Presentasjon lastes. Vennligst vent

Presentasjon lastes. Vennligst vent

eForvaltningsforskriften og Sikker digital postboks til innbygger

Liknende presentasjoner


Presentasjon om: "eForvaltningsforskriften og Sikker digital postboks til innbygger"— Utskrift av presentasjonen:

1 eForvaltningsforskriften og Sikker digital postboks til innbygger
Hva betyr endringene av eForvaltningsforskriften for kommunene? Kommunearkivkonferansen 26 okt. 2013 Digitalt førstevalg innebærer en overgang fra en fysisk til en digital verden, som på en rekke områder har krevd samtykke fra den enkelte innbygger. Erkjennelsen av dette har ført til en gjennomgang av regelverket, for å fjerne hindringer og legge til rette for at digital kommunikasjon blir det foretrukne. Ny revisjon av forskriften forutsetter at innbygger aktivt må reservere seg mot digital post fra det offentlige. Det er besluttet at markedet skal levere den tekniske løsningene for meldingsformidler og sikker digital postboks. Jeg presenterer et utdrag av forskriften, samt mine kommentarer, synspunkter og utfordringer for avsendervirksomhetene, skrevet i blått.

2 Digital kommunikasjon - hovedregelen
Fra samtykke til reservasjon – innbygger må aktivt reservere seg Kontaktregister for digital kontaktinformasjon opprettes for innbyggere (digital postboks, e-post og mobiltelefon..) Reservasjonsregister for innbyggere opprettes Klar oppfordring til å innrette seg slik at henvendelser ikke overses dersom innbygger ikke har reservert seg Reservasjon vil kun gjelde der hvor dagens regelverk krever samtykke – dvs. ikke all kommunikasjon, jf. § 8 nr (1) og (6) Overgangsperiode hvor kommunikasjon baseres på tidligere samtykke Frivillige organisasjoner registrert i enhetsregisteret vil ikke kunne reservere seg Næringslivet vil ikke kunne reservere seg mot digital post fra det offentlige

3 Sikker digital postboks til innbyggere
Løsningen beskrevet her er tiltenkt å kunne beskytte informasjon av særlig følsomme taushetsbelagte opplysninger, herunder de fleste sensitive personopplysninger, stigmatiserende opplysninger m.v. Eksempelvis opplysninger om sykdom. Figuren viser hvordan staten ser for seg å realisere «sikker digital postboks». Per dato kjemper Kommunenes Sentralforbund (KS) for løsningen SvarUT i Altinn. NB! Fokus i denne fasen av digitaliseringsprogrammet er kun digital post til innbygger. Henvendelser til det offentlige baseres i dette konseptet på bruk av skjema fra innbygger til det offentlige.

4 Ansvarsforhold sikker digital postboks
Avsendervirksomhetene vil være behandlingsansvarlige for all behandling av personopplysninger som skjer i avsendervirksomheten Sentralforvalter og postkasseleverandør vil være databehandlere på vegne av avsendervirksomheten Følgende ansvarsområder vil bli ytterligere regulert: Sikkerhetstiltak Taushetsplikt Presisering av tilgangsregime Råderett Internkontroll Høringens pkt Gjeldende rett: Behandlingsansvarlig er i personopplysningsloven § 2 nr 4 definerer som: ”den som bestemmer formålet med behandlingen av personopplysninger og hvilke hjelpemidler som skal brukes”. Den behandlingsansvarlige har, jf. personopplysningsloven, ansvaret for at personopplysningslovens bestemmelser etterleves i forbindelse med behandling av personopplysninger, herunder beskrivelse av formålet med behandlingen, behandlingsgrunnlag, meldeplikt, informasjonsplikter, retting og sletting av opplysninger og krav til internkontroll og ivaretakelse av informasjonssikkerhet. Den behandlingsansvarlige har bestemmelsesrett med hensyn til hvilke virkemidler som benyttes og formålet med behandlingen. Databehandler er i personopplysningsloven § 2 nr 5 definert som: ”databehandler: den som behandler personopplysninger på vegne av den behandlingsansvarlige”. Databehandler har, jf. personopplysningsloven § 15, kun adgang til å behandle opplysninger innen de rammer den behandlingsansvarlige har satt i databehandleravtalen. Databehandlers selvstendige ansvar etter loven er begrenset til å ivareta krav om tilfredsstillende informasjonssikkerhet, jf. personopplysningsloven § 13 og personopplysningsforskriften § 2-15 tredje ledd.

