Elektronisk kommunikasjon med og/eller i forvaltningen Svein Amblie 26. oktober 2006 Fylkesarkivet oktober 2006

Fylkesarkivet oktober 2006 Forskrift om elektronisk kommunikasjon med og i forvaltningen (eForvaltningsforskriften) Fastsatt ved kgl.res. 25. juni 2004 med hjemmel i: lov 10. februar 1967 om behandlingsmåten i forvaltningssaker (forvaltningsloven) § 15a og lov 15. juni 2001 nr. 81 om elektronisk signatur § 5. Fremmet av Arbeids- og administrasjonsdepartementet. Endret 2. des. 2005 nr. 1398. Forarbeid i NOU 2001:10 ”Uten penn og blekk”, etterfulgt av arbeidsgruppe som utformet utkast til forskrift, høringsrunde og ferdigstilling Egen veiledning laget av Statskonsult på oppdrag fra departementet, og publisert på nettet samtidig med vedtaket om forskriften Legger sterke føringer for arkivrutiner og arkivarbeid! Fylkesarkivet oktober 2006

Fylkesarkivet oktober 2006 Hvem omfattes? Forskriften gjelder for elektronisk kommunikasjon mellom forvaltningen og publikum og for elektronisk saksbehandling og kommunikasjon i forvaltningen(§ 1 nr. 2). Fylkesarkivet oktober 2006

§ 1. Forskriftens formål og anvendelsesområde Forskriftens formål er å legge til rette for sikker og effektiv bruk av elektronisk kommunikasjon med og i forvaltningen. Den skal fremme forutsigbarhet og fleksibilitet og legge til rette for samordning av sikre og hensiktsmessige tekniske løsninger. Forskriften skal legge til rette for at enhver på en enkel måte kan utøve sine rettigheter og oppfylle sine plikter i forhold til det offentlige. Forskriftens regler gjør det ikke obligatorisk å kommunisere elektronisk, men hvis man gjør det, for eksempel med bruk av elektroniske signaturer og innholdskryptering, skal reglene følges Fylkesarkivet oktober 2006

Fylkesarkivet oktober 2006 § 3. Bruk av elektronisk kommunikasjon ved henvendelser til et forvaltningsorgan Enhver som henvender seg til et forvaltningsorgan kan benytte elektronisk kommunikasjon, når det skjer i henhold til den form og fremgangsmåte og ved bruk av den elektroniske adressen, som forvaltningsorganet har anvist for den aktuelle type henvendelse. (a) Med form eller fremgangsmåte menes for eksempel bruk av spesielle skjema, bruk av en bestemt prosedyre eller lignende. (b) Med elektronisk adresse menes for eksempel en adresse til et nettsted, en e-postadresse, et nummer til en SMS-tjeneste eller lignende. (c) Med elektronisk kommunikasjon menes bruk av for eksempel Internett, eller liknende kommunikasjonssystem, og bruk av talestyrte eller andre automatiske telefontjenester, men ikke bruk av taletelefon eller annen muntlig kommunikasjon. Fylkesarkivet oktober 2006

Fylkesarkivet oktober 2006 Fremgangsmåte Publikum som vil kommunisere elektronisk med forvaltningen må følgelig benytte den fremgangsmåte som forvaltningsorganet har tilrettelagt for eller gitt anvisning på, f.eks. at all kommunikasjon vedrørende et forvaltningsområde skal foregå via en bestemt nettside, jf. § 2. Hvis ingen bestemte krav foreligger(form / fremgangsmåte) benyttes organets sentrale e-postmottak, som betjenes av arkivtjenesten (arkivforskriften § 3-2) Direkte til enkeltperson? Nei, men åpning for unntakstilfeller. Fra et annet forvaltningsorgan; da kan det bestemmes at det er ok å sende direkte til enkeltperson Bestemmelser om arkivering og journalføring skal følges! Fylkesarkivet oktober 2006

Brukervennlighet og tilgang for funksjonhemmede; § 3 (5) ”Forvaltningsorganet bør legge til rette for at elektronisk kommunikasjon med forvaltningsorganet er brukervennlig og tilgjengelig for alle.” Viktige krav, se f eks Odin, som har høytlesing av nettsidene som en elektronisk tjeneste Fylkesarkivet oktober 2006

