Tekst:
English
Stor tekststørrelse

 

Høringsuttalelse - utkast til forskrift om elektronisk kommunikasjon med og i forvaltningen

  • Publisert: 14. november 2001
Utskrift

Arbeids- og administrasjonsdepartementet
Postboks 8004 Dep

0030 OSLO


Deres ref:  01/2301
Vår ref:     200100223 (Spf)
                2001/000553 (FNH)

Oslo, 14. november 2000


Høringsuttalelse - utkast til forskrift om elektronisk kommunikasjon med og i forvaltningen 

Finansnæringens Hovedorganisasjon og Sparebankforeningen viser til utkast til forskrift om elektronisk kommunikasjon med og i forvaltningen, som ble sendt på høring ved brev av 28. september 2001 fra Arbeids- og administrasjonsdepartementet.

Vårt generelle hovedinntrykk er at forskriftsutkastet er godt gjennomarbeidet og vil være et godt grunnlag for regulering av elektronisk kommunikasjon med og i forvaltningen. Vi kunne imidlertid ønsket at forskriften ga et klart pålegg rettet mot det enkelte forvaltningsorgan om plikt til å åpne for elektronisk kommunikasjon med publikum - i hvert fall at en slik plikt blir utformet på noe sikt, når løsninger med hensyn til teknikk og sikkerhet er kommet på plass. Videre er vi noe usikre på hensiktsmessigheten av å overlate til det enkelte forvaltningsorgan selv å bestemme sikkerhetsnivåer, sikkerhetstjenester og så videre. Som vi fremholdt i vår høringsuttalelse til NOU 2001:10 Uten penn og blekk, skapes best forutsigbarhet for tilbydere av sertifikattjenester og sikkerhetsløsningene ved at det utformes like krav og en mest mulig ensartet praksis innen forvaltningens bruk av disse tjenestene. En slik ensartethet vil også klart være til fordel for publikum, fordi publikum ved elektronisk kommunikasjon med forvaltningen da bare behøver å forholde seg til ett sett av kommunikasjons-/sikkerhetsløsninger. Vi har i denne forbindelse lagt merke til forskriftsutkastet § 12 om koordinerende organ, og håper at dette kan bli et organ som vil kunne gi klare retningslinjer for forvaltningen, selv om vi altså aller helst hadde sett at det hadde vært obligatorisk for forvaltningen å følge anvisningene fra det koordinerende organet. 

Ellers tror vi at regelutkastet ville fått en bedre lesbarhet dersom paragrafene ble gruppert i kapitler med overskrifter som angir hva de forskjellige grupper av paragrafer omhandler.

Av forskriftsutkastet og/eller fotnotene kan det se ut som at forvaltningen selv i enkelte tilfeller skal kunne være sertifikatutsteder. Vi forutsetter i så fall at også lov om elektronisk signatur med forskrifter kommer til anvendelse for vedkommende forvaltningsorgan, på lik linje med at loven med forskrifter får anvendelse for andre sertifikatutstedere.

Til de enkelte bestemmelser vil vi bemerke følgende:

Til § 2 og 3:Vi forstår bestemmelsene slik at de regulerer alle typer henvendelser til forvaltningen, både søknader, klager, anmodninger om innsyn og så videre. Videre leser vi bestemmelsene slik at den legger føringer om at forvaltningsorganene pålegges en plikt til å ta i mot henvendelser i elektronisk form, men at organet kan sette slike krav til henvendelsen som er nødvendig av sikkerhetsmessige eller behandlingsmessige grunner. Etter vår oppfatning vil de krav som forvaltningsorganet da fastsetter til henvendelsen i medhold av § 3 (4), anses som forskrifter ut fra forvaltningslovens definisjon av dette. 

Ut fra ovennevnte generelle forståelse av forskriftens pålegg til forvaltningen om å ta i mot henvendelser elektronisk, blir vi noe forvirret av at det flere steder i forskriften tas "forbehold" om at forvaltningsorganet kan reservere seg mot å ta i mot elektroniske henvendelser. Dette gjelder for eksempel i § 3 (5); "der det er åpnet for elektronisk kommunikasjon") og i § 7 (1); "dersom forvaltningsorganet har lagt til rette for det" (altså for elektronisk kommunikasjon). 

