Riksrevisionens yttrande över betänkandet Juridik som stöd för förvaltningens digitalisering (SOU 2018:25).

Relevanta dokument
Juridik som stöd för förvaltningens digitalisering (SOU 2018:25)

Yttrande över betänkandet Juridik som stöd för förvaltningens digitalisering (SOU 2018:25)

Yttrande över betänkandet Ny dataskyddslag Kompletterande bestämmelser till EU:s dataskyddsförordning

Betänkandet SOU 2018:25 Juridik som stöd för förvaltningens digitalisering

Yttrande över delbetänkandet Översyn av Riksrevisionen - grundlagsfrågor (2016/17:URF1)

Juridik som stöd för förvaltningens digitalisering, SOU 2018:25

Juridik som stöd för förvaltningens digitalisering (SOU 2018:25)

Yttrande över Informations- och cybersäkerhet i Sverige Strategi och åtgärder för säker information i staten (SOU 2015:23)

Betänkandet SOU 2017:23 digitalforvaltning.nu (Fi2017/01289/DF) Sammanfattning 1(10) Yttrande /112. Finansdepartementet

Remiss av förslag till EU-direktiv om skydd för personer som rapporterar om överträdelser av unionsrätten

Yttrande över SOU 2014:10 - Ett steg vidare

Så stärker vi den personliga integriteten (SOU 2017:52)

Statens servicecenter

Yttrande över betänkandet Juridik som stöd för förvaltningens digitalisering (SOU 2018:25)

Utökat sekretesskydd i verksamhet för teknisk bearbetning och lagring

Bättre juridiska förutsättningar för samverkan och service (SOU 2014:39) Yttrande till Näringsdepartementet

Stockholm den 9 november 2017 R-2017/1875. Till Utrikesdepartementet UD2017/15958/HI

Yttrande över delbetänkandet Digitalforvaltning.nu (SOU 2017:23)

Betänkandet SOU 2017:23 digital forvaltning.nu

Remiss av slutbetänkandet reboot - omstart för den digitala förvaltningen (SOU 2017:114)

Svar på remiss, Så stärker vi den personliga integriteten, (SOU 2017:52)

Betänkandet SOU 2014:39 Så enkelt som möjligt för så många som möjligt Bättre juridiska förutsättningar för samverkan och service

Remiss av betänkande digitalforvaltning.nu (SOU 2017:23)

Betänkandet Uppgiftslämnarservice för företagen (SOU 2015:33)

Myndighetsdatalag (SOU 2015:39)

Kommittédirektiv Dir. 2016:98 Sammanfattning

STOCKHOLM. Långsiktig och strategisk styrning av informationsförsörjningen

Ökad insyn i välfärden, SOU 2016:62

Remiss av SOU 2015:66 En förvaltning som håller ihop

Remiss av delbetänkandet digitalforvaltning.nu (SOU 2017:23)

YTTRANDE. Dnr Ju2017/05090/L6. Så stärker vi den personliga integriteten (SOU 2017:52) slutbetänkande av Integritetskommittén

Föredragande borgarrådet Karin Wanngård anför följande.

Statens servicecenter och Riksarkivet ska samverka med de övriga myndigheter som omfattas av uppdraget. Samverkan ska avse vilka de

Yttrande över E-delegationens slutbetänkande En förvaltning som håller ihop (SOU 2015:66)

8.6.2 Forskningsdatabaslagens territoriella tillämpningsområde (1 kap. 7 )

Kommittédirektiv. Avidentifierade ansökningshandlingar. Dir. 2005:59. Beslut vid regeringssammanträde den 12 maj 2005

Yttrande över slutbetänkandet Goda affärer en strategi för hållbar offentlig upphandling (SOU 2013:12)

Informationssäkerhet för samhällsviktiga och digitala tjänster (SOU 2017:36) Remiss från Justitiedepartementet Remisstid den 24 augusti

Remissyttrande över promemorian Sekretess i det internationella samarbetet (Ds 2012:34) Dnr Ju2012/5900/L6

HÖGSTA FÖRVALTNINGSDOMSTOLENS DOM

Kommittédirektiv. Personuppgiftsbehandling inom den arbetsmarknadspolitiska verksamheten och i tillsynsverksamheten över denna. Dir.

