Ny postregulering - høringsuttalelse

Like dokumenter
Høringssvar - Forslag til ny pasientjournallov og ny helseregisterlov

Digital kommunikasjon som hovedregel endringer i eforvaltningsforskriften

Høringssvar - Langsiktig strategi for Altinn

Regelverk. Endringer i regelverk for digital forvaltning

Høring - Endringer i eforvaltningsforskriften - Digital kommunikasjon som

Vår referanse (bes oppgitt ved svar)

Høringssvar - Endringer i eforvaltningsforskriften - Digital kommunikasjon som hovedregel

Direktoratet for forvaltning og IKT (Difi) viser til mottatt høringsbrev av

Vår referanse (bes oppgitt ved svar)

Nærmere informasjon om endringer i forvaltningsloven og eforvaltningsforskriften

Spesielle bruksvilkår for digital postkasse til innbyggere

Digitalt førstevalg. Digital postkasse som en del av digitalt førstevalg i forvaltningen. FINF 4001 høst 2016

Høring - utkast til ny postlov og postforskrift

VEDLEGG 2 Vår saksbehandler Håvard Pedersen Vår dato

Høringssvar - lov og forskrifter om gjennomføring av rusomsorgen. Helsedirektoratet viser til departementets høringsbrev av 30. januar 2015.

Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/ /MEI 11. juli 2014

Forslag til nye regler om elektronisk kommunikasjon med og i offentlig forvaltning

Deres referanse Vår referanse (bes oppgitt ved svar) Dato 12/ / /CGN 9. april 2013

Svar på høring - Forslag til ny domstollov og endringer i forskrift om offentlighet i rettspleien

I utkast til e-ligningsforskrift 2(2) foreslås det at e-forvaltningsforskriftens 7, 11 femte ledd, 38 og kap.7 unntatt 29 ikke skal gjelde.

Nærings- og fiskeridepartementet Postboks 8090 Dep 0033 OSLO

Vedrørende pkt. 2 Bør det fastsettes nasjonale regler om behandling av personopplysninger i kredittopplysningsvirksomhet?

Landbruksdirektoratet

Deres ref Vår ref Dato

Høring rapport om felles meldingsboks

Vår ref. (bes oppgitt ved svar) 06/ AFL 28. juni 2006 HØRING - FORSKRIFT OM EIENDOMSREGISTRERING

Økonomi og administrasjon Flatanger. Vår ref: Deres ref Saksbehandler Dato 2015/173-3 Rune Strøm

Kunngjort 16. juni 2017 kl PDF-versjon 19. juni 2017

Vi viser til Datatilsynets kontroll hos Lier kommune ved Høvik skole den 21. mars 2014 og vårt varsel om vedtak 27. juni 2014.

Deres referanse Vår referanse (bes oppgitt ved svar) Dato 14/ /MEI 5. november 2014

Sikker digital post til innbygger

Høring - Anbefalt standard for transportsikring av epost

Regelrådets uttalelse. Om: Høyring av forslag om endringar i reglane om informasjonshandsaminga i Skatteetaten Ansvarlig: Finansdepartementet

Vedtak - Endelig kontrollrapport - Flekkefjord kommune - Internkontroll og informasjonssikkerhet

Digitale adresser Kontakt- og reservasjonsregisteret. Adresseseminaret Helge Bang, Difi

Direktoratet for forvaltning og ikt Besøksadresse Oslo: Besøksadresse Leikanger: Postboks 1382 Vika Oslo

Høring - forskrift om uttak og utnytting av genetisk materiale - bioprospektieringsforskriften

Høringsuttalelse til forslag fra Fornyings-, administrasjons- og kirkedepartementet om endring i eforvaltningsforskriften

HØRINGSSVAR FORSLAG TIL NY LOV OM STATENS ANSATTE. Det vises til høringsnotat datert 1. april 2016 med forslag til ny lov om statens ansatte.

