SOU 2013:80
Ett minskat och förenklat uppgiftslämnande för företagen
Till statsrådet Annie Lööf
Genom regeringsbeslut den 26 april 2012 bemyndigades statsrådet Annie Lööf att tillkalla en särskild utredare med uppdrag att presentera ett förslag som innebär att uppgifter som lämnas från företagen till statliga myndigheter som regel endast ska behöva lämnas en gång och till ett ställe.
Samma dag förordnades professor Cecilia Magnusson Sjöberg som särskild utredare.
Till experter förordnade statsrådet Annie Lööf den 11 juni samma år t.f. kanslichefen Cecilia Bredenwall, processansvarige Johan Eriksson, sakkunnige Andrea Femrell, rättssakkunnige Gustav Forsberg, rättsliga experten Lars Haglund, juristen Anna Hörnlund, enhetschefen Anna Johansson, rättssakkunnige Louise Molin Alfredsson, avdelningschefen Helena Morgonsköld, kanslirådet Elisabeth Kristensson, områdesexperten Kjell-Åke Sjödin och ämnessakkunnige Mikael Westberg. Den 19 november samma år förordnades verksjuristen Annika Palm till expert.
Till sekreterare förordnades jur.kand. Staffan Malmgren fr.o.m. den 1 juni 2012 och kammarrättsassessor Magnus Isgren fr.o.m. den 1 september samma år.
Andrea Femrell entledigades den 1 juli 2013, och sakkunnige Tomas Lööv samt kanslirådet Carl Scheutz förordnades som experter samma dag. Mikael Westberg entledigades den 20 september 2013, och ämnessakkunnige Kerstin Bynander förordnades som expert samma dag.
Utredningen har antagit namnet Uppgiftslämnarutredningen. Utredningens delredovisning (dnr 2013/4) lämnades till regeringen i mars 2013.
Utredningen överlämnar härmed sitt betänkande Ett minskat och förenklat uppgiftslämnande för företagen (SOU 2013:80).
Utredningens uppdrag är härmed slutfört.
Stockholm i november 2013
Cecilia Magnusson Sjöberg
/ Magnus Isgren Staffan Malmgren
5
Sammanfattning
Utredningen ska presentera förslag som innebär att uppgifter som lämnas från företagen till statliga myndigheter som regel endast ska behöva lämnas en gång och till ett ställe. De uppgifter som avses är sådana där själva uppgiftslämnandet har sin grund i lag, förordning eller myndighetsföreskrift. I uppdraget ingår att redovisa bland annat de rättsliga och tekniska förutsättningarna för att skapa ett system där uppgifter kan användas av flera myndigheter och som leder till informationsutbyte mellan myndigheterna. Bolagsverkets rapport Förslag till minskat uppgiftslämnande för företag (AD 62-1047/2008) om hur företagens uppgiftslämnande till statliga myndigheter skulle kunna minska ska ligga till grund för arbetet.
Utredningen har den 4 mars 2013 lämnat en delredovisning omfattande ett preliminärt förslag för hur vissa uppgifter som lämnas från företagen till statliga myndigheter som regel endast ska behöva lämnas en gång och till ett ställe, en redogörelse för hur samordningen av det fortsatta arbetet med att minska och förenkla företagens uppgiftslämnande kan organiseras m.m., samt en redovisning av kostnaden för att genomföra de preliminära förslagen.
Utredningens inledande överväganden
En central utgångspunkt för utredningen, som återspeglas i det slutliga förslaget om ett minskat och förenklat uppgiftslämnande, är det stora antalet statliga myndigheter samt att det finns betydande olikheter i hur uppgiftslämnandet från företagen till varje enskild myndighet är ordnat.
Det är för utredningen inget självändamål att försöka likrikta myndigheternas olika tekniska system och rutiner. Inom ramen för ett arbete med att minska och förenkla företagens uppgiftslämnande kommer det emellertid att vara nödvändigt att göra vissa anpass-
12
ningar av myndigheternas befintliga rutiner och tekniska system vad gäller ärendehandläggning m.m. för att uppnå det övergripande målet.
För att myndigheterna effektivt ska kunna bedriva ett arbete med att minska och förenkla uppgiftslämnandet för företagen krävs att detta är en uppgift som har hög prioritet i myndighetens dagliga verksamhet. Erfarenhetsmässigt har det visat sig att en kraftfull ledning och tydlig styrning av arbetet på alla nivåer är en avgörande faktor för att insatserna ska ge resultat.
En uttalad målsättning med utredningens arbete är som sagt att företagen som huvudregel bara ska behöva lämna uppgifterna en gång och till ett ställe. Det innebär att det ska finnas en väg – eller en dörr – in för företagen som ska lämna uppgifter. Vårt arbete har därför fokuserat på det inledande mötet (kontaktytan, gränssnittet) mellan företag och myndighet. Vidar bedömer vi att ansatsen med en väg in bör bygga på i huvudsak e-tjänster.
Som en konsekvens av detta föreslår vi att det etableras en Servicetjänst som ska fungera som en samlad ingång till myndigheternas e-tjänster som rör företag och företagande. Inom ramen för Servicetjänsten ska det dock inte ske någon ärendehandläggning.
Myndigheterna ska vara skyldiga att ansluta sina e-tjänster (ärendetjänster) till Servicetjänsten. Servicetjänsten ska inte vara obligatorisk för företagen att använda utan de kan vända sig direkt till respektive myndighets e-tjänst eller fullgöra uppgiftsskyldigheten på annat sätt om det är möjligt.
Erfarenhetsmässigt strävar myndigheterna efter att uppgiftslämnandet ska vara fullgjort genom den första kontakten. Förenklingsarbetet bör därför fokusera på identifikations- och kontaktuppgifter samt andra grundläggande uppgifter om företagen som myndigheter ofta frågar efter vid ett uppgiftslämnande. Sådana uppgifter som ofta efterfrågas bör på ett enkelt och snabbt sätt samordnas mellan myndigheterna inom ramen för Servicetjänsten så att företagen inte behöver återupprepa dem.
