Juridiken och tekniken den 30-31 januari 2014 Växjö

Juridiken och tekniken den 30-31 januari 2014 Växjö Cecilia Magnusson Sjöberg Professor i rättsinformatik Stockholms universitet

Innehåll 1. Förvaltningsutvecklingen 2. Offentlighet och sekretess 3. Arkivering och gallring 4. Integritetsskydd 5. Vidareutnyttjande av handlingar 6. Upphovsrätt hos myndigheter 7. Ärendehandläggning och beslutsfattande 8. Informationssäkerhet 9. Sociala medier 10. Molntjänster

1. Förvaltningsutvecklingen

E-förvaltningens normsystem Grundlag Lag Förordning Myndighetsföreskrift Allmänna råd Riktlinjer, informationsblad, faktabroschyrer, FAQ-svar och vägledningar

E-delegationens juridiska vägledningar Juridisk vägledning för verksamhetsutveckling inom e-förvaltningen Rapport om direktåtkomst och utlämnande på medium för automatiserad behandling Vägledning kring elektroniska original, kopior och avskrifter Riktlinjer för myndigheters användning av sociala medier

Varför behövs vägledningarna? Dagens regelverk Inte alls it-anpassade, delvis it-anpassade, fullt it-anpassade Förvaltningslagen Tryckfrihetsförordningen Personuppgiftslagen Etc. Ramlagstiftning & detaljreglering Det är de facto svårt för lagstiftaren att följa med i den digitaliserade rättsutvecklingen

Framväxten av nya arbetsmetoder Att sätta ord på utvecklingen It-baserad tjänst, e-tjänst, bastjänst, informationstjänst, presentationstjänst, ärendetjänst, Att styra utvecklingen på ett rättssäkert sätt Integrerade infrastrukturer Organisation Teknik Juridik Inkluderande säkerhet

Dagens myndighetsmiljöer

Behov av kanalstrategier! Behov av kanalstrategier! Behov av kanalstrategier!

2. Offentlighet och sekretess

Tre centrala insynsrätter Offentlighetsprincipen Handlingsoffentligheten 2 kap. tryckfrihetsförordningen (TF) Partsinsyn Parters rätt att få del av uppgifter 16 förvaltningslagen (FL) Rätt till registerutdrag m.m. Information som självmant eller efter ansökan skall lämnas till den registrerade i samband med behandling av personuppgifter, 23-27 personuppgiftslagen (PUL)

Allmän handling 1 Handling/ upptagning för automatiserad behandling - Färdig elektronisk handling - Uppgiftssammanställning 2 Förvaras hos myndighet tillgänglig med tekniskt hjälpmedel som myndigheten själv utnyttjar för överföring till läsbar form 3 (a) är inkommen TF 2:6 tillgänglig med tekniskt hjälpmedel som myndigheten själv utnyttjar för överföring till läsbar form eller (b) är upprättad TF 2:7 16

TF 2:3 2 st. Färdig elektronisk handling Innehållet hör logiskt samman Uppgiftssammanställning Konstellation av sakligt sammanhängande uppgifter Anses bara förvarad om sammanställningen går att göra tillgänglig med rutinbetonade åtgärder Enkel arbetsinsats Utan nämnvärda kostnader, eller Andra komplikationer för myndighetens vidkommande

Från praxis Speglad databas är färdig handling (ej uppgiftssammanställning) Kammarrätten i Jönköping, beslut 2013-02-22, Mål nr 3943-12 Skyldighet att ta emot ljudfiler via e-post JO-beslut 2013-02-22, Dnr. 446-2012

TF 2:3 3 st. - begränsningsregeln En sammanställning av uppgifter ur en upptagning för automatiserad behandling anses dock inte förvarad hos myndigheten om sammanställningen innehåller personuppgifter och myndigheten enligt lag eller förordning saknar befogenhet att göra sammanställningen tillgänglig. Med personuppgift avses all slags information som direkt eller indirekt kan hänföras till en fysisk person.

Utlämnande på medium & direktåtkomst Rapport om direktåtkomst och utlämnande på medium för automatiserad behandling E-delegationens expertgrupp för rättsliga frågor http://www.edelegationen.se/ Informationshanteringsutredningen Dir. 2011:86 Integritet, effektivitet och öppenhet i en modern e- förvaltning SOU 2012:90, Överskottsinformation vid direktåtkomst. Delbetänkande från informationshatneringsutredningen. Obs! överskott på allmänna handlingar Nationella databaser EU-databaser

Vad utgör inte allmän handling Allt som inte uppfyller kraven i TF 2:3 Enskild handling TF 2:4 privata meddelanden meddelanden som är avsedda för mottagaren endast som innehavare av annan ställning Ex. meddelanden som anställd får i egenskap av facklig förtroendeman

Forts. undantag från handlingsoffentlighet TF 2:9 Minnesanteckning (med ärendeanknytning) Blir dock allmän handling om: expedieras eller tillför sakuppgifter till ärende som minnesanteckningen hör till eller omhändertas för arkivering Mellanprodukter (utkast, koncept till beslut) Blir dock allmän handling om expedieras eller omhändertas för arkivering Aktiv åtgärd: RÅ 1999 ref. 36

Forts. undantag från handlingsoffentlighet 10 Handling som förvaras hos en myndighet endast som led i teknisk bearbetning eller teknisk lagring för annans räkning anses inte som allmän handling hos den myndigheten. Som allmän handling anses inte handling som en myndighet förvarar endast i syfte att kunna återskapa information som har gått förlorad i en myndighets ordinarie system för automatiserad behandling av information (säkerhetskopia). Lag (2010:1342).