5 Begrensninger Ikke godkjent for sikkerhetsgradert informasjon etter Sikkerhetsloven Dokument kan ikke inneholde bostedsadresse som er gradert FORTROLIG eller STRENGT FORTROLIG, jf. folkeregisterforskriften § 9-5 Alder: Før fylte 15 år vil foresatt i mange tilfelle være rett adressat. NB! Ikke stilt krav om nedre aldersgrense i utlysningen for anskaffelsen Flere postkasseleverandører stiller per dato krav om bruk av elektronisk ID på nivå 4 for å opprette elektronisk postkasse. Det er videre stilt krav om at mottager autentiserer seg på nivå 4 for å lese «rekommandert post» BankID kan ikke utstedes til personer under 15 år Buypass (eks. «tippekortet» med PKI) utstedes ikke til personer under 15 år I denne fasen dekkes ikke B2B og C2B, kun B2C Bruk av digital signatur eller e-segl med tilhørende tidsstempling for å sikre autentisitet, er ikke planlagt som en del av anskaffelsen sikker digital postboks. Dette må eventuelt løses av avsendervirksomheten. Enkelte leverandører tilbyr slik funksjonalitet som integrert med ekspederingsprosessen i sak-/arkivsystem eller fagsystem. Dette sikrer at både avsender og mottager sitter på samme dokument NB! Departementet mener at en aldersgrense for opprettelse av digital postkasse ikke er et forhold som det er nødvendig å forskriftsfeste, og har derfor ikke foreslått noen bestemmelse som regulerer dette. PKI = Public Key Infrastructure som inneholder blant annet sertifikater for digital signering, kryptering og autentisering BankID kan kun benyttes for autentisering og signering, ikke kryptering B2C = Business-To-Consumer B2B = Business-To-Business C2B = Consumer-To-Business Digital signatur – forutsetter bruk av personsertifikat. Krav innen noen områder innenfor helse. For andre formål vil normalt kravet være bruk av virksomhetssertifikat for å påføre e-segl. Tidsstempling (Time Stamp) så langt ikke vurdert tatt i bruk av Difi. Elektronisk ID på nivå 4 = Høyeste sikkerhetsnivå, se: pkt 2.1 og pkt 2.2

6 Uavklart Skal avsender kunne trekke brevet tilbake fra mottagers postkasse? Uavklart kryptografisk beskyttelse av digital post Ikke spesifisert unntaksbestemmelser/rutiner for forhold som: Person akutt innlagt på institusjon, innsatt i fengsel m. v. eller av andre årsaker ikke kan betjene sin digitale postkasse Per dato forslag om at bare mottager kan gjøre dette KS fronter bruk av SvarUt i Altinn – Staten anskaffer løsning i markedet 1: Etter mitt syn skal det ikke være mulig å hente tilbake posten når den er sendt. Dette kan åpne for misbruk. KS =Kommunenes Sentralforbund

7 Saksbehandlingen - klagefrist
Klagefrist regnes fra avsendelsestidspunkt fra forvaltningsorganet. Tidspunktet kan utledes fra forvaltningsorganets elektroniske logg Det legges ikke opp til å sende fysisk post dersom innbygger ikke har åpnet digital post fra det offentlige innen 7 dager, som angitt i dagens regelverk Dokument vil være tilgjengelig umiddelbart i mottagers postkasse. Normalt vil det ikke være nødvendig å legge til ytterligere tid dersom kommunikasjon foregår elektronisk. Enkelte tilbydere i markedet støtter logging/kvittering for at innbygger har lest mottatt melding.

8 Overgangsregler, forskriftens § 47
Forslag om at avsendervirksomheten skal benytte mottakers kontaktinformasjon, registrert i register over digital kontaktinformasjon og reservasjon, vil tre i kraft fra 1. januar 2016. Dette vil gi alle forvaltningsorganer tid til å koble seg til register over digital kontaktinformasjon og reservasjon. Øvrige overgangsbestemmelser foreslås gjeldende til 1. juli 2016.

9 Sikkerhet og sikkerhetsstrategi
Difi anbefaler at ISO27001 benyttes som forvaltningsstandard for styringssystem for informasjonssikkerhet. I arbeidet med å implementere relevante kontroller, anbefaler Difi at virksomhetene følger strukturen i ISO27001 appendiks A og innholdsmessig støtter seg på ISO/IEC 27002 Dersom en virksomhet allerede har et operativt styringssystem på andre områder (f.eks. i relasjon til ISO 9001, ISO eller HMS), vil det i de fleste tilfeller være mest hensiktsmessig å oppfylle ISO27001-kravene innenfor rammene av det eksisterende styringssystemet Sikkerhetsstrategien og internkontrollen skal inkludere relevante krav som er fastsatt i annen lov, forskrift eller instruks Det blir viktig for virksomhetene å foreta kartlegging av informasjonsflyt, innhold og tilhørende regelverk, dersom dette ikke allerede er kartlagt i arkivplan. Her er det behov for tett samarbeid med IKT-leder Oppdater arkivplan! Difi = Direktoratet for forvaltning og IKT