Lovfortolkning - Helsepersonelloven 29c - Opplysninger til bruk i læringsarbeid og kvalitetssikring

Høring forslag til endringer i forskrifter til konkurranseloven, og forslag til forskrift om ikrafttredelse og overgangsregler

HØRINGSUTTALELSE - ENDRINGER I FORVALTNINGSLOVEN

14/ /KBK Vedtak - Endelig kontrollrapport - Eigersund kommune - Internkontroll og informasjonssikkerhet

Databehandleravtaler

2. Kommentarer til de forslagene hvor dere særskilt ber om innspill

Databehandleravtale Pilot Digitalt Bortsettingsarkiv

Alt du trenger å vite om digital postkasse. Informasjon til ansatte i offentlig sektor

Høringssvar: Forslag til forskrift om Norsk helsearkiv og Helsearkivregisteret

Klage fra SpareBank 1 Markets AS på Datatilsynets vedtak

Høring av utkast til ny postlov

Vår referanse (bes oppgitt ved svar)

Høringssvar - Revisjon av finansavtaleloven (PSD2 og e-id)

Skytjenester. Forside og Databehandleravtale. Telenor Norge

Regelrådets uttalelse. Om: Høring forskrifter til ny sikkerhetslov Ansvarlig: Forsvarsdepartementet

Høringsuttalelse - Banklovkommisjonens utredning om ny finanslovgivning

Sikker digital posttjeneste. Digital postkasse til innbyggere Kontakt- og reservasjonsregisteret

Fastsettelsesbrev forskrift om tilskudd til drenering av jordbruksjord

Deres ref: Vår ref (saksnr): Saksbeh: Arkivkode: 13/ T.Lind 042

12/ / /JSK 7.

Anbefalinger til Standardiseringsrådet vedrørende utredning av standarder for informasjonssikkerhet

Høring forslag til endringer i lov om studentsamskipnader. Vi viser til nevnte høringssak, datert

Sikker digital posttjeneste status og tilknytning av avsendervirksomheter

Høring av utkast til ny postlov Fylkesrådmannens innstilling

Sikker digital posttjeneste

Saksbehandler: Cecilie Svarød Saksnr.: 18/ Behandlingsrekkefølge Formannskapet Kommunestyret

Statens landbruksforvaltnings høringssvar - Forslag til endringer i naturmangfoldloven kapittel IV om fremmede organismer

Høring forslag om ny forskrift om tvangsmulkt med hjemmel i lov om offentlige anskaffelser 17

Høringsuttalelse - endringer i prisopplysningsforskriften, maksimalprisforskriften og yrkestransportforskriften

Vedtak - Endelig kontrollrapport - Justis -og beredskapsdepartementet - Internkontroll og informasjonssikkerhet

Vår referanse (bes oppgitt ved svar)

Brevkontroll - TVNorge WebTV - Internettbaserte TV-tjenester - Vedtak

Juristforbundets fagutvalg for personvern bistår Juristforbundet i spørsmål om personvern og gjennomgår høringssaker innenfor utvalgets fagområde.

Deres referanse Vår referanse Dato 17/ / /CDG

Regelrådets uttalelse. Om: Høring for NOU 2018:7 Ny lov om offisiell statistikk og Statistisk sentralbyrå Ansvarlig: Finansdepartementet

Høring om utkast til ny lov om behandling av opplysninger i kredittopplysningsvirksomhet

Digital kommunikasjon som hovedregel. Hva betyr dette for forvaltningen.

Spørsmål om rekkevidden av unntaket fra rapporteringsplikt for advokater

Regelrådets uttalelse

Endelig kontrollrapport

Juridiske betraktninger. knyttet til den nye. personvernforordningen. Advokat/partner Gerd Aaland Fagerli

Databehandleravtale digitale arkiv og uttrekk for deponering

DRØFTINGSPLIKT MED TILLITSVALGTE OM BRUK AV DELTIDSSTILLINGER

Sikker digital posttjeneste

Meddelelse - statlig fellesavtale mobiltelefoner og nettbrett

Personvernerklæring. 3) være adekvate, relevante og begrenset til det som er nødvendig for formålene de behandles for («dataminimering»)

E-helse har noen innspill til enkelte av de foreslåtte endringene i reseptformidlerforskriften.

