Presentasjon lastes. Vennligst vent

Presentasjon lastes. Vennligst vent

Eforvaltning – hvilke regler gjelder

PublisertYngve Thorbjørnsen Endret for 9 år siden

Liknende presentasjoner

Presentasjon om: "Eforvaltning – hvilke regler gjelder"— Utskrift av presentasjonen:

1 Eforvaltning – hvilke regler gjelder
Seniorrådgiver Mona Naomi Lintvedt Direktoratet for forvaltning og IKT

2 Hvorfor eforvaltning? Eforvaltning er en forutsetning for en effektiv forvaltning, og mye av dagens og fremtidens saksbehandling vil være automatisert Dette stiller andre krav til jurister ved at regelverk må utformes, tolkes og forstås i en digital sammenheng. Generelt er det lite kunnskap blant jurister om regelverk som er relevante for elektronisk forvaltning

3

4

5 Hvilke regelverk er relevante?
Regelverk om informasjonssikkerhet Offentlighetslov med forskrift Personopplysningslov med forskrift Forvaltningslov Eforvaltningsforskriften Arkivlov med forskrift Esignaturlov Økonomireglementet

6 Sentrale regelverk med krav til informasjonssikkerhet
Økonomiregelverket Personopplysningsloven Sikkerhetsloven Beskyttelsesinstruksen Arkivloven esignaturloven Forvaltningsloven eforvaltningsforskriften Mye og fragmentert regelverk som ikke er harmonisert. Krevende å ha oversikt

7 Sikkerhet - hva skal beskyttes?
Konfidensialitet Vern mot uautorisert innsyn Integritet Vern mot uautorisert endring/tap Tilgjengelighet Vern mot uautorisert avbrudd

8 Direktoratet for forvaltning og IKT
Risikovurdering Tiltak skal stå i stil med risiko, pof §2-1 Risiko er sannsynlighet x konsekvens Sannsynlighet: Letthet, motivasjon, frekvens Konsekvenser Datatilsynets veileder (TV-506:2002) Generelt om risikostyring i staten (SSØ) Veileder fra Difi Direktoratet for forvaltning og IKT

9 Riksrevisjonen gjennomgang av informasjonssikkerhet
Revisjon av organisering og styring av informasjonssikkerheten i alle departementene og 34 virksomheter Merknader til 11 departement – manglende styring 10 virksomheter – vesentlige mangler Dokument 1 ( )

10 Økonomiregelverket Formål, § 1: … sikre at …
b) fastsatte mål og resultatkrav oppnås c) statlige midler brukes effektivt … Grunnleggende styringsprinsipper, § 4: b) sikre at fastsatte mål og resultatkrav oppnås, ressursbruken er effektiv og at virksomheten drives i samsvar med gjeldende lover og regler, Styring, oppfølging, kontroll og forvaltning må tilpasses virksomhetens egenart samt risiko og vesentlighet Krav om internkontroll, § 14: Alle virksomheter skal etablere systemer og rutiner som har innebygd intern kontroll for å sikre at: … b) måloppnåelse og resultater står i et tilfredsstillende forhold til fastsatte mål og resultatkrav, og at eventuelle vesentlige avvik forebygges, avdekkes og korrigeres i nødvendig utstrekning Veiledning hos SSØ

11 Personopplysningsloven
”Tilfredsstillende informasjonssikkerhet”, § 13 Tiltakene skal ”stå i forhold til sannsynlighet for og konsekvens av sikkerhetsbrudd”, pof §2-1 Tiltak pålegges hvis ”er nødvendig”, pof §§2-11 til 2-13, dog: fnr i særstilling pof §9-2 Internkontroll som ”er nødvendig”, § 14 “tilpasses virksomhetens størrelse”, pof §3-1 Prosesskrav - planmessig, systematisk Risikovurdering, §2-4, sikkerhetsrevisjon, §2-5 Dokumentert Sikkerhetsmål, -strategi, §2-3, rutiner,§2-16 mfl Direktoratet for forvaltning og IKT

12 Sikkerhetsloven Formål, jf. § 1
”motvirke trusler mot rikets selvstendighet og sikkerhet og andre vitale nasjonale sikkerhetsinteresser…” Gradering, § 11 – STRENGT HEMMELIG/ HEMMELIG/ KONFIDENSIELT/ BEGRENSET Skade hvis informasjonen kommer på avveie, for Norges eller dets alliertes sikkerhet, forholdet til fremmede makter eller andre vitale nasjonale sikkerhetsinteresser Streng need-to-know, § 12 NSM-godkjenning av informasjonssystemer, § 13, m.v. Informasjonssikkerhetsforskrift m.v. Detaljerte sikringsregler