10 Noen utfordringer for avsendervirksomhetene
§ 38 Kopier av register for digital kontaktinformasjon og reservasjon skal oppdateres jevnlig, minimum én gang daglig Hvordan løses dette for sak-/arkivsystem og alle fagsystemene? Hvilke systemer har slike registre? Hvilke systemer benytter slike kopier i dag? Vil systemleverandørene ta initiativ til å løse dette på egenhånd? Still krav! Flere eller én felles integrasjon mot sikker digital postboks? Hvordan identifisere innbygger entydig som kontakt i IKT-systemene - fødselsnummer (11 siffer) eller digital postadresse eller annen identifikasjon? Virksomheter forutsettes identifisert med bruk av organisasjonsnummer Hva er status i kommunens kontaktregistre per dato? Er egen kommunes struktur i Brønnøysundregistrene oppdatert – husk andre benytter denne! «Rekommandert sending» forutsetter at avsendersystem stiller krav om at mottager autentiserer seg på nivå 4 – stiller krav til rutiner og avsendersystem Tekniske utfordringer med ekspedering av dokumenter med personsensitiv informasjon, lagret i sikker sone – risikostyring Risikostyring: Kartlegge konsekvens og sannsynlighet for uønsket hendelse, samt iverksette tiltak for å redusere risiko, samt å ha beredskap for å håndtere restrisiko.

11 Hva gjør Oppland fylkeskommune?
OFK i samarbeid med Fylkesarkivet ønsker å vinne erfaring med digital kommunikasjon. Ulike løsninger er vurdert m. h. p. funksjonalitet og sikkerhet Avtale inngått med Posten Norge om å ta i bruk Digipost Fylkesarkivet har avklart bruk av Digipost for distribusjon av personsensitiv informasjon med Datatilsynet Virksomhetssertifikat fra Buypass anskaffet for sikker kommunikasjon med Digipost, samt til bruk for «signering» av dokumenter i sak-/arkivløsningen, samt for signering rettighetsdokumentasjon fra Fylkesarkivet (skannede- og elektronisk skapt arkivmateriale) Moduler signering og ekspedering til Digipost fra sak-/arkivsystem vil ventelig være installert i. l. a. oktober 2013 Elever i videregående skole vil være av målgruppene for digital kommunikasjon, grunnet volum Fylkesarkivet ønsker også å ta løsningen i bruk overfor medlemmer av IKAO og innbyggere Postmottak i Digipost er lansert – OFK vil ventelig ta dette i bruk som «sentralisert, sikkert postmottak» Vurdere overgang til statens løsning når denne får tilfredsstillende funksjonalitet B2B og C2B, herunder sikkert digitalt postmottak (mulighet for ett eller flere) Leverandører av våre fagsystemer og sak-/arkivløsninger må tilby grensesnitt til meldingsformidler m. v.

12 Planlagt revisjon av arkivloven med forskrifter
Utdrag fra Riksarkivarens innlegg på KAI-konferansen 2013

13 Noen varslede endringer som følge av arkivmeldingen
Samordning av virkeområdet til offentlighetsloven og arkivloven - organ som i dag har journalplikt, vil også få arkivplikt Krav om at bortsatt virksomhet skal følge regler om offentlig arkiv Arkivlovens § 20 – presisere påbudet om å følge reglene om offentlige arkiv ved skifte av status fra offentlig til privat status Tydeliggjøre Riksarkivarens koordineringsansvar for å bevare privatarkiv og styrke regelen om særlig verneverdige privatarkiv Krav til eForvaltning – krav om automatisk dokumentfangst, lagring og tilgjengeliggjøring i IKT-systemer Riksarkivaren ønsker hjemmel for å kunne forlenge taushetsplikten for ikke statlig arkivmateriale Arkivforskriftens kapittel VIII og IX om digitalt materiale Oppdatering av regelverket for å omfatte «nye» medier Normalinstruks for kommuner og fylkeskommuner revideres, og få rang som forskrift Forvaltning av digitale arkiver på mellomlang sikt – revisjon knyttet til løsninger, ansvarsforhold og bestemmelser i regelverket Tilsyn – formål, form og innhold reguleres Kommuner og fylkeskommuners depotansvar tydeliggjøres Krav til offentlige arkivdepot klargjøres. Krav til langtidsbevaring av digitalt materiale må inn i arkivforskriften Regler knyttet til innsyn/offentlighet/taushetsplikt/gradert materiale ikke berørt i dagens arkivlov – må inn i regelverket Prosessen styres av Kulturdepartementet

14 Referanser Høringen med tilhørende kommentarer: SAMDOK - Samla samfunnsdokumentasjon Riksarkivarens foredrag – Balestrand


Laste ned ppt "eForvaltningsforskriften og Sikker digital postboks til innbygger"

Liknende presentasjoner


Annonser fra Google