I ett inledande steg bör det allmänna företagsregistret – som samlat registerför uppgifter om företagen – utvecklas och användas som en källa till grundläggande uppgifter om företagen. Det allmänna företagsregistret bör knytas till Servicetjänsten. Detta sker genom att Servicetjänsten ska avisera uppgifterna i företagsregistret om ett enskilt företag till den myndighet som företaget lämnar uppgifter till via Servicetjänsten.
Aviseringen av grundläggande uppgifter sker bara som en service till myndigheten och uppgiftslämnaren. Aviseringen av uppgifter är
13
inte avsedd att påverka det juridiska förhållandet mellan uppgiftslämnaren och den myndighet som har författningsstödet för uppgiftskravet.
För att Servicetjänsten ska resultera i ett minskat och förenklat uppgiftslämnande för företagen ska myndigheterna vara skyldiga att anpassa sina e-tjänster så att de uppgifter som kommer att aviseras genom Servicetjänsten kan användas av respektive e-tjänst.
Myndigheterna måste vidare som ett led i arbetet med att minska och förenkla företagens uppgiftslämnande systematiskt och regelbundet gå igenom varje uppgiftskrav och noga överväga vilka grundläggande uppgifter om företaget som är nödvändiga för myndighetens handläggning och om dessa verkligen måste lämnas av företagaren.
Personuppgiftslagen (1998:204) och/eller tillämpliga registerförfattningar gör att många myndigheter inte får behandla samtliga de uppgifter om ett företag som finns i det allmänna företagsregistret. Den grundläggande informationen om företagen som aviseras via Servicetjänsten måste därför anpassas till vad som är tillåtet hos mottagande myndighet.
Uppgiftskravsregister
Ett Uppgiftskravsregister har en avgörande roll att spela när det gäller att skapa förutsättningar för samordning och informationsutbyte mellan myndigheter och ge tillgång till tillförlitlig statistik över företagens uppgiftslämnande.
Därutöver utgör regisistret över uppgiftskrav en central komponent i Servicetjänsten. När myndigheterna inventerar sina uppgiftskrav kommer de att för vart och ett av kraven tvingas att ta ställning till vilka av de grundläggande uppgifter, som aviseras genom Servicetjänsten, som är nödvändiga för handläggningen av ärendet i fråga.
Med uppgiftskrav avses författningsbaserade krav riktade mot företag att lämna uppgifter till myndigheter under regeringen. Uppgiftskraven följer närmare av lag, förordning eller myndighetsföreskrift. Ett uppgiftskrav kan leda till att flera olika uppgifter behöver lämnas in. Uppgiftslämnande kan ske med viss regelbundenhet eller efter en viss händelse.
Med företag och näringsidkare avses fysisk eller juridisk person som bedriver näringsverksamhet i Sverige. I begreppet innefattas även fysiska eller juridiska personer som avser att bedriva näring, vilande
14
företag samt företag och näringsidkare som är i processen att avveckla näringsverksamheten.
Den myndighet som företag fullgör ett uppgiftskrav gentemot ska anmäla och beskriva uppgiftskravet till den myndighet som ansvarar för registret över uppgiftskrav, dvs. den av utredningen föreslagna Företagsdatamyndigheten.
Företagsdatamyndigheten som ansvarar för registret över uppgiftskrav får meddela närmare föreskrifter om vilken information som ska ges in.
Det bör inte föreskrivas några inskränkningar i rätten att samla in uppgifter från företagen vid utebliven eller ofullständig anmälan av uppgiftskrav. Företagsdatamyndigheten bör inte få besluta om att myndigheter ska avstå från att samla in uppgifter från företag och inte heller få besluta om krav på samordning av uppgifter mellan myndigheter.
Om företagen lämnar samma eller likande uppgift till flera myndigheter och myndigheterna inte vidtar några gemensamma åtgärder för att underlätta eller begränsa företagens uppgiftslämnande får Företagsdatamyndigheten uppmana myndigheterna att samverka. Företagsdatamyndigheten har ingen möjlighet tvinga myndigheterna att vidta några specifika åtgärder. De myndigheter till vilken uppmaningen riktas ska dock redovisa vilka åtgärder som vidtagits i anledning av uppmaningen.
Informationen i Uppgiftskravsregistret kan användas för att i Servicetjänsten visa vilka uppgiftskrav som är aktuella för företag inom en viss bransch. Genom att skapa Att göra-listor som anpassas till det enskilda företaget ges företagen betydligt bättre överblick över vilka uppgiftskrav som ett enskilt företag har att fullgöra. Även myndigheterna skulle dra nytta av Att göra-listor om företagen i större utsträckning fullgör sina uppgiftskrav i rätt tid. För att kunna skapa Att göra-listor måste det fortsättningsvis kartläggas om myndigheterna har kunskap om vilka företag som ska fullgöra ett visst uppgiftskrav så att det går att skapa rättvisande listor för ett enskilt företag.
I kapitel 9 beskrivs utrednigningens sammanfattande målbild. Utredningen har även tagit fram en prototyp utifrån den sammanfattande målbilden. Prototypen beskrivs i kapitel 10.
15
Rättsliga frågor
Servicetjänsten aktualiserar en mängd olika rättsliga frågor. De regelverk som framförallt drar till sig uppmärksamhet i detta sammanhang är tryckfrihetsförordningen, offentlighets- och sekretesslagen (2009:400), personuppgiftslagen (1998:204) och de särskilda registerförfattningarna samt arkivlagen (1990:782).
I tillägg till en sedvanlig genomgång av gällande rätt tar den juridiska analysen sin utgångspunkt i den vägledning för verksamhetsutveckling som E-delegationens fastställde i juni 2013. Vägledningens syfte är att beskriva och förklara för området centrala juridiska frågor, presentera vissa typer av tekniska lösningar (s.k. it-arkitekturer) för att slutligen kombinera juridik och teknik på ett rättsenligt och lämpligt sätt.