13 Beskyttelsesinstruksen
Instruks for statsforvaltningen Gradering (§ 2) STRENGT FORTROLIG eller FORTROLIG Vurderingstema (§ 4)– skade/betydelig skade mht. offentlige interesser, en bedrift, en institusjon eller en enkeltperson at dokumentets innhold blir kjent for uvedkommende Konsekvenser Strengt need-to-know-prinsipp, § 7 – personlig ansvar Elektronisk behandling ”så langt det passer” ihht. deler av informasjonssikkerhetsforskriften etter sikkerhetsloven, jf. § 12

14 Arkivloven Arkivlova § 6 Arkivforskrifta, bl.a
Offentlege organ pliktar å ha arkiv, og desse skal vera ordna og innretta slik at dokumenta er tryggja som informasjonskjelder for samtid og ettertid. Arkivforskrifta, bl.a Noark-standarden (§ 2-9 annet ledd) Daglig sikkerhetskopi (§ 2-10 annet ledd) fullgode system… lagringsmedium… som er godkjende av Riksarkivaren (§ 2-13) Arkivlokale … skal … gi … vern mot … skadeleg påverknad frå klima og miljø og mot skadeverk, innbrot og ulovleg tilgjenge (§ 4-1)

15 Regelverk – elektronisk signatur
Esignaturloven § 3 definerer tre typer e-signaturer Nr 1: (vanlige) Nr 2: Avanserte Nr 3: Kvalifiserte Hva kreves? Prosessrettslig, privatrettslig, forvaltningsrettslig utgpkt Fri bevisbedømmelse, formfrihet, forsvarlig saksbehandling Regelverket gir tidvis avklaring Risikovurdering! Merk efvf § 26 nr 2 – langtidslagring arkivet vil kunne bryte signaturen, må da gå god for bindingen

16 Forvaltningsloven § 13 – taushetsplikt: enhver … hindre … andre .. adgang … kjennskap … det han … får vite om … personlige forhold…/konkurransemessig betydning § 15a – hjemler e-forskrifter Eforvaltningsforskriften, 2004/0988 Koef-vedtaket, 2005/1117, jf. efvf § 27 Forskrift om it-standarder, 2009/1222

17 IT-standarder Obligatoriske og anbefalte it-standarder
standard.difi.no

18 Forvaltningsloven § 13 Enhver som utfører tjeneste eller arbeid for et forvaltningsorgan, plikter å hindre at andre får adgang eller kjennskap til det han i forbindelse med tjenesten eller arbeidet får vite om: 1) noens personlige forhold, eller 2) tekniske innretninger og fremgangsmåter samt drifts- eller forretningsforhold som det vil være av konkurransemessig betydning å hemmeligholde av hensyn til den som opplysningen angår.

19 Fvl § 13 og eforvaltning Innebærer krav til informasjonssikkerhet
Kan begrense gjenbruk og utveksling av data mellom forvaltningsorganer. Dette har betydning for utvikling av elektroniske tjenester på tvers av forvaltningsorganer Generelt er forvaltningsloven moden for revisjon hvor tilpasninger bør gjøres til elektronisk forvaltning. Fokus i dag på manuell enkeltsaksbehandling

20 Eforvaltningsforskriften
Forskrift om elektronisk kommunikasjon med og i forvaltningen (fvl § 15 a og esignaturloven § 5) Formål: legge til rette for sikker og effektiv bruk av elektronisk kommunikasjon med og i forvaltningen legge til rette for at enhver på en enkel måte kan utøve sine rettigheter og oppfylle sine plikter i forhold til det offentlige

21 Eforvaltningsforskriften og eforvaltning
Forskriften har krav om strategi for informasjonssikkerhet (kap 3), krav til anskaffelser og bruk av sikkerhetstjenester (kap 4), signaturfremstilling og dekrypteringsnøkler (kap 6) Sentralt er kapittel 2 Alminnelige krav ved bruk av elektronisk kommunikasjon med forvaltningen

22 Eforvaltningsforskriften og eforvaltning
§ 4 (1): Enhver som henvender seg til et forvaltningsorgan ved bruk av elektronisk kommunikasjon i henhold til § 3, kan gjøre det uten bruk av sikkerhetstjenester eller -produkter, med mindre bruk av slike sikkerhetstjenester og -produkter er nødvendig for å oppfylle krav fastsatt i henhold til nr. (2)-(3) nedenfor eller følger av § 5, eller av krav fastsatt i annen lov eller i medhold av lov.

