Remissvar angående slutbetänkandet Reboot omstart för den digitala förvaltningen, SOU 2017:114

Relevanta dokument
Remiss av betänkande digitalforvaltning.nu (SOU 2017:23)

Yttrande över remiss av slutbetänkandet reboot omstart för den digitala förvaltningen (SOU 2017:114)

Yttrande över delbetänkandet Digitalforvaltning.nu (SOU 2017:23)

Användarvillkor Mina meddelanden

Mina meddelanden. En tjänst för säker digital post från myndigheter och kommuner

Mina meddelanden säker digital post från myndigheter och kommuner

Mina meddelanden. säker digital post från myndigheter och kommuner

Remiss av slutbetänkandet reboot - omstart för den digitala förvaltningen (SOU 2017:114)

Alternativ för implementation

Betänkandet SOU 2017:114 Reboot omstart för den digitala förvaltningen

Delbetänkande digitalforvaltning.nu (SOU 2017:23)

Till: Finansdepartement. Diarienummer: Fi2017/01289/DF. Remissinstans: Kivra Sverige AB. Remissvar: Betänkande digitalforvaltning.

Borås Stads remissyttrande över Remiss av slutbetänkandet reboot - omstart för den digitala förvaltningen

Koncept och infrastruktur

Remiss av delbetänkandet digitalforvaltning.nu (SOU 2017:23)

Kommittédirektiv. Effektiv styrning av nationella digitala tjänster i en samverkande förvaltning (N 2016:01) Dir. 2016:39

Betänkandet Uppgiftslämnarservice för företagen (SOU 2015:33)

PTS synpunkter på remissen av digitalforvaltning.nu (SOU 2017:23) Delbetänkande av Utredningen om effektiv styrning av nationella digitala tjänster

Betänkandet SOU 2017:23 digital forvaltning.nu

Yttrande över slutbetänkande Reboot omstart för den digitala förvaltningen (SOU 2017:114)

digitalforvaltning.nu (SOU 2017:23)

Remissvar. Ekonomistyrningsverkets remissvar över digitalforvaltning.nu (SOU 2017:23) 1/7

STOCKHOLM. Långsiktig och strategisk styrning av informationsförsörjningen

Yttrande över slutbetänkande Reboot omstart för den digitala förvaltningen (SOU 2017:114)

Reboot omstart för den digitala förvaltningen (SOU 2017:114)

^Synskadades. Yttrande över "Reboot - omstart för den digitala förvaltningen" SOU 2017:114 FI2018/00106/DF

Yttrande över slutbetänkandet Reboot omstart för den digitala förvaltningen (SOU 2017:114)

Betänkandet digitalförvaltning.nu (SOU 2017:23)

Teknisk guide för brevlådeoperatörer. Annika Melin Version: 1.1

Regelverk. Infrastrukturen för vidareförmedling av grundläggande uppgifter om företag. Bilaga D. Personuppgiftsbiträdesavtal. Version: 2.

Digimail användarvillkor

Remissvar reboot omstart för den digitala förvaltningen (SOU 2017:114)

Juridik som stöd för förvaltningens digitalisering (SOU 2018:25)

Betänkandet SOU 2017:23 digitalforvaltning.nu (Fi2017/01289/DF) Sammanfattning 1(10) Yttrande /112. Finansdepartementet

Mina meddelanden Förmedling av elektronisk post för myndigheter i Sverige

Reboot omstart för den digitala förvaltningen, SOU 2017:114

Riktlinjer för dataskydd

Styrande dokument. Riktlinjer för dataskydd. Fastställd av Kommunstyrelsen. Senast reviderad av Gäller från och med

HÖGSTA FÖRVALTNINGSDOMSTOLENS DOM

Remiss av slutbetänkandet Digitaliseringens transformerande kraft - vägval för framtiden (SOU 2015:91)

Remissvar Så stärker vi den personliga integriteten (SOU 2017:52)

