400 likes | 551 Views
Eforvaltning – hvilke regler gjelder. Seniorrådgiver Mona Naomi Lintvedt Direktoratet for forvaltning og IKT. Hvorfor eforvaltning ?. Eforvaltning er en forutsetning for en effektiv forvaltning, og mye av dagens og fremtidens saksbehandling vil være automatisert
E N D
Eforvaltning – hvilke regler gjelder Seniorrådgiver Mona Naomi Lintvedt Direktoratet for forvaltning og IKT
Hvorfor eforvaltning? • Eforvaltning er en forutsetning for en effektiv forvaltning, og mye av dagens og fremtidens saksbehandling vil være automatisert • Dette stiller andre krav til jurister ved at regelverk må utformes, tolkes og forstås i en digital sammenheng. • Generelt er det lite kunnskap blant jurister om regelverk som er relevante for elektronisk forvaltning
Hvilke regelverk er relevante? • Regelverk om informasjonssikkerhet • Offentlighetslov med forskrift • Personopplysningslov med forskrift • Forvaltningslov • Eforvaltningsforskriften • Arkivlov med forskrift • Esignaturlov • Økonomireglementet
Sentrale regelverk med krav til informasjonssikkerhet • Økonomiregelverket • Personopplysningsloven • Sikkerhetsloven • Beskyttelsesinstruksen • Arkivloven • esignaturloven • Forvaltningsloven • eforvaltningsforskriften Mye og fragmentert regelverk som ikke er harmonisert. Krevende å ha oversikt
Sikkerhet - hva skal beskyttes? • Konfidensialitet • Vern mot uautorisert innsyn • Integritet • Vern mot uautorisert endring/tap • Tilgjengelighet • Vern mot uautorisert avbrudd
Risikovurdering • Tiltak skal stå i stil med risiko, pof §2-1 • Risiko er • sannsynlighet x konsekvens • Sannsynlighet: Letthet, motivasjon, frekvens • Konsekvenser • Datatilsynets veileder (TV-506:2002) • Generelt om risikostyring i staten (SSØ) • Veileder fra Difi Direktoratet for forvaltning og IKT
Riksrevisjonen gjennomgang av informasjonssikkerhet • Revisjon av organisering og styring av informasjonssikkerheten i alle departementene og 34 virksomheter • Merknader til • 11 departement – manglende styring • 10 virksomheter – vesentlige mangler • Dokument 1 (2009-2010)
Økonomiregelverket • Formål, § 1: … sikre at … • b) fastsatte mål og resultatkrav oppnås • c) statlige midler brukes effektivt … • Grunnleggende styringsprinsipper, § 4: • b) sikre at fastsatte mål og resultatkrav oppnås, ressursbruken er effektiv og at virksomheten drives i samsvar med gjeldende lover og regler, • Styring, oppfølging, kontroll og forvaltning må tilpasses virksomhetens egenart samt risiko og vesentlighet • Krav om internkontroll, § 14: • Alle virksomheter skal etablere systemer og rutiner som har innebygd intern kontroll for å sikre at: … • b) måloppnåelse og resultater står i et tilfredsstillende forhold til fastsatte mål og resultatkrav, og at eventuelle vesentlige avvik forebygges, avdekkes og korrigeres i nødvendig utstrekning • Veiledning hos SSØ
