moder- nisering av informationsförsörjningen i den digitala förvaltningen, där uppgifter i högre utsträckning kan lämnas en gång och åter- användas inom förvaltningen.

137 Se prop. 1985/86:80 s. 66.

202

SOU 2018:25

Automation i förvaltningen

Vi ser inte anledning att föreslå några detaljerade eller betungande krav om på vilket sätt myndigheter ska säkerställa spårbarhet till beslutsunderlag, utan bedömer att det lämpligen även i fortsätt- ningen bör lämnas till tillämpande myndigheter att bestämma formerna för hur förmågan att spåra ett beslutsunderlag ska upp- rätthållas. Det finns också anledning att även här påminna om att uppgifter om vilken eller vilka databaser eller andra digitala källor som innehåller ett underlag för handläggningen av målet eller ären- det, kan omfattas av sekretess. I sådant fall ska information inte lämnas, även om myndigheten har förmågan att göra det.

Förhållande till dataskyddsregleringen

Den nu aktuella bestämmelsen i 4 kap. 3 § offentlighets- och sekretesslagen är inte begränsad till upptagningar för behandling av personuppgifter. Dataskyddsförordningen innehåller emellertid också reglering som rör rätten för den enskilde att få information om bl.a. varifrån personuppgifter kommer, och i förekommande fall om de har sitt ursprung i allmänt tillgängliga källor, i de fall upp- gifterna inte har erhållits från den registrerade.138 Den information som lämnas innan en personuppgiftsbehandling påbörjas bör omfatta uppgift om bl.a. vilken eller vilka databaser eller andra källor som kommer att användas. Givetvis går det inte att i förväg infor- mera om utfallet av själva informationssökningen och huruvida denna har lett till beslutsunderlag i det enskilda fallet eller inte. En registrerad kan emellertid med stöd av rätten till tillgång i efterhand begära att få tillgång till sådan information.139

I viss utsträckning kommer rätten till information och rätten till tillgång enligt dataskyddsförordningen och det säkerställande av insynsmöjligheter som vi nu föreslår att bli överlappande i för- hållande till varandra. Vår utgångspunkt är emellertid behovet av att

138Artikel 14.2 f.

139Artikel 15.1 g och h. Motsvarande bestämmelse i personuppgiftslagen (26 §) är begränsad genom att en registrerad enbart har rätt att få information efter ansökan en gång per kalenderår. Dataskyddsförordningen innehåller ingen direkt motsvarande begränsning men en personuppgiftsansvarig kan, om en begäran är uppenbart ogrundad eller orimlig, särskilt på grund av dess repetitiva art, ta ut en rimlig avgift för att tillhandahålla informationen eller vägra tillmötesgå begäran. Enligt 5 kap. 3 § förslaget till ny lag med kompletterande bestämmelser till EU:s dataskyddsförordning får regeringen meddela föreskrifter om ytterligare begräns- ningar av vissa rättigheter och skyldigheter enligt artikel 23 i dataskyddsförordningen, se prop. 2017/18:105.

203

Automation i förvaltningen

SOU 2018:25

säkerställa allmänhetens möjlighet till insyn i myndigheters besluts- underlag, oavsett om det är personuppgifter som behandlas i ett visst beslutsunderlag eller inte, och inte enbart en rätt till insyn för en enskild registrerad.

Om det i någon situation skulle bli aktuellt att med stöd av den nu aktuella bestämmelsen i offentlighets- och sekretesslagen låta bli att tillföra uppgifter till den enskilda akten vid automatiserat individuellt beslutsfattande, inbegripet profilering, kan det säker- ställande av möjligheter till insyn som vi föreslår också utgöra en lämplig åtgärd till skydd för den registrerades rättigheter, friheter och berättigade intressen.140 Möjligheten att låta bli att tillföra beslutsunderlag till akten i enskilda mål eller ärenden kommer emellertid såvitt vi nu kan bedöma i högre grad att aktualiseras i andra typer av ärenden, t.ex. där stora datamängder används som beslutsunderlag såsom exempelvis i plan- och byggprocesser.

Rensning, arkivering, gallring eller bevarande av uppgifter vid källan

Det ligger i sakens natur att det via den spårbarhet som här är aktuell ska vara möjligt att få tillgång till beslutsunderlaget i den databas eller annan digital källa som har legat till grund för ärendehand- läggningen. Detta aktualiserar i sin tur frågor om förutsättningar för rensning, arkivering, gallring eller bevarande av uppgifter vid källan.141

Under kartläggningen har flera aktörer tagit upp frågor som avser vikten av att vid myndighetssamverkan som rör informations- försörjning också träffa överenskommelser om arkivansvar för att säkerställa att de uppg