23 Eforvaltningsforskriften og eforvaltning
Hensikten med § 4: - all bruk av sikkerhetsløsninger bør være behovstilpasset og basert på forvaltningsorganets sikkerhetsstrategi forebygge at forvaltningsorganet ”for sikkerhets skyld” krever mer sikkerhet enn nødvendig kan velge ett eller noen få sikkerhetsnivåer for kommunikasjon Eks. krav til forvaltningen om bruk av MinID

24 Eforvaltningsforskriften og eforvaltning
§ 5: Når et forvaltningsorgan legger til rette for bruk av elektronisk kommunikasjon for mottak av opplysninger som på forvaltningens hånd kan være underlagt taushetsplikt, eller som kan være underlagt krav til sikring etter reglene om behandling av personopplysninger eller tilsvarende regler, skal risiko for uberettiget innsyn i opplysningene være forebygget på tilfredsstillende måte. I praksis utelukkes bruk av e-post som kommunikasjonsform for store deler av saksbehandlingen, jf fvl § 13

25 Eforvaltningsforskriften og eforvaltning
Flere bestemmelser for sikre brukerens rettigheter og tillit, men flere av disse oppfattes i dag av forvaltningen som krevende § 8 (1): Underretning om enkeltvedtak kan skje ved bruk av elektronisk kommunikasjon dersom parten uttrykkelig har godtatt dette og oppgitt den elektroniske adresse forvaltningsorganet skal benytte for å sende varsel etter nr. (2) nedenfor. Følger også av fvl § 27 = samtykke

26 Eforvaltningsforskriften og eforvaltning
§ 8 (7): Har parten ikke skaffet seg tilgang til enkeltvedtaket innen én uke fra det tidspunkt det ble sendt varsel om det, eller vedtaket ble gjort tilgjengelig, skal underretning skje i henhold til de reglene som gjelder når det ikke er gitt samtykke til elektronisk kommunikasjon, jf. forvaltningslovens § 27. Innebærer at må ha funksjonalitet for å logge om elektronisk melding er lest, og rutiner for utsendelse av papir. Utsetter klagefrist.

27 Personopplysningsloven og eforvaltning
Samtykke som hovedregel for behandling? Informert, uttrykkelig, frivillig

28 Samtykke? ”Dersom utlendingen ikkje samtykkjer, er det ikkje nokon grunn til at tvil om alderen skal kome vedkomande til gode. I praksis vil situasjonen vere at styresmaktene normalt vil sjå bort fra påstander frå søkjaren om at vedkomande er mindreårig, dersom han eller ho nektar å la seg undersøkje” Ot. prp nr 17 ( ) Om lov om endringar i utlendingsloven

29 Personopplysningsloven og eforvaltning
Det meste av forvaltningens behandling av personopplysninger har lovhjemmel som rettslig grunnlag etter §§ 8 og 9

30 Personopplysningsloven og eforvaltning
Eller ”nødvendig grunn for utøvelse av offentlig myndighet” I noen tilfeller kreves samtykke, f. eks hvor forvaltningen utfører oppgaver utenfor sine kjerneoppgaver. Ofte sammenblandes eller forveksles samtykke etter pol og etter eforvaltningsforskriften

31 Personopplysningsloven og eforvaltning
Utfordrende der hvor flere forvaltningsorganer samarbeider om tjenester. Hvem er behandlingsansvarlig? En eller alle? Hvem har i tilfelle behandlingsgrunnlag? Har alle hjemmel, eller må noen ha samtykke? Altinn (samtykke, BR databehandler), MinID (samtykke + 8f, Difi behandlingsansvarlig), eDag (hjemmel, SKD behandlingsansvarlig) Samtykke riktig hvis må benytte løsningen?

32 Samtykke?

33

34

35

36 Bruk av fødselsnummer Pol § 12: ”Fødselsnummer og andre entydige identifikasjonsmidler kan bare nyttes i behandlingen når det er saklig behov for sikker identifisering og metoden er nødvendig for å oppnå slik identifisering.” Fvl § 13: ”Som personlige forhold regnes ikke … fødselsdato og personnummer.” - Ikke taushetsplikt Kan være vanskelig å anvende sammen

37 Automatiserte avgjørelser
Pol § 22: Hvis en avgjørelse har rettslig eller annen vesentlig betydning for den registrerte og fullt ut er basert på automatisk behandling av personopplysninger, kan den registrerte som avgjørelsen retter seg mot, kreve at den behandlingsansvarlige gjør rede for regelinnholdet i datamaskinprogrammene som ligger til grunn for avgjørelsen. Krever god dokumentasjon av løsningen, ikke av kode, men av logikk og hvordan regler er programmert

38 Forholdet pol og fvl Pol trekkes ofte fram som en hindring for effektiv eforvaltning når det gjelder gjenbruk og utveksling av data. Tilsvarende med fvl § 13 Mange finner sammenhengen pol, fvl og offtl (og arkivlov) krevende. Ulike krav som tangerer og delvis overlapper. - Henger sammen med kjennskap og kompetanse? Eneste område som klart regulerer forholdet er innsyn. - Pol § 6: Loven her begrenser ikke innsynsrett etter offentleglova, forvaltningsloven eller annen lovbestemt rett til innsyn i personopplysninger.