I vägledningen definieras ett antal för e-förvaltningen centrala begrepp med it-tjänster som bas. Vårt förslag till Servicetjänst har i enlighet med vägledningens begreppsapparat inslag av såväl bastjänster, ärendetjänster och presentationstjänster. De it-tjänster som utgör Servicetjänsten kommer dock inte leda till att ärenden initieras eller att något uppgiftslämnande fullgörs utan detta sker som i dag hos respektive myndighet. I vår föreslagna infrastruktur ställs det därför något andra krav på tjänsternas uppbyggnad jämfört med de tjänster som E-delegationens vägledning i första hand tar sikte på.
De it-tjänster som utgör Servicetjänsten inkluderar inte något s.k. eget utrymme som är en förutsättning för de tjänster som beskrivs i vägledningen. Det i vägledningen beskrivna egna utrymmet grundar sig på undantaget i 2 kap. 10 § första stycket tryckfrihetsförordningen som innebär att handling som förvaras hos en myndighet endast som led i teknisk bearbetning eller teknisk lagring för annans räkning inte anses som allmän handling hos den myndigheten.
En utgångspunkt för utredningen är att användarnas myndighetskontakter inte i större utsträckning än i dag bör kunna kartläggas genom den föreslagna infrastrukturen. Om företagen upplever att de på ett negativt vis kartläggs när de använder Servicetjänsten riskerar användandet att minska och de positiva effekterna både för företagen och myndigheterna att gå förlorade.
Innan den slutliga tekniska lösningen för Servicetjänsten och en första kartläggning av specifikt vilka uppgiftskrav som ska inkluderas i Att göra-listan är det svårt att ta ställning till frågan om sekretess. Vi lämnar därför inte några förslag i denna del.
16
Frågan om behovet av sekretess inom ramen för Servicetjänsten bör därför istället analyseras inom ramen för det fortsatta arbetet med att genomföra våra förslag.Företagsdatamyndigheten kommer att behandla personuppgifter men myndighetens behandling av personuppgifter går att förena med kraven på skydd mot kränkning av den personliga integriteten. Företagsdatamyndigheten föreslås få behandla personuppgifter bara i den utsträckning som krävs för att kunna driva Servicetjänsten. Företagsdatamyndigheten har inte behov av att behandla känsliga personuppgifter. Vid den tekniska utformningen av Servicetjänsten bör läggas stor vikt vid att myndigheten inte samlar in eller på annat sätt behandlar känsliga personuppgifter.
Organisation, finansiering och samhällsekonomiska effekter
Det bör inrättas en ny myndighet – Företagsdatamyndigheten – med den överordnade uppgiften att verka för att uppnå regeringens mål att minska och förenkla uppgiftslämnandet för företagen.
Företagsdatamyndigheten ska genom samråd och tillsyn bidra till att underlätta företagens uppgiftslämnande.
Företagsdatamyndigheten ska ansvara för Uppgiftskravsregistret och Servicetjänsten.
Till Företagsdatamyndigheten ska knytas ett råd med av regeringen utsedda representanter för såväl större som mindre myndigheter liksom näringslivet med företagens bästa i centrum.
Servicetjänsten ska finansieras genom avgifter från anslutna myndigheter. Företagsdatamyndighetens övriga verksamhet får finansieras genom omdisponeringar i statsbudgeten.
Företagsdatamyndighetens årliga driftskostnad kan uppskattas till mellan 10 och 20 miljoner kronor. Investeringskostnaderna för den föreslagna infrastrukturen beräknas uppgå till mellan 31 och 39 miljoner kronor. Den årliga driftskostnaden för den tekniska delen av infrastrukturen uppskattas uppgå till mellan 21 och 25 miljoner kronor. Investerings- och driftskostnader är beräknade under antagande att Företagsdatamyndigheten investerar i en ny fysisk och organisatorisk driftmiljö för systemet. Om systemet i stället inhyses i en existerande driftmiljö hos annan myndighet kan både investeringskostnaden och driftskostnaden förväntas minska.
Den arbetsinsats som myndigheterna måste lägga ned för att inledningsvis kartlägga uppgiftskraven och hålla dem aktuella är förhållandevis liten i förhållande till efterföljande arbete med att aktivt
17
arbeta för att minska och förenkla företagens uppgiftslämnande. Den ökade kostnaden för informationshantering som kommer att belasta myndigheterna som ett led i att distribuera eller ta emot information från andra myndigheter har tidigare uppskattats till 2–6 miljoner årligen. Myndigheternas kartläggningsarbete, anpassningar av sina itsystem till Servicetjänsten och övriga arbete att samordna uppgiftskraven får klaras av inom ramen för myndigheternas anslag.
Det är förknippat med stora osäkerhetsfaktorer att beräkna nyttan med förslagen. Tidigare gjorda samhällsekonomiska bedömningar talar emellertid samtliga för att inrättandet av ett Uppgiftskravsregister och ett aktivt arbete med att samordna uppgiftskraven för att minska och förenkla företagens uppgiftslämnande är samhällsekonomiskt lönsamt.
Kostnaderna kommer uteslutande ligga på staten medan nyttorna uppstår hos företagen.
19
Summary
The Inquiry has been instructed to present proposals under which information reported by businesses to government authorities would, as a rule, only need to be submitted once, to one place. This concerns information that is required to be reported under an act, ordinance or authority regulation. The remit of the Inquiry includes presenting the legal and technical conditions for creating a system which allows information to be used by several authorities and leads to information exchange between the authorities. The report of the Swedish Companies Registration Office, Proposal on reduced reporting
by businesses (AD 62-1047/2008), on how reporting by businesses
to government authorities could be reduced is to serve as a basis for the work of the Inquiry.