Mina meddelanden. säker digital post från myndigheter och kommuner

Informationssäkerhet för samhällsviktiga och digitala tjänster

Tjänstespecifikation. Mina meddelanden. Gäller från februari 2017

5.1 Om Samverkan möjligheter och befogenheter

Tjänstespecifikation. Mina meddelanden. Gäller från december 2015

Teknisk guide för myndigheter

Remissvar. Ekonomistyrningsverkets remissvar över digitalforvaltning.nu (SOU 2017:23) 1/7

Läget på e-legitimationsområdet

Personuppgiftsbiträdesavtal

Personuppgifter som samlas in av MP behandlas därmed också vid behov av WHAB för nedan angivna ändamål.

Integritetspolicy. Vårt dataskyddsarbete

Mina meddelanden för företag. säker digital post från myndigheter och kommuner

1.2. Advokatfirman Carler är personuppgiftsansvarig för den behandling som utförs av Advokatfirman Carler i enlighet med denna personuppgiftspolicy.

eidas-förordningens krav det juridiska perspektivet Anna Månsson Nylén

INTEGRITETSPOLICY Tikkurila Sverige AB

GDPR NYA DATASKYDDSFÖRORDNINGEN

Remiss av betänkande digitalforvaltning.nu (SOU 2017:23)

Integritetspolicy. AriVislanda AB

Yttrande över Finansdepartementets remiss av betänkande digitalförvaltning.nu, SOU 2017:23

Svar på regeringsuppdrag

Bilaga 1 Allmänna villkor för Socialnämnds anslutning till Sammansatt Bastjänst Ekonomiskt Bistånd (SSBTEK)

Utredningen om genomförande av NIS-direktivet

Vad händer med översynen av Svensk e-elegitimation?

Utredningen om effektiv styrning av nationella digitala tjänster

WHITE PAPER. Dataskyddsförordningen

PERSONUPPGIFTSBITRÄDESAVTAL

Myndigheten för digitalisering av den offentliga sektorn

Bilaga A Allmänna villkor

Digitalisering är en lagsport. Anna Eriksson

Yttrande över reboot omstart för den digitala förvaltningen (SOU 2017:114)

Bilaga 1: Personuppgiftsbiträdesavtal 1/10

INTEGRITETSPOLICY FÖR ROSENDAL106 AB OCH DOTTERBOLAG

Juridik som stöd för förvaltningens digitalisering (SOU 2018:25)

Personuppgiftsbiträdesavtal Enligt artikel 28.3, Allmänna dataskyddsförordningen EU 2016/679 (i avtalet benämnt dataskyddsförordningen)

Personuppgiftsbiträdesavtal samt fullmakt för Inera AB att teckna personuppgiftsbiträdesavtal enligt Personuppgiftslagen (1998:204)

Detta dokument beskriver identifierade konsekvenser av att införa föreslagen infrastruktur för säker elektronisk myndighetspost.

ABAs policy för behandling av personuppgifter

KURS I JURIDIKS PERSONUPPGIFTSPOLICY

Personuppgiftsbiträdesavtal

Informationsmodell. Mina meddelanden. Gäller från juni Version 2.0

Policy. Dataskyddspolicy. För kommunstyrelse och nämnder KS Föreskrifter Plan. Program Reglemente Riktlinjer Strategi Taxa

INTEGRITETSPOLICY Målet med denna policy är att säkerställa att personuppgifter hanteras i enlighet med gällande lagstiftning.

Ställningstagande Digital identitetshantering

Tjänstespecifikation. Mina meddelanden. Jakob Bäckström Version: 1.0

Informationssäkerhet för samhällsviktiga och digitala tjänster (SOU 2017:36) Remiss från Justitiedepartementet Remisstid den 24 augusti

Modellavtal 2. Personuppgiftsbiträdesavtal enligt Personuppgiftslagen (1998:204)

PERSONUPPGIFTSBITRÄDESAVTAL Hantering av personuppgifter i Skyddat Webbaserat informationssystem (WIS)

