Arkivmessige forhold og elektroniske skjemaer Gjennomgang for Oslo kommune v/ Byarkivet 29.10.09

Arkivmessige forhold og elektroniske skjemaer Gjennomgang for Oslo kommune v/ Byarkivet 29.10.09 Martin.bould@ergogroup.no Telefon 99024972 Martin Bould,ErgoGroup 1

Anbefaling Bruk elektroniske skjemaer Automatiser journalføring ved hjelp av elektroniske skjemaer Gjør saksbehandlingen enklere ved hjelp av elektroniske skjemaer 2

Arkivet må likevel inn Journalføring og elektroniske skjemaer Dokumentet og elektroniske skjemaer Publikum må vite hva de faktisk søker om Arkivet må motta et dokument (i 2 dimensjonal frosset form) Det må skje records capture ekte arkivdokumentfangst 3

Arkivet må vite Hva er automatisk tilførte journalopplysninger Foreligger det forhåndsautentisering Er søker anonym ved pålogging Hvilke egenskaper har vedleggene Foreligger det restriksjoner knyttet til vedleggene Blir vedleggene konvertert eller mottas de i orignalutgave Er vedlegg tillatt 4

Hvordan identifiseres skjemaene Tilleggsmetadata Er det nødvendig med ekstra metadata (utover journalposten) Trigger skjemaet andre hendelser Hvem andre mottar kopi av skjema? 5

De viktigste tingene om ektehet eforvaltningsforskriften som premiss for overgang til elektronisk arkiv Stikkord fra forskriftene 4 Setninger om hva som gjør et dokument ekte 6

7 eforvaltningsforskriften og forskjellen mellom arkivering og kommunikasjon

Arkivloven og kommunikasjon Det er ikke arkivloven som åpnet for elektronisk arkivering! Det er eforvaltningsforskriften og forvaltningsloven Arkivloven er primært opptatt av at det som har arkivmessig verdi blir bevart Hvordan dokumentene har oppstått og i hvilken sammenheng har noe å si for bevaringsvurderingen Forsvarlighetsprinsippene i arkivloven bryr seg ikke om valg av løsninger for å sikre at kommunikasjonen er troverdig det er tilstrekkelig at virksomheten selv anser kommunikasjonen for å være forsvarlig og troverdig 8

Innledende begrepsdiskusjon Autentisitet Troverdighet Integritet 9

Elektronisk kommunikasjon et par sentrale punkter Det er forskjell på krav til dokumenter ved utsendelse hvordan skal autentisitet og mottakssikkerhet forstås av mottaker av dokumentet og Krav til forsvarlig arkivering Det ene dreier seg om mottakers tiltro til dokumentet Det andre dreier seg om ens egen tiltro metoden for arkivering av dokumentene Kan jeg arkivere dokumentene i et rom med dårlig brannsikring og stor fare for flom Eller bør jeg arkivere dokumentene mine i et lokale som tilfredsstiller arkivforskriftens krav til lokaler Tilfredsstiller løsningen vår kravene etter kapittel IX og VIII i Riksarkivarens forskrift Er det andre krav som må stilles? 10

11 Hvordan du sikrer at dokumentene du mottar er autentiske Dette dreier seg om tiltro til avsender

Hva skal til for at dokumenter du sender ut oppfattes som autentiske og troverdige Dette dreier seg om systemer for å dokumentere hvem du er Hvilken sammenheng kommunikasjonen har oppstått Kontekstbasert informasjon (sammenheng) At noen andre som mottaker kjenner kan bekrefte hvem du er 12

Hva gjør dokumenter autentiske? At de er en sannferdig representasjon av det meningsbærende innholdet dokumentet skal formidle Det betyr at en avskrift av et dokument kan være like rettsgyldig som selve dokumentet Eller at noen har påstått at Morgan Andersen har forfalsket en underskrift og annen dokumentasjon underbygger det så blir påstanden så sannferdig at Morgan Andersen blir dømt 13

Løsning Lokal forhåndsautorisering Før du henvender det elektronisk førte gang foretar du en positiv identifikasjon av deg selv Du blir registrert med hvilke(n) rolle( r ) du kan opptre i Du får tildelt brukernavn og passord og derigjennom tilgang til en elektronisk tjeneste Dere løser det ved hjelp av kundeweb, ekstranett eller lignende 14