Høring Forslag til forskrift om universell utforming av IKTløsninger. Høringsuttalelse fra Universell.

Personvern - sjekkliste for databehandleravtale

Utkast til ny lov om behandling av opplysninger i kredittopplysningsvirksomhet - høringsuttalelse

Saksbehandler: Mari Kristine Rollag Arkiv: G10 &13 Arkivsaksnr.: 14/ Dato:

HØRING GARANTIORDNING FOR SKADEFORSIKRING UTKAST TIL FORSKRIFTER

Kommentarer til bestemmelser og temaer i vernepliktsforskriften

Forslag til endringer i arbeidsmiljølovens bestemmelser om varsling - Høring Vi viser til brev av 20. juni 2016 med vedlegg om ovennevnte.

Digital postkasse til innbyggerne. Sikker Digitalisering 2015 Birgitte Egset, Difi

Høringsnotat forskrift om Nasjonal vitnemåls- og karakterportal

lntegrerings- og mangfoldsdirektoratet

16/8357. Departementets vurderinger nedenfor må ses i sammenheng med avgrensningene ovenfor.

POLITIDIREKTORATETS HØRINGSUTTALELSE OM FORSLAG TIL ENDRINGER I POLITIREGISTERFORSKRIFTEN KAP 70

Behandling av personopplysninger. DIGITAL ARENA BARNEHAGE 2018 Tone Tenold

Transkript:

Vår dato Vår referanse 23.1.2015 14/00873-3 Deres dato Deres referanse Samferdselsdepartementet Postboks 8010 Dep 0030 OSLO Saksbehandler: Birgitte Jensen Egset Ny postregulering - høringsuttalelse Det vises til høringsnotat av 22.10.2014 med utkast til ny postlov og ny postforskrift. I høringsnotatet bes det særskilt om høringsinstansenes syn på to forslag, lørdagsomdeling og sikker digital posttjeneste. Difi har innspill til foreslått regulering av sikker digital posttjeneste. I utgangspunktet er Difi positivt innstilt til en regulering av sikker digital posttjeneste. En regulering kan bidra til å tydeliggjøre at dette er noe annet og noe mer enn ordinær e-post og skape tillit til tjenesten blant brukerne. Samtidig er sikker digital posttjeneste forholdsvis nytt og som andre digitale tjenester, i rask utvikling. Som departementet skriver i høringsnotatet, må en regulering være formålstjenlig og egnet til å fremme utviklingen av sikre og gode digitale posttjenester. Difi stiller seg tvilende til om foreslått regulering oppfyller dette. Det er vanskelig å se hva man ønsker å oppnå med reguleringen. Særlig savner vi en drøfting av grenseflatene mot annet regelverk, eksempelvis personvernlovgivningen og eforvaltningsreguleringen, som belyser behovet for den foreslåtte reguleringen. I tillegg er en del av kravene utformet på en slik måte at de gir liten forutberegnelighet, både for tilbydere og brukere. Ved gjennomlesning av lov- og forskriftsutkastet er det krevende å få oversikt over hvilke bestemmelser som regulerer sikker digital posttjeneste. Vi forstår det slik at alle bestemmelser som omhandler posttjeneste og/eller postsending og som ikke positivt angir sikker digital posttjeneste/sikker digital postsending, kun gjelder for fysisk post. Det er noen få bestemmelser som kun regulerer sikker digital posttjeneste og en del bestemmelser som regulerer både fysisk og digital post. Dersom sikker digital posttjeneste blir en del av det nye regelverket vil vi foreslå at særbestemmelsene om sikker digital posttjeneste samles i et kapittel og at det her positivt vises til de øvrige bestemmelsene som også gjelder for sikker digital posttjeneste. Kommentarer til enkelte bestemmelser: Lovutkastet 2 og 3 Etter 2 gjelder loven sikker digital posttjenesten innenfor rammene av det geografiske virkeområdet som er angitt i 3. Av merknadene til 2 fremgår det at loven omfatter sikker digital posttjeneste som formidles i Norge. Det er ikke nærmere angitt hva som menes med «formidles i Norge». Er det en betingelse at tilbyder må ha etablert virksomhet i Norge? Vil alle Direktoratet for forvaltning og IKT Besøksadresse Oslo: (Difi) Grev Wedels plass 9 Postboks 8115 Dep, 0032 Oslo Telefaks Oslo: 22 45 10 01 Telefon: 22 45 10 00 Besøksadresse Leikanger: Skrivarvegen 2 Telefaks Leikanger: 57 65 50 55 postmottak@difi.no Org.nr.: NO 991 825 827 www.difi.no