Bekreftelse på at en henvendelse er mottatt §6 Et forvaltningsorgan som mottar henvendelser i elektronisk form skal gi bekreftelse til avsender om at en henvendelse er mottatt. Bekreftelse bør gis straks henvendelsen er mottatt. Den bør inneholde et referansenummer eller lignende og angi på hvilket tidspunkt henvendelsen ble mottatt. Forvaltningsorganet kan unnlate å sende bekreftelse, hvis henvendelsen er av en slik art at den ikke utløser saksbehandling, eller mottaket fremgår på annen betryggende måte, og ved bruk av automatiserte systemer der henvendelsen straks blir besvart. Forvaltningsorganet kan også inngå avtale med næringsdrivende og med andre forvaltningsorganer om ikke å sende egen bekreftelse etter denne bestemmelsen i forbindelse med rutinemessig eller periodisk rapportering. Fylkesarkivet oktober 2006

Henvendelser som ikke tifredsstiller gitte krav §7 Henvender noen seg feil eller bruker feil elektronisk adresse ved en henvendelse til et forvaltningsorgan, skal det gis beskjed om feilen og om mulig vise vedkommende til rett organ og rett elektronisk adresse, jf. forvaltningslovens § 11. Er en henvendelse avgitt i en annen form eller på en annen måte enn det som er angitt, skal avsenderen ha beskjed om dette dersom feilen har betydning for behandling av saken eller det av andre grunner finnes nødvendig. Organet bør samtidig gi frist til å rette opp feilen og gi veiledning om hvordan dette kan gjøres. Forvaltningsorganet skal registrere tidspunkt for når det er sendt varsel, og til hvem varselet ble sendt. Dersom feilen er av en slik art at det ikke er mulig å identifisere avsender, og varsel ikke kan sendes, skal det registreres opplysning om dette. Fylkesarkivet oktober 2006

Underretning om enkeltvedtak og andre meddelelser §8 Underretning om enkeltvedtak kan skje ved bruk av elektronisk kommunikasjon dersom: parten uttrykkelig har godtatt dette og oppgitt den elektroniske adresse forvaltningsorganet skal benytte Organet skal sende parten varsel om at enkeltvedtak er fattet, om hvor og hvordan vedkommende kan skaffe seg kunnskap om innholdet, samt en frist for når dette senest må skje. Fylkesarkivet oktober 2006

Underretning om enkeltvedtak fortsetter Innholdet i enkeltvedtaket skal gjøres tilgjengelig fra egnet informasjonssystem. Dette fordi: En må hindre uberettiget innsyn i enkeltvedtak En må sikre systemet registrerer tidspunktet for når parten har skaffet seg tilgang til enkeltvedtaket og data som bekrefter at vedkommende har rett til å gjøre seg kjent med vedtaket. Har parten ikke skaffet seg tilgang til enkeltvedtaket innen én uke fra det tidspunkt det ble sendt varsel om det, eller vedtaket ble gjort tilgjengelig, skal underretning skje i henhold til de reglene som gjelder når det ikke er gitt samtykke til elektronisk kommunikasjon, jf. forvaltningslovens § 27. I forbindelse med underretning om enkeltvedtaket skal det informeres om forvaltningsorganet har lagt til rette for mottak av klage i elektronisk form og hva som er rette elektroniske adresse. Det skal også informeres om at parten bør kontrollere at han mottar bekreftelse når klage leveres i elektronisk form, jf. § 9 (2). § 27. (underretning om vedtaket).        Det forvaltningsorgan som har truffet vedtaket, skal sørge for at partene underrettes om vedtaket så snart som mulig. Dersom en mindreårig over 15 år er part i saken og blir representert av verge, skal organet også underrette den mindreårige selv. Underretning skal gis av det forvaltningsorgan som har truffet vedtaket, hvis ikke særlige grunner tilsier at dette overlates til et annet organ. I regelen gis underretning skriftlig. Den skriftlige underretningen kan gis ved bruk av elektronisk kommunikasjon når mottakeren uttrykkelig har godtatt dette og har oppgitt den elektroniske adressen som skal benyttes for slikt formål. Er det særlig byrdefullt for forvaltningsorganet å gi skriftlig underretning, eller haster saken, kan underretning gis muntlig eller på annen måte. I så fall kan en part kreve å få vedtaket skriftlig bekreftet. Underretning om vedtaket kan helt unnlates for så vidt underretning må anses åpenbart unødvendig og vedtaket ikke medfører skade eller ulempe for vedkommende part.        I saker der begrunnelsen etter § 24 skal gis samtidig med vedtaket, bør grunnene gjengis i underretningen. Der dette på grunn av særlige forhold ikke kan gjennomføres, og likeledes der partene kan kreve grunngiing etter § 24 annet ledd, skal det i underretningen isteden gis opplysning om på hvilken måte partene kan bli kjent med begrunnelsen.        I underretningen skal videre gis opplysning om klageadgang, klagefrist, klageinstans og den nærmere fremgangsmåte ved klage, samt om retten etter § 18, jfr § 19 til å se sakens dokumenter. Dersom vedtaket kan tenkes gjennomført til skade for parten før klagesaken er avgjort, skal det også gjøres merksam på adgangen til å be om at gjennomføringen utsettes, jfr. § 42 første ledd. Er det etter tvistemålslovens § 437 første ledd eller annen lovbestemmelse et vilkår for søksmål at klageadgangen er nyttet, eller er det etter § 437 annet ledd eller annen lovbestemmelse et vilkår for overprøving ved domstol at søksmål blir reist innen en viss frist, skal parten også gjøres oppmerksom på dette og på fristens lengde. Fylkesarkivet oktober 2006

