eforvaltningsforskriften + Forskrift om IT-standarder i forvaltningen Forelesning, Finf4001, 26. oktober 2010 Felt for signatur(enhet, navn og tittel) eforvaltningsforskriften og hjemmelslover Forskriften (i nåværende form) Vedtatt; 25. juni 2004, nr. 988 I kraft 1. juli 2004 Full tittel; Forskrift om elektronisk kommunikasjon med og i forvaltningen (eforvaltningsforskriften) Forskriften er hjemlet i; Primær hjemmel: Forvaltningsloven 15a Også visse bestemmelser som er hjemlet i esignaturloven 5 1
eforvaltningsforskriftens opprinnelige hovedperspektiv: Borgerenes rett til å kommunisere elektronisk, og det enkelte forvaltningsorgans plikt (med begrensninger) til å legge til rette for det forvaltningsloven 15a esignaturloven 5 gir hjemler for Sikkerhetsprodukter: Hvilket nivå trengs? Sikkerhetsprodukter: Hvis høyt nivå: Hvordan? eforvaltningsforskriften Forvaltningsloven 15a (gjeldende fra 2002) 15a. (elektronisk kommunikasjon) Kongen kan gi forskrift om elektronisk kommunikasjon mellom forvaltningen og publikum og elektronisk saksbehandling og kommunikasjon i forvaltningen, herunder nærmere regler om a) hvilken elektronisk adresse eller informasjonstjeneste som skal benyttes, b) signering, autentisering, sikring av integritet og konfidensialitet, c) kvittering for mottak av elektroniske meldinger, d) krav til de produkter, tjenester og standarder som kan benyttes, e) forvaltningens rett til å sperre for brukere som misbruker data ment for signering, autentisering, sikring av integritet eller konfidensialitet, og om hva som skal regnes som misbruk. 2
Esignaturloven 5 (gjeldende fra juli 2001) 5. Krav til kvalifiserte elektroniske signaturer brukt i kommunikasjon med og i offentlig sektor Kongen kan fastsette nærmere regler om hvilke krav som skal stilles til kvalifiserte elektroniske signaturer som skal brukes ved kommunikasjon med og i offentlig sektor. Historien bak; del av mandatet for utredningen om elektroniske signaturer Forskriften ble foreslått i råutkast i NOU 2001:10 (Uten penn og blekk), kapittel 11.6 Innholdet er gjenkjennelig, men kraftig omarbeidet NOU-ens primære oppgave var å foreslå implementering av EUdirektivet 1999/93/EF, som ble ivaretatt i forslaget til Lov om elektronisk signatur (altså et annet formål enn eforvaltningsforskriften ) NOU-en anbefalte at man i størst mulig utstrekning nedfelte nødvendige regler (dvs. om elektronisk kommunikasjon med og i forvaltningen) i forskrift forankret i forvaltningsloven (NOU-en kapittel 11.5.4) 3
Historien bak; første versjon i 2002 var bare gyldig i to år Forskrift om elektronisk kommunikasjon med og i forvaltningen Første utgave, forskrift 28. juni 2002 nr. 656 vedtatt med to års tidsbegrensning, etter det såkalte solnedgangsprinsippet Siste paragraf lød: 29 Ikrafttredelse og tidsbegrensing av forskriften (1) Forskriften trer i kraft 1. juli 2002. (2) Forskriften opphører 1. juli 2004 dersom den ikke uttrykkelig fornyes. Solnedgangsprinsippet ( sunset legislation ) var et hett politisk tema rundt 2001-2002, eforvaltningsforskriften ble et ensomt eksempel før man gikk bort fra det igjen Noen sammenhenger eforvaltningsforskriften står i: Kravet til skriftlighet Skriftlighet var og er hovedprinsipp i forvaltningen Er elektronisk = skriftlig? Det kunne man antakelig bare bestemme seg for, men det ble likevel gjort et omfattende føre var -arbeid: Kartleggingsprosjekt (fra mars 1999), deltakelse fra alle departementer, for å finne frem til og rydde vekk ubegrunnede forbud mot elektronisk kommunikasjon Lovvedtak 21.12.2001 nr. 117: Lov om endring i diverse (39) lover for å fjerne hindringer for elektronisk kommunikasjon Herunder fvl. 2 g): skriftlig: også elektronisk melding når informasjonen i denne er tilgjengelig også for ettertiden; Altså: Generelt JA Unntak må heretter markeres ( skriftlig på papir e.l.) 4
