Rapport: Sekretess och säkerhet vid offentliga och öppna geodata

Transkript

1 MSB dnr Rapport: Sekretess och säkerhet vid offentliga och öppna geodata CHRISTINE REPOND OCH NAIMA ALMSTRÖM 1. Introduktion Geodatarådets handlingsplan består av elva olika aktiviteter, varav en är en strategifördjupning inom området krisberedskap och blåljus. Ett delprojekt i denna aktivitet handlar om att ta fram en övergripande redogörelse för den lagstiftning som gäller för myndigheter vid hantering av sekretess- och säkerhetsfrågor vid utlämnande av offentliga och öppna geodata. Geodatarådet har i denna del bland annat efterfrågat klargöranden kring vilken myndighet som är ansvarig för att säkerställa att sekretess- och säkerhetslagstiftning efterföljs vid utlämnande av offentliga och öppna geodata, vilka lagar ansvarig myndighet då har att beakta, samt hur dessa påverkar myndighetens möjligheter att lämna ut data. Denna rapport utgör en juridisk redogörelse i enlighet med de klargöranden Geodatarådet efterfrågat. Rapporten innehåller följande: Definitioner av centrala begrepp Övergripande redogörelse av lagstiftning som möjliggör och reglerar olika former av utlämnande av geodata Övergripande redogörelse av lagstiftning som begränsar utlämnande av geodata Slutsatser Lantmäteriet, Division Geodata, Gävle BESÖKSADRESS Lantmäterigatan 2 C, TELEFON E-POST lantmateriet@lm.se, INTERNET

2 2. Definitioner Rådata Grunddata Offentliga data Öppna data Data som samlats in men inte bearbetats eller på annat sätt manipulerats. Grundläggande data hos myndighet som identifierar en fysisk eller juridisk person, fast eller lös egendom eller data som anger ett geografiskt läge, som är beständiga i tiden och har en utbredd användning eller är av allmän nytta. Data hos offentliga organisationer, både statliga och kommunala, som är tillgänglig och inte omfattas av sekretess. Viktigt att notera är att offentliga data inte per automatik kan likställas med öppna data. Tillgängligheten till offentliga data kan begränsas i form av avgifter och/eller användningsvillkor (licenser) som medför restriktioner för användning och spridning. Den vedertagna definitionen innefattar data som vem som helst fritt får använda, återanvända och distribuera med som största motprestation att ange källa. Det innebär att vem som helst kan få tillgång till sådana data, använda det och sprida det för vilket syfte som helst. Öppna data kan härröra både från offentliga och från privata aktörer. Aggregerade data Sammanslagning av data som kommer från mer än en källa. Metadata Denna definition ska inte förväxlas med den definition som används inom statistik då aggregerade data istället avser avidentifierade data. Information som beskriver en datamängd eller en IT-baserad tjänst. 3. Utlämnande av geodata 3.1. Förvaring En myndighets utlämnande av data förutsätter att myndigheten förvarar den data som ska lämnas ut. Data som är dokumenterad i en fysisk handling (ex. papper, fotografi, ritning) anses förvarad hos myndigheten om handlingen t.ex. finns i myndighetens lokaler eller hos behörig tjänsteman. Frågan om myndigheten förvarar sådana data är således kopplad till den fysiska förvaringen. Data kan emellertid också vara dokumenterad på annat sätt än i en fysisk handling. Att data är dokumenterad i en upptagning innebär att sådana 2(9)