Inbox/Utbox Enskilt meddelande Bilaga Loggfil(er) Länkar m.m.

Intern e-post Högsta förvaltningsdomstolens dom den 27 december 2013 I mål nr. 5339:13 Intern e-postutväxling hos Kungliga Tekniska högskolan (KTH) Ingen ärendeanknytning Skickats mellan befattningshavare inom samma myndighet Enbart det förhållandet att ett e-postmeddelande skickats mellan tjänsteman inom en myndighet kan enligt HFD inte anses utgöra en sådan åtgärd som medför att handlingen är att anses som färdigställd i den mening som avses i 2 kap. 7 första tycket TF.

Sekretess En allmän handling kan vara antingen offentlig eller hemlig genom att innehålla sekretesskyddade uppgifter Offentlighets- och sekretesslagen (OSL)

Utlämnande av allmän handling Huvudregeln (TF2:12 1st.): Genast eller så snart det är möjligt På stället Utan avgift Rätt att skyndsamt få kopia mot fastställd avgift Ingen skyldighet att lämna ut allmänna handlingar i elektronisk form Offentliga delar ska göras tillgängliga

PuL som grund för sekretess 21 kap. 7 OSL Sekretess gäller för personuppgift om det kan antas att ett utlämnande skulle medföra att uppgiften behandlas i strid med personuppgiftslagen (1998:204) 28

Utlämning av CSN:s register över studielåntagare för direkt marknadsföring RÅ 2002 ref. 54 CSN måste lämna ut sitt register över studielåntagare till företag (Mecenat AB). Aktuella personuppgifter: listor med namn, adress och postadress avseende studiestödsmottagare på universitets- och högskolenivå Syftet med behandlingen: distribution av ett av bolaget framtaget rabattkort för studenter CSN och kammarrätten avslog bolagets begäran. Regeringsrätten biföll: begränsad icke integritetskränkande marknadsföring (ett utskick per termin) Inte känsliga personuppgifter Bolagets kommersiella intresse vägde tyngre än det motstående integritetsintresset (jfr. 10 PUL)

3. Arkivering & gallring Fortfarande aktuellt

Utgångspunkter Allmänna handlingar ska som huvudregel bevaras Principiell registreringsskyldighet Gallring och rensning nödvändigt

Generell registreringsskyldighet 5 kap 1 OSL Huvudregel: Allmänna handlingar ska registreras Undantag: Tillräckligt att en myndighet registrerar upptagningar för automatiserad behandling Handlingar som inte omfattas av sekretess kan hållas ordnade så att insyn kan ske utan svårigheter Handlingar av ringa betydelse behöver varken registreras eller hållas ordnad

Vad är gallring? Att förstöra allmänna handlingar eller uppgifter i allmänna handlingar genom exempelvis: överföring till annan databärare förlust av möjliga informationssammanställningar förlust av sökmöjligheter förlust av möjligheter att fastställa informationens autenticitet

Att tömma papperskorgen - glöm inte bort den gemensamma mappen i filsystemet och i Dropbox Författningsstöd Myndighetsbeslut Effektuering Att flytta ett e-postmeddelande till papperskorgen Att tömma papperskorgen Att på användarnivå återskapa papperskorgen Att från säkerhetskopia återskapa papperskorgen Jfr. även andra (loggfiler) Bara en mapp i e-postvyn? Lagring till följd av gallring?

Gallring förutsätter stöd i författning och myndighetsbeslut Exempelvis RA-FS 1997:6: Handlingar av tillfällig eller ringa betydelse får gallras under förutsättning att och allmänhetens insynsrätt inte åsidosätts att handlingarna bedöms sakna värde för rättskipning, förvaltning och forskning Tillämpas bl.a. på spam

Arkivfunktionen: Några utgångspunkter av betydelse för rättsliga bedömningar Vad som konstituerar arkiv respektive utgör arkivering har betydelse för när arkivering anses ske. rättsliga konsekvenser Handlingsoffentlighet Register som förs fortlöpande (2 kap. 7 2 st. p.1) Omhändertagande för arkivering (upprättande) Minnesanteckning (med ärendeanknytning) Mellanprodukter (2 kap. 9 TF) Integritetsskydd Utplånande av personuppgifter kan följa av PUL före arkivering (8 PUL) God förvaltning Uppfyllande av god offentlighetsstruktur

Skilj mellan arkivet som informationsdomän och arkivering som ett flöde in i detta, dvs. en informationsprocess Bevarande kan i detta sammanhang ses som en metod för att dels åstadkomma arkivering, dels vårda ett redan existerande arkiv. Såväl uppfyllande av rättsliga krav som andra ändamål

3 arkivförordningen Allmänna handlingar med ärendeanknytning ska arkiveras när ärendet har slutbehandlats I samband med detta ska en bedömning görs avseende omhändertagande av minnesanteckningar respektive mellanprodukter (2 kap. 9 TF) Allmänna handlingar utan ärendeanknytning ska arkiveras så snart de har justerats av myndigheten eller på annat sätt färdigställts. Varje införd anteckning i register som förs fortlöpande, dvs. diarier, journaler och andra förteckningar, blir arkiverad på en gång En införd anteckning blir omedelbart upprättad Inkommande handlingar Ingen särskild reglering I praktiken gallring eller arkivering