som tilbyr sikre digitale posttjenester til brukere hjemmehørende i Norge være omfattet? Digitale tjenester er jo normalt tilgjengelig over hele verden og det må være entydig både for tilbydere og brukere hvilke tjenester som er omfattet av denne reguleringen. Lovutkastet 4 nr. 8 og nr. 9 4 nr. 8 definerer sikker digital posttjeneste som et tilbud til allmennheten om digital meldingsformidling som oppfyller fastsatt krav til sikkerhet og notoritet, mot vederlag. Det er uklart for oss hva som er ment regulert slik 4 nr. 8 er utformet. Hva som menes med «digital meldingsformidling» fremgår ikke av merknadene. Begrepet «digital meldingsformidling» er så vidt vi kan se, heller ikke benyttet i lov- eller forskriftsteksten. Den naturlige språklige forståelsen av «digital meldingsformidling» er at en digital melding flyttes fra ett sted til et annet. Ut fra dette vil f.eks. innsynstjenester ikke være omfattet. Den teknologiske utviklingen går bl.a. i retning av å tilgjengeliggjøre informasjon på en rekke forskjellige måter som ivaretar både konfidensialitet og integritet. Når reguleringene her begrenses til «å flytte» digitale meldinger er det vår oppfatning at dette ikke er en teknologinøytral regulering. Vi stiller spørsmål ved om dette er tilsiktet fordi vi leser høringsnotatet dithen at formålet er en teknologinøytral regulering som bidrar til å fremme utvikling av sikre og gode digitale posttjenester. Flere av de konkrete bestemmelsene er bare relevante ved flytting av digitale meldinger. Videre fremgår det av nr. 8 at tjenesten må oppfylle fastsatte krav til sikkerhet og notoritet. Vi forstår det slik at med dette menes kravene i lovens 35 og forskriftens 18. Disse kommenteres nedenfor. Digitale postsendinger som kan knyttes til en enkeltperson, vil være omfattet av personopplysningsregelverket og alle kravene til tilfredsstillende informasjonssikkerhet som fremgår der. For sendinger til og fra forvaltningen gjelder i tillegg forvaltningsloven og eforvaltningsforskriften. Som påpekt innledningsvis, savner vi en drøftelse av foreslått regulering i forhold til gjeldende regelverk slik at det tydeliggjøres hva som oppnås, særlig med tanke på sikkerhetsnivå, ved de nye bestemmelsene. Uten at dette er klargjort er det vanskelig å svare på spørsmålet i høringsbrevet om det er behov for en slik regulering. I merknadene forklares begrepet notoritet med at «den sikre digitale posttjenesten skal tilfredsstille tilsvarende krav til etterprøvbarhet og troverdighet som den alternative, papirbaserte tjenesten.» Det fremgår ikke om dette er noe annet eller noe mer enn det som følger av kravene til sikring av integritet etter personopplysningsregelverket. Vi ser for øvrig ikke at det foreslåtte regelverket inneholder konkrete krav som skal ivareta notoritet. 4 nr. 9 definerer sikker digital postkasse. Dette støtter opp under vår forståelse av at reguleringen er beregnet på å flytte innhold fra et sted til et annet og ikke er teknologinøytral. Sikker digital postsending, som benyttes bl.a. i lovens 27, er ikke definert. Lovutkastet 23 Bestemmelsen gir myndigheten hjemmel til å stille krav til tjenestekvalitet, måling og rapportering. Det er stilt krav til kvalitet i forskriften 11 og krav til rapportering i forskriften 23. Innholdet i forskriftens 11 er etter vårt skjønn i realiteten krav til tilgjengelighet. Leveringstid kan for øvrig være en konkurranseparameter og fremgå i den enkelte leverandørs bruksvilkår. 2

