Eforvaltning – hvilke regler gjelder Seniorrådgiver Mona Naomi Lintvedt Direktoratet for forvaltning og IKT

Hvorfor eforvaltning? Eforvaltning er en forutsetning for en effektiv forvaltning, og mye av dagens og fremtidens saksbehandling vil være automatisert Dette stiller andre krav til jurister ved at regelverk må utformes, tolkes og forstås i en digital sammenheng. Generelt er det lite kunnskap blant jurister om regelverk som er relevante for elektronisk forvaltning

Hvilke regelverk er relevante? Regelverk om informasjonssikkerhet Offentlighetslov med forskrift Personopplysningslov med forskrift Forvaltningslov Eforvaltningsforskriften Arkivlov med forskrift Esignaturlov Økonomireglementet

Sentrale regelverk med krav til informasjonssikkerhet Økonomiregelverket Personopplysningsloven Sikkerhetsloven Beskyttelsesinstruksen Arkivloven esignaturloven Forvaltningsloven eforvaltningsforskriften Mye og fragmentert regelverk som ikke er harmonisert. Krevende å ha oversikt

Sikkerhet - hva skal beskyttes? Konfidensialitet Vern mot uautorisert innsyn Integritet Vern mot uautorisert endring/tap Tilgjengelighet Vern mot uautorisert avbrudd

Direktoratet for forvaltning og IKT Risikovurdering Tiltak skal stå i stil med risiko, pof §2-1 Risiko er sannsynlighet x konsekvens Sannsynlighet: Letthet, motivasjon, frekvens Konsekvenser Datatilsynets veileder (TV-506:2002) Generelt om risikostyring i staten (SSØ) Veileder fra Difi Direktoratet for forvaltning og IKT

Riksrevisjonen gjennomgang av informasjonssikkerhet Revisjon av organisering og styring av informasjonssikkerheten i alle departementene og 34 virksomheter Merknader til 11 departement – manglende styring 10 virksomheter – vesentlige mangler Dokument 1 (2009-2010)

Økonomiregelverket Formål, § 1: … sikre at … b) fastsatte mål og resultatkrav oppnås c) statlige midler brukes effektivt … Grunnleggende styringsprinsipper, § 4: b) sikre at fastsatte mål og resultatkrav oppnås, ressursbruken er effektiv og at virksomheten drives i samsvar med gjeldende lover og regler, Styring, oppfølging, kontroll og forvaltning må tilpasses virksomhetens egenart samt risiko og vesentlighet Krav om internkontroll, § 14: Alle virksomheter skal etablere systemer og rutiner som har innebygd intern kontroll for å sikre at: … b) måloppnåelse og resultater står i et tilfredsstillende forhold til fastsatte mål og resultatkrav, og at eventuelle vesentlige avvik forebygges, avdekkes og korrigeres i nødvendig utstrekning Veiledning hos SSØ

Personopplysningsloven ”Tilfredsstillende informasjonssikkerhet”, § 13 Tiltakene skal ”stå i forhold til sannsynlighet for og konsekvens av sikkerhetsbrudd”, pof §2-1 Tiltak pålegges hvis ”er nødvendig”, pof §§2-11 til 2-13, dog: fnr i særstilling pof §9-2 Internkontroll som ”er nødvendig”, § 14 “tilpasses virksomhetens størrelse”, pof §3-1 Prosesskrav - planmessig, systematisk Risikovurdering, §2-4, sikkerhetsrevisjon, §2-5 Dokumentert Sikkerhetsmål, -strategi, §2-3, rutiner,§2-16 mfl 26.10.2010 Direktoratet for forvaltning og IKT

Sikkerhetsloven Formål, jf. § 1 ”motvirke trusler mot rikets selvstendighet og sikkerhet og andre vitale nasjonale sikkerhetsinteresser…” Gradering, § 11 – STRENGT HEMMELIG/ HEMMELIG/ KONFIDENSIELT/ BEGRENSET Skade hvis informasjonen kommer på avveie, for Norges eller dets alliertes sikkerhet, forholdet til fremmede makter eller andre vitale nasjonale sikkerhetsinteresser Streng need-to-know, § 12 NSM-godkjenning av informasjonssystemer, § 13, m.v. Informasjonssikkerhetsforskrift m.v. Detaljerte sikringsregler

Beskyttelsesinstruksen Instruks for statsforvaltningen Gradering (§ 2) STRENGT FORTROLIG eller FORTROLIG Vurderingstema (§ 4)– skade/betydelig skade mht. offentlige interesser, en bedrift, en institusjon eller en enkeltperson at dokumentets innhold blir kjent for uvedkommende Konsekvenser Strengt need-to-know-prinsipp, § 7 – personlig ansvar Elektronisk behandling ”så langt det passer” ihht. deler av informasjonssikkerhetsforskriften etter sikkerhetsloven, jf. § 12

