Transcript Mona Naomi Lintvedt - Forum rettsinformatikk

Eforvaltning – hvilke regler gjelder
Seniorrådgiver Mona Naomi Lintvedt
Direktoratet for forvaltning og IKT
Hvorfor eforvaltning?
Eforvaltning er en forutsetning for en effektiv
forvaltning, og mye av dagens og fremtidens
saksbehandling vil være automatisert
Dette stiller andre krav til jurister ved at
regelverk må utformes, tolkes og forstås i en
digital sammenheng.
Generelt er det lite kunnskap blant jurister om
regelverk som er relevante for elektronisk
forvaltning
Hvilke regelverk er relevante?
Regelverk om informasjonssikkerhet
Offentlighetslov med forskrift
Personopplysningslov med forskrift
Forvaltningslov
Eforvaltningsforskriften
Arkivlov med forskrift
Esignaturlov
Økonomireglementet
Sentrale regelverk med krav til
informasjonssikkerhet
Økonomiregelverket
Personopplysningsloven
Sikkerhetsloven
Beskyttelsesinstruksen
Arkivloven
esignaturloven
Forvaltningsloven
– eforvaltningsforskriften
Mye og fragmentert
regelverk som ikke er
harmonisert.
Krevende å ha
oversikt
Sikkerhet - hva skal beskyttes?
Konfidensialitet
– Vern mot uautorisert innsyn
Integritet
– Vern mot uautorisert endring/tap
Tilgjengelighet
– Vern mot uautorisert avbrudd
Risikovurdering
• Tiltak skal stå i stil med risiko,
pof §2-1
• Risiko er
– sannsynlighet x
konsekvens
• Sannsynlighet: Letthet,
motivasjon, frekvens
• Konsekvenser
• Datatilsynets veileder (TV506:2002)
• Generelt om risikostyring i
staten (SSØ)
• Veileder fra Difi
Direktoratet for forvaltning og IKT
Riksrevisjonen gjennomgang av
informasjonssikkerhet
Revisjon av organisering og styring
av informasjonssikkerheten i alle
departementene og 34 virksomheter
Merknader til
– 11 departement – manglende styring
– 10 virksomheter – vesentlige mangler
Dokument 1 (2009-2010)
Økonomiregelverket
 Formål, § 1: … sikre at …
 b) fastsatte mål og resultatkrav oppnås
 c) statlige midler brukes effektivt …
 Grunnleggende styringsprinsipper, § 4:
 b) sikre at fastsatte mål og resultatkrav oppnås, ressursbruken er effektiv og at
virksomheten drives i samsvar med gjeldende lover og regler,
 Styring, oppfølging, kontroll og forvaltning må tilpasses virksomhetens egenart
samt risiko og vesentlighet
 Krav om internkontroll, § 14:
 Alle virksomheter skal etablere systemer og rutiner som har innebygd intern
kontroll for å sikre at: …
 b) måloppnåelse og resultater står i et tilfredsstillende forhold til fastsatte mål og
resultatkrav, og at eventuelle vesentlige avvik forebygges, avdekkes og korrigeres i
nødvendig utstrekning
 Veiledning hos SSØ
Personopplysningsloven
 ”Tilfredsstillende informasjonssikkerhet”, § 13
Tiltakene skal ”stå i forhold til sannsynlighet for og
konsekvens av sikkerhetsbrudd”, pof §2-1
Tiltak pålegges hvis ”er nødvendig”, pof §§2-11 til 2-13, dog:
fnr i særstilling pof §9-2
 Internkontroll som ”er nødvendig”, § 14
“tilpasses virksomhetens størrelse”, pof §3-1
 Prosesskrav - planmessig, systematisk
Risikovurdering, §2-4, sikkerhetsrevisjon, §2-5
 Dokumentert
Sikkerhetsmål, -strategi, §2-3, rutiner,§2-16 mfl
26.10.2010
Direktoratet for forvaltning og IKT
Sikkerhetsloven
 Formål, jf. § 1
 ”motvirke trusler mot rikets selvstendighet og sikkerhet og
andre vitale nasjonale sikkerhetsinteresser…”
 Gradering, § 11 – STRENGT HEMMELIG/ HEMMELIG/
KONFIDENSIELT/ BEGRENSET
 Skade hvis informasjonen kommer på avveie, for
 Norges eller dets alliertes sikkerhet,
 forholdet til fremmede makter eller
 andre vitale nasjonale sikkerhetsinteresser
 Streng need-to-know, § 12
 NSM-godkjenning av informasjonssystemer, § 13, m.v.