1 (15) YTTRANDE Dnr RA / Ert Dnr Fi2018/01418/DF

Justitiedepartementet Stockholm

Överförmyndarförvaltningen. Information Sida 1 (7) Integritetspolicy

Remiss: Integritetskommitténs slutbetänkande Så stärker vi den personliga integriteten (SOU 2017:52)

Informationshanteringsutredningens slutbetänkande Myndighetsdatalag (SOU 2015:39)

Underlag 2. Direktiv till två pågående utredningar som har bäring på informationssäkerhet. En modern säkerhetsskyddslag 1

Betänkandet EU:s dataskyddsförordning och utbildningsområdet (SOU 2017:49)

Betänkandet Allmänna handlingar i elektronisk form offentlighet och integritet (SOU 2010:4)

Konsumentskyddet inom det finansiella området

Stockholm den 12 december 2018 R-2018/1679. Till Försvarsdepartementet. Fö2018/00999/RS

Sekretess för uppgifter i utländska databaser

Överenskommelse om myndighetssamverkan

SOU 2014:67 Inbyggd integritet inom Inspektionen för socialförsäkringen

REMISSVAR. Rättsenheten Justitiedepartementet Stockholm. Remissvaret följer promemorians disposition.

Remissvar till Ju2015/2650/SSK, betänkandet SOU 2015:23 Informations- och cybersäkerhet i Sverige Strategi och åtgärder för säker information i staten

Remissvar Registersforskningsutredningen {SOU 2014:45)

5.1 Om Samverkan möjligheter och befogenheter

Yttrande över slutbetänkande Reboot omstart för den digitala förvaltningen (SOU 2017:114)

Bilaga 1 Allmänna villkor för Socialnämnds anslutning till Sammansatt Bastjänst Ekonomiskt Bistånd (SSBTEK)

Kommittédirektiv. Ett effektivt och rättssäkert informationsutbyte vid samverkan mot terrorism. Dir. 2017:75

PERSONUPPGIFTSBITRÄDESAVTAL

Finansdepartementet. Avdelningen för offentlig förvaltning. Ökad styrning av myndigheternas lokalisering

Rätt information på rätt plats i rätt tid, SOU 2014:23

på fler platser (SOU 2018:43)

Yttrande över SOU 2013:51 - Skydd för geografisk information

Remiss: Transportstyrelsens framställan om ändringar i lagen (2001:558) och förordningen (2001:650) om vägtrafikregister.

Medverkan av tjänsteleverantörer i ärenden om uppehålls- och arbetstillstånd (SOU 2016:36)

YTTRANDE 1 (5) Riskarkivets föreskrifter anger att överenskommelse eller avtal ska upprättas när handlingar hanteras av annan än myndigheten.

Ökad insyn i välfärden

Yttrande över betänkandet Saknad! Uppmärksamma elevers frånvaro och agera (SOU 2016:94)

HÖGSTA FÖRVALTNINGSDOMSTOLENS DOM

Digitaliseringens transformerande kraft vägval för framtiden (SOU 2015:91)

Förvaltningskommitténs slutbetänkande: Styra och ställa - förslag till en effektivare statsförvaltning (SOU 2008:118)

7 Betänkandet Juridik som stöd för förvaltningens digitalisering (SOU 2018:25) LS

Yttrande över PSI-utredningens betänkande Ett steg vidare - nya regler och åtgärder för att främja vidareutnyttjande av handlingar (SOU 2014:10)

Remissvar Juridik som stöd för förvaltningens digitalisering (SOU 2018:25)

Remissvar Juridik som stöd för förvaltningens digitalisering (SOU 2018:25)

