Regelverk for digital kommunikasjon i og med forvaltningen Jon Holden, Difi Fagforbundets fagdager 3.-4. september 2014 jho@difi.no
To hovedspørsmål Hvem kan/skal/skal ikke kommunisere digitalt med forvaltningen? Hva er forutsetningene? Hva er vilkårene Hvordan skal kommunikasjonen skje Struktur Utgangspunkt i endringene i efvf fra februar 2014 før- og nåsituasjonen Går så på overordnede regler
Hvordan var reglene før? Det kan kommuniseres digitalt Hvis det er sikkert nok Men viktig post skal sendes på papir, med unntak av hvis parten har gitt samtykke, og parten har oppgitt sin elektroniske varslingsadresse, og parten er varslet, og meldingen sendes til egnet informasjonssystem, og han/hun åpner posten innen én uke
Digital befolkning Husholdningene (Kilde: SSB 2. kvartal 2013) 94% med tilgang til internett 99 % blant husholdninger med barn 86% bruker nettbank (16-79 år) Offentlige nett-tjenester hittil i år 40 millioner innlogginger i ID-porten 3,4 millioner personer med e-id og kontaktinformasjon
Bakgrunn Nettbaserte tjenester skal være hovedregelen for forvaltningens kommunikasjon med innbyggere og næringsliv Digital forvaltning skal gi bedre tjenester Mer effektiv bruk av offentlige ressurser «Innbyggerne skal kunne velge mellom markedsbaserte postkasseløsninger, og kunne få post fra det offentlige i samme digitale postkasse som de bruker til annen digital post.»
Sikkerhet, robusthet og personvern
Hånd i hånd Løsningsutvikling Regelverk
Velg postkasse e-boks Digipost
Offentlig virksomhet Informasjon ut Informasjon inn Digital post Offentlig portal, f.eks. Altinn, helsenorge.no og Lånekassen Sikker digital posttjeneste Innsyn Interaksjon Digital post Innbygger
eforvaltningsforskriften endret i år: Samtykkekravet opphevet, 8 Reservasjonsrett innført, 9 Kontaktregister opprettet, 29 Varsel skal sendes til varslingsadresse i kontakt- og reservasjonsregisteret (e-post eller mobilnummer) Ekstra varsling hvis ikke åpnet innen en uke, 8 femte ledd Ingen automatisk papirutsendelse Klarere sikkerhetsbestemmelse - 15 Krav til internkontroll tilpasset risikoen
eforvaltningsforskriften kapittel 7 Kontakt- og reservasjonsregisteret Innhold, 32 Fødselsnummer eller D-nummer E-postadresse og mobilnummer Eventuell reservasjon Valgt postkasse og sertifikater Eventuelle fullmaktsforhold Bruk, 29 Kan brukes til varsling, saksbehandling og andre forvaltningsoppgaver Merk: Fødselsnummer er nødvendig Oppdatering, 32-34 Basert på ID-portens kontaktregister, registrert av innbyggeren Innbygger kan oppdatere eller slette opplysningene Vask mot folkeregisteret 3,4 mill. registrerte, ca 1 % reserverte
Hva kan man reservere seg mot?
Meldinger med betydning for rettsstilling. Enkeltvedtak Forhåndsvarsel (forvaltningsloven 16) Meldinger av særlig betydning å sikre at vedkommende mottar.
Må jeg på nett for å reservere meg? Må man logge inn på en elektroniske tjeneste for å reservere seg mot kommunikasjon på nett? Ring grønt nummer: 800 30 300 Krever kun fødselsnummer Kan gjøre det på nett www.norge.no
OVERGANGSREGLER OG INFORMASJON TIL DEN REGISTRERTE
Varslingsplikt etter 8 Innhold og omfang av varslingsplikten er ikke endret Forvaltningsorganet skal sørge for at parten blir varslet om at enkeltvedtak er fattet og om hvor og hvordan vedkommende kan skaffe seg kunnskap om innholdet. Det som gjelder enkeltvedtak gjelder tilsvarende for Forhåndsvarsel etter forvaltningsloven 16 For andre meldinger som har betydning for vedkommendes rettsstilling eller for behandlingen av saken og For meldinger som det av andre grunner er av særlig betydning å sikre at vedkommende mottar
Nytt vedrørende varsling i 8 For privatpersoner skal den varslingsadresse som er registrert i register over digital kontaktinformasjon og reservasjon benyttes. Alle forvaltningsorganer skal benytte den kontaktinformasjonen som er registrert i register over digital kontaktinformasjon og reservasjon til å sende varsel senest fra 1.januar 2016 ( 37(1)). For enheter registrert i Enhetsregisteret skal en oppdatert elektronisk adresse som enheten har oppgitt benyttes for å sende varsel
Nytt vedrørende varsling i 8 Gjentatt varsling én gang Har parten ikke skaffet seg tilgang til enkeltvedtaket innen én uke fra det tidspunktet vedtaket ble gjort tilgjengelig, og varsel ble sendt, skal parten varsles en gang til i samsvar med nr (2)
Overgangsbestemmelse 37 Avgjørende når forvaltningsorganet kobler seg til kontakt- og reservasjonsregisteret Før tilkobling: må ha samtykke og egen varslingsadresse Etter tilkobling: Kan kommunisere digitalt med alle som ikke har status «reservert» i dette registeret Må bruke varslingsdressene i kontaktregisteret Må koble seg opp innen 1.1.2016
Info til de registrerte Informasjonsplikt etter 38 (2) Formål: informere de som er registrert i IDportens kontaktregister om ny bruk av deres e-post adresse og mobilnummer Tilleggsinformasjon: Reservasjonsadgang Kanal: Informasjon ved innlogging til 30.4.14 Sendt e-post og SMS til de som ikke har logget inn i perioden Brev på papir når vi både får feilmelding på e-post og ikke får levert SMS
Alle statlige forvaltningsorganer som sender post på papir til innbyggere skal innen 1.7.2015, i samråd med Difi, lage en plan for overgang til løsning for digital postkasse innen første kvartal 2016.
Frist for å ta i bruk kontakt- og reservasjonsregisteret er 1.1.2016 tidligere innhentede samtykker er ugyldige etter dette.
DE GRUNNLEGGENDE RAMMER
Efvf 15 (tidligere 13) Forvaltningsorgan som benytter elektronisk kommunikasjon skal ha beskrevet mål og strategi for informasjonssikkerhet i virksomheten (sikkerhetsmål og sikkerhetsstrategi). Disse skal danne grunnlaget for forvaltningsorganets internkontroll (styring og kontroll) på informasjonssikkerhetsområdet. Sikkerhetsstrategien og internkontrollen skal inkludere relevante krav som er fastsatt i annen lov, forskrift eller instruks.
Efvf 15 (forts.) Forvaltningsorganet skal ha en internkontroll (styring og kontroll) på informasjonssikkerhetsområdet som baserer seg på anerkjente standarder for styringssystem for informasjonssikkerhet. Internkontrollen bør være en integrert del av virksomhetens helhetlige styringssystem. Det organet departementet peker ut skal gi anbefalinger på området. Omfang og innretning på internkontrollen skal være tilpasset risiko I den utstrekning det er relevant skal (som gml.)
Referansekatalogen 4.1 fra Difi Pkt. 2.16 Det er anbefalt å basere seg på ISO/IEC 27001:2013 ved etablering av styringssystem for informasjonssikkerhet. I arbeidet med å implementere relevante tiltak (kontroller) anbefales det å følge strukturen i vedlegg A i ISO/IEC 27001:2013 og innholdsmessig støtte seg på ISO/ IEC 27002:2013. Dersom en virksomhet allerede har et operativt styringssystem på andre områder (f.eks. i relasjon til ISO 9001, ISO 14001, HMS eller mål- og resultatstyring), vil det i de fleste tilfeller være mest hensiktsmessig å oppfylle kravene i ISO/IEC 27001:2013 innenfor rammene av det eksisterende styringssystemet.
Referansekatalogen 4.1 fra Difi Pkt. 2.16 Det presiseres at lov- og regelverkskrav kan være mer omfattende enn krav og anbefalinger som uttrykkelig er inntatt i de ovennevnte standardene. Den enkelte virksomhet må derfor som en del av arbeidet tilknyttet styringssystem for informasjonssikkerhet identifisere og etterleve de lov- og regelverkskrav som gjelder for dem. (+ anbefalinger om overgang fra 2005-versjon til 2013- versjon av standarden)
Relevant regelverk med krav til informasjonssikkerhet Forvaltningsloven taushetsplikt, forsvarlig saksbehandling Personopplysningsloven Arkivloven Sikkerhetsloven Beskyttelsesinstruksen Esignaturloven Særlover eks. helseregisterloven
Forvaltningsloven 13 taushetsplikt: enhver hindre andre.. adgang kjennskap det han får vite om personlige forhold /konkurransemessig betydning 13c oppbevares på betryggende måte
Informasjonssikkerhet, pol 13 13. Informasjonssikkerhet Den behandlingsansvarlige og databehandleren skal gjennom planlagte og systematiske tiltak sørge for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet ved behandling av personopplysninger. For å oppnå tilfredsstillende informasjonssikkerhet skal den behandlingsansvarlige og databehandleren dokumentere informasjonssystemet og sikkerhetstiltakene. Dokumentasjonen skal være tilgjengelig for medarbeiderne hos den behandlingsansvarlige og hos databehandleren. Dokumentasjonen skal også være tilgjengelig for Datatilsynet og Personvernnemnda. En behandlingsansvarlig som lar andre få tilgang til personopplysninger, f.eks. en databehandler eller andre som utfører oppdrag i tilknytning til informasjonssystemet, skal påse at disse oppfyller kravene i første og annet ledd. Kongen kan gi forskrift om informasjonssikkerhet ved behandling av personopplysninger, herunder nærmere regler om organisatoriske og tekniske sikkerhetstiltak.