Fylkesarkivet oktober 2006 Klage - §9 Klage over enkeltvedtak kan fremsettes ved bruk av elektronisk kommunikasjon dersom det forvaltningsorganet som skal motta klagen har lagt til rette for det, jf. § 3 og § 4. Hvis klager ikke mottar bekreftelse etter § 6, skal klagen sendes på nytt. Fylkesarkivet oktober 2006

Fylkesarkivet oktober 2006 § 10. Innsyn i opplysninger og dokumenter ved bruk av elektronisk kommunikasjon Krav om innsyn i en sak kan sendes forvaltningsorganet ved bruk av elektronisk kommunikasjon Har organet elektronisk arkiv, kan det gis tilgang til opplysninger og dokumenter i elektronisk form dersom den som krever innsyn samtykker eller ber om dette. Innsyn etter § 10 (over) gis bare når det kan oppnås: a) tilfredsstillende bekreftelse på at vedkommende har krav på innsyn, og b) at risiko for uberettiget innsyn i opplysningene eller dokumentene er forebygget på en tilfredsstillende måte, eller når innsyn kan kreves etter offentlighetsloven eller annen lovbestemt allmenn innsynsrett. Hvis den som krever innsyn i dokumenter som er signert med avansert elektronisk signatur ber om det, skal relevante sertifikater, og øvrige opplysninger som er nødvendige for å få bekreftet signaturen, utleveres sammen med dokumentet. Alternativt kan forvaltningsorganet legge til rette for at verifisering kan skje i forbindelse med at det gis tilgang til dokumentet. Forvaltningsorganet skal også legge til rette for at den enkelte kan få tilgang til dokumentene i en form som gjør det mulig å dokumentere innholdet overfor tredjepart. Dette kan om nødvendig skje i form av en papirutskrift av dokumentet som er bekreftet av forvaltningsorganet. Fylkesarkivet oktober 2006

§ 12. Adgang til å nekte bruk av elektronisk kommunikasjon Dersom noen misbruker adgangen til elektronisk kommunikasjon med forvaltningsorganet, kan vedkommende helt eller delvis nektes videre bruk av slik kommunikasjon med forvaltningsorganet. Før iverksetting, skal forvaltningsorganet sende vedkommende varsel om at det vurderer å nekte videre bruk av slik kommunikasjon og begrunnelsen for dette. Vedkommende skal oppfordres til å uttale seg om grunnlaget for avgjørelsen. Forvaltningsorganet skal sette en frist for slik uttalelse. Om nødvendig av sikkerhetsmessige årsaker kan forvaltningsorganet iverksette avgjørelsen straks. Den som blir nektet bruk av elektronisk kommunikasjon kan påklage avgjørelsen. Reglene i forvaltningsloven1 kap. VI gjelder tilsvarende så langt de passer. Fylkesarkivet oktober 2006