 Informasjonssikkerhetsforskrift m.v.
 Detaljerte sikringsregler
Beskyttelsesinstruksen
• Instruks for statsforvaltningen
• Gradering (§ 2)
– STRENGT FORTROLIG eller FORTROLIG
• Vurderingstema (§ 4)– skade/betydelig skade mht.
– offentlige interesser, en bedrift, en institusjon eller en
enkeltperson at dokumentets innhold blir kjent for
uvedkommende
• Konsekvenser
– Strengt need-to-know-prinsipp, § 7 – personlig ansvar
• Elektronisk behandling ”så langt det passer” ihht. deler
av informasjonssikkerhetsforskriften etter
sikkerhetsloven, jf. § 12
Arkivloven
 Arkivlova § 6
Offentlege organ pliktar å ha arkiv, og desse skal vera
ordna og innretta slik at dokumenta er tryggja som
informasjonskjelder for samtid og ettertid.
 Arkivforskrifta, bl.a
Noark-standarden (§ 2-9 annet ledd)
Daglig sikkerhetskopi (§ 2-10 annet ledd)
fullgode system… lagringsmedium… som er godkjende
av Riksarkivaren (§ 2-13)
Arkivlokale … skal … gi … vern mot … skadeleg
påverknad frå klima og miljø og mot skadeverk,
innbrot og ulovleg tilgjenge (§ 4-1)
Regelverk – elektronisk signatur
 Esignaturloven § 3 definerer tre typer e-signaturer
• Nr 1: (vanlige)
• Nr 2: Avanserte
• Nr 3: Kvalifiserte
 Hva kreves?
• Prosessrettslig, privatrettslig, forvaltningsrettslig utgpkt
• Fri bevisbedømmelse, formfrihet, forsvarlig saksbehandling
• Regelverket gir tidvis avklaring
• Risikovurdering!
 Merk efvf § 26 nr 2 – langtidslagring
• arkivet vil kunne bryte signaturen, må da gå god for
bindingen
Forvaltningsloven
§ 13 – taushetsplikt: enhver … hindre … andre
.. adgang … kjennskap … det han … får vite om
… personlige forhold…/konkurransemessig
betydning
§ 15a – hjemler e-forskrifter
• Eforvaltningsforskriften, 2004/0988
• Koef-vedtaket, 2005/1117, jf. efvf § 27
• Forskrift om it-standarder, 2009/1222
IT-standarder
 Obligatoriske og anbefalte it-standarder
• http://www.lovdata.no/for/sf/fa/xa-20090925-1222.html
• standard.difi.no
Forvaltningsloven § 13
Enhver som utfører tjeneste eller arbeid for et
forvaltningsorgan, plikter å hindre at andre får
adgang eller kjennskap til det han i forbindelse
med tjenesten eller arbeidet får vite om:
1) noens personlige forhold, eller
2) tekniske innretninger og fremgangsmåter samt
drifts- eller forretningsforhold som det vil være av
konkurransemessig betydning å hemmeligholde
av hensyn til den som opplysningen angår.