Ändring av statistiksekretessen

Sociala medier ur ett rättsligt perspektiv. Johan Bålman, E-delegationen

Allmänna handlingar i elektronisk form

Användandet av E-faktura inom den Summariska processen

Brottsdatalag kompletterande lagstiftning (SOU 2017:74)

Stockholm den 14 september 2017

Personuppgiftsbiträdesavtal

Yttrande Diarienr Ert diarienr N2014/1095/TE. Näringsdepartementet Transportenheten STOCKHOLM

GDPR och molnet. Konferens SUNET Inkubator den 16 maj 2017

Utdrag ur protokoll vid sammanträde

Yttrande över Departementspromemorian Statistik på upphandlingsområdet (Ds 2017:48) 20 LS

Personuppgiftsbiträdesavtal

Kategorier av personuppgifter och ändamål med behandlingar. Definitioner av begrepp:

Yttrande över remiss av slutbetänkandet reboot omstart för den digitala förvaltningen (SOU 2017:114)

Ett eller flera dataskyddsombud?

Informationssäkerheten i den civila statsförvaltningen

Genomförande av Inspire-direktivet i svensk lagstiftning; förslag till ny miljöinformationslag och förordning m.m.

Bättre tillgång till kommunala föreskrifter (Ds 2011:24).

Remiss SOU 2014:23: Rätt information på rätt plats och i rätt tid

Åtgärder mot att användare vilseleds att logga in någon annan med sin e-legitimation

Kommittédirektiv. Översyn av styrningen inom. funktionshinderspolitiken 2017:133. Dir. Beslut vid regeringssammanträde den 21 december 2017

Hur står det till med den personliga integriteten? (SOU 2016:41)

Transkript:

REMISSVAR ANGE MOTTAGARENS/MYNDIGHETENS NAMN ERT DATUM: 2018-05- 24 ER REFERENS F I2018/01418/DF Finansdepartementet Regeringskansliet 103 33 Stockholm Riksrevisionens yttrande över betänkandet Juridik som stöd för förvaltningens digitalisering (SOU 2018:25). Allmänt I rapporten Den offentliga sektorns digitalisering En enklare, öppnare och effektivare förvaltning? (Rir 2016:14), rekommenderade Riksrevisionen regeringen att på ett samlat sätt utreda vilka författningsändringar som behövs för att kunna skapa en digital förvaltning. Till grund för rekommendationen låg bland annat slutsatsen att regelverket och den tekniska utvecklingen inte går i takt med varandra. I rapporten konstaterade Riksrevisionen även att ett antal utredningar och studier sedan tidigt 2000-tal har pekat på problemen i mötet mellan digital teknik och gällande lagstiftning men granskningen visar att problemen kvarstår. Riksrevisionen vill framhålla att det är positivt att regeringen uppdragit åt en särskild utredare att kartlägga och analysera i vilken utsträckning det förekommer lagstiftning som i onödan försvårar digital utveckling och samverkan inom den offentliga förvaltningen. Riksrevisionen noterar att utredaren anser att förslagen till författningsändringar och andra åtgärder som lämnas i betänkandet inte kommer vara tillräckliga för att möta de kommande årens behov av förändringar i lagstiftningen. Utredaren menar att det finns ett väsentligt större förändringsbehov i lagstiftningen än vad man inom ramen för utredningen har haft i uppdrag att ta omhand. Riksrevisionen anser därför, i likhet med utredningen, att fortsatta rättsliga överväganden och ställningstaganden kommer att RIKSREVISIONEN NYBROGATAN 55 114 90 STOCKHOLM 08-5171 4000 W WW.RIKSREVISIONEN.SE 1 ( 9 )