Andre former BankID Esignaturløsninger Bygger på samme prinsipper Noen en tredjepart som du stoler har systemer for å tildele identifikasjonsløsninger til personer de har kontrollert Når eieren av identifikasjonsløsningen henvender seg til deg så kan du sjekke hos tredjeparten at han er den han gir seg ut for automatisk og elektronisk 15

Ved oppbevaring er det ingenting i veien for at man Skanner inn de undertegnede dokumentene i ettertid Det er likevel ikke noe krav om det Det sentrale knyttet til verifikasjon av dokumenter er som oftest identitetsbekreftelse at personen som har sendt dokumentet er den han gir seg ut for å være på det tidspunktet han gjør det Og at det er mulig å bekrefte at han har de autorisasjoner eller fullmakter som er nødvendige 16

E-forvaltningsforskriften! Praktisk hjelpemiddel ved overgang til elektronisk arkiv 17

Lov om elektronisk signatur (esignaturloven) 3. Definisjoner I denne loven menes med: elektronisk signatur: data i elektronisk form som er knyttet til andre elektroniske data og som brukes som autentiseringsmetode, avansert elektronisk signatur: en elektronisk signatur som er entydig knyttet til undertegneren, kan identifisere undertegneren, er laget ved hjelp av midler som bare undertegneren har kontroll over, og er knyttet til andre elektroniske data på en slik måte at det kan oppdages om disse har blitt endret etter signering, 18

19 Hva betyr denne loven at signaturen du ser i grønt også er en elektronisk signatur

Men at man skiller mellom elektronisk signatur og avansert elektronisk signatur Avansert elektronisk signatur Signaturverifikasjonsmekanismer Krypteringsmekanismer Programvare- og annet som gjør det mulig å produsere disse signaturene 20

Sentrale bestemmelser som regulerer disse tingene E-forvaltningsforskriften Hjemlet i forvaltningsloven og lov om elektronisk signatur Egen (ny) i Forvaltningsloven 15a om elektronisk kommunikasjon 21

Forvaltningslovens 15a. (elektronisk kommunikasjon) Kongen kan gi forskrift om elektronisk kommunikasjon mellom forvaltningen og publikum og elektronisk saksbehandling og kommunikasjon i forvaltningen, herunder nærmere regler om a) hvilken elektronisk adresse eller informasjonstjeneste som skal benyttes, b) signering, autentisering, sikring av integritet og konfidensialitet, c) kvittering for mottak av elektroniske meldinger, d) krav til de produkter, tjenester og standarder som kan benyttes, e) forvaltningens rett til å sperre for brukere som misbruker data ment for signering, autentisering, sikring av integritet eller konfidensialitet, og om hva som skal regnes som misbruk. 22

Aktuell litteratur på området som kan være lurt å lese Kapittel 7 i Jansen / Schartum (2005) Informasjonssikkerhet Rettslige krav til sikker bruk av IKT. Kapitlet omhandler de praktiske konsekvensene av forskriften 23

Signaturen legger opp til at man kan regulere hvordan kommunikasjon skal foregå Det betyr at forvaltningsorganet selv kan stille krav til kommunikasjonsform Elektroniske skjemaer Faste e-postmottak Bruk av Altinn for bestemte typer innrapportering Bruk av Sikkerhetsportaler Skjemaportaler 24

Forskriften praktisk og pragmatisk lagt opp Få absolutte formkrav Formkravene knyttet til elektronisk kommunikasjon med enkeltpersoner er strengere enn ved kommunikasjon mellom organer Den sier lite om arkivering, men har noen bestemmelser i 26 det kan være verd å se på http://www.lovdata.no/for/sf/fa/xa-20040625-0988.html 25