Systemintegration Diarieföring, registrering Dokument- och ärendehantering Arkivering

Några samband 2 kap. 18 TF: Grundläggande bestämmelser om hur allmänna handlingar ska bevaras samt om gallring och annat avhändande av sådana handlingar meddelas i lag 2 kap. 9 TF TF tages om hand för arkivering Arkivlagen 3 ArkivL som myndigheten beslutar ska tas om hand för arkivering 10 ArkivL 6 p. 5 ArkivL Gallring ArkivL

OSL 4 kap. 1 OSL God offentlighetsstruktur 4 kap. 2 OSL Beskrivning av en myndighets allmänna handlingar 4-6 ArkivL Arkivvården Arkivlagens samtliga bestämmelser 4 kap. 4 OSL Hänsyn till arkivvården, gallring m.m. 5 kap. 1-3 OSL Registrering av allmänna handlingar och sekretessmarkering

4. Integritetsskydd - vid behandling av personuppgifter

Aktuellt Förändring av dataskyddsdirektivet Kommissionens förslag till dataskyddsförordning KOM (2012) 11 slutlig Allmän uppgiftsskyddsförordning Övergripande syfte Stärkt integritetsskydd, ökad harmonisering, minskad byråkratisering, bättre teknisk anpassning Allmänna reflektioner Förordning Komplexitet & omfattning Delegerade akter & tillsynsmyndighetens roll Rätten att bli bortglömd, m.m.

Konsekvenser för svensk rätt Offentlighetsprincipen? Missbruksmodellen? Registerlagstiftning? Observera beaktandesats 18 i KOM:s förslag till förordning: Denna förordning gör det möjligt att vid tillämpningen av bestämmelserna i den ta hänsyn till principen om allmänhetens rätt att få tillgång till allmänna handlingar.

Cookies 6 kap.18 LEK Uppgifter får lagras i eller hämtas från en abonnents eller användares terminalutrustning endast om abonnenten eller användaren får tillgång till information om ändamålet med behandlingen och samtycker till den. Detta hindrar inte sådan lagring eller åtkomst som behövs för att överföra ett elektroniskt meddelande via ett elektroniskt kommunikationsnät eller som är nödvändig för att tillhandahålla en tjänst som användaren eller abonnenten uttryckligen har begärt. Lag (2011:590

Checklista för tillämpningen av personuppgiftslagen (PuL) (a) Är PuL tillämplig? Hanterings- eller missbruksmodellen Registerförfattningar (b) Är personuppgiftsbehandlingen tillåten? (c) Är en sårbarhets- och säkerhetsanalys genomförd? (d) Finns insikt om ansvar och sanktioner? (e) Hur uppfylls informationsskyldigheten? (f) Finns administrativ beredskap för personuppgiftsbehandlingen?

Undantag för behandling av personuppgifter i ostrukturerat material 5 a Bestämmelserna i 9, 10, 13-19, 21-26, 28, 33, 34 och 42 behöver inte tillämpas på behandling av personuppgifter som inte ingår i eller är avsedda att ingå i en samling av personuppgifter som har strukturerats för att påtagligt underlätta sökning efter eller sammanställning av personuppgifter. Sådan behandling som avses i första stycket får inte utföras, om den innebär en kränkning av den registrerades personliga integritet. Lag (2006:398).

Att inte kränka den registrerades personlig integritet 5 a PUL Behandla inte personuppgifter för otillbörliga syften, såsom förföljelse eller skandalisering Samla inte utan godtagbara skäl en stor mängd uppgifter om en person Rätta personuppgifter som visar sig vara felaktiga eller missvisande Förtala eller förolämpa inte någon annan Bryt inte mot tystnadsplikt

Många gånger behov av avvägningar mellan olika intressen

Tolkningen av PuL varierar

5. Vidareutnyttjande av myndighetsinformation (PSI: Public Sector Information) - Vad är vidareutnyttjande? - Den bakomliggande idén - Lagstiftningen och aktuella rättsområden - Lagen (2010:566) om vidareutnyttjande av handlingar från den offentliga förvaltningen (PSI-lagen) - PSI-direktivet 2003/98/EG (Public Sector Information - I praktiken - Mer information - E-delegationens vägledning - Ny utredning (Dir 2013:2) - Bättre förutsättningar för vidareutnyttjande av handlingar från den offentliga sektorn

PSI-lagen Lag (2010:566) om vidareutnyttjande av handlingar från den offentliga förvaltningen EUROPAPARLAMENTETS OCH RA DETS DIREKTIV 2013/37/EU av den 26 juni 2013 om a ndring av direktiv 2003/98/EG om vidareutnyttjande av information fra n den offentliga sektorn utvidgat tillämpningsområde Arkiv, bibliotek, muséer återanvändning oberoende av syfte med reservation för tredje parts upphovsrätt maskinläsbart format (inkluderande metadata) som utgångspunkt allmän informationsskyldighet från en självkostnadsprincip till avgifter baserade på marginalkostnader förstärkt tillsyn

6. Kort om upphovsrätt hos myndigheter Vikten av att identifiera och fastställda - Vem och vilka är rättshavare? - Vad omfattar upphovsrätten? - Hur får respektive måste upphovsrätten hanteras? - Hur får tredje man använda material som finns hos myndigheter?