Noen sammenhenger eforvaltningsforskriften står i: Formkrav ved samhandling? I utgangspunktet gjelder ingen formkrav, parten kan for eksempel sende et egenkomponert brev En god del bestemmelser i ulike lover og forskrifter krever at opplysninger gis på fastsatt skjema eforvaltningsforskriften har samme grunnleggende innretning, men annerledes uttrykt: Hovedprinsipp: 3 (1) i henhold til den form og fremgangsmåte som forvaltningsorganet har anvist Ellers: 3 (2) hvis det ikke er stilt noen særskilte krav til form eller fremgangsmåte kan den som vil henvende seg til forvaltningsorganet, bruke forvaltningsorganets generelle elektroniske adresse Noen sammenhenger eforvaltningsforskriften står i: Samtykke er hovedregelen Samtykke er neppe et praktisk problem når parten selv vil henvende seg elektronisk, men Forvaltningsloven 27 (femte punktum): Den skriftlige underretningen kan gis ved bruk av elektronisk kommunikasjon når mottakeren uttrykkelig har godtatt dette og har oppgitt den elektroniske adressen som skal benyttes for slikt formål. eforvaltningsforskriftens 8 første ledd: Nærmest identisk formulering, men gjelder angivelse av elektronisk adresse for å varsle om at vedtak i elektronisk form kan lastes ned 5
Hvordan forskriften er innrettet, noen hovedtrekk Myke formålsangivelser: Legge til rette for; sikkerhet og effektiv bruk, samordning Fremme; forutsigbarhet og fleksibilitet To litt ulike angivelser av anvendelsesområde: Kommunikasjon med forvaltningen ( uansett ) Og i forvaltningen, når ikke annet er bestemt i lov eller i medhold av lov Røkla -reguleringer: Bruk uten sikkerhetstjenester, med mindre slike er angitt Bruk uten formkrav, med mindre slike er angitt Til forvaltningsorganets generelle elektroniske adresse, med mindre annen adresse er angitt Et par spesielle varianter, der forskriften er litt a-typisk innrettet Prinsipielt er regler, plikter og rettigheter i forskriften utformet uavhengig av tjenestetyper, og anvendelig for vidt forskjellige typer saksbehandlingsprosess 8 og 10 er litt annerledes, der kan man se at de som skriver forskriften ser for seg at saksbehandlingen følger en bestemt mal <Platon, han fra ex.phil med idélæren> 6
Nærmere om underretning og innhold, 8 begreper fra forvaltningsloven, bl.a. 27 og 25 I forvaltningsloven er Underretning om vedtak og begrunnelsens innhold skilt ut som to selvstendige begreper fordi det knyttes ulike rettslige egenskaper til dem I eforvaltningsforskriften 8 er underretning og innhold også skilt ut som to selvstendige prosesstrinn, med ulike tidspunkter og info-kanaler Hvorfor? Som hånd i handske med prosessen SMS eller e-post som forteller at nå kan du laste ned ditt vedtak fra internett (følg lenke l, eller logg på nettsted n) Nærmere om innsyn i opplysninger og dokumenter, 10 Be om innsyn Krav om innsyn kan fremmes elektronisk under samme vilkår som andre henvendelser, jf. 3 og 4 Elektronisk formidling av materialet som det gis innsyn i Hvis man ber om det eller samtykker til det Hvis forvaltningsorganet fører elektronisk arkiv Sammenlign også ny offentleglova, 9, 10 og 30 Også spesialregler om verifiserende dokumentasjon for innsyn i elektronisk signerte dokumenter 7