On 4 March 2013, the Inquiry submitted an interim report including a preliminary proposal on how some information that is submitted by businesses to government authorities should, as a rule, only need to be submitted once, and to one place, an account of how the coordination of the continuing efforts to reduce and simplify reporting by businesses can be organised, etc., and an account of the costs of implementing the preliminary proposals.
The Inquiry’s initial considerations
A key starting point of the Inquiry, which is reflected in the final proposal on reduced and simplified reporting requirements, is the large number of government authorities and the significant differences that exist in how reporting by businesses to each individual authority is organised.
The Inquiry does not see the attempt to standardise the various technical systems and procedures of different authorities as an end in itself. However, within the framework of efforts to reduce and simplify reporting by businesses, it will be necessary to make some
20
adjustments to the authorities’ existing procedures and technical systems with regard to case processing, etc., in order to achieve the overall objective.
To effectively conduct efforts to reduce and simplify reporting by businesses, authorities must ensure that this task has high priority in their day-to-day activities. Experience shows that strong leadership and clear management of these efforts at all levels are crucial for a positive outcome.
An explicit objective of the Inquiry’s work is, as already mentioned, that businesses, as a rule, should only need to submit the information once, to one place. This means that there should be a single entry point for businesses when submitting information. Our work has therefore focused on the initial meeting (the point of contact, interface) between business and authority. Furthermore, we believe that the approach of having a single entry point should mainly build on eServices.
Accordingly, we propose the establishment of a Service Centre that will serve as a single entry point to the authorities’ eServices concerning businesses and entrepreneurship. However, there should be no case processing within the framework of the Service Centre.
The authorities will be required to connect their eServices (case services) to the Service Centre. Use of the Service Centre will not be mandatory for businesses; they can contact the eServices of each authority directly or meet their reporting obligations in another way if possible.
Experience shows that the authorities strive to ensure that reporting is completed on the initial contact. Simplification efforts should therefore focus on identification and contact information and other basic information about businesses that authorities often request in connection with reporting. Such frequently requested information should be shared between the authorities in a simple and rapid manner within the framework of the Service Centre so that businesses do not need to repeat it.
As an initial step, the General Business Register – as a comprehensive register of information about businesses – should be developed and used as a source of basic information about businesses. The General Business Register should be linked to the Service Centre. This would take place through the Service Centre passing on the information contained about an individual company in the General Business Register to the authority to which the company is reporting via the Service Centre.
21
Passing on basic information would only take place as a service to the authority and the business reporting information. Passing on information in this way is not intended to affect the legal relationship between the business reporting information and the authority that has statutory support for the reporting requirement.
In order for the Service Centre to result in reduced and simplified reporting by businesses, the authorities will be required to adapt their eServices so that the information that is passed on through the Service Centre can be used by each eService.
The authorities must also, as part of efforts to reduce and simplify reporting by businesses, systematically and regularly review each reporting requirement and carefully consider what basic information about the business the authority needs for its processing and whether the business operator really needs to report this information.
Under the Personal Data Act (1998:204) and/or applicable legislation on registers, many authorities are not permitted to process all the information about a business that is contained in the General Business Register. The basic information about businesses that is passed on via the Service Centre must therefore be adjusted so that it may be processed by the receiving authority.
Reporting requirement register
A reporting requirement register has a crucial role to play in creating the conditions for coordination and information exchange between authorities and providing access to reliable statistics on reporting by businesses.
In addition, the reporting requirement register is a key component of the Service Centre. When the authorities take stock of their reporting requirements, for each of the requirements they will have to decide what basic information, passed on by the Service Centre, is necessary for the processing of the case in question.
Reporting requirements are statutory requirements on businesses to submit information to government authorities. Reporting requirements are specified in detail in acts, ordinances or authority regulations. A reporting requirement may necessitate the submission of several different types of information. Reporting can be required at regular intervals or following a certain event.
The terms ‘business’ and ‘business operator’ refer to natural or legal persons who run business operations in Sweden. The terms also
22
include natural or legal persons who intend to run business operations, dormant businesses and businesses and business operators that are in the process of winding up business operations.
The authority to which the business is required to report must notify the authority responsible for the register of reporting requirements (i.e. the business data authority proposed by the Inquiry) and describe the reporting requirement.
The business data authority responsible for the register of reporting requirements may issue detailed regulations on the information to be submitted.
There should be no restrictions on the right to gather information from businesses in the case of a failure to notify the register of a reporting requirement or incomplete notification. The business data authority should not have the power to decide that an authority is to refrain from gathering information from businesses or to decide on requirements for sharing of information between authorities.
If businesses submit the same or similar information to several authorities and the authorities do not take any joint measures to facilitate or limit reporting by businesses, the business data authority may request that the authorities cooperate. The business data authority will have no power to force the authorities to take specific measures. However, authorities receiving such a request will be required to give an account of the measures taken as a result of the request.
The information in the reporting requirement register can be used in the Service Centre to show which reporting requirements apply to businesses in a certain sector. To-do lists tailored to individual businesses will give businesses a much better overview of the reporting requirements an individual business must meet. The authorities would also benefit from to-do lists if more businesses then meet their reporting requirements in time. In order to create to-do lists and enable the creation of accurate lists for individual businesses, it will be necessary, in future, to find out whether the authorities know which businesses are to meet a certain reporting requirement.
Chapter 9 describes the Inquiry’s overall objectives. The Inquiry has also developed a prototype based on the overall objectives. This prototype is described in Chapter 10.
23
Legal issues
The Service Centre brings many different legal issues to the fore. The regulations that primarily warrant attention in this context are the Freedom of the Press Act, the Public Access to Information and Secrecy Act (2009:400), the Personal Data Act (1998:204) and special register statutes, and the Archives Act (1990:782).