Lagen (1960:729) om upphovsrätt till litterära och konstnärliga verk Skyddsobjekt Litterära och konstnärliga verk (1 URL) Närstående rättigheter (5 kap.url) Undantag Myndigheters författningar, beslut, yttranden och officiella översättningar av dessa m.m. Vad skyddas? Utformningen av en idé/representation av fakta Förutsätter viss verkshöjd Originalitet/kreativitet Hur uppstår skydd? Automatiskt Inga formkrav på registrering eller användning av

Vad upphovsrätten omfattar Ekonomisk rätt (1 kap. 2 URL) Exemplarframställning Tillgängliggörande för allmänheten Ideell rätt (1 kap. 3 URL) Namngivelserätt (god sed) Respekträtt Kränkande ändringar Kränkande sammanhang

Allmänna handlingar och upphovsrätt Inkomna handlingar Omfattas av upphovsrätt Ex. brev, rapporter, tabeller, ritningar etc. Upprättade handlingar Inget eller fullt upphovsrättsligt skydd (9 URL) Inskränkningar - För upphovsrättsligt skyddad allmän handling finns vissa inskränkningar i den ekonomiska rätten (26-26 b URL) - Upphovsmannens ideella rätt ska dock alltid iakttas (3, 11 URL)

Skilj mellan utlämnande av allmän handling som omfattas av upphovsrätt och användningen av verket därefter - upphovsrätten kvarstår Huvudregel Allmän handling ska lämnas ut oavsett eventuellt upphovsrättsligt skydd (1 kap. 8 TF, 26 b URL) Undantag Under vissa omständigheter kan upphovsrättsligt skyddade verk omfattas av sekretesskydd (31 kap. 23 OSL) Jfr. RA 1998 ref. 42 - Scientolog-fallet Se vidare Konstitutionsutskottets betänkande 2012/13_KU11, Upphovsrätt och handlingsoffentlighet

Fastreg-fallet - Begäran hos Företagsekonomiska institutionen, Stockholms universitet att ur det studieadministrativa systemet Fastreg få del av dels dokumentation av databasens struktur, dels själva datorprogrammet i källkod Regeringsrätten (nuvarande Högsta förvaltningsdomstolen) fann att handlingarna skulle lämnas ut i det s.k. Fastreg-fallet skulle lämnas ut RÅ 2004 ref 74 - Det förhållandet att programmet i ett fall har sålts till en annan högskola och att ytterligare sådan försäljning kan komma att ske i syfte att skaffa institutionen bidrag till sina utvecklingskostnader för programmet innebär enligt Regeringsrättens mening inte att universitetet kan anses ägna sig åt affärsdrivande verksamhet bestående i försäljning av datorprogram - Observera: - Inget krav på tillhandahållande i elektronisk form Utlämnandet skedde i form av papperskopior mot fastställd avgift Upphovsrätten till datorprogrammet kvarstår efter utlämnandet

Analysera aktuella ensamrätter och nyttjanderätter Avtala Anställda Uppdragstagare Överväg CC-licenser m.m.

7. Ärendehandläggning och beslutsfattande Fortfarande aktuellt Förvaltningslagsutredningen En ny förvaltningslag, SOU 2010:29 Tillgänglighet 6 En myndighet ska vara tillgänglig för kontakter med enskilda. Om särskilda tider för att ta emot besök och telefonsamtal är bestämda, ska allmänheten underrättas om dem på lämpligt sätt. Myndigheten ska på lämpligt sätt anvisa den e-postadress eller annat elektroniskt mottagningsställe dit meddelanden kan sändas. Har ett meddelande anlänt till det anvisade mottagningsstället, ska myndigheten, om inte särskilt hinder möter, underrätta avsändaren om detta och samtidigt ange tidpunkten för mottagandet. Om meddelandet eller bifogat material helt eller delvis inte har kunnat uppfattas, ska avsändaren underrättas även om det.

Förslaget forts. Fastställande av ankomstdagen 18 En handling är inkommen till en myndighet den dag den anlänt till myndigheten eller kommit en behörig tjänsteman till handa. När en handling genom en postförsändelse eller en avi om betald postförsändelse som innehåller handlingen anlänt till en myndighet eller kommit en behörig tjänsteman till handa viss dag, ska handlingen anses ha kommit in närmast föregående arbetsdag. En handling som finns i en myndighets brevlåda när myndigheten tömmer den första gången viss dag, ska anses ha kommit in närmast föregående arbetsdag. En handling som sänts till ett anvisat elektroniskt mottagningsställe, ska anses ha kommit in när den tagits emot där.