Arkivloven Arkivlova § 6 Arkivforskrifta, bl.a Offentlege organ pliktar å ha arkiv, og desse skal vera ordna og innretta slik at dokumenta er tryggja som informasjonskjelder for samtid og ettertid. Arkivforskrifta, bl.a Noark-standarden (§ 2-9 annet ledd) Daglig sikkerhetskopi (§ 2-10 annet ledd) fullgode system… lagringsmedium… som er godkjende av Riksarkivaren (§ 2-13) Arkivlokale … skal … gi … vern mot … skadeleg påverknad frå klima og miljø og mot skadeverk, innbrot og ulovleg tilgjenge (§ 4-1)

Regelverk – elektronisk signatur Esignaturloven § 3 definerer tre typer e-signaturer Nr 1: (vanlige) Nr 2: Avanserte Nr 3: Kvalifiserte Hva kreves? Prosessrettslig, privatrettslig, forvaltningsrettslig utgpkt Fri bevisbedømmelse, formfrihet, forsvarlig saksbehandling Regelverket gir tidvis avklaring Risikovurdering! Merk efvf § 26 nr 2 – langtidslagring arkivet vil kunne bryte signaturen, må da gå god for bindingen

Forvaltningsloven § 13 – taushetsplikt: enhver … hindre … andre .. adgang … kjennskap … det han … får vite om … personlige forhold…/konkurransemessig betydning § 15a – hjemler e-forskrifter Eforvaltningsforskriften, 2004/0988 Koef-vedtaket, 2005/1117, jf. efvf § 27 Forskrift om it-standarder, 2009/1222

IT-standarder Obligatoriske og anbefalte it-standarder http://www.lovdata.no/for/sf/fa/xa-20090925-1222.html standard.difi.no

Forvaltningsloven § 13 Enhver som utfører tjeneste eller arbeid for et forvaltningsorgan, plikter å hindre at andre får adgang eller kjennskap til det han i forbindelse med tjenesten eller arbeidet får vite om: 1) noens personlige forhold, eller 2) tekniske innretninger og fremgangsmåter samt drifts- eller forretningsforhold som det vil være av konkurransemessig betydning å hemmeligholde av hensyn til den som opplysningen angår.

Fvl § 13 og eforvaltning Innebærer krav til informasjonssikkerhet Kan begrense gjenbruk og utveksling av data mellom forvaltningsorganer. Dette har betydning for utvikling av elektroniske tjenester på tvers av forvaltningsorganer Generelt er forvaltningsloven moden for revisjon hvor tilpasninger bør gjøres til elektronisk forvaltning. Fokus i dag på manuell enkeltsaksbehandling

Eforvaltningsforskriften Forskrift om elektronisk kommunikasjon med og i forvaltningen (fvl § 15 a og esignaturloven § 5) Formål: legge til rette for sikker og effektiv bruk av elektronisk kommunikasjon med og i forvaltningen legge til rette for at enhver på en enkel måte kan utøve sine rettigheter og oppfylle sine plikter i forhold til det offentlige

Eforvaltningsforskriften og eforvaltning Forskriften har krav om strategi for informasjonssikkerhet (kap 3), krav til anskaffelser og bruk av sikkerhetstjenester (kap 4), signaturfremstilling og dekrypteringsnøkler (kap 6) Sentralt er kapittel 2 Alminnelige krav ved bruk av elektronisk kommunikasjon med forvaltningen

Eforvaltningsforskriften og eforvaltning § 4 (1): Enhver som henvender seg til et forvaltningsorgan ved bruk av elektronisk kommunikasjon i henhold til § 3, kan gjøre det uten bruk av sikkerhetstjenester eller -produkter, med mindre bruk av slike sikkerhetstjenester og -produkter er nødvendig for å oppfylle krav fastsatt i henhold til nr. (2)-(3) nedenfor eller følger av § 5, eller av krav fastsatt i annen lov eller i medhold av lov.

Eforvaltningsforskriften og eforvaltning Hensikten med § 4: - all bruk av sikkerhetsløsninger bør være behovstilpasset og basert på forvaltningsorganets sikkerhetsstrategi forebygge at forvaltningsorganet ”for sikkerhets skyld” krever mer sikkerhet enn nødvendig kan velge ett eller noen få sikkerhetsnivåer for kommunikasjon Eks. krav til forvaltningen om bruk av MinID

Eforvaltningsforskriften og eforvaltning § 5: Når et forvaltningsorgan legger til rette for bruk av elektronisk kommunikasjon for mottak av opplysninger som på forvaltningens hånd kan være underlagt taushetsplikt, eller som kan være underlagt krav til sikring etter reglene om behandling av personopplysninger eller tilsvarende regler, skal risiko for uberettiget innsyn i opplysningene være forebygget på tilfredsstillende måte. I praksis utelukkes bruk av e-post som kommunikasjonsform for store deler av saksbehandlingen, jf fvl § 13

Eforvaltningsforskriften og eforvaltning Flere bestemmelser for sikre brukerens rettigheter og tillit, men flere av disse oppfattes i dag av forvaltningen som krevende § 8 (1): Underretning om enkeltvedtak kan skje ved bruk av elektronisk kommunikasjon dersom parten uttrykkelig har godtatt dette og oppgitt den elektroniske adresse forvaltningsorganet skal benytte for å sende varsel etter nr. (2) nedenfor. Følger også av fvl § 27 = samtykke

Eforvaltningsforskriften og eforvaltning § 8 (7): Har parten ikke skaffet seg tilgang til enkeltvedtaket innen én uke fra det tidspunkt det ble sendt varsel om det, eller vedtaket ble gjort tilgjengelig, skal underretning skje i henhold til de reglene som gjelder når det ikke er gitt samtykke til elektronisk kommunikasjon, jf. forvaltningslovens § 27. Innebærer at må ha funksjonalitet for å logge om elektronisk melding er lest, og rutiner for utsendelse av papir. Utsetter klagefrist.