Krav til bruk av sikkerhetstjenester og produkter §4 Krav til bruk av sikkerhetstjenester vil gjelde når det er behov for: bekreftelse av partenes identitet eller fullmakter (autentisering), Garanti for at data ikke utilsiktet eller urettmessig endres (integritet), beskyttelse av informasjon mot innsyn fra uvedkommende (konfidensialitet), å dokumentere henvendelser og aktiviteter og hvem som har sendt eller utført dem (ikke-benekting), Når trer et slikt behov inn?? Fylkesarkivet oktober 2006

Krav til bruk av sikkerhetstjenester og produkter §4 –forts dersom dette er av betydning for håndtering av henvendelsen. eller av pga. krav fastsatt i annen lov eller i medhold av lov. (Formidling av taushetsbelagte opplysninger og personopplysninger til forvaltningen) 1)personopplysning: opplysninger og vurderinger som kan knyttes til en enkeltperson, Fylkesarkivet oktober 2006

Fylkesarkivet oktober 2006 Definisjoner Personopplysning: opplysninger og vurderinger som kan knyttes til en enkeltperson, sensitive personopplysninger: opplysninger om a) rasemessig eller etnisk bakgrunn, eller politisk, filosofisk eller religiøs oppfatning, b) at en person har vært mistenkt, siktet, tiltalt eller dømt for en straffbar handling, c) helseforhold, d) seksuelle forhold, e) medlemskap i fagforeninger. Fylkesarkivet oktober 2006

Sikkerhetsstrategi (§13) Alle offentlige organer som benytter elektronisk kommunikasjon SKAL lage sikkerhetsmål og sikkerhetsstrategi først Strategien skal danne grunnlag for beslutninger om innføring og bruk av sikkerhetstjenester og –produkter Dette skal skje på en helhetlig, planlagt, systematisk og dokumentert måte Må inkludere krav fra andre lover, forskrifter og instrukser Skal være iht. ”anerkjente prinsipper for informasjonssystemers sikkerhet” Fylkesarkivet oktober 2006

Personopplysningsloven §13 Krav til informasjonssikkerhet i § 13 (..skal gjennom planlagte og systematiske tiltak sørge for tilfredsstillende informasjonssikkerhet mht konfidensialitet, integritet og tilgjengelighet..) ..skal dokumentere informasjonssystemet og sikkerhetstiltakene (for medarbeidere, Datatilsynet og Personvernnemnda) § 13. Informasjonssikkerhet        Den behandlingsansvarlige og databehandleren skal gjennom planlagte og systematiske tiltak sørge for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet ved behandling av personopplysninger.        For å oppnå tilfredsstillende informasjonssikkerhet skal den behandlingsansvarlige og databehandleren dokumentere informasjonssystemet og sikkerhetstiltakene. Dokumentasjonen skal være tilgjengelig for medarbeiderne hos den behandlingsansvarlige og hos databehandleren. Dokumentasjonen skal også være tilgjengelig for Datatilsynet og Personvernnemnda.        En behandlingsansvarlig som lar andre få tilgang til personopplysninger, f.eks. en databehandler eller andre som utfører oppdrag i tilknytning til informasjonssystemet, skal påse at disse oppfyller kravene i første og annet ledd.        Kongen kan gi forskrift om informasjonssikkerhet ved behandling av personopplysninger, herunder nærmere regler om organisatoriske og tekniske sikkerhetstiltak. Fylkesarkivet oktober 2006

Personopplysningsloven §31 Når kan personopplysninger behandles elektronisk? (§ 31) Hvis de ansvarlige i virksomheten har gitt MELDING til DATATILSYNET på forhånd Dvs: minst 30 dager før behandlingen begynner (§ 31) Meldingen skal inneholde visse standardopplysninger, bl.a. om hvilke sikkerhetstiltak som er knyttet til behandlingen (§ 32, 1. ledd i) Fylkesarkivet oktober 2006

Personopplysningsloven §8 Personopplysninger kan behandles elektronisk: Bare hvis ”den registrerte” har samtykket, Bare hvis det står i en lov (eller forskrift) , Bare hvis det er nødvendig ut fra en av seks grunner som står nevnt i loven, § 1. ledd a) – f) å oppfylle avtale med den registrerte…mv at de som registrerer skal oppfylle rettslig plikt å ivareta den registrertes vitale interesser å utføre oppgave av allmenn interesse å utføre offentlig myndighet, eller: hvis det er nødvendig for å ivareta en ”berettiget interesse”, og personvernet ikke overstiger denne (jf f eks arbeidsgivers innsyn i privat e-post?) Fylkesarkivet oktober 2006