Bilaga A Allmänna villkor

Betänkandet - E-legitimationsnämnden och Svensk E-legitimation (SOU 2010:104)

YTTRANDE. Dnr Ju2017/05090/L6. Så stärker vi den personliga integriteten (SOU 2017:52) slutbetänkande av Integritetskommittén

Bevarande av digitala allmänna handlingar

Statens servicecenter och Riksarkivet ska samverka med de övriga myndigheter som omfattas av uppdraget. Samverkan ska avse vilka de

INTEGRITETSPOLICY BALUNGSTRANDS SÅGVERK AB. Om BALUNGSTRANDS SÅGVERK AB och denna integritetspolicy

Mina meddelanden Förmedling av elektronisk post för myndigheter i Sverige

1. Bakgrund. 2. Parter. 3. Definitioner

Personuppgifter är all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet.

Anslutningsavtal. inom Identitetsfederationen för offentlig sektor. för Leverantör av eid-tjänst

Integritetspolicy. Proinova AB/Proinova Agency AB. Org.nr: / Båda bolagen benämns gemensamt som Proinova i denna policy.

Transkript:

Remissvar angående slutbetänkandet Reboot omstart för den digitala förvaltningen, SOU 2017:114 Till : Finansdepartementet, 103 33 Stockholm Diarienummer : Fi2018/00106/DF Remissinstans : Kivra AB http://www.regeringen.se/rattsdokument/statens-offentliga-utredningar/2018/01/sou-2017114/ Avgränsning Då Kivra verkar inom området för digital myndighetspost, och är den största privata aktören inom detta, väljer vi att fokusera vårt svar på de aspekter som rör nämnt område. Med bakgrund i utredningens omfattning är Kivras starka önskemål att utredningens förslag behandlas separat. Anledningen är att Kivra ser en stor risk i att handläggningstiden för de enskilda förslagen annars i onödan kommer att dra ut på tiden. Kivras uppfattning är att frågan om digitala brevlådor i stor utsträckning hade hittat sin form redan i delbetänkandet. För övriga frågor - t.ex. avseende e-legitimation som till sin natur är betydligt större än frågan om digitala brevlådor - finns även internationella kopplingar vilket givetvis innebär att utredningen blir mer omfattande i de delarna. Digitala brevlådor är utredningsmässigt en högst nationell angelägenhet. Sammanfattning Kivra ställer sig positiva till förslaget om en lag om infrastruktur för digital post, inklusive frågan om ersättning till leverantör av brevlådetjänster för digital post enligt 23, frågan om rätten för mottagare att få sin post från statliga myndigheter digitalt genom Mina meddelanden enligt 7 samt frågan om förmedlingsadressregistrets funktion enligt 15-17. Kivra ställer sig också positiva till att Skatteverket/den kommande Digitaliseringsmyndigheten får mer att säga till om vad gäller frågan om informationssäkerhet och säkerhetsåtgärder inom alla delar av infrastrukturen enligt 22. Kivra ställer sig dock negativa till förslaget om att lagreglera personuppgiftsansvaret på så sätt som föreslås av utredningen enligt 20. Kivra motsätter sig även - beroende på utredningens intention med skrivningarna - att leverantörer av digitala brevlådor ska anses erbjuda betrodda tjänster. Kivra remissvar är upplagt enligt följande: 1. Kommentarer om förslaget avseende ersättningsmodell (inklusive frågan om rätten för medborgare att få sin post digitalt samt förslaget om förmedlingsadressregistret)