In addition to the customary review of current law, the legal analysis is based on the guidance on operational development issued by the eGovernment Delegation in June 2013. The purpose of this guidance document is to describe and explain the key legal issues in the area, present certain types of technical solutions (IT architecture) and finally bring together legal and technical dimensions in a lawful and appropriate manner.
The guidance document defines a number of core concepts for eGovernment, with IT services as a base. Our Service Centre proposal follows the conceptual structure of the guidance document, featuring basic services, case services and presentation services. However, the IT services that make up the Service Centre will not lead to the initiation of cases or the completion of reporting; these will take place, as now, at the relevant authority. Therefore, in our proposed infrastructure slightly different requirements are placed on the construction of services, compared with the services that the eGovernment Delegation’s guidance primarily has in mind.
The IT services that make up the Service Centre do not include a ‘personal space’, which is a prerequisite for the services described in the guidance document. The personal space described in the guidance document is based on the exception in Chapter 2, Art. 10, first paragraph of the Freedom of the Press Act, which states that a document held by a public authority solely for the purpose of technical processing or technical storage on behalf of another is not deemed to be an official document held by that authority.
A fundamental assumption for the Inquiry was that the proposed infrastructure should not make it possible to chart users’ contacts with authorities more extensively than is now the case. If businesses feel that they are being monitored in a negative way when they use the Service Centre, there is a risk that use will decline and the positive effects for both businesses and authorities will be lost.
Before the final technical solution for the Service Center and the initial survey of the specific reporting requirements to be included in the to-do list have been carried out, it is difficult to more precisely
24
consider the issue of secrecy. Thus, we do not present a proposal in this regard.
Although the business data authority will process personal data, it is possible to reconcile the authority’s processing of personal data with requirements concerning protection against violation of privacy. It is proposed that the Business data authority will only be permitted to process personal data to the extent required to run the Service Centre. The Business data authority has no need to process sensitive personal data. In the technical design of the Service Centre, great emphasis should be placed on the authority not gathering or otherwise processing sensitive personal data.
Organisation, financing and economic impact
A new authority should be established – the Business data authority – with the overall task of acting to achieve the Government’s objective of reducing and simplifying reporting for businesses.
The Business data authority will facilitate reporting by businesses through consultation and supervision.
The Business data authority will be responsible for the reporting requirement register and the Service Centre.
The Business data authority will be linked to a council of representatives (appointed by the Government) of large and small authorities as well as the business sector, focusing on the best interests of businesses.
The Service Centre will be financed by fees from connected authorities. The Business data authority’s other activities will have to be financed through reallocations within the central government budget.
The Business data authority’s overheads are expected to be between SEK 10 million and SEK 20 million annually. The investment costs for the proposed infrastructure are expected to amount to between SEK 31 million and SEK 39 million. The annual overheads for the technical part of the infrastructure are expected to amount to between SEK 21 million and SEK 25 million. Investment costs and overheads are estimated on the assumption that the business data authority invests in a new physical and organisational operational environment for the system. On the other hand, if the system is set up in an existing operational environment at another
25
authority, both investment costs and overheads can be expected to be lower.
The work the authorities will have to put in initially to identify information requirements and keep them up-to-date is relatively limited in relation to subsequent work to actively reduce and simplify reporting by businesses. The increased cost of information management incurred by authorities as part of distributing or receiving information from other authorities has previously been estimated at between SEK 2 million and SEK 6 million per year. The authorities’ work on identifying information requirements, adapting their IT systems to the Service Centre and performing other work to coordinate information requirements, must be managed within the framework of their appropriations.
Estimates of the benefit of the proposals are subject to considerable uncertainty. However all previous economic assessments indicate that creating a reporting requirement register and making active efforts to coordinate information requirements so as to reduce and simplify reporting by businesses will benefit the economy.
The costs will be borne exclusively by the State while businesses will see the benefits.
27
1. Författningsförslag
Förslag till förordning ( 2013:000 ) om företagens uppgiftslämnande
Härigenom föreskrivs följande.
Inledande bestämmelser
1 § Denna förordning gäller för myndigheter under regeringen.
2 § Denna förordning syftar till att minska och förenkla företagens uppgiftslämnande till myndigheterna.
Förordningens innehåll
3 § I denna förordning finns bestämmelser om
1. ett register över uppgiftskrav (5–8 §§),
2. arbetet med samordning av uppgiftskrav m.m. (9–11 §§),
3. en elektronisk servicetjänst för företagens uppgiftslämnande (12–16 §§), och
4. behandling av personuppgifter inom ramen för servicetjänsten (17–21 §§)
Definitioner
4 § I denna förordning avses med
företag: fysisk eller juridisk person som bedriver eller avser att be-
driva näringsverksamhet i Sverige,
28
uppgiftskrav: en skyldighet enligt lag eller annan föreskrift för före-
tag att lämna uppgifter till en myndighet med viss regelbundenhet, efter att en viss händelse inträffat eller vid en ansökan eller liknande,
grundläggande uppgifter: uppgifter om ett företag som regelmässigt
eller ofta efterfrågas av myndigheterna när ett uppgiftskrav ska fullgöras och som kan hanteras inom ramen för servicetjänsten.
Register över uppgiftskrav
5 § Det ska finnas ett register över gällande uppgiftskrav (Uppgiftskravsregistret). Registret ska föras av Företagsdatamyndigheten.
Uppgiftskravsregistrets innehåll
6 § Uppgiftskravsregistret ska för varje uppgiftskrav innehålla uppgifter om
1. författningsstöd
2. vilka verksamheter som avses
3. grundläggande uppgifter som företaget lämnar när uppgiftskravet ska fullgöras
4. andra uppgifter än grundläggande uppgifter som företaget lämnar när uppgiftskravet ska fullgöras
5. de olika tillvägagångssätt som företagen kan använda för att fullgöra uppgiftskravet
6. uppskattad belastning för företagen att fullgöra uppgiftskravet. Företagsdatamyndigheten får meddela närmare föreskrifter om vilken information som ska ingå i registret.
Tillgång till uppgiftskravsregistret
7 § Registret över uppgiftskrav ska hållas tillgängligt elektroniskt för var och en samt kunna vidareutnyttjas.
Anmälan och redovisning av uppgiftskrav
8 § När ett uppgiftskrav införs, ändras eller upphör att gälla ska den myndighet till vilken företagen ska lämna uppgifter anmäla förändringen till Företagsdatamyndigheten och även ändra i registret över uppgiftskrav.
29
När informationen som avses i 6 § ändras ska den myndighet till vilken företagen ska lämna uppgifter anmäla förändringen till Företagsdatamyndigheten och ändra i registret över uppgiftskrav.
Samordning av uppgiftskrav, m.m.
En skyldighet att förenkla uppgiftskrav
9 § Myndigheter ska utforma sina uppgiftskrav och administrativa rutiner kring uppgiftskraven så att företagens uppgiftslämnande minskas och förenklas.
Uppmaning att samverka
10 § Om Företagsdatamyndigheten finner att företag lämnar samma eller likande uppgift till flera myndigheter får Företagsdatamyndigheten uppmana myndigheterna att samverka för att underlätta eller begränsa företagens uppgiftslämnande.
De myndigheter till vilken uppmaningen riktas ska redovisa vilka åtgärder som vidtagits i anledning av uppmaningen för att underlätta eller begränsa företagens uppgiftslämnande. Har inga åtgärder vidtagits ska skälen för detta anges.
Servicetjänst
11 § Det ska finnas en säker servicetjänst för företagens uppgiftslämnande.
Servicetjänsten ska tillhandahållas av Företagsdatamyndigheten. Till servicetjänsten ska myndigheters e-tjänster där företagen kan fullgöra ett eller flera uppgiftskrav anslutas.
12 § Servicetjänsten ska visa de uppgiftskrav som företaget ska eller kan fullgöra samt visa företagets grundläggande uppgifter.
13 § Servicetjänsten ska överlämna företagets grundläggande uppgifter till anslutna e-tjänster när dessa besöks via servicetjänsten.
30
14 § De myndigheter som anges i bilagan ska när de har kännedom om att ett företag (eller en grupp av företag) är skyldiga att fullgöra ett uppgiftskrav som anges i bilagan meddela Företagsdatamyndigheten vilket företag och uppgiftskrav som avses samt när kravet ska fullgöras.
Myndigheterna ska meddela Företagsdatamyndigheten när ett företag fullgjort ett uppgiftskrav som avses i första stycket.
15 § Företagsdatamyndigheten får meddela föreskrifter för inrättande och förvaltning av servicetjänsten.
Behandling av personuppgifter inom servicetjänsten m.m.
16 §Personuppgiftslagen (1998:204) gäller vid behandling av personuppgifter inom ramen för servicetjänsten om inte annat följer av denna förordning.
17 § Företagsdatamyndigheten är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför inom ramen för servicetjänsten.
18 § Företagsdatamyndigheten får behandla personuppgifter i den utsträckning som krävs för att föra en förteckning över enskilda personer som besökt servicetjänsten och de individuella anpassningar av servicetjänsten som denna gjort. Av förteckningen får vidare framgå vilka företag den enskilda personen företräder.
Företagsdatamyndigheten får behandla personuppgifter i den utsträckning som krävs för att överlämna grundläggande uppgifter från servicetjänsten till ansluten e-tjänst.
Företagsdatamyndigheten får behandla personuppgifter i den utsträckning som krävs för att visa den enskilde de uppgiftskrav som avses i 14 §.
19 § Personuppgifter som behandlats för de ändamål som anges i 18 § får också behandlas för att fullgöra uppgiftsutlämnande som sker i överensstämmelse med lag eller förordning. I övrigt gäller 9 § första stycket d och andra stycket personuppgiftslagen (1998:204).
31
20 § Bestämmelserna i personuppgiftslagen (1998:204) om rättelse och skadestånd gäller för behandling av personuppgifter enligt denna förordning.
Gallring
21 § Uppgifter om enskilda personer som besökt servicetjänsten ska gallras senast fem år efter att denna senast besökte servicetjänsten.
Sammanställningar av grundläggande uppgifter som upprättats när den enskilde besöker servicetjänsten ska gallras omedelbart efter besöket.
Uppgifter om att ett företag är skyldigt att fullgöra ett uppgiftskrav ska gallras senast ett år efter det att uppgiftskravet skulle ha fullgjorts.
Uppgifter om att ett företag fullgjort ett uppgiftskrav som avses i tredje stycket ska gallras senast sex månader efter det att Företagsdatamyndigheten mottog uppgiften.
Ikraftträdande- och övergångsbestämmelser
Denna förordning träder i kraft den 1 januari 2015.
Bilaga (exempel)
Myndighet Anmälan om att företaget ska eller har lämnat uppgifter enligt
Statistiska centralbyrån 7–9 och 12–13 §§ lagen (2001:99) om den officiella statistiken Skatteverket 10 kap. Skattebetalningslagen
33
2. Vårt uppdrag och arbete
2.1. Utredningens uppdrag
Utredningens uppdrag (dir 2012:35) är att presentera ett förslag som innebär att uppgifter som lämnas från företagen till statliga myndigheter som regel endast ska behöva lämnas en gång och till ett ställe. De uppgifter som avses är sådana där själva uppgiftslämnandet har sin grund i lag, förordning eller myndighetsföreskrift. I uppdraget ingår att redovisa bland annat de rättsliga och tekniska förutsättningarna för att skapa ett system där uppgifter kan användas av flera myndigheter och leda till ett informationsutbyte mellan myndigheterna. Bolagsverkets rapport Minskat uppgiftslämnande (AD 62-1047/2008) om hur företagens uppgiftslämnande till statliga myndigheter skulle kunna minska ska ligga till grund för arbetet.