Hva menes med sikkerhetstjenester? Dette er definert i §4: Med sikkerhetstjenester og -produkter menes løsninger for å oppnå bl.a.: bekreftelse av partenes identitet eller fullmakter (autentisering), at data ikke utilsiktet eller urettmessig endres (integritet), beskyttelse av informasjon mot innsyn fra uvedkommende (konfidensialitet), og at det er mulig å dokumentere henvendelser og aktiviteter og hvem som har sendt eller utført dem (ikke-benekting), og andre løsninger, i henhold til forvaltningsorganets sikkerhetsstrategi, jf. § 13. Slike løsninger kan for eksempel være basert på bruk av elektronisk signatur og kryptering. Fylkesarkivet oktober 2006

Hva handler elektroniske signaturer og innholdskryptering om? Cæsar krypterte på sin måte med suksess ca 50 år før Kristus, og Thomas Jefferson krypterte på en annen måte tidlig på 1800-tallet. I dag gjøres det elektronisk ut fra de produktene som til enhver tid er på markedet. Denne forskriften bygger på bl.a. kryptering og digitale signaturer, med det som kalles offentlig nøkkelkryptografi, med hjelp fra tredjeparter, som viktige ingredienser. Fylkesarkivet oktober 2006

Hva oppnår en ved å bruke disse teknikkene? Avsendere av elektroniske meldinger kan identifisere seg. Mottakerne kan få bekreftet eller sannsynliggjort at identiteten stemmer når det gjelder personer, roller, maskiner og systemer. Vi kan oppdage om innholdet i det vi sender kommer frem uten endringer, og vi kan få bevis som gjør det vanskelig for mottaker eller avsender i ettertid å benekte det som er gjort. Dessuten kan vi sende og motta meldinger med behov for skjerming mot uvedkommendes blikk. Alt dette kan vi gjøre, selv om vi kommuniserer ved hjelp av åpne og utrygge nettverk. Som vanlige brukere trenger vi ikke fullt ut å forstå hvordan teknikken fungerer, enten vi er ansatte i forvaltningen, i privat sektor eller er borgere, bare vi klarer å bruke den i praksis. Fylkesarkivet oktober 2006

Fylkesarkivet oktober 2006 Illustrasjon kryptering Avsenderen har et dokument M i lesbar form, ofte kalt klartekst. Før den kan sendes over til mottakeren må klarteksten gjennomgå en krypteringsfunksjon (”kvern”), der den blandes med en krypteringsnøkkel KE. Resultatet blir en uforståelig melding, chiffertekst (C i figuren), som uvedkommende ikke kan tyde. Bare den rettmessige mottakeren sitter på den korrekte dekrypteringsnøkkelen KD , som gjør det mulig å omforme C tilbake til klarteksten M. Det er derfor helt avgjørende for sikkerheten i systemet at ikke uvedkommende får tak i denne nøkkelen. Asymmetrisk krypto I et asymmetrisk eller offentlignøkkel kryptosystem (eng. public key cryptosystem) er det ikke lenger noen enkel sammenheng mellom krypteringsnøkkel og dekrypteringsnøkkel. I figuren ovenfor vil det bety at det ikke lenger er noe krav om at krypteringsnøkkelen KE skal holdes hemmelig. I slike systemer vil hver bruker i systemet få laget sitt eget nøkkelpar (KE , KD). Den offentlig tilgjengelige nøkkelen KE kan nå fritt distribueres til alle som vil sende krypterte meldinger til den aktuelle brukeren. At den kalles offentlig må ikke misforstås i retning av at den som sådan har noe med det offentlige å gjøre. Poenget er bare at den ene nøkkelen rett og slett kan og skal gjøres tilgjengelig for alle som har eller får behov for den. Det er dette som er det fundamentalt nye, og som de siste tiårene har rokket ved det som var etablerte sannheter gjennom tusener av år innenfor dette faget, at begge nøkler måtte være like, og hemmelige. Kravet til hemmelighold av nøkkelen fra symmetrisk krypto er erstattet av et krav om at den offentlig tilgjengelige krypteringsnøkkelen må være ekte eller autentisk, samt krav om sikre opplysninger om hvem den hører til. Fylkesarkivet oktober 2006