Fvl § 13 og eforvaltning
Innebærer krav til informasjonssikkerhet
Kan begrense gjenbruk og utveksling av data
mellom forvaltningsorganer. Dette har
betydning for utvikling av elektroniske
tjenester på tvers av forvaltningsorganer
Generelt er forvaltningsloven moden for
revisjon hvor tilpasninger bør gjøres til
elektronisk forvaltning. Fokus i dag på manuell
enkeltsaksbehandling
Eforvaltningsforskriften
 Forskrift om elektronisk kommunikasjon med og i
forvaltningen (fvl § 15 a og esignaturloven § 5)
 Formål:
– legge til rette for sikker og effektiv bruk av
elektronisk kommunikasjon med og i forvaltningen
– legge til rette for at enhver på en enkel måte kan
utøve sine rettigheter og oppfylle sine plikter i
forhold til det offentlige
Eforvaltningsforskriften og eforvaltning
Forskriften har krav om strategi for
informasjonssikkerhet (kap 3), krav til
anskaffelser og bruk av sikkerhetstjenester
(kap 4), signaturfremstilling og
dekrypteringsnøkler (kap 6)
Sentralt er kapittel 2 Alminnelige krav ved
bruk av elektronisk kommunikasjon med
forvaltningen
Eforvaltningsforskriften og eforvaltning
§ 4 (1): Enhver som henvender seg til et
forvaltningsorgan ved bruk av elektronisk
kommunikasjon i henhold til § 3, kan gjøre det
uten bruk av sikkerhetstjenester eller produkter, med mindre bruk av slike
sikkerhetstjenester og -produkter er
nødvendig for å oppfylle krav fastsatt i
henhold til nr. (2)-(3) nedenfor eller følger av §
5, eller av krav fastsatt i annen lov eller i
medhold av lov.
Eforvaltningsforskriften og eforvaltning
Hensikten med § 4:
- all bruk av sikkerhetsløsninger bør være
behovstilpasset og basert på forvaltningsorganets
sikkerhetsstrategi
- forebygge at forvaltningsorganet ”for sikkerhets
skyld” krever mer sikkerhet enn nødvendig
- kan velge ett eller noen få sikkerhetsnivåer for
kommunikasjon
Eks. krav til forvaltningen om bruk av MinID
Eforvaltningsforskriften og eforvaltning
 § 5: Når et forvaltningsorgan legger til rette for bruk
av elektronisk kommunikasjon for mottak av
opplysninger som på forvaltningens hånd kan være
underlagt taushetsplikt, eller som kan være
underlagt krav til sikring etter reglene om behandling
av personopplysninger eller tilsvarende regler, skal
risiko for uberettiget innsyn i opplysningene være
forebygget på tilfredsstillende måte.
 I praksis utelukkes bruk av e-post som
kommunikasjonsform for store deler av
saksbehandlingen, jf fvl § 13
Eforvaltningsforskriften og eforvaltning
 Flere bestemmelser for sikre brukerens
rettigheter og tillit, men flere av disse oppfattes i
dag av forvaltningen som krevende
 § 8 (1): Underretning om enkeltvedtak kan skje
ved bruk av elektronisk kommunikasjon dersom
parten uttrykkelig har godtatt dette og oppgitt
den elektroniske adresse forvaltningsorganet skal
benytte for å sende varsel etter nr. (2) nedenfor.
 Følger også av fvl § 27
 = samtykke
Eforvaltningsforskriften og eforvaltning
 § 8 (7): Har parten ikke skaffet seg tilgang til
enkeltvedtaket innen én uke fra det tidspunkt det
ble sendt varsel om det, eller vedtaket ble gjort
tilgjengelig, skal underretning skje i henhold til de
reglene som gjelder når det ikke er gitt samtykke
til elektronisk kommunikasjon, jf.
forvaltningslovens § 27.
 Innebærer at må ha funksjonalitet for å logge om
elektronisk melding er lest, og rutiner for
utsendelse av papir. Utsetter klagefrist.
Personopplysningsloven og eforvaltning
Samtykke som hovedregel for behandling?
Informert, uttrykkelig, frivillig
Samtykke?