2. Kommentarer om förslaget avseende personuppgiftsansvaret (inklusive frågan om rätten för Skatteverket/den kommande Digitaliseringsmyndigheten att utfärda föreskrifter avseende informationssäkerhet och säkerhetsåtgärder) 3. Kommentarer om skrivningarna avseende leverantörerna av digitala brevlådor som tillhandahållare av betrodda tjänster. 1. Ersättningsmodell (främst avsnitt 21.12) Kivra ställer sig positiva till förslaget gällande ersättningsmodell med en rörlig kostnad som utgår från volymen försändelser från avsändare till mottagare och att det i denna ersättning tas höjd för såväl fasta som rörliga kostnader knutna till uppdraget att leverera digital post. Kivra vill dock betona att en etablering av denna ersättningsmodell, redan föreslagen i utredningens delbetänkande skyndsamt behöver implementeras för att säkerställa att de digitala brevlådorna fortsatt ska kunna tillhandahålla sina tjänster även gentemot alla myndigheter och säkra en fortsatt god utveckling av den digitala brevlådemarknaden i Sverige. I Kivras fall levererades under 2017 10 miljoner myndighetsförsändelser i den digitala brevlådan, samtliga drivandes kostnader avseende identifiering, kundservice, lagringsutrymme mm och den utveckling och regelefterlevnad som åligger som digital brevlåda. Givet den positiva utvecklingen både avseende anslutna användare i infrastrukturen samt avsändarnas ökade anslutning och volymer växer behovet av en skyndsamt implementerad ersättningsmodell innebärande att Kivra får ett positivt bidrag snarare än ökad förlust drivet av varje myndighetsförsändelse. Kivra gjorde i Sverige en förlust 2017 på 35 mkr vilket självklart inte är hållbart.. Digital myndighetspost, som varandes en mycket viktig pusselbit i digitaliseringen av Sverige, behöver få förutsättningar att fortsatt finnas kvar och spela på samma arena som vedertagen annan postgång - fysisk och digital - och där ansluta till vedertagna ersättningsmodeller för porto - digitalt (idag e-faktura och digitalt porto på privatmarknaden) såsom fysiskt (traditionell post). Med en ersättningsmodell finns också stora förutsättningar att framåt ha en ordnad samverkan mellan det offentliga och privata enligt den modell som framgångsrikt har drivits i Sverige och som i skrivande stund hjälper en fjärdedel av Sveriges befolkning att på ett säkert och enkelt sätt tillgängliggöra viktig post. Med mer än en halvering av portot, inga fällda träd och onödiga transporter av post finns goda möjligheter till finansiering av välfärden och stora miljövinster att hämta. Kivra räknar med att infrastrukturen för myndighetspost med en halvering av portot fram till 2020 kan bidra med 800 miljoner i besparingar samt 180 000 sparade träd. Kivra anser att digital post och infrastruktur för denna inte bara är en mycket viktig pusselbit i digitaliseringen av Sverige utan även en del av digitaliseringen som är ytterst enkel: allt utom ersättningsmodell finns på plats i form av en stabil infrastruktur och mycket dedikerade aktörer (infrastruktur, brevlådor, förmedlare och avsändare) - alltså en mycket bra start. En fortsatt satsning på detta - där Kivra bifaller förslaget om medborgarnas rättighet att ta emot post från myndighet och kommun digitalt (punkt 21.4) kan starkt bidra till digitaliseringen av Sverige och hämta igen att Sverige hamnat på efterkälken gällande digitalisering. Kivra bifaller också tanken