A NGE POSTNUMMER OCH ORT behöva göras för att möjliggöra eller stödja digitaliseringen av förvaltningen, samtidigt som teknikutvecklingen fortsätter. Utredarens förslag till författningsändringar Förslag till lag (2019:000) om tystnadsplikt vid utkontraktering av teknisk bearbetning och lagring samt förslag till en ny sekretessbrytande bestämmelse i offentlighets- och sekretesslagen (2009:400) Riksrevisionen anser, i likhet med utredningen, att det finns behov av att klargöra de rättsliga förutsättningarna för utkontraktering av it-drift och andra it-baserade funktioner från myndigheter till privata leverantörer. Detta skulle undanröja en rättslig osäkerhet som nu hindrar eller hämmar digitaliseringen och möjliggöra en effektivare offentlig sektor. Riksrevisionen tillstyrker därför förslaget om tystnadsplikt vid utkontraktering av teknisk bearbetning och lagring. Avgränsningen till teknisk bearbetning eller teknisk lagring framstår som ändamålsenlig och det är en fördel att den sammanfaller med regleringen i 2 kap. 10 tryckfrihetsförordningen. Möjligen kan tillägget enbart innebära avgränsningssvårigheter vid tillämpningen av bestämmelsen. Riksrevisionen konstaterar att det kommer att föreligga ett visst tolkningsutrymme avseende i vilka fall av utkontraktering den föreslagna lagen kommer att vara tillämplig. För den enskilde som hanterar uppgifter hos en anlitad leverantör är det givetvis av vikt att omfattningen av det straffrättsliga ansvaret är tydligt. Vidare anser Riksrevisionen att det är viktigt att lagen utformas på ett sådant sätt att det tydligt framgår vilka uppgifter som omfattas av tystnadsplikten och att tystnadsplikten gäller även efter det att en anställning eller uppdrag hos leverantören har avslutats. Utredningen framhåller att även en svensk medborgare eller en utlänning enligt brottsbalkens reglering kan dömas för brott mot tystnadsplikt som har begåtts utomlands men som utövats mot svenska offentliga myndigheter, kommuner och landsting, trots att det inte föreligger dubbel straffbarhet. Enligt Riksrevisionens mening finns emellertid en osäkerhet i vilken mån det kommer att vara möjligt att tillämpa den föreslagna straffbestämmelsen i praktiken i alla de länder där anställda och uppdragstagare hos internationella aktörer har sin arbetsplats och hemvist. Denna fråga behöver därför beaktas av den myndighet som överväger en utkontraktering av teknisk bearbetning eller teknisk lagring. Riksrevisionen tillstyrker vidare förslaget till ny sekretessbrytande bestämmelse i offentlighets- och sekretesslagen (2009:400). Som utredningen framhåller finns det ett 2 ( 9 )