Personopplysningsloven Tilfredsstillende informasjonssikkerhet, 13 Tiltakene skal stå i forhold til sannsynlighet for og konsekvens av sikkerhetsbrudd, pof 2-1 Tiltak pålegges hvis er nødvendig, pof 2-11 til 2-13, dog: fnr i særstilling pof 9-2 Internkontroll som er nødvendig, 14 tilpasses virksomhetens størrelse, pof 3-1 Prosesskrav - planmessig, systematisk Risikovurdering, 2-4, sikkerhetsrevisjon, 2-5 Dokumentert Sikkerhetsmål, -strategi, 2-3, rutiner, 2-16 mfl
Arkivlova 6: «arkiv innretta slik at dokumenta er tryggja som informasjonskjelder for samtid og ettertid» 9 Kassasjon «Kan ikkje førast ut or landet» Forskrifta 4-1 «Arkivlokala vern mot vatn og fukt, mot brann og skadeleg varme, mot skadeleg påverknad frå klima og miljø og mot skadeverk, innbrot og ulovleg tilgjenge.»
Kort om sikkerhetsloven Formål, jf. 1 motvirke trusler mot rikets selvstendighet og sikkerhet og andre vitale nasjonale sikkerhetsinteresser Gradering, 11 STRENGT HEMMELIG/ HEMMELIG/ KONFIDENSIELT/ BEGRENSET Skade hvis informasjonen kommer på avveie (ref. 1) Gradering, 17a MEGET KRITISK / KRITISK / VIKTIG Skade hvis funksjonssvikt/rettstridig overtakelse Streng need-to-know, 12 NSM-godkjenning av informasjonssystemer, 13, m.v. Forskrifter Informasjonssikkerhetsforskrift m.v. med detaljerte sikringsregler Objektsikkerhetsforskriften
Kort om beskyttelsesinstruksen Instruks for statsforvaltningen Gradering ( 2) STRENGT FORTROLIG eller FORTROLIG Vurderingstema ( 4) skade/betydelig skade mht. offentlige interesser, en bedrift, en institusjon eller en enkeltperson at dokumentets innhold blir kjent for uvedkommende Konsekvenser Strengt need-to-know-prinsipp, 7 personlig ansvar Elektronisk behandling så langt det passer ihht. deler av informasjonssikkerhetsforskriften etter sikkerhetsloven, jf. 12
Merk: flere kryssende regelverk om konfidensialitet ER OFFENTLIG Saksdokument, offhl 3 MEROFF. 11/ TAUSHETSRETT (kan unntas, offhl kap 3) Personopplysninger TAUSHETSPLIKT offhl 13, eks. personlig forhold, fvl 13 (m presiseringer i fvl 13a flg) Sensitive p.o. Gradert, sikklov/b.i
Rettslige krav til informasjonssikkerhet oppsummering av hovedkrav «Tilfredsstillende», pol 13 «Tilpasset risiko», efvf 15 Risikovurdering, jf. bl.a. pof 2-4, avgjørende Jf. økonomiregelverkets krav om tilfredsstillende internkontroll Prosesskrav: Sikkerhetsstrategi (pol 13, efvf 15) skal finnes
HVA BETYR DET I PRAKSIS?
Kommunikasjon til innbygger utenom digital postkasse? Vurder sikkerhetsbehovet Tilfredsstillende sikring på annen måte Annet egnet informasjonssystem Kryptert e-post Meldinger med begrenset behov for konfidensialitet, tilgjengelighets og integritet Servicemeldinger Ikke taushetsplikt Men merk: enkeltvedtak m.v. må gå på papir til den som har reservert seg enkelte særregler om kommunikasjonsform Pof 10-2, offhf 7 (internettpublisering)
Hva med digital kommunikasjon til forvaltningen? Enhver kan kommunisere elektronisk med forvaltningsorganet, hvis Forvaltningsorganet har lagt til rette for det Det skjer på den anviste måten Og ikke annet følger av lov eller forskrift Jf. fvl 15a annet ledd Forvaltningsorganet kan sette krav Forvaltningsorganet må forebygge konfidensialitetssvikt og veilede om restrisiko, efv 5 Forvaltningsorganet skal gi automatisk bekreftelse på mottaket, 6
SPØRSMÅL?