1 / 14

eForvaltningsforskriften og Sikker digital postboks til innbygger

eForvaltningsforskriften og Sikker digital postboks til innbygger. Hva betyr endringene av eForvaltningsforskriften for kommunene? Kommunearkivkonferansen 26 okt. 2013. Digital kommunikasjon - hovedregelen. Fra samtykke til reservasjon – innbygger må aktivt reservere seg

quang
Download Presentation

eForvaltningsforskriften og Sikker digital postboks til innbygger

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. eForvaltningsforskriftenogSikker digital postboks til innbygger Hva betyr endringene av eForvaltningsforskriften for kommunene? Kommunearkivkonferansen 26 okt. 2013

  2. Digital kommunikasjon - hovedregelen • Fra samtykke til reservasjon – innbygger må aktivt reservere seg • Kontaktregister for digital kontaktinformasjon opprettes for innbyggere (digital postboks, e-post og mobiltelefon..) • Reservasjonsregister for innbyggere opprettes • Klar oppfordring til å innrette seg slik at henvendelser ikke overses dersom innbygger ikke har reservert seg • Reservasjon vil kun gjelde der hvor dagens regelverk krever samtykke – dvs. ikke all kommunikasjon, jf. § 8 nr (1) og (6) • Overgangsperiode hvor kommunikasjon baseres på tidligere samtykke • Frivillige organisasjoner registrert i enhetsregisteret vil ikke kunne reservere seg • Næringslivet vil ikke kunne reservere seg mot digital post fra det offentlige

  3. Sikker digital postboks til innbyggere

  4. Ansvarsforhold sikker digital postboks • Avsendervirksomhetene vil være behandlingsansvarlige for all behandling av personopplysninger som skjer i avsendervirksomheten • Sentralforvalter og postkasseleverandør vil være databehandlere på vegne av avsendervirksomheten • Følgende ansvarsområder vil bli ytterligere regulert: • Sikkerhetstiltak • Taushetsplikt • Presisering av tilgangsregime • Råderett • Internkontroll

  5. Begrensninger • Ikke godkjent for sikkerhetsgradert informasjon etter Sikkerhetsloven • Dokument kan ikke inneholde bostedsadresse som er gradert FORTROLIG eller STRENGT FORTROLIG, jf. folkeregisterforskriften § 9-5 • Alder: Før fylte 15 år vil foresatt i mange tilfelle være rett adressat. NB! Ikke stilt krav om nedre aldersgrense i utlysningen for anskaffelsen • Flere postkasseleverandører stiller per dato krav om bruk av elektronisk ID på nivå 4 for å opprette elektronisk postkasse. Det er videre stilt krav om at mottager autentiserer seg på nivå 4 for å lese «rekommandert post» • BankID kan ikke utstedes til personer under 15 år • Buypass (eks. «tippekortet» med PKI) utstedes ikke til personer under 15 år • I denne fasen dekkes ikke B2B og C2B, kun B2C • Bruk av digital signatur eller e-segl med tilhørende tidsstempling for å sikre autentisitet, er ikke planlagt som en del av anskaffelsen sikker digital postboks. Dette må eventuelt løses av avsendervirksomheten. Enkelte leverandører tilbyr slik funksjonalitet som integrert med ekspederingsprosessen i sak-/arkivsystem eller fagsystem. Dette sikrer at både avsender og mottager sitter på samme dokument

  6. Uavklart • Skal avsender kunne trekke brevet tilbake fra mottagers postkasse? • Uavklart kryptografisk beskyttelse av digital post • Ikke spesifisert unntaksbestemmelser/rutiner for forhold som: • Person akutt innlagt på institusjon, innsatt i fengsel m. v. eller av andre årsaker ikke kan betjene sin digitale postkasse • Per dato forslag om at bare mottager kan gjøre dette • KS fronter bruk av SvarUt i Altinn – Staten anskaffer løsning i markedet

  7. Saksbehandlingen - klagefrist • Klagefrist regnes fra avsendelsestidspunkt fra forvaltningsorganet. Tidspunktet kan utledes fra forvaltningsorganets elektroniske logg • Det legges ikke opp til å sende fysisk post dersom innbygger ikke har åpnet digital post fra det offentlige innen 7 dager, som angitt i dagens regelverk

  8. Overgangsregler, forskriftens § 47 • Forslag om at avsendervirksomheten skal benytte mottakers kontaktinformasjon, registrert i register over digital kontaktinformasjon og reservasjon, vil tre i kraft fra 1. januar 2016. • Dette vil gi alle forvaltningsorganer tid til å koble seg til register over digital kontaktinformasjon og reservasjon. Øvrige overgangsbestemmelser foreslås gjeldende til 1. juli 2016.