behov av att tydliggöra under vilka förutsättningar en myndighet kan lämna ut uppgifter för teknisk lagring och teknisk bearbetning. När det gäller uppgifter som omfattas av absolut sekretess får dessa enligt gällande lagstiftning endast lämnas ut till en privat leverantör med stöd av 10 kap. 2 OSL om det är nödvändigt för att den utlämnande myndigheten ska kunna fullgöra sin verksamhet. Som utredningen påpekat ska denna bestämmelse tillämpas restriktivt och det är oklart i vilken mån det är möjligt att tillämpa bestämmelsen i samband med anlitande av privata leverantörer för teknisk bearbetning och teknisk lagring. Riksrevisionen anser att utredningens förslag till sekretessbrytande bestämmelse är väl avvägd mellan en myndighets intresse av att lämna ut uppgifter för teknisk bearbetning eller teknisk lagring och det intresse som sekretessen ska skydda. Riksrevisionen anser även, i likhet med utredningen, att uppgifter som omfattas av sekretess inte ska lämnas ut om det av andra skäl är olämpligt. Riksrevisionen vill dock framhålla att även med den föreslagna bestämmelsen måste myndigheten pröva om uppgifterna kan lämnas ut i förhållande till den eller de leverantörer som kommer att lagra eller bearbeta uppgifterna. I de fall uppgifterna kommer att hanteras utomlands av ett flertal underleverantörer måste myndigheten göra en sådan prövning i förhållande till samtliga de leverantörer som kan komma att hantera uppgifterna. En annan viktig fråga är att myndigheten måste kontrollera och följa upp hur uppgifterna hanteras i dessa fall. Elektroniskt utlämnade av allmän handling Riksrevisionen anser, i likhet med utredningen, att frågan om skyldighet för myndigheter att lämna ut allmänna handlingar i elektronisk form bör övervägas i samma sammanhang som det säkerställs att myndigheterna för sådant utlämnande kan ta ut avgifter. Tryckfrihetsförordningen och myndighetssamverkan Utredningen tar upp det förhållandet att tveksamhet kan uppkomma när en myndighet delar utkast för att inhämta synpunkter från en annan myndighet och vid samarbeten där myndigheter gemensamt och i viss utsträckning samtidigt arbetar fram dokument som är nödvändiga för ett utvecklingsarbete. Utredningen anser därför att det bör övervägas att anpassa regleringen om allmän handling i tryckfrihetsförordningen till det förhållandet att mellanprodukter och arbetsmaterial inte längre tas fram enbart inom en verksamhets organisatoriska gränser, när digitala utvecklingsarbeten i samverkan mellan myndigheter i allt högre grad efterfrågas. Riksrevisionen konstaterar att myndigheters behov av att arbeta fram gemensamma dokument inte är begränsat till digitala utvecklingsarbeten, men anser, i likhet med utredningen att kan finnas skäl att överväga att anpassa regleringen om allmän handling i 3 ( 9 )

A NGE POSTNUMMER OCH ORT tryckfrihetsförordningen när det gäller mellanprodukter och arbetsmaterial som tas fram gemensamt. Samtidigt bör självklart allmänhetens rätt till insyn, just när det gäller samarbetet mellan myndigheter, särskilt beaktas. I detta sammanhang vill Riksrevisionen lyfta fram en annan angelägen fråga i en alltmer i en digitaliserad förvaltning. Revision och annan granskning innebär att den som granskar andra myndigheter tar del av stora mängder information hos den som granskas. Information som kommer att utgöra allmän handling hos myndigheten i de fall myndigheten väljer att hämta in uppgifterna likväl som när myndigheten tar del av uppgifterna via direktåtkomst. Följden blir att en stor mängd uppgifter kan komma att behöva sekretessprövas i samband med en eventuell begäran om utlämnande av allmän handling. En annan konsekvens är att myndigheten utifrån bestämmelsen i 2 kap. 3 tryckfrihetsförordningen, på begäran, kan bli skyldig att sammanställa uppgifter ur en upptagning för automatiserad behandling om myndigheten kan göra sammanställningen tillgänglig med rutinbetonade åtgärder. Riksrevisionen anser att det bör utredas i vilken utsträckning all den information som en myndighet tar del av vid granskning ska utgöra allmän handling hos den granskande myndigheten. Stöd för att formulera avtalsvillkor i personuppgiftsbiträdesavtal Riksrevisionen anser, i likhet med utredningen, att stödet för myndigheter att, i personuppgiftsbiträdesavtal, formulera juridiskt hållbara och förutsebara avtalsvillkor som uppfyller dataskyddsförordningens krav på transparens, insyn och kontroll bör utvecklas. Riksrevisionen tillstyrker utredningens förslag att Datainspektionen, Myndigheten för digital förvaltning och Myndigheten för samhällsskydd och beredskap ska få i särskilt uppdrag att gemensamt och i samråd med Sveriges kommuner och landsting, utforma standardavtalsklausuler för personuppgiftsbiträdesavtal som tecknas mellan en myndighet som personuppgiftsansvarig och en privat leverantör som personuppgiftsbiträde inom ramen för myndighetens köp av it-drift eller andra it-baserade funktioner. Förslag till ändring i 4 kap. 3 offentlighets- och sekretesslagen (2009:400) Riksrevisionen tillstyrker förslaget om att en myndighet ska se till att information kan lämnas om vilken eller vilka databaser eller andra digitala källor som innehåller ett underlag för handläggning av målet eller ärendet i de fall det finns särskilda skäl mot att tillföra ett underlag i en databas eller annan digital källa i ett mål eller ärende. 4 ( 9 )