Kundeservice som reguleres i forskriften 11 3. ledd, kan også være et naturlig konkurranseparameter. Skal det reguleres, må ordlyden i bestemmelsen og merknaden samsvare. Minimumskravet bør i så fall være at kundeservice er tilgjengelig innen normal arbeidstid på hverdager. Ordlyden i 4. ledd i forskriftens 11 synes mer vidtfavnende enn formålet slik det er beskrevet i merknaden. Bestemmelsen bør endres slik at det fremgår at tjenesten skal være tilgjengelig på ulike typer av sluttbrukerutstyr. Når det gjelder rapporteringsplikten i forskriften 23 bør 3. ledd nr. 2 om tjenestekvalitet få et tillegg som omfatter rapportering til myndigheten om hendelser og avvik, særlig knyttet til brudd på konfidensialitet og integritet. Se for øvrig personopplysningsforskriften 2-6 som har krav om at avvik som medfører uautorisert utlevering av personopplysninger hvor konfidensialitet er nødvendig, medfører plikt til å varsle Datatilsynet. For øvrig nevnes at Difi har ansvar for å føre tilsyn med at regelverket om universell utforming av IKT etter diskriminerings- og tilgjengelighetsloven 14 blir etterlevd. I merknadene til lovutkastet er det vist til reguleringen i diskriminerings- og tilgjengelighetsloven. Kravene der vil gjelde uansett om sikker digital posttjeneste blir regulert i postloven og -forskriften, eller ikke. Lovutkastet 27 27 fastslår at avsender har råderett over sikker digital postsending til den er tilgjengelig i mottakers digital postkasse. Videre er det gitt hjemmel til å gi forskrift om råderett, men dette er ikke gjort for digitale postsendinger i foreliggende forskriftsutkast. Etter vårt skjønn er tidspunktet den digitale meldingen blir tilgjengeliggjort i mottakers postkasse, det rette tidspunktet for opphør av avsenders råderett. Etter dette kan ikke avsender tilbakekalle meldingen og det er kun mottaker som kan råde over meldingen lese den, slette den, videresende etc. I merknaden til 27 fremgår det at «Tilbyder av digital postsending er i besittelse av sendingen frem til den er behandlet, lastet eller åpnet opp av mottaker». Vi bemerker at tilbyder aldri skal gjøre seg kjent med innholdet i meldingene, og at dette derfor kan oppfattes misvisende. Etter vårt syn bør pålegg om innsyn etter strpl. 211, jfr merknadene til 35 fremsettes overfor mottaker når avsenders råderett er opphørt. Det er viktig at tidspunktet for opphør av avsenders råderett er entydig definert, også i relasjon til bestemmelsen i strpl. 211. For øvrig påpekes at bestemmelsen om avsenders råderett ikke er teknologinøytral da den er knyttet til tilgjengeliggjøring i mottakers postkasse. Lovutkastet 32 Bestemmelsen gir bruker anledning til å reservere seg mot utlevering av bl.a. digital kontaktinformasjon til allmennheten. I merknaden til bestemmelsen savner vi en omtale av kontakt- og reservasjonsregisteret, regulert i eforvaltningsforskriften kap. 7. Den foreslåtte bestemmelsen i postloven og den reservasjonsadgangen kundene der gis, gjelder kun den kontaktinformasjonen tilbydere av sikker digital postkasse har til sine kunder og gjelder ikke for kontakt- og reservasjonsregisteret som en sentral felleskomponent for offentlig sektor. Bruk av begrepet «reservasjon» i denne sammenheng kan også være uheldig da det kan blandes 3