”Dersom utlendingen ikkje samtykkjer, er det
ikkje nokon grunn til at tvil om alderen skal
kome vedkomande til gode. I praksis vil
situasjonen vere at styresmaktene normalt vil
sjå bort fra påstander frå søkjaren om at
vedkomande er mindreårig, dersom han eller
ho nektar å la seg undersøkje”
Ot. prp nr 17 (2006-2007) Om lov om endringar i utlendingsloven
Personopplysningsloven og eforvaltning
Det meste av forvaltningens behandling av
personopplysninger har lovhjemmel som
rettslig grunnlag etter §§ 8 og 9
Personopplysningsloven og eforvaltning
Eller ”nødvendig grunn for utøvelse av
offentlig myndighet”
I noen tilfeller kreves samtykke, f. eks hvor
forvaltningen utfører oppgaver utenfor sine
kjerneoppgaver.
Ofte sammenblandes eller forveksles
samtykke etter pol og etter
eforvaltningsforskriften
Personopplysningsloven og eforvaltning
 Utfordrende der hvor flere forvaltningsorganer
samarbeider om tjenester.
Hvem er behandlingsansvarlig? En eller alle?
Hvem har i tilfelle behandlingsgrunnlag? Har alle
hjemmel, eller må noen ha samtykke?
 Altinn (samtykke, BR databehandler),
MinID (samtykke + 8f, Difi behandlingsansvarlig),
eDag (hjemmel, SKD behandlingsansvarlig)
 Samtykke riktig hvis må benytte løsningen?
Samtykke?
Bruk av fødselsnummer
Pol § 12: ”Fødselsnummer og andre entydige
identifikasjonsmidler kan bare nyttes i
behandlingen når det er saklig behov for
sikker identifisering og metoden er nødvendig
for å oppnå slik identifisering.”
Fvl § 13: ”Som personlige forhold regnes ikke
… fødselsdato og personnummer.” - Ikke
taushetsplikt
Kan være vanskelig å anvende sammen
Automatiserte avgjørelser
 Pol § 22: Hvis en avgjørelse har rettslig eller
annen vesentlig betydning for den registrerte og
fullt ut er basert på automatisk behandling av
personopplysninger, kan den registrerte som
avgjørelsen retter seg mot, kreve at den
behandlingsansvarlige gjør rede for
regelinnholdet i datamaskinprogrammene som
ligger til grunn for avgjørelsen.
 Krever god dokumentasjon av løsningen, ikke av
kode, men av logikk og hvordan regler er
programmert
Forholdet pol og fvl
 Pol trekkes ofte fram som en hindring for effektiv
eforvaltning når det gjelder gjenbruk og utveksling av
data. Tilsvarende med fvl § 13
 Mange finner sammenhengen pol, fvl og offtl (og
arkivlov) krevende. Ulike krav som tangerer og delvis
overlapper.
- Henger sammen med kjennskap og kompetanse?
 Eneste område som klart regulerer forholdet er innsyn.
- Pol § 6: Loven her begrenser ikke innsynsrett etter
offentleglova, forvaltningsloven eller annen lovbestemt
rett til innsyn i personopplysninger.
Undersøkelsen om kunnskapsbehov vedrørende
juridiske problemstillinger knyttet til elektronisk
forvaltning (AFIN 2009)
 Enkelte områder lite kjennskap, selv blant jurister. Flere
regelverk trekkes fram som vanskelige å anvende
 55 % ikke enig i at rettslige spørsmål knyttet til
forvaltningens bruk av får tilstrekkelig oppmerksomhet,
 Et klart flertall helt eller delvis uenige i at
personopplysningsloven med forskrifter er lett å
anvende i offentlig forvaltning.
 Klart flertall helt eller delvis uenige i at forholdet
mellom personopplysningsloven og forvaltningsloven
er lett å anvende i sammenheng.
Digitalt førstevalg – kartlegging av muligheter og
hindringer (Difi 2011:3)
 Regelverket er skrevet for saksbehandling på
papir, tar i liten grad høyde for arbeidsprosessene
og er ikke tilpasset den digitale forvaltningen.
 Det er mangel på harmonisering av begreper i
regelverket, og bevissthet rundt begrepsbruk.
 Pol og fvl modne for revisjon for å tilpasses
elektronisk forvaltning
 Nødvendig med revisjon av
eforvaltningsforskriften