Förslag till ändring i förvaltningslagen (2017:900) Riksrevisionen noterar att utredningen även lämnat ett antal förslag till ändringar i förvaltningslagen. Utifrån Riksrevisionens perspektiv utgör dock inte förvaltningslagen i sig ett hinder mot en fortsatt digital utveckling och undrar om de aktuella ändringarna är nödvändiga för att åstadkomma goda förutsättningar för en sådan utveckling. Det är viktigt att eventuell ny reglering på området inte blir så detaljerad eller svårtolkad att den i sig riskerar att hindra en fortsatt teknikneutral utveckling. Förslag till ny bestämmelse i förordningen (2001:100) om den officiella statistiken om skyldighet att lämna uppgifter om it-kostnader för den officiella statistiken Riksrevisionen anser, i likhet med utredningen, att den offentliga förvaltningen bör åläggas en skyldighet att lämna uppgifter om it-kostnader. Riksrevisionen avstår dock från att lämna synpunkter på huruvida det mest lämpliga sättet att åstadkomma en sådan skyldighet är att göra uppgifter om it-kostnader till en del av den officiella statistiken. I granskningen av it inom statsförvaltningen 1 konstaterade Riksrevisionen att en förutsättning för att kunna ta ställning till om outsourcing skulle kunna vara ett medel för att bli effektivare i sin it-verksamhet är att man har ordning och reda på kostnaderna. Myndigheterna behöver således veta vad utveckling, drift, förvaltning, etcetera. av itverksamheten kostar. Av granskningen framgick att endast en minoritet av myndigheterna fullt ut kunde redovisa sina it-kostnader utifrån en funktionell uppdelning av it-verksamheten. Avseende informationssäkerhet konstaterade Riksrevisionen med anledning av genomförda granskningar 2 att det saknas uppgifter om myndigheternas kostnader för informationssäkerhet, såväl när det gäller enskilda myndigheter som för statsförvaltningen i stort. Därmed går det inte att uttala sig om hanteringen av informationssäkerheten är kostnadseffektiv. Riksrevisionen anser därmed, i likhet med utredningen, att en samlad bild av it-kostnaderna i hela den offentliga förvaltningen kan underlätta förvaltningsövergripande beslut om prioritering och samordning. För att få ett tillräckligt komplett underlag som kan ligga till grund för sådana prioriteringar krävs dock, såsom utredningen föreslår, att hela den offentliga förvaltningen åläggs en skyldighet att redovisa uppgifter om it-kostnader. 1 Riksrevisionen, It inom statsförvaltningen - har myndigheterna på ett rimligt sätt prövat frågan om outsourcing bidrar till ökad effektivitet?, RiR 2011:4. 2 Riksrevisionen, Informationssäkerheten i den civila statsförvaltningen, RiR 2014:23 samt Riksrevisionen, Informationssäkerhetsarbete på nio myndigheter, RiR 2016:8, 5 ( 9 )

A NGE POSTNUMMER OCH ORT Förslag till ny bestämmelse i offentlighets- och sekretesslagen (2009:400) om att en myndighet ska se till att information kan lämnas om hur myndigheten vid handläggning av mål eller ärenden använder algoritmer eller datorprogram som, helt eller delvis, påverkar utfallet eller beslutet vid automatiserade urval eller beslut. Riksrevisionen tillstyrker utredarens förslag om att myndigheter ska redovisa hur algoritmer och datorprogram används vid handläggning av mål eller ärenden. Det är viktigt med insyn i hur den digitala förvaltningen använder vissa algoritmer eller datorprogram vid mål- och ärendehantering. Detta påverkar också Riksrevisionens och andra utredande myndigheters arbete med att granska statsförvaltningen i framtiden. Det är en förutsättning för att vi ska kunna fullfölja vårt uppdrag. Förslag att regeringen uppdrar åt myndigheter som tillämpar eller överväger att tillämpa AI-system med maskininlärda algoritmer i sin verksamhet att i samverkan med Sveriges Kommuner och Landsting, Myndigheten för digital förvaltning och tillsynsmyndigheter inom digital förvaltning utarbeta förslag på förfaranden som innebär att tredje part kan utöva revision, tillsyn, certifiering eller annan typ av kontroll avseende de algoritmer som kommer att användas. Särskild vikt bör läggas vid de algoritmer som, helt eller delvis, påverkar utfallet vid urval eller beslut. Riksrevisionen anser, i likhet med utredningen att det är viktigt att tredje part ska kunna utöva revision, tillsyn, certifiering och kontroll av AI-system med maskininlärda algoritmer i myndigheters verksamheter. Riksrevisionen anser att förslaget är av stor vikt för att bevara transparensen och möjligheten till insyn i förvaltningen i framtiden och därmed medborgarens förtroende för förvaltningen. Digitala perspektiv vid framtagande av nya föreskrifter Riksrevisionen tillstyrker utredningens förslag. Riksrevisionen har i flera granskningar påpekat att väl underbyggda och tydligt redovisade konsekvensanalyser inför beslut ökar möjligheterna att välja effektiva handlingsalternativ. 3 De bidrar dessutom till kontroll över kostnader, effekter och bieffekter. Riksrevisionen framförde redan 2004 4 att regeringens arbete med att undanröja legala hinder för att utveckla e-förvaltningen 3 Se exempelvis Riksrevisionen, Konsekvensanalyser inför migrationspolitiska beslut, RiR 2017:25 eller Riksrevisionen, Besparingar i försvarets materielförsörjning regeringens genomförandegrupp 2008, RiR 2012:5. 4 Riksrevisionen, Vem styr den elektroniska förvaltningen?, RiR 2004:19. 6 ( 9 )

framskridit mycket långsamt och ett flertal granskningar 5 fram till i dag tyder på att framstegen inom förvaltningens digitalisering skulle kunna underlättas väsentligt. Digitaliseringens betydelse för verksamhetsutveckling inom statsförvaltningen i kombination med den hittills långsamma utvecklingen är enligt Riksrevisionen skäl för att genomföra utredningens förslag angående konsekvensutredning vid regelgivning. Rättsligt stöd för god informationssäkerhet Riksrevisionen instämmer i utredningens förslag men vill samtidigt påpeka att enbart åtgärden att ta fram ett övergripande regelverk är inte tillräckligt för att säkerheten ska bli god. Regeringen behöver även efterfråga information om myndigheternas informationssäkerhet och framhålla vikten av god informationssäkerhet för att ytterligare understryka betydelsen av att myndigheterna prioriterar frågan. En av Riksrevisionens slutsatser i de granskningar som har gjorts på informationssäkerhetsområdet de senaste åren är att ett tydligt och väl anpassat regelverk är en förutsättning för att uppnå effektivitet i arbetet med informationssäkerhet. Riksrevisionen rekommenderade även regeringen att utreda om regelverket som styr arbetet med informationssäkerheten är ändamålsenligt i sin nuvarande utformning och påpekade samtidigt att bristerna kopplat till regelverket konstaterades redan 2007. 6 Då bristerna fortfarande inte är åtgärdade är det angeläget med en skyndsam hantering. Utökat stöd för it-avtal Riksrevisionen delar utredningens uppfattning men vill även uppmärksamma att frågan om stöd till förvaltningen bör omfatta mer än bara it-avtal. En röd tråd i de granskningar Riksrevisionen har genomfört kopplade till it och informationssäkerhet är iakttagelser kring att myndigheterna är tvungna att uppfinna hjulet på nytt hela tiden. Av Riksrevisionens granskning av it inom statsförvaltningen framgick att den kunskap som vissa myndigheter hade samlat på sig under vägen inte var spridd i förvaltningen. Granskningen konstaterade också bristande förmåga kopplat till upphandling och beställarkompetens. 7 I granskningarna som rörde informationssäkerhet 8 drog 5 Se exempelvis Riksrevisionen, Den offentliga förvaltningens digitalisering En enklare, öppnare och effektivare förvaltning?, RiR 2016:14 eller Riksrevisionen, Informationssäkerheten i den civila statsförvaltningen, RiR 2014:23. 6 Riksrevisionen, Informationssäkerheten i den civila statsförvaltningen, RiR 2014:23 7 Riksrevisionen, It inom statsförvaltningen - har myndigheterna på ett rimligt sätt prövat frågan om outsourcing bidrar till ökad effektivitet?, RiR 2011:4. 8 Riksrevisionen, Informationssäkerheten i den civila statsförvaltningen, RiR 2014:23 samt Riksrevisionen, Informationssäkerhetsarbete på nio myndigheter, RiR 2016:8, 7 ( 9 )

A NGE POSTNUMMER OCH ORT Riksrevisionen slutsatsen att de av regeringen utpekade stödmyndigheterna har begränsade resurser och saknar möjlighet att lämna operativt stöd till enskilda myndigheter i någon större utsträckning. Det finns alltså behov av ett bättre utbyggt stöd som riktar sig till hela statsförvaltningen, och som kompletterar de enskilda myndigheternas egen kompetens. Med en eskalerande konkurrens kring tillgänglig kompetens på it-området generellt och på informationssäkerhetsområdet specifikt finns det enligt Riksrevisionen starka skäl för att tillskapa såväl som att bredda stödet till statsförvaltningen i frågor med koppling till digitalisering. Registerförfattningar och informationsutbyten Riksrevisionen instämmer i utredningens bedömning men vill samtidigt understryka behovet av att konkreta åtgärder för att i största möjliga mån undanröja problematiken kring registerförfattningar verkligen vidtas. Handlingar som ska tillhandahållas som öppna data Riksrevisionen instämmer i utredningens bedömning att man vid översynen av de författningar som särskilt reglerar åtaganden för förvaltningen att stå för samhällets informationsförsörjning bör överväganden göras om vilka uppgifter som ska tillhandahållas som öppna data. Även för annan information bör det övervägas att tydligare i rättsordningen ange skyldigheter för myndigheter att tillhandahålla uppgifter som öppna data. I granskningen Den offentliga sektorns digitalisering En enklare, öppnare och effektivare förvaltning? (Rir 2016:14) drog Riksrevisionen slutsatsen att öppna data och offentlig information har ett stort värde för samhället men att det är få offentliga aktörer som publicerar öppna data i Sverige trots att det är ett prioriterat område av regering och riksdag. Offentlig information som tillhandahålls på ett elektroniskt och tillgängligt sätt kan bidra till ökad effektivitet, transparens och innovation. Det finns dock andra områden där effekterna av öppna data är mindre kända, t.ex. vad gäller politiska och sociala aspekter. Öppna data ställer därför höga krav på de offentliga aktörernas hantering vad gäller integritet och sekretess. Det finns dock inga formella krav för offentliga aktörer att publicera öppna data. Flera aktörer saknar dessutom incitament att publicera öppna data eftersom nyttan ofta skapas utanför myndigheten medan kostnaden uppstår i myndigheten. 8 ( 9 )

Riksrevisorerna har beslutat gemensamt i detta ärende. Revisionsdirektör Philippe Jolly har varit föredragande. Jurist Ulrika Brun och revisionsdirektör Markus Pettersson har deltagit vid den slutliga handläggningen. Stefan Lundgren Helena Lindberg Philippe Jolly 9 ( 9 )