Om sikkerhetsbestemmelsene En implisitt føring om å ikke legge lista for sikkerhetskrav høyere enn strengt nødvendig Jf. blant annet 4, med mindre bruk av slike sikkerhetstjenester og -produkter er nødvendig for å oppfylle (fulgt av diverse henvisninger til relevante krav) Formålsbetraktning for adgangen til å fastsette bruk av sikkerhetstjenester og produkter For å bekrefte avsenders identitet og fullmakter For å forebygge mot uberettiget innsyn i opplysninger To forskjellige typer sikkerhetsbestemmelser 13; sikkerhetsstrategi; Forvaltningsorganets plikt til å beslutte hvor skal lista ligge? Sammenlignbart med personopplysningsloven 13 og personopplysningsforskriften kapittel 2: Risikobasert styringssystem for å oppnå tilstrekkelig informasjonssikkerhet Dette ligger også til grunn for forskriftens henvisning til anerkjente prinsipper, kan f.eks. være ISO-27002 Ikke alt som dekkes av personopplysningsloven 14-26; avanserte sikkerhetstjenester; hvis man må legge lista høyt, hvordan få lagt den der? Sammenlignbart og til dels overlappende med bestemmelser i esignaturloven 8
Hvem som har rettigheter og plikter etter eforvaltningsforskriften Aktørene: Forvaltningsorganet Som i forvaltningsloven 1 Arkivet Og av og til forvaltningsansatte (enkeltpers.) Innehaver av signaturfremstillingsdata Den som henvender seg Enhver Part Begreper og betydning tilsvarende som i fvl. og offl. Og noen eksterne aktører Sertifikatutsteder, mv. Koordineringsorganet Ekstern databehandler (jf. pol 15) Plikter og rettigheter Konkrete oppgaver, plikter underlagt instruksjonsmynd. Primært rettigheter Egne, definerte oppgaver Rettigheter for den som henvender seg Man tenker som regel på en part i en sak Kan også gjelde andre (f.eks. veiledningsbehov) Rett til å kommunisere elektronisk Som generelt utgangspunkt en svært vid rettighet, men forvaltningsorganet kan legge nær sagt alle tenkelige konkrete, praktiske betingelser og føringer Rett til å ikke kommunisere elektronisk Ved å ikke henvende seg elektronisk, og Ved å ikke samtykke til at skriftlig underretning kan skje elektronisk 9
Forvaltningsorganets plikter Uansett Gi avsender svar og eventuelt anvise rett organ eller henvendelsesform, dersom en henvendelse er sendt feil Opplyse generelt om hvordan taushetsbelagte opplysninger og personopplysninger sikres (jf. også pol 19) Brukervennlig og tilgjengelig for alle (jf. universell utforming) Dersom forvaltningsorganet ikke har bestemt noe Da gjelder røkla -reguleringene; Å ta imot og behandle de henvendelser som kommer elektronisk, som om de var sendt på papir Som grunnleggende vilkår for å kunne bestemme krav til form, adresser, sikkerhetstjenester m.m.: Plikt til å ha beskrevet sikkerhetsmål og sikkerhetsstrategi Forvaltningsorganets rettigheter Bestemme form og fremgangsmåte Spesielle skjemaer, prosedyrer, krav til minsteinnhold i et skjema osv. Bestemme elektroniske adresser For eksempel e-post, nettsteder, teletjenestenummer Og i medhold av organets egen sikkerhetsstrategi Bestemme sikkerhetstjenester og produkter Krav til sikkerhetstjenester kan evt. også følge av annen lov Rett til å nekte enkeltperson som antas å misbruke adgangen å kommunisere elektronisk 10
Angivelse av visse konkrete oppgaver for roller/enkeltpersoner i forvaltningsorganet På vegne av; det er forvaltningsorganet som er pliktsubjekt Disse oppgavene er innenfor normalt ansvar og instruksjonsmyndighet i forvaltningen Omfatter; Krav til hvordan innehaver av signaturfremstillingsdata skal sikre dette Krav til å lære opp og følge opp organets ansatte på visse områder Visse oppgaver lagt til forvaltningsorganets arkiv Samordning mellom forvaltningsorganer 27, Hjemmel for et koordinerende organ Primært samordning og interoperabilitet i valg av sikkerhetsprodukter og sikkerhetstjenester eforvaltningsforskriften hjemler, og legger oppgaver til, Koordineringsorganet for eforvaltning ( Koef ) Består blant annet av etatsledere i tunge etater Skal koordinere forvaltningens bruk av sikkerhetstjenester og produkter Kan bestemme at det skal benyttes aktører og produkter etter inngåtte rammeavtaler 11