i att utöka infrastrukturens möjligheter enligt 21.10 där aktörer utanför myndighetssfären bereds utrymme att nytta förmedlingsadressregistret. Här finns möjlighet att, genom att driva igenom utredningens förslag som Kivra bifaller, visa handlingskraft för Riksdagen och bidra till att bli ledande i att tillvarata digitaliseringens möjligheter. 2. Personuppgiftsansvar (främst avsnitt 21.8) Utgångspunkten för Kivras kommentarer vad gäller utredningens förslag om personuppgiftsansvaret för leverantörerna av brevlådetjänster (20 i förslaget till lag om infrastruktur för digital post) är att Kivra helt delar utredningens förslag om att erforderligt ansvar måste tas för flödet av försändelser i infrastrukturen men att detta - i Kivras mening - inte bör kopplas till ett personuppgiftsansvar för leverantörerna av brevlådetjänster. Leverantörerna av brevlådetjänster är redan idag ansvariga för informationssäkerheten efter det att försändelserna levererats till användarna men detta innebär inte, vilket utvecklas nedan, att samma leverantörer ska göras personuppgiftsansvariga för denna del av flödet. I förslaget till lag om infrastruktur för digital post (3 4 p.) definieras vad en brevlådetjänst är. Där framgår att tjänsten är den del inom infrastrukturen som lagrar digital post efter att den har gjorts tillgänglig för mottagaren. Denna definition speglar Kivras syn väl. Kivra har dels ett ansvar i mottagande/förmedling och dels ett ansvar för lagring. Senare i utredningen (sid 416) anges dock att avsikten med brevlådorna, så som de är utformade idag, aldrig var att använda dem som ett digitalt förvar eller arkiv. Denna skrivning definierar inte alls den tjänst som Kivra erbjuder och det som hela tiden har varit tanken med tjänsten: Kivra erbjuder - i tillägg till tjänsten att förmedla försändelser - en lagringsyta där privatpersoner och företag har möjlighet att administrera och arkivera sin viktiga post. I 19 i förslaget till lag om infrastruktur för digital post föreslås att det initialt är avsändaren som är personuppgiftsansvarig för behandling av personuppgifter - vilket stämmer överens med befintlig struktur inom infrastrukturen (se t.ex. Mina meddelandens Allmänna villkor version 1.3, avsnitt 9.1.2). Personuppgiftsansvaret sträcker sig idag till dess att e-försändelsen har levererats till användarens brevlåda (gäller både privatanvändare och företagsanvändare). I förslaget till lag om infrastruktur för digital post anges istället att ansvaret avslutas när en leverantör av brevlådetjänster för digital post genom ankomstkontroll godkänt mottagandet. Anledningen till denna förändring, såsom Kivra uppfattar det, är att leverantörerna av brevlådetjänster för digital post i förslaget åläggs ett eget personuppgiftsansvar enligt 20 för behandling av uppgifter efter att ankomstkontroll genomförts. Kivra motsätter sig detta förslag av flera skäl - inte minst med anledning av att leverantörerna av brevlådetjänster inte på något sätt ansvarar för innehållet i de försändelser som skickas från avsändaren och inte heller kan kontrollera vad användaren - när försändelsen har hamnat i användarens brevlåda - väljer att göra med försändelsen. Kivra, som leverantör av brevlådetjänst, kan således inte ta det ansvar som som krävs av en personuppgiftsansvarig i denna del av flödet.