Personopplysningsloven og eforvaltning Samtykke som hovedregel for behandling? Informert, uttrykkelig, frivillig

Samtykke? ”Dersom utlendingen ikkje samtykkjer, er det ikkje nokon grunn til at tvil om alderen skal kome vedkomande til gode. I praksis vil situasjonen vere at styresmaktene normalt vil sjå bort fra påstander frå søkjaren om at vedkomande er mindreårig, dersom han eller ho nektar å la seg undersøkje” Ot. prp nr 17 (2006-2007) Om lov om endringar i utlendingsloven

Personopplysningsloven og eforvaltning Det meste av forvaltningens behandling av personopplysninger har lovhjemmel som rettslig grunnlag etter §§ 8 og 9

Personopplysningsloven og eforvaltning Eller ”nødvendig grunn for utøvelse av offentlig myndighet” I noen tilfeller kreves samtykke, f. eks hvor forvaltningen utfører oppgaver utenfor sine kjerneoppgaver. Ofte sammenblandes eller forveksles samtykke etter pol og etter eforvaltningsforskriften

Personopplysningsloven og eforvaltning Utfordrende der hvor flere forvaltningsorganer samarbeider om tjenester. Hvem er behandlingsansvarlig? En eller alle? Hvem har i tilfelle behandlingsgrunnlag? Har alle hjemmel, eller må noen ha samtykke? Altinn (samtykke, BR databehandler), MinID (samtykke + 8f, Difi behandlingsansvarlig), eDag (hjemmel, SKD behandlingsansvarlig) Samtykke riktig hvis må benytte løsningen?

Samtykke?

Bruk av fødselsnummer Pol § 12: ”Fødselsnummer og andre entydige identifikasjonsmidler kan bare nyttes i behandlingen når det er saklig behov for sikker identifisering og metoden er nødvendig for å oppnå slik identifisering.” Fvl § 13: ”Som personlige forhold regnes ikke … fødselsdato og personnummer.” - Ikke taushetsplikt Kan være vanskelig å anvende sammen

Automatiserte avgjørelser Pol § 22: Hvis en avgjørelse har rettslig eller annen vesentlig betydning for den registrerte og fullt ut er basert på automatisk behandling av personopplysninger, kan den registrerte som avgjørelsen retter seg mot, kreve at den behandlingsansvarlige gjør rede for regelinnholdet i datamaskinprogrammene som ligger til grunn for avgjørelsen. Krever god dokumentasjon av løsningen, ikke av kode, men av logikk og hvordan regler er programmert

Forholdet pol og fvl Pol trekkes ofte fram som en hindring for effektiv eforvaltning når det gjelder gjenbruk og utveksling av data. Tilsvarende med fvl § 13 Mange finner sammenhengen pol, fvl og offtl (og arkivlov) krevende. Ulike krav som tangerer og delvis overlapper. - Henger sammen med kjennskap og kompetanse? Eneste område som klart regulerer forholdet er innsyn. - Pol § 6: Loven her begrenser ikke innsynsrett etter offentleglova, forvaltningsloven eller annen lovbestemt rett til innsyn i personopplysninger.

Undersøkelsen om kunnskapsbehov vedrørende juridiske problemstillinger knyttet til elektronisk forvaltning (AFIN 2009) Enkelte områder lite kjennskap, selv blant jurister. Flere regelverk trekkes fram som vanskelige å anvende 55 % ikke enig i at rettslige spørsmål knyttet til forvaltningens bruk av får tilstrekkelig oppmerksomhet, Et klart flertall helt eller delvis uenige i at personopplysningsloven med forskrifter er lett å anvende i offentlig forvaltning. Klart flertall helt eller delvis uenige i at forholdet mellom personopplysningsloven og forvaltningsloven er lett å anvende i sammenheng.

Digitalt førstevalg – kartlegging av muligheter og hindringer (Difi 2011:3) Regelverket er skrevet for saksbehandling på papir, tar i liten grad høyde for arbeidsprosessene og er ikke tilpasset den digitale forvaltningen. Det er mangel på harmonisering av begreper i regelverket, og bevissthet rundt begrepsbruk. Pol og fvl modne for revisjon for å tilpasses elektronisk forvaltning Nødvendig med revisjon av eforvaltningsforskriften Regelverket er skrevet for saksbehandling på papir, tar i liten grad høyde for arbeidsprosessene og er ikke tilpasset den digitale forvaltningen.