Personopplysningsloven • ”Tilfredsstillende informasjonssikkerhet”, § 13 • Tiltakene skal ”stå i forhold til sannsynlighet for og konsekvens av sikkerhetsbrudd”, pof §2-1 • Tiltak pålegges hvis ”er nødvendig”, pof §§2-11 til 2-13, dog: fnr i særstilling pof §9-2 • Internkontroll som ”er nødvendig”, § 14 • “tilpasses virksomhetens størrelse”, pof §3-1 • Prosesskrav - planmessig, systematisk • Risikovurdering, §2-4, sikkerhetsrevisjon, §2-5 • Dokumentert • Sikkerhetsmål, -strategi, §2-3, rutiner,§2-16 mfl Direktoratet for forvaltning og IKT
Sikkerhetsloven • Formål, jf. § 1 • ”motvirke trusler mot rikets selvstendighet og sikkerhet og andre vitale nasjonale sikkerhetsinteresser…” • Gradering, § 11 – STRENGT HEMMELIG/ HEMMELIG/ KONFIDENSIELT/ BEGRENSET • Skade hvis informasjonen kommer på avveie, for • Norges eller dets alliertes sikkerhet, • forholdet til fremmede makter eller • andre vitale nasjonale sikkerhetsinteresser • Streng need-to-know, § 12 • NSM-godkjenning av informasjonssystemer, § 13, m.v. • Informasjonssikkerhetsforskrift m.v. • Detaljerte sikringsregler
Beskyttelsesinstruksen • Instruks for statsforvaltningen • Gradering (§ 2) • STRENGT FORTROLIG eller FORTROLIG • Vurderingstema (§ 4)– skade/betydelig skade mht. • offentlige interesser, en bedrift, en institusjon eller en enkeltperson at dokumentets innhold blir kjent for uvedkommende • Konsekvenser • Strengt need-to-know-prinsipp, § 7 – personlig ansvar • Elektronisk behandling ”så langt det passer” ihht. deler av informasjonssikkerhetsforskriften etter sikkerhetsloven, jf. § 12
Arkivloven • Arkivlova § 6 • Offentlege organ pliktar å ha arkiv, og desse skal vera ordna og innretta slik at dokumenta er tryggja som informasjonskjelder for samtid og ettertid. • Arkivforskrifta, bl.a • Noark-standarden (§ 2-9 annet ledd) • Daglig sikkerhetskopi (§ 2-10 annet ledd) • fullgode system… lagringsmedium… som er godkjende av Riksarkivaren (§ 2-13) • Arkivlokale … skal … gi … vern mot … skadeleg påverknad frå klima og miljø og mot skadeverk, innbrot og ulovleg tilgjenge (§ 4-1)
Regelverk – elektronisk signatur • Esignaturloven § 3 definerer tre typer e-signaturer • Nr 1: (vanlige) • Nr 2: Avanserte • Nr 3: Kvalifiserte • Hva kreves? • Prosessrettslig, privatrettslig, forvaltningsrettslig utgpkt • Fri bevisbedømmelse, formfrihet, forsvarlig saksbehandling • Regelverket gir tidvis avklaring • Risikovurdering! • Merk efvf § 26 nr 2 – langtidslagring • arkivet vil kunne bryte signaturen, må da gå god for bindingen
Forvaltningsloven • § 13 – taushetsplikt: enhver … hindre … andre .. adgang … kjennskap … det han … får vite om … personlige forhold…/konkurransemessig betydning • § 15a – hjemler e-forskrifter • Eforvaltningsforskriften, 2004/0988 • Koef-vedtaket, 2005/1117, jf. efvf § 27 • Forskrift om it-standarder, 2009/1222
IT-standarder • Obligatoriske og anbefalte it-standarder • http://www.lovdata.no/for/sf/fa/xa-20090925-1222.html • standard.difi.no
Forvaltningsloven § 13 Enhver som utfører tjeneste eller arbeid for et forvaltningsorgan, plikter å hindre at andre får adgang eller kjennskap til det han i forbindelse med tjenesten eller arbeidet får vite om: 1) noens personlige forhold, eller 2) tekniske innretninger og fremgangsmåter samt drifts- eller forretningsforhold som det vil være av konkurransemessig betydning å hemmeligholde av hensyn til den som opplysningen angår.