26. Arkivering av avansert elektronisk signatur mv. (1) Melding som er signert med en avansert elektronisk signatur,1 og som blir arkivert, skal arkiveres sammen med de opplysninger som er nødvendige for å bekrefte signaturen. (2) For meldinger som skal konverteres til annet format, skal arkivet ved mottak verifisere signaturen, og deretter på hensiktsmessig måte bekrefte tilknytningen mellom meldingen, meldingens signatur og relevante opplysninger fra sertifikatet2 sammen med opplysning om tidspunktet for bekreftelsen. Arkivet skal sikre at ikke meldingene, eller dataene som bekrefter de nevnte forholdene, utilsiktet eller urettmessig endres i oppbevaringsperioden. Tilsvarende gjelder meldinger der tilhørende sertifikaters gyldighetsperiode er kortere enn den tiden det kan være behov for å bekrefte meldingens innhold, med mindre det benyttes tidsstempel eller annen tjeneste som sikrer at signaturen ikke endres og at den også i ettertid kan verifiseres. Det enkelte forvaltningsorgan kan bestemme at denne fremgangsmåten skal benyttes også for andre meldinger. (3) Dersom arkivet ikke lykkes i å verifisere signaturen, skal opplysning om dette lagres, om mulig sammen med opplysninger om årsaken til at verifisering ikke lyktes. (4) Melding eller resultat av en automatisert databehandling som er bekreftet på annen måte enn ved avansert elektronisk signatur, bør lagres sammen med opplysninger om at korrekt bekreftelse har funnet sted, og om mulig hvilken teknikk som er blitt benyttet. 26

Merk Ingen formkrav knyttet til selve arkiveringen av opplysninger 27

En god del bestemmelser om hvordan bruk av elektroniske signaturer skal foregå Få bestemmelser om når man skal bruke dem I bestemmelsene er man implisitt skeptiske til overdreven bruk av elektroniske signaturer 28

Må man skanne inn utgående brev for at de skal være autentiske? I så fall hvorfor Hva gjør kopiboken autentisk Er det slik at kopiboken har en kopi av det utgående brevet eller en egen brevkopivariant Hva er forskjellen mellom originalen og brevkopivarianten 29

Hvilke krav skal stilles til dokumenter For at de skal være autentiske Vi har snakket om dette tidligere Ikke at innholdet er sant Men at det er hva det gir seg ut for å være Vi kan gå tilbake til tidligere forelesning: 30

Ekthet relatert til ulike medier Papir: dokumentet utgjør en fysisk enhet eller flere fysiske enheter som er knyttet sammen på en eller annen måte dokumentet flyttes rent fysisk fra avsender til mottaker logo og signatur er vanskelige å endre uten spor Elektronisk: dokumentet kan kun identifiseres som en logisk enhet (selv om det til enhver tid er knyttet til et fysisk medium) forsendelse i form av elektroniske signaler over nett - kan bli sporløst endret eller mistolket av mottakers system logo og signaturer kan endres eller legges inn uten at det etterlater spor 31

Ekthet Hva er et ekte dokument? Et dokument er ekte når det er hva det gir seg ut for å være Kriterier: at produsent/avsender er den man gir seg ut for å være at innholdet er uendret etter at dokumentet ble ferdigstilt (men kommentarer kan påføres dersom det framgår tydelig hva som er hva) Ikke kriterium for ekthet: dokumentets sannhetsgehalt Ekthet må vurderes i forhold til hva som skal dokumenteres! 32

Ekthet relatert til ulike medier Papir: dokumentet utgjør en fysisk enhet eller flere fysiske enheter som er knyttet sammen på en eller annen måte dokumentet flyttes rent fysisk fra avsender til mottaker logo og signatur er vanskelige å endre uten spor Elektronisk: dokumentet kan kun identifiseres som en logisk enhet (selv om det til enhver tid er knyttet til et fysisk medium) forsendelse i form av elektroniske signaler over nett - kan bli sporløst endret eller mistolket av mottakers system logo og signaturer kan endres eller legges inn uten at det etterlater spor 33

Hvilke krav bør ellers stilles til et saksbehandlingssystem? At det kan benyttes til å dokumentere saksbehandlingen At dokumentene som dokumenterer saksbehandlingen blir forsvarlig arkivert Hva er forsvarlig arkivert? Hvilke løsninger må til for at dokumentene blir forsvarlig arkivert Sikkerhetskrav 34