Utredarens uppgift är att
- lämna förslag på hur samordning, samråd, referensregister, informationsutbyte och tillgång till statistik kan organiseras,
- lämna förslag på hur ett system för effektivt informationsutbyte mellan myndigheter faktiskt och tekniskt kan utformas,
- analysera och samordna de uppgifter som företagen lämnar in till statliga myndigheter och som kommer att omfattas av den kartläggning som tretton myndigheter utför enligt ett uppdrag som regeringen lämnade den 20 oktober 2011 (N2011/5884/ENT) och som förlängts den 24 maj 2012 (N2012/311/ENT),
- analysera de sekretessfrågor som uppkommer i samband med de av utredaren lämnade förslagen och föreslå de författningsändringar som bedöms nödvändiga,
- analysera de integritetsfrågor som uppstår vid behandling av personuppgifter och föreslå de författningsändringar som bedöms nödvändiga,
34
- redovisa vilka samordningsvinster för myndigheter som samordningsfunktionens verksamhet kan ge,
- redovisa minskningen av de administrativa kostnaderna för företagen och budgetkonsekvenser för myndigheterna, samt
- ta fram indikatorer för att mäta företagens och myndigheternas minskade kostnader och nyttan med förslaget samt indikatorer för att mäta om företagens irritation över att lämna uppgifter minskar.
2.2. Utredningens arbete
Utredningens arbete har omfattat i huvudsak följande.
Utredningens expertgrupp har sammanträtt sammanlagt elva gånger. Två av dessa tillfällen har varit internatsammanträden. I samband med dessa möten har ett flertal interna PM utarbetats, avseende bland annat it-arkitektoniska modeller, standardisering, ordlista, infrastruktur för företagens uppgiftslämnande, samt juridisk analys av de tänkta användningsfallen för den lösning som utredningen föreslår.
Utredningen har samrått med Bolagsverket, E-delegationen, Informationshanteringsutredningen (Ju 2011:11), PSI-utredningen (S 2013:01), SIS (Swedish Standards Institutet) och Statistiska centralbyrån. Utöver detta har samråd med Skatteverket, Tillväxtverket och andra myndigheter skett genom utredningens expertgrupp, samt informationsutbyte med bl.a. Jordbruksverket och Skogsstyrelsen genom en enkät i mars 2013 (se vidare nedan).
Utredaren har ingått i E-delegationens expertgrupp och bland annat varit delaktig i att ta fram den juridiska vägledning för verksamhetsutveckling som E-delegationen publicerade den 8 juli 2013. Utredaren är eller har även varit förordnad som expert i Statistikutredningen 2012 (Fi 2011:05), Informationshanteringsutredningen samt Utredningen om förutsättningar för registerbaserad forskning (U 2013:01).
En särskild hearing har hållits med representanter för näringslivet i samarbete med Näringslivets Regelnämnd (NNR).
Utredningen har deltagit i och presenterat pågående arbete för den grupp av myndigheter som utfört ett kartläggningsarbete kring myndigheternas uppgiftslämnande enligt regeringsuppdrag (N2011/5884/ENT).
Vid två tillfällen har utredningen gjort studiebesök i Norge, dels hos myndigheten Brønnøysundregistrene, dels vid forskningsinsti-
35
tutet Senter for Rettsinformatikk (SERI) vid Oslo universitet och hos företrädare för norska samhandlingsarenan Semicolon. Syftet med studiebesöken har varit att få insikt i hur man i ett land med närliggande förvaltningskultur har löst och löpande arbetar med motsvarande problem.
Konsultationer har skett med Setterwalls Advokatbyrå om juridiska aspekter avseende den moderna e-förvaltningen. Setterwalls har även utarbetat en promemoria, ”Egna utrymmen inom eförvaltningen” som återfinns som bilaga i detta betänkande.
Capgemeni har tillsammans med utredningen gjort en kravanalys och utredning kring investerings- och driftskostnader för det tänkta it-stödet. Detta har även resulterat i ett tjugotal specificerade användningsfall för det föreslagna it-stödet, vilka har använts i det efterföljande arbetet. Rapporten återfinns som bilaga i detta betänkande
Utredningen har i oktober 2012 lämnat yttrande över remissen En gemensam inlämningsfunktion för skogsägare (Ds 2012:29).
Statskontoret har samarbetat med utredningen genom att stabsbiträdet Michael Borchers har arbetat tillsammans med utredningen under slutet av 2012 och i samband med detta tagit fram underlag för organisation samt kostnader för en samordningsorganisation.
Den 4 mars 2013 överlämnade utredningen en delredovisning som innehöll ett utkast till förslag till infrastruktur och samordning för att minska och förenkla företagens uppgiftslämnande, samt ett förslag till finansiering av detta. Denna delredovisning remissbehandlades av Regeringskansliet, Näringsdepartementet, och remissvar inkom från 34 myndigheter samt Näringslivets regelnämnd.
För att skapa en bättre bild av myndigheternas möjlighet att hantera den samling av uppgifter om enskilda företag och arbetsställen som finns i det allmänna företagsregistret har utredningen i en enkät i mars 2013 bjudit in 16 myndigheter att lämna synpunkter på detta.
Här kan även nämnas att utredaren i juli 2013 deltagit i en workshop i Bryssel på temat ”Study on eGovernment and the Reduction of Administrative Burden” inom ramen för EU:s ”eGovernment Action Plan”.
Ida Infront har tillsammans med utredningen under sommaren 2013 utvecklat en prototyp av ett system för uppgiftslämnande, samt även deltagit i konsultation angående preciserade investerings- och driftskostnader utifrån detta prototyparbete. Prototypen redovisas i kapitel 10, och de preciserade investerings- och driftskostnaderna i bilaga 3.