sammen med den adgangen privatpersoner har etter eforvaltningsforskriften 9 til å reservere seg mot å få enkeltvedtak og andre viktige meddelelser fra offentlig sektor digitalt. Lovutkastet 33 Dersom den foreslåtte reguleringen av sikker digital posttjeneste blir en del av det nye postregelverket, støtter Difi at krav om politiattest også gjelder for behandling av eller tilgang til innhold i sikker digital posttjeneste. Det er positivt at forskriften 17 nevner straffeloven 145b spesielt, og det er viktig at man ved ikrafttredelse av ny straffelov sørger for at alle relevante bestemmelser i nytt kapittel 21 inkluderes. Lovutkastet 35 Bestemmelsen omhandler sikkerhet i digital posttjeneste og nærmere bestemmelser er gitt i forskriftsutkastet 18. Lovutkastet 35 er svært generell og viser til «fastsatte krav til sikkerhet» og at «sikkerhetsnivået er tilstrekkelig til å ivareta forsvarlig informasjonssikkerhet for den enkelte sending». Forskriftsutkastet 18 oppleves ikke som særlig konkretiserende. Personopplysningsforskriften kapittel 2 og kapittel 3 regulerer krav til informasjonssikkerhet og internkontroll for systemer som håndterer personopplysninger. Personopplysninger vil være blant de skjermingsverdige data i sikker digital posttjeneste og vi ser ikke at forskriften 18 gir et annet sikkerhetsnivå enn det som uansett følger av personopplysningsloven. Eksempelvis er kravet i 18 til forsvarlig konfidensialitet, integritet og tilgjengelighet, etter vårt skjønn, samsvarende med personopplysningsforskriften kap. 2. Kravet til entydig identifikasjon når bruker logger seg inn, følger uansett av kravet til forsvarlig konfidensialitet, og er derfor ikke nødvendig. I 18 andre ledd avgrenses tilbyderens ansvar for å gjennomføre tekniske og organisatoriske tiltak «fram til avsenderens råderett over forsendelsen opphører.» Hva er bakgrunnen for denne avgrensningen? Brukerne vil ofte la meldingen ligge i postkassen også etter at avsenders råderett opphører. Det er viktig at sikkerheten ivaretas så lenge meldingen ligger i brukerens digitale postkasse. Også her innebærer knytningen til postkassen at reguleringen ikke er teknologinøytral. Tredje ledd i forskriften 18 regulerer kvitteringer. Det bør presiseres i merknadene at kvittering for utlevering betyr at postmeldingen er gjort tilgjengelig for mottaker. Skal det gis kvittering når meldingen åpnes, krever det samtykke fra mottakeren. Kravene i fjerde ledd i 18 om at tilbyder skal dokumentere risikovurderinger og alle sikkerhetstiltak, følger uansett av personopplysningsforskriften. Annet ledd i lovens 35 gir myndighetene hjemmel til å gi forskrift og fatte enkeltvedtak om krav til sikker digital posttjeneste. Som det fremgår av våre kommentarer ovenfor ser vi ikke at det foreliggende forskriftsutkast stiller konkrete krav til sikkerhetsnivå Sammen med en uklar avgrensning av hva som ønskes regulert, gir dette ikke optimal forutberegnelighet for tilbydere og brukere. Vi stusser også over en generell adgang for myndigheten til å fatte enkeltvedtak om krav til sikker digital posttjeneste. Krav til tjenesten må gjelde generelt for alle tilbydere og bør 4

vel ikke fastsettes ved enkeltvedtak? Enkeltvedtak med pålegg om retting, endring m.v følger av lovutkastet 49 og vi er ser ikke hva slags enkeltvedtak det vil være aktuelt å fatte etter 35. Vennlig hilsen for Difi Ingelin Killengreen Direktør Tone Bringedal Avdelingsdirektør Dokumentet er godkjent elektronisk og har derfor ingen håndskrevne signaturer. 5

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding