Transcript eForvaltningsforskriften og sikker digital postboks til innbygger v

eForvaltningsforskriften
og
Sikker digital postboks til innbygger
Hva betyr endringene av eForvaltningsforskriften
for kommunene?
Kommunearkivkonferansen 26 okt. 2013
Digital kommunikasjon - hovedregelen
• Fra samtykke til reservasjon – innbygger må aktivt reservere seg
– Kontaktregister for digital kontaktinformasjon opprettes for
innbyggere (digital postboks, e-post og mobiltelefon..)
– Reservasjonsregister for innbyggere opprettes
– Klar oppfordring til å innrette seg slik at henvendelser ikke overses
dersom innbygger ikke har reservert seg
– Reservasjon vil kun gjelde der hvor dagens regelverk krever samtykke
– dvs. ikke all kommunikasjon, jf. § 8 nr (1) og (6)
– Overgangsperiode hvor kommunikasjon baseres på tidligere samtykke
• Frivillige organisasjoner registrert i enhetsregisteret vil ikke kunne
reservere seg
• Næringslivet vil ikke kunne reservere seg mot digital post fra det
offentlige
Sikker digital postboks til innbyggere
Ansvarsforhold sikker digital postboks
• Avsendervirksomhetene vil være
behandlingsansvarlige for all behandling av
personopplysninger som skjer i avsendervirksomheten
• Sentralforvalter og postkasseleverandør vil være
databehandlere på vegne av avsendervirksomheten
• Følgende ansvarsområder vil bli ytterligere regulert:
–
–
–
–
–
Sikkerhetstiltak
Taushetsplikt
Presisering av tilgangsregime
Råderett
Internkontroll
Begrensninger
•
•
•
•
Ikke godkjent for sikkerhetsgradert informasjon etter Sikkerhetsloven
Dokument kan ikke inneholde bostedsadresse som er gradert FORTROLIG eller
STRENGT FORTROLIG, jf. folkeregisterforskriften § 9-5
Alder: Før fylte 15 år vil foresatt i mange tilfelle være rett adressat.
NB! Ikke stilt krav om nedre aldersgrense i utlysningen for anskaffelsen
Flere postkasseleverandører stiller per dato krav om bruk av elektronisk ID på
nivå 4 for å opprette elektronisk postkasse. Det er videre stilt krav om at mottager
autentiserer seg på nivå 4 for å lese «rekommandert post»
– BankID kan ikke utstedes til personer under 15 år
– Buypass (eks. «tippekortet» med PKI) utstedes ikke til personer under 15 år
•
•
I denne fasen dekkes ikke B2B og C2B, kun B2C
Bruk av digital signatur eller e-segl med tilhørende tidsstempling for å sikre
autentisitet, er ikke planlagt som en del av anskaffelsen sikker digital postboks.
Dette må eventuelt løses av avsendervirksomheten. Enkelte leverandører tilbyr slik
funksjonalitet som integrert med ekspederingsprosessen i sak-/arkivsystem eller
fagsystem. Dette sikrer at både avsender og mottager sitter på samme dokument
Uavklart
• Skal avsender kunne trekke brevet tilbake fra
mottagers postkasse?
• Uavklart kryptografisk beskyttelse av digital post
• Ikke spesifisert unntaksbestemmelser/rutiner for
forhold som:
– Person akutt innlagt på institusjon, innsatt i fengsel m.
v. eller av andre årsaker ikke kan betjene sin digitale
postkasse
– Per dato forslag om at bare mottager kan gjøre dette
• KS fronter bruk av SvarUt i Altinn – Staten
anskaffer løsning i markedet
Saksbehandlingen - klagefrist
• Klagefrist regnes fra avsendelsestidspunkt fra
forvaltningsorganet. Tidspunktet kan utledes
fra forvaltningsorganets elektroniske logg
• Det legges ikke opp til å sende fysisk post
dersom innbygger ikke har åpnet digital post
fra det offentlige innen 7 dager, som angitt i
dagens regelverk
Overgangsregler, forskriftens § 47
• Forslag om at avsendervirksomheten skal benytte
mottakers kontaktinformasjon, registrert i
register over digital kontaktinformasjon og
reservasjon, vil tre i kraft fra 1. januar 2016.
• Dette vil gi alle forvaltningsorganer tid til å koble
seg til register over digital kontaktinformasjon og
reservasjon. Øvrige overgangsbestemmelser
foreslås gjeldende til 1. juli 2016.
Sikkerhet og sikkerhetsstrategi
• Difi anbefaler at ISO27001 benyttes som
forvaltningsstandard for styringssystem for
informasjonssikkerhet. I arbeidet med å implementere
relevante kontroller, anbefaler Difi at virksomhetene følger
strukturen i ISO27001 appendiks A og innholdsmessig
støtter seg på ISO/IEC 27002
• Dersom en virksomhet allerede har et operativt
styringssystem på andre områder (f.eks. i relasjon til ISO
9001, ISO 14001 eller HMS), vil det i de fleste tilfeller være
mest hensiktsmessig å oppfylle ISO27001-kravene innenfor
rammene av det eksisterende styringssystemet
• Sikkerhetsstrategien og internkontrollen skal inkludere
relevante krav som er fastsatt i annen lov, forskrift eller
instruks
Noen utfordringer for
avsendervirksomhetene
•
§ 38 Kopier av register for digital kontaktinformasjon og reservasjon skal
oppdateres jevnlig, minimum én gang daglig
– Hvordan løses dette for sak-/arkivsystem og alle fagsystemene?
•
•
Hvilke systemer har slike registre?
Hvilke systemer benytter slike kopier i dag?
– Vil systemleverandørene ta initiativ til å løse dette på egenhånd?
Still krav!
– Flere eller én felles integrasjon mot sikker digital postboks?
•
•
Hvordan identifisere innbygger entydig som kontakt i IKT-systemene fødselsnummer (11 siffer) eller digital postadresse eller annen identifikasjon?
Virksomheter forutsettes identifisert med bruk av organisasjonsnummer
– Hva er status i kommunens kontaktregistre per dato?
– Er egen kommunes struktur i Brønnøysundregistrene oppdatert – husk andre benytter denne!
•
•
«Rekommandert sending» forutsetter at avsendersystem stiller krav om at
mottager autentiserer seg på nivå 4 – stiller krav til rutiner og avsendersystem
Tekniske utfordringer med ekspedering av dokumenter med personsensitiv
informasjon, lagret i sikker sone – risikostyring
Hva gjør Oppland fylkeskommune?
•
•
OFK i samarbeid med Fylkesarkivet ønsker å vinne erfaring med digital kommunikasjon. Ulike
løsninger er vurdert m. h. p. funksjonalitet og sikkerhet
Avtale inngått med Posten Norge om å ta i bruk Digipost
–
–
•
•
•
•
•
Fylkesarkivet har avklart bruk av Digipost for distribusjon av personsensitiv informasjon med Datatilsynet
Virksomhetssertifikat fra Buypass anskaffet for sikker kommunikasjon med Digipost, samt til bruk for
«signering» av dokumenter i sak-/arkivløsningen, samt for signering rettighetsdokumentasjon fra
Fylkesarkivet (skannede- og elektronisk skapt arkivmateriale)
Moduler signering og ekspedering til Digipost fra sak-/arkivsystem vil ventelig være installert i. l. a.
oktober 2013
Elever i videregående skole vil være av målgruppene for digital kommunikasjon, grunnet volum
Fylkesarkivet ønsker også å ta løsningen i bruk overfor medlemmer av IKAO og innbyggere
Postmottak i Digipost er lansert – OFK vil ventelig ta dette i bruk som «sentralisert, sikkert
postmottak»
Vurdere overgang til statens løsning når denne får tilfredsstillende funksjonalitet
–
–
B2B og C2B, herunder sikkert digitalt postmottak (mulighet for ett eller flere)
Leverandører av våre fagsystemer og sak-/arkivløsninger må tilby grensesnitt til meldingsformidler m. v.
Planlagt revisjon av arkivloven
med forskrifter
Utdrag fra Riksarkivarens innlegg
på KAI-konferansen 2013
Noen varslede endringer som følge av
arkivmeldingen
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
Samordning av virkeområdet til offentlighetsloven og arkivloven - organ som i dag har journalplikt, vil også få
arkivplikt
Krav om at bortsatt virksomhet skal følge regler om offentlig arkiv
Arkivlovens § 20 – presisere påbudet om å følge reglene om offentlige arkiv ved
skifte av status fra offentlig til privat status
Tydeliggjøre Riksarkivarens koordineringsansvar for å bevare privatarkiv og styrke regelen om særlig verneverdige
privatarkiv
Krav til eForvaltning – krav om automatisk dokumentfangst, lagring og tilgjengeliggjøring i IKT-systemer
Riksarkivaren ønsker hjemmel for å kunne forlenge taushetsplikten for ikke statlig arkivmateriale
Arkivforskriftens kapittel VIII og IX om digitalt materiale
Oppdatering av regelverket for å omfatte «nye» medier
Normalinstruks for kommuner og fylkeskommuner revideres, og få rang som forskrift
Forvaltning av digitale arkiver på mellomlang sikt – revisjon knyttet til løsninger, ansvarsforhold og bestemmelser i
regelverket
Tilsyn – formål, form og innhold reguleres
Kommuner og fylkeskommuners depotansvar tydeliggjøres
Krav til offentlige arkivdepot klargjøres. Krav til langtidsbevaring av digitalt materiale må inn i arkivforskriften
Regler knyttet til innsyn/offentlighet/taushetsplikt/gradert materiale ikke berørt i dagens arkivlov – må inn i
regelverket
Prosessen styres av Kulturdepartementet
Referanser
• Høringen med tilhørende kommentarer:
http://www.regjeringen.no/nb/dep/fad/dok/hori
nger/horingsdokumenter/2013/horing-digitalkommunikasjon/horingsuttalelser.html?id=73002
8
• SAMDOK - Samla samfunnsdokumentasjon
http://samdok.com/
• Riksarkivarens foredrag – Balestrand
http://samdokdotcom.files.wordpress.com/2013/
09/ivar_fonnes_kai_konferansen_2013-913.pdf