Regelverket sender således ut to forskjellige "signaler". Dette skaper ikke minst uklarhet på bakgrunn av det departementet uttaler i Ot prp nr 108 (2000-01) på side 147 annen spalte, om at det er "…ikke aktuelt i denne omgang å pålegge noen offentlige etater plikt til å akseptere elektronisk kommunikasjon"

Vi vil ellers peke på at begrepet "sikkerhetstjenester", et begrep som blant annet er brukt i § 3 (1), ikke er helt entydig.

Til § 4:Det bør vurderes om det i forskriften generelt bør sies noe mer om tidspunktet for når en henvendelse er rettidig avgitt til et forvaltningsorgan/mottatt av forvaltningsorganet. Dette foreslås regulert spesielt hva gjelder klager i forvaltningsloven § 30. Derimot kan vi ikke se at det er klart regulert for andre henvendelser der det er satt frist, for eksempel søknader, høringsuttalelser og så videre.

Vi mener ellers at en bekreftelse om at henvendelse er mottatt, skalgis straks den er mottatt og skalinneholde referansenummer og angi tidspunkt for mottak - altså at dette ikke bare er noe som bør skje, slik det legges opp til forskriftsutkastet annet og tredje ledd.

Til § 6:Dersom kunden har bedt om å få elektronisk underretning om enkeltvedtak, mener vi at organet også skal underrette på denne måten - i hvert fall når de tekniske/sikkerhetsmessige løsninger for dette finnes på markedet. Forskriftsutkastet kan derimot leses slik at det er opp til forvaltningsorganet å avgjøre om det ønsker å gi underretning på denne måten.

Vi er ellers ikke helt fortrolig med, og setter derfor et spørsmålstegn ved hensiktsmessigheten av den to-trinns underretningsmåten som det er lagt opp til i forskriftsutkastet. Her skal det først skje en underretning om at vedtak er fattet og hvor dette kan finnes (utkastets annet ledd), og dernest skal selve vedtaket være tilgjengelig på et egnet informasjonssystem (tredje ledd).

Til § 7:Vi oppfatter bestemmelsen slik at den gir visse særregler for klager i forhold til det som ellers er regulert i forskriftsutkastet § 2 til 5. Vi er noe usikre på hvorfor man her i første ledd tar forbehold om at klage bare kan settes fram dersom organet har lagt til rette for det, mens dette forbeholdet som foran nevnt ikke er tatt når det gjelder generelt om andre henvendelser.

Vi er videre usikre på hva som ligger i bør-regelen i annet ledd med hensyn til publikums kontroll av mottak av bekreftelse for inngitt klage. Den retter seg mot publikum, men det er absolutt usikkert hva som er konsekvensen dersom publikum ikke følger anbefalingen. En slik kontrollanbefaling mener vi ellers bør gå klart fram av underretningen om vedtaket og tilhørende orientering om klageadgangen. 

Vi mener ellers at forvaltningsorganet skal benytte et virksomhetssertifikat der klager sendes elektronisk, slik at klager får nødvendig sikkerhet for at klagen er mottatt av rette vedkommende, jfr her også utkastet § 14 annet ledd.

Til § 8:I annet ledd mener vi det bør stå "skal" fremfor "kan" med hensyn til å få tilgang til informasjon i elektronisk arkiv.

Tredje ledd har en form som kan misforstås slik at det bare er unntaksvis at man skal kunne få innsyn i dokumenter i elektronisk form. Dette er uheldig.

Til § 9:Vi leser annet ledd slik at høringsinstansen har rett til å avgi høringsuttalelse i elektronisk form. Som nevnt foran under vår merknad til § 4, bør det muligens klargjøres noe bedre når blant annet en høringsuttalelse er rettidig avsendt/mottatt i forhold til en angitt frist.

Til § 10:Det vises til det vi sier i våre merknader til utkastet § 21, nedenfor. Bestemmelsen er noe vanskelig tilgjengelig. Vi tror bestemmelsen kan bli letter å forstå ved å omtale mottak og kontroll av avanserte elektroniske signaturer i sammenheng med bestemmelsen om arkivering av samme.

Til § 11: Utkastets annet ledd er uklar. Vi er blant annet usikre på hvilke opplysninger som omtales og som publikum bør oppbevare.