  9. Sikkerhet og sikkerhetsstrategi • Difi anbefaler at ISO27001 benyttes som forvaltningsstandard for styringssystem for informasjonssikkerhet. I arbeidet med å implementere relevante kontroller, anbefaler Difi at virksomhetene følger strukturen i ISO27001 appendiks A og innholdsmessig støtter seg på ISO/IEC 27002 • Dersom en virksomhet allerede har et operativt styringssystem på andre områder (f.eks. i relasjon til ISO 9001, ISO 14001 eller HMS), vil det i de fleste tilfeller være mest hensiktsmessig å oppfylle ISO27001-kravene innenfor rammene av det eksisterende styringssystemet • Sikkerhetsstrategien og internkontrollen skal inkludere relevante krav som er fastsatt i annen lov, forskrift eller instruks

  10. Noen utfordringer for avsendervirksomhetene • § 38 Kopier av register for digital kontaktinformasjon og reservasjon skal oppdateres jevnlig, minimum én gang daglig • Hvordan løses dette for sak-/arkivsystem og alle fagsystemene? • Hvilke systemer har slike registre? • Hvilke systemer benytter slike kopier i dag? • Vil systemleverandørene ta initiativtil å løse dette på egenhånd?Still krav! • Flere eller én felles integrasjon mot sikker digital postboks? • Hvordan identifisere innbygger entydig som kontakt i IKT-systemene - fødselsnummer (11 siffer) eller digital postadresse eller annen identifikasjon? • Virksomheter forutsettes identifisert med bruk av organisasjonsnummer • Hva er status i kommunens kontaktregistre per dato? • Er egen kommunes struktur i Brønnøysundregistrene oppdatert – husk andre benytter denne! • «Rekommandert sending» forutsetter at avsendersystem stiller krav om at mottager autentiserer seg på nivå 4 – stiller krav til rutiner og avsendersystem • Tekniske utfordringer med ekspedering av dokumenter med personsensitiv informasjon, lagret i sikker sone – risikostyring

  11. Hva gjør Oppland fylkeskommune? • OFK i samarbeid med Fylkesarkivet ønsker å vinne erfaring med digital kommunikasjon. Ulike løsninger er vurdert m. h. p. funksjonalitet og sikkerhet • Avtale inngått med Posten Norge om å ta i bruk Digipost • Fylkesarkivet har avklart bruk av Digipost for distribusjon av personsensitiv informasjon med Datatilsynet • Virksomhetssertifikat fra Buypass anskaffet for sikker kommunikasjon med Digipost, samt til bruk for «signering» av dokumenter i sak-/arkivløsningen, samt for signering rettighetsdokumentasjon fra Fylkesarkivet (skannede- og elektronisk skapt arkivmateriale) • Moduler signering og ekspedering til Digipost fra sak-/arkivsystem vil ventelig være installert i. l. a. oktober 2013 • Elever i videregående skole vil være av målgruppene for digital kommunikasjon, grunnet volum • Fylkesarkivet ønsker også å ta løsningen i bruk overfor medlemmer av IKAO og innbyggere • Postmottak i Digipost er lansert – OFK vil ventelig ta dette i bruk som «sentralisert, sikkert postmottak» • Vurdere overgang til statens løsning når denne får tilfredsstillende funksjonalitet • B2B og C2B, herunder sikkert digitalt postmottak (mulighet for ett eller flere) • Leverandører av våre fagsystemer og sak-/arkivløsninger må tilby grensesnitt til meldingsformidler m. v.

  12. Planlagt revisjon av arkivloven med forskrifter Utdrag fra Riksarkivarens innlegg på KAI-konferansen 2013

  13. Noen varslede endringer som følge av arkivmeldingen • Samordning av virkeområdet til offentlighetsloven og arkivloven - organ som i dag har journalplikt, vil også få arkivplikt • Krav om at bortsatt virksomhet skal følge regler om offentlig arkiv • Arkivlovens § 20 – presisere påbudet om å følge reglene om offentlige arkiv ved skifte av status fra offentlig til privat status • Tydeliggjøre Riksarkivarens koordineringsansvar for å bevare privatarkiv og styrke regelen om særlig verneverdige privatarkiv • Krav til eForvaltning – krav om automatisk dokumentfangst, lagring og tilgjengeliggjøring i IKT-systemer • Riksarkivaren ønsker hjemmel for å kunne forlenge taushetsplikten for ikke statlig arkivmateriale • Arkivforskriftens kapittel VIII og IX om digitalt materiale • Oppdatering av regelverket for å omfatte «nye» medier • Normalinstruks for kommuner og fylkeskommuner revideres, og få rang som forskrift • Forvaltning av digitale arkiver på mellomlang sikt – revisjon knyttet til løsninger, ansvarsforhold og bestemmelser i regelverket • Tilsyn – formål, form og innhold reguleres • Kommuner og fylkeskommuners depotansvar tydeliggjøres • Krav til offentlige arkivdepot klargjøres. Krav til langtidsbevaring av digitalt materiale må inn i arkivforskriften • Regler knyttet til innsyn/offentlighet/taushetsplikt/gradert materiale ikke berørt i dagens arkivlov – må inn i regelverket • Prosessen styres av Kulturdepartementet

  14. Referanser • Høringen med tilhørende kommentarer:http://www.regjeringen.no/nb/dep/fad/dok/horinger/horingsdokumenter/2013/horing-digital-kommunikasjon/horingsuttalelser.html?id=730028 • SAMDOK - Samla samfunnsdokumentasjonhttp://samdok.com/ • Riksarkivarens foredrag – Balestrandhttp://samdokdotcom.files.wordpress.com/2013/09/ivar_fonnes_kai_konferansen_2013-913.pdf

More Related