Myndigheters serviceskyldighet Upplysningsskyldighet Skyldighet att ta emot besök och telefonsamtal Myndigheterna skall också se till att det är möjligt för enskilda att kontakta dem med hjälp av telefax och elektronisk post och att svar kan lämnas på samma sätt 66

Samverkan mellan myndigheter Allmänna krav på handläggningen av ärenden Myndighetens utredningsansvar Inkommande handlingar Anteckning av uppgifter 67

Partsinsyn och kommunikation Sakutredningsuppgifter eller uppgifter som hör till rättsutredningen Motivering av beslut Vad karaktäriserar ett beslut (jfr. allmänna uttalanden) Skriftligt Meningsyttring Verkningar Gälla framåt Underrättelse om beslut Via e-post, webb Överklagande, rättelse och omprövning Ansvar för länkar 68

Olivoljemålet RÅ 2004 ref. 8 Avsåg skrivelse kompletterad med pressmeddelande på Livsmedelsverkets hemsida Ur hälsosynpunkt skadliga substanser i livsmedelsoljor Produkterna slutade saluföras, minskade intäkter för producenterna Möjligheten att få publiceringen på hemsidan rättsligt prövad? Överklagbart förvaltningsbeslut då ej ren information Ingen avgörande betydelse att rubricerad som Information och ej undertecknat Regeringsrätten undanröjde Livsmedelsverkets beslut som ansågs innefatta ett kompetensöverskridande 69

Rättsinformation på webben: regler, beslut och ren information Grundlag Lag Förordning Myndighetsföreskrifter Föreskrifter Allmänna råd Icke bindande rekommendationer för rättstillämpningen Vägledningar Informationsskrifter Arbetsinstruktioner FAQ-svar Länkar, m.m. 70

Dokumentationsskyldighet 4 kap 3 OSL Om en myndighet för handläggning av ett mål eller ärende använder sig av en upptagning för automatiserad behandling, ska upptagningen tillföras handlingarna i målet eller ärendet i läsbar form, om det inte finns särskilda skäl mot det.

- E-post, sms/mms, webb m.m.

sms-meddelanden Ingen skarp gränsdragning mellan privata mobiler och tjänstemobiler Kammarrätten i Sundsvall dom 30 april 2009, mål nr 195-09 Gör tjänsteanteckningar Ta hand om sms-meddelanden Se över riktlinjerna för arkivering och gallring 73

Högsta förvaltningsdomstolens HFD 2012 ref. 21 Försäkringskassans sms-tjänst Fråga om personuppgiftsansvarets räckvidd Särskild vad gäller skyldigheten att göra en riskanalys i syfte att kunna vidta nödvändig (tekniska och organisatoriska) säkerhetsåtgärder

chat-meddelanden Relativt nytt it-stöd i förvaltningen chat-meddelanden faller in under TF:s reglering av upptagningar Upplys medarbetarna om att ej detsamma som telefon Se över riktlinjerna för arkivering och gallring 75

8. Informationssäkerhet Formkrav Rör det sig om ett formkrav? Om så, vem råder över detta? Vad är det för verksamhet Myndighetsutövning Annan ärendehandläggning Service Affärsverksamhet Skilj mellan olika formkrav Skriftlighet Undertecknande Följ utvecklingen!

Ur rättspraxis RÅ 2002 not 206 Användning av (kvalificerad) elektronisk signatur ansågs ej uppfylla kravet på egenhändigt undertecknande enligt 3 förvaltningsprocesslagen RÅ 2009 ref. 70 Användning av e-post ansågs uppfylla kravet på skriftlighet vid underrättelse om tilldelningsbeslut i samband med offentlig upphandling NJA 2010 s. 165 Avslag på ansökan om återställande av försutten tid i samband med överklagande via e-post

Aktuellt Elektroniskt underskrivna handlingar, Riksarkivet, Rapport 2006:1 http://www.riksarkivet.se/sve/publikationer/filer /elektroniskt-underskrivna-handlingar.pdf

Exempel på IT-anpassning av regelverk Att elektronisk information kan vara att betrakta som skriftlig 4 kap 6 förordningen (2001:650) om vägtrafikregister en skriftlig begäran som överförts elektroniskt på det sätt Transportstyrelsen föreskriver Att undertecknande kan ske elektroniskt 2 kap. 7 årsredovisningslagen (1995:1554) elektroniskt upprättade årsredovisningar ska undertecknas med avancerad elektronisk signatur. 1 kap. 13 aktiebolagslagen (2005:551) tillåter användning av avancerade elektroniska signaturer vid undertecknande av handlingar

Elektroniskt kungörande av författningar Förordningen (2007:231) om elektroniskt kungörande av vissa trafikföreskrifter Elektroniskt kungörande av författningar, SOU 2008:88 Säkerhet Produktion Tillgängliggörande Bevarande Tryckt version i förhållande till elektronisk Format M.m. Originalexemplar/originalinnehåll Arkivexemplar/säkerhetskopia

Några hållpunkter Det finns (än så länge) ingen övergripande lösning på formkrav i digitala miljöer Generell signaturlagstiftning lagen (2000:832) om kvalificerade elektroniska signaturer (signaturlagen) EU-direktivet om ett gemenskapsramverk för elektroniska signaturer (1999/93/EG) Speciell signaturreglering Skilj mellan formkrav som knyter an till Ärendehandläggning Av myndigheten uppställda formkrav måste rymmas inom dess normgivningskompetens Service etc.