Fvl § 13 og eforvaltning • Innebærer krav til informasjonssikkerhet • Kan begrense gjenbruk og utveksling av data mellom forvaltningsorganer. Dette har betydning for utvikling av elektroniske tjenester på tvers av forvaltningsorganer • Generelt er forvaltningsloven moden for revisjon hvor tilpasninger bør gjøres til elektronisk forvaltning. Fokus i dag på manuell enkeltsaksbehandling
Eforvaltningsforskriften • Forskrift om elektronisk kommunikasjon med og i forvaltningen (fvl § 15 a og esignaturloven § 5) • Formål: • legge til rette for sikker og effektiv bruk av elektronisk kommunikasjon med og i forvaltningen • legge til rette for at enhver på en enkel måte kan utøve sine rettigheter og oppfylle sine plikter i forhold til det offentlige
Eforvaltningsforskriften og eforvaltning • Forskriften har krav om strategi for informasjonssikkerhet (kap 3), krav til anskaffelser og bruk av sikkerhetstjenester (kap 4), signaturfremstilling og dekrypteringsnøkler (kap 6) • Sentralt er kapittel 2 Alminnelige krav ved bruk av elektronisk kommunikasjon med forvaltningen
Eforvaltningsforskriften og eforvaltning • § 4 (1): Enhver som henvender seg til et forvaltningsorgan ved bruk av elektronisk kommunikasjon i henhold til § 3, kan gjøre det uten bruk av sikkerhetstjenester eller -produkter, med mindre bruk av slike sikkerhetstjenester og -produkter er nødvendig for å oppfylle krav fastsatt i henhold til nr. (2)-(3) nedenfor eller følger av § 5, eller av krav fastsatt i annen lov eller i medhold av lov.
Eforvaltningsforskriften og eforvaltning • Hensikten med § 4: - all bruk av sikkerhetsløsninger bør være behovstilpasset og basert på forvaltningsorganets sikkerhetsstrategi • forebygge at forvaltningsorganet ”for sikkerhets skyld” krever mer sikkerhet enn nødvendig • kan velge ett eller noen få sikkerhetsnivåer for kommunikasjon • Eks. krav til forvaltningen om bruk av MinID
Eforvaltningsforskriften og eforvaltning • § 5: Når et forvaltningsorgan legger til rette for bruk av elektronisk kommunikasjon for mottak av opplysninger som på forvaltningens hånd kan være underlagt taushetsplikt, eller som kan være underlagt krav til sikring etter reglene om behandling av personopplysninger eller tilsvarende regler, skal risiko for uberettiget innsyn i opplysningene være forebygget på tilfredsstillende måte. • I praksis utelukkes bruk av e-post som kommunikasjonsform for store deler av saksbehandlingen, jf fvl § 13
Eforvaltningsforskriften og eforvaltning • Flere bestemmelser for sikre brukerens rettigheter og tillit, men flere av disse oppfattes i dag av forvaltningen som krevende • § 8 (1): Underretning om enkeltvedtakkan skje ved bruk av elektronisk kommunikasjon dersom partenuttrykkelig har godtatt dette og oppgitt den elektroniske adresse forvaltningsorganet skal benytte for å sende varsel etter nr. (2) nedenfor. • Følger også av fvl § 27 • = samtykke
Eforvaltningsforskriften og eforvaltning • § 8 (7): Har parten ikke skaffet seg tilgang til enkeltvedtaket innen én uke fra det tidspunkt det ble sendt varsel om det, eller vedtaket ble gjort tilgjengelig, skal underretning skje i henhold til de reglene som gjelder når det ikke er gitt samtykke til elektronisk kommunikasjon, jf. forvaltningslovens § 27. • Innebærer at må ha funksjonalitet for å logge om elektronisk melding er lest, og rutiner for utsendelse av papir. Utsetter klagefrist.