eforvaltningsforskriften og samordning av sikkerhetsprodukter, Bruke rammeavtaler som innfrir PKI-kravspesifikasjon fvl. 15a esignl. 5 16a Kgl. res. 7.10.2005: MOD utpekt eforvaltningsforskriften 27: Koef kan bestemme bruk av rammeavtalene Hjemmel for Forskrift om selvdeklarasjonsordning Koef og myk samordning av sikkerheten Ny kompetanse etter forskriftsendring (des. 2005) Kan bestemme at det kun skal benyttes sertifikater som er på publisert liste (hos PT, selvdeklarasjonsordning) Men ellers ikke direkte kompetanse til å binde forvaltningen Koef kan for eksempel neppe kreve at etat x må delta i Altinn eller MinSide eller lignende Ny 16a i esignaturloven, og tilhørende forskrift om selvdeklarasjonsordninger (juni og nov. 2005) Forskriftshjemmel for frivillig sertifisering Forskriften henviser til til enhver tid gjeldende versjon av «Kravspesifikasjon for PKI i offentlig sektor». 12
Formater og innholdsstandarder Ikke del av eforvaltningsforskriften Kan likevel regnes som omfattet av forskriftshjemmelen i forvaltningslovens 15a Bokstav d): krav til de produkter, tjenester og standarder som kan benyttes, Ny forskrift i september 2009: Forskrift om IT-standarder i forvaltningen eforvaltningsforskriften og generell format- og metodestandardisering Fra forsiktige interne instrukser (bare statlig forvaltning), til forskrift (binder både staten og kommuner), 2009 fvl. 15a esignl. 5 16a eforvaltningsforskriften 27: Koef Etatenes fotfolk Hjemmel for Standardiseringsråd Utarbeider grunnlaget for Forskr. om IT-standarder i forv. Forskr. om selvdeklarasjon 13
Grunnlagsdokumentet: Referansekatalog for IT-standarder i offentlig sektor Versjon 2.0, 25. juni 2009 Utkast til versjon 3 har vært ute på høring (frist 6. august 2010) Metode for å beslutte/velge standarder Fast beskrivelsesformat Navn, versjon, standardiseringorganisasjon etc. Fire gyldighetsmodi for en standard i katalogen Obligatorisk Anbefalt Foreslått Under utfasing Organisering av standardiseringsarbeidet Eget standardiseringsråd som anbefaler endringer i referansekatalogen Difi er sekretariat Deltakere fra mange ulike etater I hovedsak samme etater som Koef, men hver etat har utnevnt representanter blant fotfolket FAD beslutter hva som skal være s.k. forvaltningsstandarder og gir ut referansekatalogen 14
Forskrift om IT-standarder i offentlig forvaltning I kraft 1. januar 2010 Vidt anvendelsesområde ( 1): Ethvert organ for stat og kommune Annet ledd: Forskriften kan omfatte tekniske, semantiske og organisatoriske standarder Temmelig begrenset del av referansekatalogen som er omfattet, i hvert fall foreløpig ( 4): 1) Ved publisering av ferdigstilte dokumenter skal det benyttes HTML 4.01, XHTML 1.0 eller PDF (div. var) 2) Ved publisering av dokumenter som skal kunne bearbeides videre, skal det benyttes ODF 1.1 Hvorfor er forskriftsformen valgt her? Tidligere har forvaltningsstandarder enten vært frivillige, eller pålagt gjennom instruksjon Uttalt formål: Gjøre de obligatoriske standardene i referansekatalogen obligatoriske også for kommunene Tydeligere signal til publikum om hva de kan forvente seg Forskriften angir tidsfrister Kanskje også et signal til forvaltningsorganer om at krav til standardisering vil fortsette å øke? 15