Bevisrättsliga principer Den fria bevisföringen präglar svensk rätt Inga begränsningar vad gäller de källor som får användas som bevis vid en rättegång Domare är inte bundna av särskilda regler om hur olika typer av bevis skall värderas Inga formella hinder för en svensk domstol att beakta digitala och systembevis, t.ex. olika former av elektroniska dokument, elektroniska signaturer och andra komponenter i informationssystem (systembevis)

Elektronisk signering Mer än en digital version av handskriven underskrift! Digitala signaturer I rättsligt reglerade sammanhang: Enklare säkerhetslösningar Inskannade namnunderskrifter E-postmeddelande med en individuell avsändaridentitet Elektroniska signaturer I rättsligt reglerade sammanhang: PKI-baserade lösningar

Public Key Infrastructure (PKI) Certifikatutgivare/ CA, Certificate Authority (Trusted /Third/ Party) Förteckning över utgivna certifikat Certifikat: Elektroniskt intyg, t.ex. e- legitimation,om att en viss användare är innehavare av en viss publik nyckel PKI-anpassning av programvara: Mjuka certifikat lagars i datorn Hårda certifikat smart card/dosa

Två huvudtyper av nycklar Privat nyckel Hemlig Tillgänglig endast hos innehavaren Flyttbar Kan bäras runt genom lagring på t.ex. smartkort eller i mobiltelefon Publik nyckel Offentlig Allmänt tillgänglig Måste vara äkta Certifikat Elektroniskt intyg om att en viss person är inne-havare av en viss publik nyckel

Signering av dokument: 1. Beräkning av fingeravtryck (med hjälp av hashalgoritm) 2. Kryptering av fingeravtryck med hjälp av avsändarens privata nyckel 3. Resultatet blir en elektronisk signatur som är unik för varje kombination av dokument och privat nyckel Ursprungligt dok. Hashalgoritm Krypterat fingeravtryck Signerat dokument Beräkning av fingeravtryck Privat nyckel Används för kryptering av fingeravtryck Ursprungligt dokument (fil)

Hashalgoritm Ursprungligt dok. Krypterat fingeravtryck Signerat dokument Publik nyckel Verifiering av signatur 1. Användning av samma hashalgoritm för att framställa fingeravtryck 2. Avsändarens publika nyckel används för dekryptering av fingeravtryck 3. Jämförelse av de båda hashsummorna med hjälp av den publika nyckeln

Flera alternativ till PKI-lösningar Krav på autentisering och skydd av data kan uppfyllas genom bl.a. Särskilda medier för att starta datorn i säkert läge USB-minnen CD/DVD-skivor Krypterad överföring av kontokortsnummer mellan en kunds webbläsare och en on-line marknadsplats i form av en webbserver Kombinationer av användarnamn och certifikat (mjuka eller hårda) vid inloggning på internetbanker Användning av e-legitimationer för att komma åt e-tjänster i förvaltningen Utfärdas och kontrolleras av banker och telekomföretag

ID-tjänster ligger i allt större utsträckning till grund för utnyttjande av e-tjänster, t.ex. Deklaration Skatteverket Registrering av enskild firma Bolagsverket Föräldraförsäkringen Försäkringskassan

EG-direktiv Europaparlamentets och rådets direktiv 1999/93/EG av den 13 december 1999 om ett gemenskapsramverk för elektroniska signaturer (signaturdirektivet) Regelsystem Se vidare PTS:s hemsida: www.pts.se (nedladdningsbar anmälningsblankett m.m.) Började gälla den 1/1 2001 Nationell lagstiftning Lagen (2000:832) om kvalificerade elektroniska signaturer (signaturlagen) Förordningen (2000:833) om kvalificerade elektroniska signaturer PTS föreskrifter om avgifter enligt lagen (2002:832) om kvalificerade elektroniska signaturer

Signaturlagen gäller för certifikatutfärdare - etablerade i Sverige - utfärdar kvalificerade certifikat - till allmänheten E-legitimation omfattas /då/ av - tillsyn - skadeståndsansvar Ung. elektroniskt intyg om vem som är innehavare av en viss elektronisk signatur

Till allmänheten Ej slutet system utan öppet Storleken på aktuell grupp ej avgörande, utan - att fråga om kommunikation med annan än certifikatutfärdaren, dvs., en tredje part - att inget kontraktsförhållande föreligger mellan utfärdaren och den tredje parten

Regleringsobjekt Elektronisk signatur Anordning för signaturframställning Certifikat

Nyckelbegrepp i signaturlagstiftningen (Enkel) elektronisk signatur Behöver inte vara knuten till en bestämd fysisk person Avancerad elektronisk signatur Knuten till en bestämd fysisk person Det skall med säkerhet gå att identifiera en viss individ som därmed förbinds med de elektroniska data som är knutna till signaturen Kvalificerad elektronisk signatur Knuten till en bestämt fysisk person (se ovan) Baserad på ett kvalificerat certifikat Skapad av en säker anordning för signaturframställning

Kvalificerade elektroniska signaturer intar en särställning (i svensk rätt) vad gäller rättsverkan (17 signaturlagen) Om det i lag eller annan författning ställs krav på egenhändig underskrift eller motsvarande och om det är tillåtet (uttryckligen eller vad som framgår av praxis) att uppfylla kravet med elektroniska medel skall en kvalificerad elektronisk signatur anses uppfylla kravet.