3 data enbart kan läsas, avlyssnas eller på annat sätt uppfattas med ett tekniskt hjälpmedel. En sådan upptagning kan t.ex. utgöra en digital fil eller en ljudupptagning. Myndigheten förvarar data i dessa upptagningar endast om upptagningen är tillgänglig för myndigheten med ett tekniskt hjälpmedel som myndigheten själv utnyttjar för överföring i sådan form att den kan läsas, avlyssnas eller på annat sätt uppfattas, t.ex. en dator eller en ljudanläggning. Frågan om myndigheten förvarar data dokumenterad i en upptagning är inte kopplad till den fysiska förvaringen av upptagningen utan istället myndighetens åtkomst till upptagningen. För att myndigheten ska anses ha sådan åtkomst som medför att myndigheten förvarar viss data krävs att myndighetens tekniska tillgång till upptagningen är självständig. En myndighet kan därmed anses förvara upptagningar som fysiskt lagras hos en annan myndighet eller en privat aktör, under förutsättning att myndigheten via ett tekniskt hjälpmedel har tillgång till upptagningarna utan att en reaktion eller ett godkännande krävs från den utomstående aktören. Exempel på sådan förvaring är om en myndighet använder data via direktåtkomst hos en annan myndighet eller lagrar data i en molntjänst. Geodataportalen 1 är en webbaserad tjänst där användaren kan söka, hitta och titta på geodata från olika myndigheter. Lantmäteriet är den myndighet som utvecklar, förvaltar och förvarar Geodataportalen. Det finns inga faktiska data lagrad i Geodataportalen och det finns inte heller någon självständig tillgång till faktiska data i Geodataportalen. Det innebär att Lantmäteriet inte förvarar eller ansvarar för någon faktisk data i Geodataportalen. Däremot lagras metadata i metadatakatalogen och eftersom Lantmäteriet förvarar Geodataportalen, förvarar och ansvarar Lantmäteriet även för den aggregering av metadata som finns i metadatakatalogen. Det är däremot den myndighet som förvarar respektive faktisk datamängd som är ansvarig för datamängden. Förvarande myndighet är också den myndighet som tillgängliggör respektive datamängd för Geodataportalen. Då en användare av Geodataportalen laddar ner faktiska data via länkar i Geodataportalen görs det direkt från den förvarande myndigheten och inte från Lantmäteriet eller Geodataportalen Regelverk vid utlämnande En myndighet som lämnar ut data kan göra det av olika anledningar och mot bakgrund av olika juridiska regelverk. Offentlighetsprincipen är en grundläggande princip för vårt statsskick som bl.a. reglerar enskildas rätt att ta del av allmänna handlingar. Denna rättighet är grundlagsskyddad i 2 kapitlet tryckfrihetsförordningen och innebär en skyldighet för myndigheter att på begäran lämna ut en allmän handling. Rätten att ta del av en allmän handling förutsätter att det är fråga om en allmän offentlig handling, dvs. en allmän handling som inte är sekretessbelagd till följd av en bestämmelse om sekretess. Rätten för enskilda att ta del av en allmän handling kompletteras av bestämmelser i offentlighets- och 1 3(9)

4 sekretesslagen som innebär en grundläggande skyldighet för myndigheter att på begäran av en annan myndighet lämna uppgift som den förfogar över till den myndighet som kommit med begäran. Vissa myndigheters författningsreglering eller regleringsbrev innebär att myndigheten har som uppgift att förse samhället med viss data. Ett sådant uppdrag ger normalt myndigheten relativt stor frihet att bestämma vilken data som ska tillgängliggöras och på vilket sätt. Lagen och förordningen om geografisk miljöinformation reglerar det svenska genomförandet av EU-direktivet Inspire. Regleringen innebär bland annat en skyldighet för utpekade informationsansvariga myndigheter att göra viss geodata tillgängligt för alla via tjänster på Internet. Lagen hänvisar till offentlighets- och sekretesslagen och påminner därmed om att informationsansvarig myndighet har att beakta dessa regler då geodata görs tillgängligt. Slutligen talar den allmänna serviceskyldigheten enligt förvaltningslagen för att myndigheter ska förse samhället med data. Det gäller särskilt på områden där medborgarna tydligt efterfrågar data Olika former av utlämnande Beroende på grunden för utlämnandet av data kan en myndighet lämna ut data på olika sätt. Data som lämnas ut som öppna data lämnas ofta ut i elektronisk form på Internet. Det innebär att sådana data är lättillgängliga för alla användare utanför myndigheten och myndigheten behöver inte heller hantera ett stort antal förfrågningar om utlämnande av data. Data som utgör offentliga data men som inte tillhandahålls öppet på Internet kan istället lämnas ut i elektronisk form på begäran. Med grund i kraven i lagen om vidareutnyttjande av handlingar från den offentliga förvaltningen (PSI-lagen) ska myndigheten då ha en transparent förteckning över datamängderna och lämna ut data enligt standardiserade och icke-diskriminerande villkor. Även allmänna handlingar som lämnas ut enligt offentlighetsprincipen kan lämnas ut i elektronisk form och även vid sådant utlämnande är PSI-lagen tillämplig. Det finns dock ingen skyldighet för myndigheter att lämna ut en allmän handling enligt offentlighetsprincipen i elektronisk form, utan det är upp till den enskilda myndigheten att ta ställning till. Myndigheterna är enbart skyldiga att lämna ut allmänna handlingar enligt offentlighetsprincipen på vanligt papper. Under senare år har det blivit vanligare att de som begär ut och får allmänna handlingar i pappersform därefter digitaliserar informationen med automatiska metoder. Detta är en utveckling som kan komma att aktualisera frågan om myndigheter i framtiden ska vara skyldiga att lämna ut allmänna handlingar även i elektronisk form. Det är viktigt att skilja på skyldigheten för en myndighet att lämna ut allmänna handlingar enligt offentlighetsprincipen och möjligheten för en myndighet att lämna ut offentliga handlingar. Har myndigheten tecknat ett avtal eller en licens med rätt att använda data från andra myndigheter (t.ex. 4(9)

5 användaravtalet för Geodatasamverkan 2 ) kan användningsvillkoren begränsa myndighetens möjligheter att sprida eller lämna ut handlingar som omfattas av avtalet i elektroniskt format. Fortfarande är dock myndigheten skyldig att på en begäran enligt offentlighetsprincipen lämna ut samma handling i pappersformat om myndigheten bedömer att denna utgör en allmän handling hos myndigheten. 4. Skydd för geodata 4.1. Sekretess ANSVAR OCH UTREDNINGSSKYLDIGHET I offentlighets- och sekretesslagen finns bestämmelser om sekretess som innebär ett förbud för myndigheter att röja en uppgift, vare sig det sker muntligen, genom utlämnande av en allmän handling eller på något annat sätt. Förbudet att röja en sekretessbelagd uppgift gäller även gentemot andra myndigheter, och oavsett om uppgiften lämnas ut på begäran av utomstående eller om den lämnas ut på initiativ av myndigheten som förvarar uppgiften. Varje myndighet som överväger utlämnande av uppgift eller data är därmed skyldig att göra en prövning enligt offentlighets- och sekretesslagen innan utlämnande sker. Om viss uppgift eller data omfattas av sekretess får utlämnande inte ske i någon form. En myndighet får därmed varken lämna ut allmän handling eller tillhandahålla produkter, tjänster eller öppna data som innehåller sekretessbelagda uppgifter. Myndigheter har ett ansvar för att dess sekretessprövningar blir tillräckligt utredda. Här ingår att beakta dels möjligheten att inhämta upplysningar och yttranden från andra myndigheter, och dels utgångspunkten att handläggningen ska vara så enkel, snabb och billig som möjligt utan att säkerheten eftersätts SEKRETESSREGLERINGAR Vid utlämnande av olika typer av geodata finns det ett flertal sekretessregleringar i offentlighets- och sekretesslagen som kan aktualiseras. Exempel på sådan reglering är sekretess till skydd för totalförsvaret, för intresset av att förebygga eller beivra brott, för enskild vid folkbokföring eller inom statistik, för personuppgift, eller för intresset av att bevara djur- eller växtart. Sekretess till skydd för totalförsvaret gäller för uppgift som rör verksamhet för att försvara landet eller planläggning eller annan förberedelse av sådan verksamhet eller som i övrigt rör totalförsvaret, om det kan antas att det skadar landets försvar eller på annat sätt vållar fara för rikets säkerhet om uppgiften röjs. Det är viktigt att notera att denna sekretessreglering enbart omfattar uppgifter som på något sätt rör det svenska totalförsvaret. Totalförsvaret är sådan verksamhet som behövs för att förbereda Sverige för krig och består 2 5(9)

6 både av militärt och civilt försvar. Det militära försvaret är inte någon myndighet utan avser den militära verksamheten som bedrivs av Försvarsmakten och andra organ. I det civila försvaret ingår sektorer som har en avgörande betydelse för samhällets funktionsförmåga vid väpnat angrepp och som är viktiga vid hot mot säkerheten för befolkning och samhällsfunktioner i fred. Det gäller i första hand elförsörjning, telekommunikationer, informationssystem och ledningssystem Informationssäkerhet Myndigheters arbete med informationssäkerhet innebär ett stöd för att öka kvalitén hos samhällets funktioner genom att skydda offentliga data utifrån krav på dess insynsskydd, riktighet och tillgänglighet. Myndigheterna ska ha en djupgående kunskap om data man förvarar och ta ansvar för denna data. Detta är ett ständigt pågående arbete som innebär att löpande uppfylla de krav som ställs och inför förändringar i verksamheten uppdatera bedömningar och åtgärder. Statliga myndigheter I förordning om krisberedskap och bevakningsansvariga myndigheters åtgärder vid höjd beredskap regleras att statliga myndigheter ansvarar för att deras informationshanteringssystem uppfyller sådana grundläggande och särskilda säkerhetskrav att myndighetens verksamhet kan utföras på ett tillfredsställande sätt. Myndigheten för samhällsskydd och beredskap (MSB) har i sin författningssamling (MSBFS 2016:1) utvecklat vad detta ansvar innebär och ställer bland annat krav på att myndigheterna klassar sina data i olika säkerhetsnivåer, samt genomför risk- och sårbarhetsanalyser utifrån verksamhetens data, system och tjänster. Informationsklassning är en konsekvensanalys där man uppskattar vad som kan hända om informationssäkerhetskrav inte uppfylls. Resultatet av informationsklassificeringen behöver därefter omvandlas till konkreta säkerhetsåtgärder. En risk- och sårbarhetsanalys görs för att kartlägga vilka hot som kan finnas vid en viss hantering av data, t.ex. utlämnande av data. Det görs genom att först uppskatta sannolikheten för och den eventuella skadan om dessa hot inträffar, för att sedan ta fram åtgärder som kan minimera de kartlagda riskerna. Kommuner och landsting Motsvarande föreskrifter och krav finns inte avseende kommuner och landstings informationssäkerhetsarbete. I december 2016 publicerade MSB analysrapporten Informationssäkerheten i Sveriges kommuner (MSB1045) baserad på resultaten av en enkät som på uppdrag av regeringen skickats till kommunerna under I rapporten konstateras att en klar majoritet av kommunerna idag inte arbetar systematiskt med informationssäkerhet, samt att kommunerna inte i någon större utsträckning implementerat ett arbete med informationsklassning och riskhantering. Det konstateras vidare att en bidragande orsak till dessa brister troligen är att kommunerna inte har det stöd som de statliga myndigheterna har genom föreskrifterna i MSBFS 2016:1. I början av 2017 publicerade MSB ett antal 6(9)

7 korta rekommendationer till kommunernas arbete med informationssäkerhet Säkerhetsskydd I säkerhetsskyddslagen ges data som är sekretessbelagd och som rör rikets säkerhet ett särskilt skydd. Myndigheters säkerhetsskyddsarbete ska bland annat förebygga att sådana sekretessbelagda uppgifter obehörigen röjs, ändras eller förstörs, samt hindra obehöriga att få tillträde till platser där de kan få tillgång till den typen av uppgifter. Ytterligare bestämmelser för myndigheter att ta hänsyn till i sitt säkerhetsskyddsarbete finns t.ex. i skyddslagen där det regleras att byggnader, anläggningar eller områden kan klassas som skyddsobjekt. Ett beslut om skyddsobjekt kan förenas med förbud att göra avbildningar, beskrivningar eller mätningar av eller inom skyddsobjektet. I lag och förordning om skydd för geografisk information skyddas ytterligare uppgifter av betydelse för totalförsvaret. Bland annat begränsas rätten till spridning av viss geografisk information som sammanställts genom sjömätning eller flygfotografering på sådant sätt att tillstånd för spridning krävs. Myndigheter är ansvariga för sitt eget säkerhetsskyddsarbete och ansvarar för att kraven ständigt efterlevs Personuppgifter Personuppgiftslagen har till syfte att skydda människor mot att deras personliga integritet kränks när personuppgifter behandlas och lagen reglerar hur personuppgifter får behandlas. För myndigheter kompletteras dessa regler ofta med särregleringar i registerförfattningar som uttryckligen kan begränsa för vilka ändamål de aktuella uppgifterna får behandlas och om och till vem uppgifterna får lämnas ut. Även i lag och förordning om den officiella statistiken finns regleringar som begränsar möjligheten att behandla personuppgifter till skydd för den personliga integriteten. Bestämmelser i dessa författningar kan innebära hinder för en myndighet att lämna ut data som utgör eller innehåller personuppgifter. Den 25 maj 2018 börjar EU:s nya dataskyddsförordning (GDPR) att gälla. Förordningen innehåller regler om hur personuppgifter får behandlas och kommer att ersätta medlemsstaternas nationella regelverk på området, som till exempel personuppgiftslagen i Sverige. 5. Slutsatser 5.1. Förvaring Utgångspunkten i den lagstiftning som berör utlämnande av data, sekretess och säkerhet är att det är den myndighet som förvarar data och överväger ett utlämnande av denna data, som ansvarar för de bedömningar som måste göras i anledning av denna lagstiftning. En följd av detta är att en myndighet kan komma att ansvara både för data myndigheten själv har skapat, data som myndigheten har självständig åtkomst till via t.ex. direktåtkomst, data som myndigheten inhämtat från en annan aktör, och för olika aggregerade former av dessa data. 7(9)

8 5.2. Myndighetens ansvar vid utlämnande av geodata Myndighetens ansvar innebär att pröva om det finns något hinder mot att lämna ut viss data, t.ex. i anledning av offentlighets- och sekretesslagen, personuppgiftslagen, registerförfattning eller säkerhetsskyddsregler. Dessa bedömningar ska göras av myndigheten innan data lämnas ut från myndigheten, oavsett till vilken aktör, i vilken form eller av vilken anledning utlämnandet sker. Om bedömningarna görs först efter det att myndigheten har lämnat ut data har myndigheten inte levt upp till sitt ansvar. Detta ansvar ser likadant ut för all data som myndigheten förvarar. Det innebär att myndigheten måste göra samma bedömningar oavsett om det är data som myndigheten skapat själv, data som härrör från annan aktör, eller data i aggregerad form som ska lämnas ut. Det innebär också att myndigheten måste ha tillräcklig kunskap om data som förvaras hos myndigheten även om det inte är data som myndigheten själv har skapat, för att kunna göra de bedömningar som krävs. Som framgår ovan under avsnitt 4.2 kan ett aktivt informationssäkerhetsarbete utgöra ett stöd för myndigheten vid dessa bedömningar. Detta genom att t.ex. dela upp data som myndigheten förvarar i olika kategorier, informationsklassificera varje kategori, för att sedan genomföra en risk- och sårbarhetsanalys på varje kategori. En risk- och sårbarhetsanalys hjälper myndigheten att kartlägga vilka hot som skulle kunna uppstå om en viss datamängd t.ex. aggregeras med en annan datamängd, eller lämnas ut. Riskoch sårbarhetsanalyser tar utgångspunkt i myndighetens faktiska kunskap om datamängden, kombinerat med antaganden om skador som skulle kunna uppstå vid en viss hantering. En uppdatering av informationsklassificering och risk- och sårbarhetsanalys kan t.ex. göras vid varje tillfälle som den definierade datakategorin förändras på något sätt, eller då omvärldsförutsättningarna för bedömningen av riskerna förändras. Nya klassificeringar och analyser behöver däremot inte göras vid varje tillfälle som de specifika uppgifterna uppdateras. För att varje myndighet ska kunna göra så kvalificerade och korrekta bedömningar som möjligt är det viktigt att myndigheten har ett fullständigt beslutsunderlag. Myndigheten har här ett ansvar för att inhämta den information som behövs. För att underlätta ett sådant inhämtande bör det säkerställas att det finns en välutbyggd samverkan mellan olika myndigheter, samt att de myndigheter som har kännedom om relevanta risker och hotbilder erbjuder tydlig information och riktlinjer som kan användas av andra myndigheter. Vad gäller totalförsvarssekretess är det också viktigt att det för alla myndigheter är tydligt vilka typer av data som kan påverka totalförsvaret. Myndighetens bedömningar kan leda till att myndigheten väljer att inte tillgängliggöra delar av förvarade data som offentliga eller öppna data. Även myndighetens val av form av utlämnande kan påverkas. Att lämna ut vissa data elektroniskt på Internet såsom öppna data kan t.ex. innebära större säkerhetsrisker än att lämna ut samma data elektroniskt på begäran. Mot bakgrund av att myndighetens bedömningar kan påverka både val av 8(9)

9 data och utlämnandeform kan det vara bra att myndigheten tidigt i en utvecklingsprocess avseende t.ex. digitala tjänster gör inledande bedömningar av aktuella data så att utveckling kan göras mot bakgrund av rätt förutsättningar. I sammanhanget ska påpekas att då det utlämnande som övervägs är ett utlämnande i anledning av en begäran om att ta del av en allmän handling, är det enbart bestämmelser om vilka handlingar som utgör allmänna handlingar, samt bestämmelser om sekretess, som kan leda till att myndigheten inte lämnar ut data som begärts. Om begärt data utgör allmän handling som inte är sekretessbelagd måste utlämnande ske av förvarande myndighet. Utlämnande av handling som inte är allmän kan däremot vägras av förvarande myndighet. Som exempel kan nämnas att en handling som förvaras hos en myndighet endast som led i teknisk bearbetning eller teknisk lagring för annans räkning inte är en allmän handling. Därmed kan förvarande myndighet vägra utlämnande av sådan handling. Då myndigheten överväger ett utlämnade av offentliga eller öppna data på eget initiativ är det däremot myndighetens ansvar att innan utlämnandet beakta ett flertal andra lagstiftningar i likhet med vad som redogörs för ovan Begränsning av myndighets ansvar vid utlämnande Slutligen kan konstateras att myndighetens ansvar vid utlämnande är begränsat till att bedöma data som myndigheten förvarar. Då olika myndigheter lämnar ut data som offentliga eller öppna data kommer en oändlig mängd aggregerade data att kunna tas fram av olika användare. Lagstiftningen avseende utlämnande, sekretess och säkerhet är uppbyggd på ett sådant sätt att då varje myndighet fattat beslut om utlämnande upphör myndigheternas möjlighet till kontroll. Sådana aggregerade data kommer myndigheten därför aldrig kunna överblicka eller bedöma. Detta innebär att myndigheternas respektive bedömningar inför utlämnande har central betydelse för att säkerställa att sekretess- och säkerhetslagstiftning efterlevs vid utlämnande av offentliga och öppna data. Uttryckt på ett annat sätt är lagstiftningen tydligt uppbyggd på ett sådant sätt att myndigheterna förväntas arbeta förebyggande snarare än kontrollerande. När myndigheterna inte har möjlighet att kontrollera allmänhetens användning av utlämnade data, är det istället straffrättsliga regler avseende t.ex. brott mot rikets säkerhet och terroristbrott, samt polisens och säkerhetspolisens arbete, som ska reglera och undersöka allmänhetens beteende. På detta område finns viss möjlighet för myndigheter att via sina tekniska system och incidentrapporteringar, bistå polis och säkerhetspolis i deras arbete. 9(9)