39 Undersøkelsen om kunnskapsbehov vedrørende juridiske problemstillinger knyttet til elektronisk forvaltning (AFIN 2009) Enkelte områder lite kjennskap, selv blant jurister. Flere regelverk trekkes fram som vanskelige å anvende 55 % ikke enig i at rettslige spørsmål knyttet til forvaltningens bruk av får tilstrekkelig oppmerksomhet, Et klart flertall helt eller delvis uenige i at personopplysningsloven med forskrifter er lett å anvende i offentlig forvaltning. Klart flertall helt eller delvis uenige i at forholdet mellom personopplysningsloven og forvaltningsloven er lett å anvende i sammenheng.

40 Digitalt førstevalg – kartlegging av muligheter og hindringer (Difi 2011:3)
Regelverket er skrevet for saksbehandling på papir, tar i liten grad høyde for arbeidsprosessene og er ikke tilpasset den digitale forvaltningen. Det er mangel på harmonisering av begreper i regelverket, og bevissthet rundt begrepsbruk. Pol og fvl modne for revisjon for å tilpasses elektronisk forvaltning Nødvendig med revisjon av eforvaltningsforskriften Regelverket er skrevet for saksbehandling på papir, tar i liten grad høyde for arbeidsprosessene og er ikke tilpasset den digitale forvaltningen.

Laste ned ppt "Eforvaltning – hvilke regler gjelder"

Liknende presentasjoner

Personopplysningsloven: -innhold, styrker og svakheter

Personopplysningsloven: -innhold, styrker og svakheter
Astrid Øksenvåg Rådgiver EKOR AS

Astrid Øksenvåg Rådgiver EKOR AS
Krav til rettslig grunnlag for behandling av personopplysninger

Krav til rettslig grunnlag for behandling av personopplysninger
Rettsregler vedrørende Internett og betydningen for informasjonsfriheten Prof. Dag Wiese Schartum, AFIN.

Rettsregler vedrørende Internett og betydningen for informasjonsfriheten Prof. Dag Wiese Schartum, AFIN.
E-forvaltning og offentlighet Dag Wiese Schartum.

E-forvaltning og offentlighet Dag Wiese Schartum.
E-forvaltningsforskriftens (efvf) krav til elektronisk kommunikasjon

E-forvaltningsforskriftens (efvf) krav til elektronisk kommunikasjon
Rettslig regulering av identitet og identifisering i Norge Dag Wiese Schartum, AFIN.

Rettslig regulering av identitet og identifisering i Norge Dag Wiese Schartum, AFIN.
Prof. Dag Wiese Schartum, AFIN

Prof. Dag Wiese Schartum, AFIN
Personopplysningslovens formål, grunnbegreper og virkeområde

Personopplysningslovens formål, grunnbegreper og virkeområde
Om personopplysningslovens betydning for forvaltningens beslutningssystemer og nettsider Dag Wiese Schartum, AFIN.

Om personopplysningslovens betydning for forvaltningens beslutningssystemer og nettsider Dag Wiese Schartum, AFIN.
E-forvaltning og offentlighet Dag Wiese Schartum.

E-forvaltning og offentlighet Dag Wiese Schartum.
Grunnleggende begreper i personopplysningsloven (legaldefinisjoner)

Grunnleggende begreper i personopplysningsloven (legaldefinisjoner)
Jus som ramme for beslutningssystemer i forvaltningen Aktøranalyse og systemavgrensing Dag Wiese Schartum.

Jus som ramme for beslutningssystemer i forvaltningen Aktøranalyse og systemavgrensing Dag Wiese Schartum.
Personopplysningslovens formål og grunnleggende begreper

Personopplysningslovens formål og grunnleggende begreper
Dag Wiese Schartum, AFIN

Dag Wiese Schartum, AFIN
Om forholdet mellom rettssikkerhet og personvern i elektronisk forvaltning Dag Wiese Schartum, AFIN.

Om forholdet mellom rettssikkerhet og personvern i elektronisk forvaltning Dag Wiese Schartum, AFIN.
Sikring av personopplysninger i offentlig forvaltning Prof. Dag Wiese Schartum, AFIN.

Sikring av personopplysninger i offentlig forvaltning Prof. Dag Wiese Schartum, AFIN.
Vibeke Bjarnø, Avdeling for lærerutdanning og internasjonale studier

Vibeke Bjarnø, Avdeling for lærerutdanning og internasjonale studier
Anne Marie Dalen Øverhaug Kvalitetsregisterkonferansen

Anne Marie Dalen Øverhaug Kvalitetsregisterkonferansen
Personopplysningsloven

Personopplysningsloven

Liknende presentasjoner

Annonser fra Google