Ytterligare krav kan dock förekomma när elektroniska signaturer används vid kommunikation med eller mellan myndigheter av direktivet (artikel 3.7) framgår att dylika krav måste vara att betrakta som objektiva, tydliga, proportionella och icke-diskriminerande

Exempel på ytterligare krav (utöver användning av kvalificerade elektroniska signaturer) som kan bli aktuella vid kommunikation med eller mellan myndigheter: krav på särskilt medgivande från aktuell myndighet krav på att viss utrustning och särskilda metoder skall användas t.ex. avseende filinnehåll, format och adressering jfr. vad som sedan tidigare gäller i fråga om tull- och varudeklarationer Observera att vid avsaknad av särskilda bestämmelser är myndigheter skyldiga att acceptera kvalificerade elektroniska signaturer, förutsatt att det över huvud taget är tillåtet med elektronisk utväxling av data

Fokus på säkerheten Med elektroniskt dokument avses en upptagning som har gjorts med hjälp av automatisk databehandling och vars innehåll och utställare kan verifieras genom ett visst tekniskt förfarande. En legaldefinition som återfinns i ett femtiotal författningar, dock generellt infört

Myndigheternas serviceskyldighet enligt förvaltningslagen (1986:223) 4 Upplysningsskyldighet 5 1 st Skyldighet att ta emot besök och telefonsamtal 5 2 st. FL Myndigheterna skall också se till att det är möjligt för enskilda att kontakta dem med hjälp av telefax och elektronisk post och att svar kan lämnas på samma sätt

Lagstiftarens krav på autenticitet Prop. 2002/03:62 s. 20 Denne /dvs. mottagaren hos myndigheten,./ har normalt ingen anledning att ifrågasätta riktigheten av de avsändaruppgifter som ett e-postmeddelande innehåller. Detsamma gäller för övrigt även ett meddelande som har kommit in med vanlig post eller för den delen fax. I samtliga dessa fall kan situationen dock vara sådan att det av något skäl finns anledning att tvivla på avsändaruppgifternas riktighet. I sådana fall får lämpliga åtgärder vidtas i syfte att kontrollera dessa. Kan det inte beläggas vem som faktiskt har skickat ett visst e-postmeddelande, får detta hanteras på samma sätt som andra anonyma skrivelser.

Tolkning och tillämpning av 5 FL - Uttrycket e-post tolkas teknikneutralt - Tillräckligt att en myndighet som helhet har en e-postadress - Tillämpningsområdet är avgränsat till textmeddelanden som sänds med e-postprogram, - SMS meddelanden inbegrips ej - inget krav på att ta del av bilagor avsändaren bör i sådana fall dels informeras om detta dels ges möjlighet sända bilagan på nytt i format som myndigheten kan hantera - Myndigheten bestämmer hur ett enskilt e-postmeddelande från enskild skall besvaras - E-postmeddelande ställt till viss befattningshavare kan komma att vidarebefordras till annan - Elektroniskt svar förutsätter att enskild uppgivit sin e-postadress

BrB 14 kap. Om förfalskningsbrott 1 Den som obehörigen, genom att skriva eller på liknande sätt ange en annan persons namn eller på annat sätt, framställer en falsk urkund eller ändrar eller fyller ut en äkta urkund döms, om åtgärden innebär fara i bevishänseende, för urkundsförfalskning till fängelse i högst två år. Med urkund avses 1. en handling som upprättats till bevis eller annars är av betydelse som bevis och som har en utställarangivelse och originalkaraktär, 2. en elektronisk handling som upprättats till bevis eller annars är av betydelse som bevis och som har en utställarangivelse som kan kontrolleras på ett tillförlitligt sätt, och 3. ett märke som ställts ut till bevis om en persons identitet eller om en viss rättighet eller prestation och som har originalkaraktär (bevismärke). Lag (2013:425).

En säkerhetsjuridisk checklista Utred vad det finns för legala krav på tekniska och organisatoriska skyddsåtgärder Utred vad det finns för affärsmässiga krav på tekniska och organisatoriska skyddsåtgärder Utred vad det krävs för tekniska och organisatoriska säkerhetsåtgärder för att uppnå en önskvärd bevissituation Betrakta juridik som en av flera komponenter i arbetet med riskanalyser och säkerhetslösningar

Tydliggör begreppsanvändningen i syfte att undvika missförstånd mellan jurister och tekniker Centrala begrepp: konfidentialitet; skilj mellan skydd av företagshemligheter, sekretess och tystnadsplikt riktighet (integritet) kontroll av datas riktighet, dvs. kontroll av att data inte har förvanskats skydd av datas riktighet, dvs. skydd mot förvanskning av data tillgänglighet; skilj mellan bl.a. författningsreglerade krav på tillgänglighet och kontraktuellt överenskomna

9. Sociala medier

Datainspektionens bedömning Kommuner, myndigheter och företag som använder sig av bloggar, Facebook m.m. har ett ansvar för personuppgifter som både man själv och andra publicerar på sidan och måste ha rutiner för att ta bort personuppgifter som är kränkande. Vid sidan av organisationens ansvar har också den som skrivit inlägget ett ansvar. Personuppgiftsansvaret för Twitter omfattar däremot bara det man själv skriver, inte kommentarer som följare" lämnar. Vanligen är den s.k. missbruksreglen tillämplig (5 a PUL) 110

Aktuella beslut Tillsyn enligt personuppgiftslagen (1998:204) Arbetsmiljöverkets användning av Facebook Beslut 2010-07-02, dnr 686-2010 Katrineholms kommuns användning av s.k. sociala medier Beslut 2010-07-02, dnr 685-2010 Aktiebolaget Gröna Lunds Tivolis användning av Facebook Beslut 2010-07-02, dnr 687-2010 Se vidare Datainspektionens informationsblad: Myndigheter, företag och andra organisationers ansvar för Personuppgifter i sociala medier http://www.datainspektionen.se/documents/faktablad-socialamedier.pdf 111