Til § 12:Som nevnt foran under våre generelle kommentarer, mener vi at det koordinerende organet bør pålegge obligatoriske løsninger for forvaltningen.

Til § 13: I utkastets annet ledd nevnes en rekke forhold som forutsetningsvis skal inn i forvaltningsorganets sikkerhetsstrategi. Slik vi leser bestemmelsen, omtales her både krav forvaltningsorganet skal stille til løsninger og prosedyrer i sin egen virksomhet og krav til løsninger og prosedyrer som en sertifikatutsteder skal oppfylle. Vi antar at det er hensiktsmessig å være mer tydelig på dette skillet ved regelutformingen. 

I annet ledd bokstav d) og f) omtales forvaltningens rutiner ved sperring av sertifikater. Som påpekt under merknadene til utkastet § 22 nedenfor, kan det virke misvisende å si at det er forvaltningsorganet som sperrer sertifikatet; det er det sertifikatutsteder som må gjøre. Vi forstår at det her snakkes om en rutine om at sertifikatet ikke lenger skal aksepteres for videre bruk mot forvaltningsorganet, men da anbefaler vi at man bruker et annet begrep enn å "sperre".

Til § 14: Etter vår oppfatning skal forvaltningsorganet ved underretning om vedtak etter § 6, benytte en elektronisk signatur skapt ved bruk av PKI-sertifikat. Dette sertifikatet mener vi skal være et virksomhetssertifikat. Ved dette får mottaker av vedtaket også sikkerhet for at det er rett forvaltningsorgan som har truffet vedtaket, og at vedtaket er truffet på kompetent nivå.

Ved et forvaltningsorgans mottak av meldinger, for eksempel en klage, antar vi forvaltningsorganet bør benytte et virksomhetssertifikat for å gi klager nødvendig sikkerhet for at klagen er mottatt av rette vedkommende i forvaltningsorganet, se også vår merknad til utkastet § 7.

Til § 17:Den informasjon som nevnes i utkastets annet ledd, vil være informasjon som sertifikatutsteder forutsetningsvis vil gi ved inngåelse av avtalen om sertifikatet.

Til §§ 19 og 20: Vi forstår disse bestemmelsene slik at de retter seg mot ansatte i forvaltningen, og ikke mot publikum, selv om omtalen av subjektet er helt generell. Med dette som utgangspunkt skaper det uklarhet når § 19 (4), og bare denne bestemmelsen, benytter begrepet "forvaltningsansatte".

Til § 21:Etter vår oppfatning hører utkastets §§ 10, 11 og 21 sammen, systematisk sett. Vi tror derfor at det vil bli lettere for den som anvender forskriften å få forståelse for hvordan man skal kontrollere, behandle, arkivere og så videre, meldinger som er signert med avansert elektronisk signatur, dersom § 21 flyttes fram til §§ 10 og 11. Se også vår merknad til utkastet § 10. 

Til § 22: Det kan skape misforståelser når forskriftsutkastet uttaler at forvaltningsorganet skal/kan sperre et sertifikat. Å gjennomføre sperring av et sertifikat er det bare sertifikatutsteder som kan gjøre. Bestemmelsen presiserer riktignok at sperringen av sertifikatet bare skal gjelde for "videre bruk av mot organet", altså at forvaltningsorganet kan bestemme at de ikke ønsker å akseptere sertifikatet i fortsatt dialog med sertifikatholder. Vi anbefaler her at man gjør bruk av et annet begrep enn å "sperre sertifikatet" i denne sammenheng.

Til § 23:Formuleringen i fjerde ledd kan oppfattes slik at forvaltningen kan unnlate å gi en del typer informasjon elektronisk med den begrunnelse at det er fare for uberettiget innsyn. Som vi har fremholdt tidligere, mener vi at utgangspunktet hele tiden bør være at dersom publikum ønsker å kommunisere elektronisk, skal forvaltningsorganet legg til rette for dette . Bestemmelsen bør derfor heller formes som et pålegg om at forvaltningsorganet skal benytte nødvendige sikkerhetsmekanismer/-tjenester for å sikre sensitiv informasjon på tilfredsstillende måte.



Med vennlig hilsen
for                                                                                      for
Finansnæringens Servicekontor                                            Sparebankforeningens Servicekontor


Tore Andreas Hauglie                                                           Gunnar Harstad

Levert av ITverket EPiServer