Kivra menar istället att den struktur som råder idag, vilken innebär att personuppgiftsansvaret upphör när försändelsen landar i en användares brevlåda (eftersom personuppgiftslagen och dataskyddsförordningen inte omfattar behandling av personuppgifter för privat bruk), ska fortsätta att gälla. Kivras bestämda uppfattning - relaterad till Kivras möjligheter att faktiskt uppfylla personuppgiftsansvaret i denna del av flödet - grundar sig på följande: 1. Alla aktiviteter i brevlådan förutsätter en aktiv handling av användaren. Kivra saknar insyn i den information som användaren väljer att lagra, ladda upp och/eller dela och har alltså ingen möjlighet att kontrollera detta. Kivra använder och/eller behandlar inte heller informationen som lagras i brevlådan för några egna ändamål. Det är användaren själv som kan överblicka vilken information som lagrats i brevlådan och med vem informationen har delats. Det är också upp till användaren om denne vill radera informationen och/eller avbryta delning med andra. 2. Vid bedömningen av vem som är personuppgiftsansvarig är det avgörande att analysera vem som bestämmer vilka uppgifter som ska behandlas och vad uppgifterna ska användas till (inkluderat varför behandlingen utförs, vem som är initiativtagare till behandlingen och när personuppgifter ska raderas). Ett personuppgiftsansvar kan således inte anses föreligga om en aktör inte har någon faktisk möjlighet att förfoga över insamlade personuppgifter. Kivra anser att utredningen själv bekräftar Kivras syn när utredningen analyserar förmedlarens möjlighet att vara personuppgiftsansvarig (sid 415): förmedlaren kan inte heller påverka informationen eller ändra den. Förmedlaren är därmed inte självt personuppgiftsansvarig för personuppgiftsbehandlingen. Kivra menar att Kivra är lika begränsad som förmedlaren att påverka och ändra informationen varvid inte heller Kivra bör kunna anses som personuppgiftsansvarig. 3. Eftersom användaren fritt beslutar grundläggande frågor som (i) vilken information som lagras i brevlådan, (ii) hur informationen används och (iii) om informationen ska raderas så bör behandlingen av personuppgifter anses utgöra ett led i en verksamhet av rent privat natur och därmed falla utanför personuppgiftslagens och dataskyddsförordningens tillämpningsområde. Att behandling av personuppgifter för privat bruk inte omfattas av dataskyddsförordningen bekräftas även av utredningen på sid 416. Att Kivra är personuppgiftsansvarig för de uppgifter som en användare lämnar till Kivra vid registrering, liksom att Kivra ansvarar för informationssäkerheten i tjänsten även efter det att en försändelse har levererats till en användares brevlåda, är dock klarlagt. Det sistnämnda innebär även att Kivra givetvis har ett ansvar vid säkerhetsincidenter vilket Kivra uppfattar är ett av de områden som utredningen i dagsläget tycker är oklart. För att öka tydligheten vad gäller frågan om informationssäkerhet tycker Kivra vidare att det är positivt att ett bemyndigande, i enlighet med utredningens förslag i 22 i förslaget till lag om infrastruktur för digital post, införs där det framgår att regeringen, eller den myndighet som

regeringen bestämmer, ska få meddela föreskrifter om inrättande och drift av infrastrukturen. I utredningens förslag fokuseras dock främst på frågan om personuppgiftsbehandling - Kivra ser gärna att föreskriftsrätten istället främst hänför sig till frågan om informationssäkerhet och ansvar vid säkerhetsincidenter. 3. Betrodda tjänster (främst avsnitt 19.3) Utredningen konstaterar på flera ställen (t.ex. sid 380 och sid 381) att brevlådeoperatörer troligen kan ses som tillhandahållare av den betrodda tjänsten elektronisk rekommenderad leverans enligt eidas-förordningen eftersom Mina meddelanden möjliggör för att individer ska kunna ta emot, läsa och bevara elektronisk myndighetspost. Kivra har inga betänkligheter vad gäller utredningens skrivningar om dessa innebär att Kivra, som leverantör av en brevlådetjänst, kan anses vara tillhandahållare av den betrodda tjänsten elektroniskt rekommenderad post genom att Kivra bekräftar till avsändaren att en försändelse är mottagen och levererad till en användare. Kivra vill dock betona att Kivra inte tillhandahåller en tjänst motsvarande den för rekommenderad fysisk post (alltså att Kivra skulle rapportera information om huruvida en användare faktiskt har läst en försändelse som levererats, när en sådan försändelse blivit läst etc. (s.k. läskvitton)). I enlighet med den beskrivning som ges ovan (under avsnitt 2) är en grundläggande uppfattning för Kivra att innehållet i brevlådan, och användarens beslut vad denne ska göra med detta innehåll, något som omfattas av den privata sfären (helt i paritet med vad en individ eller ett företag faktiskt gör med ett levererat fysiskt kuvert) - Kivra motsätter sig således starkt en slutsats som innebär att försändelserna i infrastrukturen ska hanteras som rekommenderad fysisk post genom att läskvitton ska levereras. Om Kivra ska anses tillhandahålla den betrodda tjänsten elektroniskt rekommenderad post och därmed omfattas av eidas-förordningen innebär detta vidare att Kivra kommer att vara föremål för Post- och telestyrelsen tillsyn (t.ex. vad gäller incidentrapportering). Kivra motsätter sig inte detta så länge som regleringen svarar mot den tjänst som faktiskt tillhandahålls. Stockholm 20180420 Stefan Krook CEO Kivra AB