Vad bör man se upp med? Låt inte aktiviteter i sociala medier bli en sidoverksamhet Medarbetares inställning till sociala medier principiellt, emotionellt, professionellt varierar högst avsevärt Kraften i kommunikation genom sociala medier

Aktuella vägledningar E-delegationens Riktlinjer för myndigheters användning av sociala medier SKL:s checklista för sociala medier Datainspektionens informationsblad: Myndigheter, företag och andra organisationers ansvar för personuppgifter i sociala medier

Vad bör en policy säga? Synen på sociala medier vid just min myndighet Syfte: informera, kommunicera, föra en dialog, etc. Ansvarsfördelning Organisatorisk Individbaserat Hur återkoppling internt ska gå till Policyns formella status Intern vägledning Arbetsinstruktion

10. Molntjänster

Yttrande från Europeiska ekonomiska och sociala kommittén om Datormoln (cloud computing) i Europa (initiativyttrande) (2012/C 24/08) http://eurlex.europa.eu/lexuriserv/lexuriserv.do?uri=oj:c:2012:024:0040:0047:sv:pd F 4.6 Är den offentliga sektorns och den privata sektorns syn på datormoln olika? 4.6.1 Den offentliga sektorn utgår från strategier, kulturer, personer och organisationer med mål, krav och funktionssätt som påminner om den privata sektorn. 4.6.2 Därför har företagen samma förväntningar på datormoln (se nedan) som de offentliga myndigheterna. Tack vare datormoln kan offentliga tjänster riktade till medborgarna dessutom förbättras genom ökad tillgänglighet, åtkomst osv. 4.6.3 Den offentliga sektorn uppvisar dock vissa särdrag: Det allmänt ansträngda läget Det ansträngda budgetläget tvingar till nedskärningar i offentliga investeringsprogram, även på dataområdet. I detta sammanhang är datormolnmodellen ytterst lämplig, eftersom den möjliggör utbyggnad av datakapacitet utan krav på inledande investering.

http://www.norden.org/sv/publikationer/publ ikationer/2011-566

Mycket kan vara molntjänster - tydliggör vad som avses SaaS Software as a Service PaaS Platform as a Service IaaS Infrastructure as a Service http://cloudsweden.se/

Skilj mellan Driftsorienterade molntjänster Ex. för masshantering av ekonomiska transaktioner Applikationsorienterade molntjänster Ex. kontorsrelaterad kommunikation

Några exempel på molnapplikationer

1. Gör en offentligrättslig verksamhetsbestämning Sätter den legala ramen för användning av molntjänster 2. Analysera aktuella informationsflöden över myndighetsgränser Inverkar på informationens rättsliga status 3. Utforma en myndighetsbaserad dokumenthanteringsstrategi Ger förutsättningar för effektiv och lagenlig användning av molntjänster

Centrala rättsområden Offentlighet & sekretess Tryckfrihetsförordningen Offentlighets- och sekretesslagen (2009:400) Arkivering & gallring Arkivlagen (1990:782) Ärendehandläggning och beslutsfattande Förvaltningslagen (1986:223) Persondataskydd Personuppgiftslagen (1998:204)

Observera Datainspektionens tillsynsbeslut Enköpings kommunstyrelse (2011-09-28, Dnr 256-2011), Dropbox Salems kommunstyrelse (2011-09-28, Dnr 263-2011), Google Apps Brevo AB (2011-09-28, Dnr 574-2011), Microsoft Azure Datainspektionens uppföljningsbeslut, Brevo AB Beslut den 23 augusti 2012, Dnr. 691-2012 Förteckning över de underleverantörer (personuppgiftsbiträden) som det huvudsakliga personuppgiftsbiträdet anlitar Tillgång till loggar så att den personuppgiftsansvariga kan kontrollera åtkomst

129

Offentligrättslig verksamhetsbestämning Definiera aktuell sammansättning av molntjänster Privata moln, publika moln, hybridlösningar Nationella, inom EU, internationella Precisera verksamhetens art Service, ärendehandläggning (ev. inkluderande myndighetsutövning), uppdragsverksamhet, affärsverksamhet Utmejsla involverade aktörer Sökande, klagande eller annan part Registrerad (vid behandling av personuppgifter) Enskilda, t.ex. företrädare för intresseorganisationer Kommersiella, t.ex. vidareutnyttjare av myndigheters handlingar Media

Informationsflöden över myndighetsgränser Att utveckla legala gränssnitt med beaktande av bestämmelser om bl.a. offentlighet & sekretess, partsinsyn och integritetsskydd Att särskilt observera: Identifiering allmänna handlingar Hantering av arbetsmaterial m.m. Sekretessprövningar Partsinsyn Identifiering av förvaltningsbeslut PuL-säkring

Följ rättsutvecklingen Kommissionens förslag till dataskyddsförordning KOM (2012) 11 slutlig Informationshanteringsutredningen Dir. 2011:86, Integritet, effektivitet och öppenhet i en modern e-förvaltning Överskottsinformation vid direktåtkomst, SOU 2012:90 E-delegationens rapport om direktåtkomst och utlämnande på medium för automatiserad behandling E-delegationens vägledning för verksamhetsutveckling www.edelegationen.se

Myndighetsbaserad dokumenthanteringsstrategi Utforma rutiner för såväl arkivering och bevarande som gallring och rensning samt uppfyllande av krav på dokumentation Att särskilt observera: Registrering Arkivering/bevarande Gallring/rensning Dokumentation vid ärendehandläggning