Personopplysningsloven og eforvaltning • Samtykke som hovedregel for behandling? Informert, uttrykkelig, frivillig
Samtykke? ”Dersom utlendingen ikkje samtykkjer, er det ikkje nokon grunn til at tvil om alderen skal kome vedkomande til gode. I praksis vil situasjonen vere at styresmaktene normalt vil sjå bort frapåstander frå søkjaren om at vedkomande er mindreårig, dersom han eller ho nektar å la seg undersøkje” Ot. prp nr 17 (2006-2007) Om lov om endringar i utlendingsloven
Personopplysningsloven og eforvaltning • Det meste av forvaltningens behandling av personopplysninger har lovhjemmel som rettslig grunnlag etter §§ 8 og 9
Personopplysningsloven og eforvaltning • Eller ”nødvendig grunn for utøvelse av offentlig myndighet” • I noen tilfeller kreves samtykke, f. eks hvor forvaltningen utfører oppgaver utenfor sine kjerneoppgaver. • Ofte sammenblandes eller forveksles samtykke etter pol og etter eforvaltningsforskriften
Personopplysningsloven og eforvaltning • Utfordrende der hvor flere forvaltningsorganer samarbeider om tjenester. • Hvem er behandlingsansvarlig? En eller alle? • Hvem har i tilfelle behandlingsgrunnlag? Har alle hjemmel, eller må noen ha samtykke? • Altinn (samtykke, BR databehandler), MinID (samtykke + 8f, Difi behandlingsansvarlig), eDag (hjemmel, SKD behandlingsansvarlig) • Samtykke riktig hvis må benytte løsningen?
Bruk av fødselsnummer • Pol § 12: ”Fødselsnummer og andre entydige identifikasjonsmidler kan bare nyttes i behandlingen når det er saklig behov for sikker identifisering og metoden er nødvendig for å oppnå slik identifisering.” • Fvl § 13: ”Som personlige forhold regnes ikke … fødselsdato og personnummer.” - Ikke taushetsplikt • Kan være vanskelig å anvende sammen
Automatiserte avgjørelser • Pol § 22: Hvis en avgjørelse har rettslig eller annen vesentlig betydning for den registrerte og fullt ut er basert på automatisk behandling av personopplysninger, kan den registrerte som avgjørelsen retter seg mot, kreve at den behandlingsansvarlige gjør rede for regelinnholdet i datamaskinprogrammene som ligger til grunn for avgjørelsen. • Krever god dokumentasjon av løsningen, ikke av kode, men av logikk og hvordan regler er programmert
Forholdet pol og fvl • Pol trekkes ofte fram som en hindring for effektiv eforvaltning når det gjelder gjenbruk og utveksling av data. Tilsvarende med fvl § 13 • Mange finner sammenhengen pol, fvl og offtl (og arkivlov) krevende. Ulike krav som tangerer og delvis overlapper. - Henger sammen med kjennskap og kompetanse? • Eneste område som klart regulerer forholdet er innsyn. - Pol § 6: Loven her begrenser ikke innsynsrett etter offentleglova, forvaltningsloven eller annen lovbestemt rett til innsyn i personopplysninger.
Undersøkelsen om kunnskapsbehov vedrørende juridiske problemstillinger knyttet til elektronisk forvaltning (AFIN 2009) • Enkelte områder lite kjennskap, selv blant jurister. Flere regelverk trekkes fram som vanskelige å anvende • 55 % ikke enig i at rettslige spørsmål knyttet til forvaltningens bruk av får tilstrekkelig oppmerksomhet, • Et klart flertall helt eller delvis uenige i at personopplysningsloven med forskrifter er lett å anvende i offentlig forvaltning. • Klart flertall helt eller delvis uenige i at forholdet mellom personopplysningsloven og forvaltningsloven er lett å anvende i sammenheng.
Digitalt førstevalg – kartlegging av muligheter og hindringer (Difi 2011:3) • Regelverket er skrevet for saksbehandling på papir, tar i liten grad høyde for arbeidsprosessene og er ikke tilpasset den digitale forvaltningen. • Det er mangel på harmonisering av begreper i regelverket, og bevissthet rundt begrepsbruk. • Pol og fvl modne for revisjon for å tilpasses elektronisk forvaltning • Nødvendig med revisjon av eforvaltningsforskriften