36
2.3. Använda begrepp och termer
Under utredningens arbete har behovet av att definiera begrepp med lämpliga termer varit stort. Utredningen har haft att utgå från begreppsanvändning i anknytande utredningar och projekt, men har ibland varit tvungen att precisera begreppen eller införa nya termer. Nedanstående är en sammanställning över dessa begrepp, sorterad i bokstavsordning på de termer som utredningen använt i det följande.
Avisering: I allmänhet överförande av ett meddelande från en part
till en annan. I mer specifik betydelse i detta betänkande, när en uppgiftsinsamlande myndighet skickar meddelande till servicetjänsten att ett visst företag antingen är skyldigt att uppfylla ett visst uppgiftskrav, eller att uppgifterna enligt kravet har lämnats. Processen berörs i 15 § i den föreslagna förordningen.
Belastning (för företag): Den mängd arbete ett företag lägger ned
på att uppfylla uppgiftskrav. Begreppet används i 6 § 6 p. i den föreslagna förordningen.
Eget utrymme: Ett förvar för information hos myndighet som myn-
digheten tillhandahåller endast som led i teknisk bearbetning eller teknisk lagring för annans räkning. Se bilaga 2.
Företagsdatamyndigheten: Den nya myndighet som utredningen
föreslår ska bildas med uppdrag att samordna uppgiftslämnande från företag till statliga myndigheter.
Företagsinitierat uppgiftskrav: Ett sådant uppgiftskrav som ett före-
tag tar initiativet till att inleda ett förfarande kring. Det rör sig vanligen om ansökningar, anmälningar om att företaget har utfört eller planerar en viss åtgärd, och liknande.
Grundläggande uppgifter: Uttrycket har en definition i 4 § i den
föreslagna förordningen.
Myndighetsinitierat uppgiftskrav: Ett sådant uppgiftskrav som
initieras av en myndighet. Det rör sig vanligen om kalenderbundna tidpunkter då vissa uppgifter ska rapporteras in till myndigheten, med skattedeklaration som ett typexempel. Myndigheten ska skicka en avisering till servicetjänsten inför att tidpunkten infaller.
Register över grundläggande uppgifter: Med detta avses i betänk-
andet i huvudsak det allmänna företagsregister som drivs av SCB med stöd av Förordning (1984:692) om det allmänna företagsregistret.
37
Se dock avsnitt 6.4, under för alternativa metoder att lösa behovet av ett register över grundläggande företagsuppgifter.
Samma eller liknande uppgift: En uppgift vars semantiska betyd-
else är identisk med, eller tillräckligt lik, en annan uppgift för att uppgifterna ska kunna användas för samma ändamål. Två uppgifter är inte nödvändigtvis samma bara för att samma beteckning eller term används för dem. Exempelvis kan uppgiften ”antal anställda” ha olika semantisk betydelse i olika sammanhang, beroende på om man avser antalet fysiska personer som har en viss arbetsgivare, eller antalet årsarbetskrafter inom en viss näringsverksamhet.
Servicetjänst (elektronisk): En webbaserad tjänst som utgör en sam-
lad ingång för företag att se och ändra grundläggande företagsuppgifter samt slussas vidare till relevanta myndighets-e-tjänster. (Se avsnitt 8.3, samt 12–15 §§ i den föreslagna förordningen.)
System-till-system: Kommunikation mellan två eller flera dator-
system som sker elektroniskt och automatiserat i syfte att utföra någon form av ärendehandläggning eller annan uppgift. Det kan vara fråga om att ett system hämtar uppgifter från ett annat, eller att ett system anropar ett annat med information för att inleda någon verksamhetsprocess.
Uppgiftsdefinitionsregister: Ett register över definitioner av enskilda
företagsuppgifter som bedöms ha möjlighet att återanvändas av fler än en enskild myndighet, och som Företagsdatamyndigheten har i uppdrag att underhålla. Se även Samma eller liknande uppgift. Registret kan även vara en del av Uppgiftskravsregistret
Uppgiftskravsregister: Det register över uppgiftskrav som myndig-
heterna, med stöd av Företagsdatamyndigheten, ska vara skyldiga att föra. Registret beskrivs i 5–6 §§ i den föreslagna förordningen.
Uppgiftskrav: Ett författningsbaserat krav på företag att lämna
uppgifter till någon statlig myndighet. Uttrycket har en definition i 4 § i den föreslagna förordningen.
39
3. Tidigare utredningar och pågående arbeten om företagens uppgiftslämnande
Det har under åren förekommit ett antal insatser inom området för regelförenkling som bland annat syftat till att minska företagens uppgiftslämnande.1 Det leder dock för långt att redovisa alla dessa initiativ och arbeten i detta sammanhang. Bolagsverket har i sin rapport Förslag till minskat uppgiftslämnande för företag gjort en översiktlig redovisning av dessa utredningar m.m. Nedan berörs dock kortfattat Patent- och Registreringsverkets Förslag till ett samordnat uppgiftskravsregister för företagsdata från år 2000 samt mer utförligt för Bolagsverket rapport Förslag till minskat uppgiftslämnande för företag från år 2009.
3.1. Förslag till ett samordnat uppgiftskravsregister för företagsdata
Regeringen gav år 1999 Patent- och registreringsverket i uppdrag att ta fram ett beslutsunderlag för att kunna bedöma om ett samordnat uppgiftskravsregister skulle införas. Statskontoret gavs i samma uppdrag i uppgift att dels kartlägga och i samarbete med Patent- och registreringsverket analysera samtliga författningsreglerade krav på uppgiftslämnande till myndigheter, dels analysera och ge förslag på hur finansieringen av ett samordnat uppgiftskravsregister skulle kunna lösas. Statskontoret fick dessutom i uppgift att göra en samhällsekonomisk bedömning av införandet och driften av ett samordnat uppgiftskravsregister.
1 Se bland annat Företagens uppgiftslämnande (SOU 1976:12) och Samverkan vid uppgiftslämnande (SOU 1981:58) och från senare tid kan nämnas En gemensam inlämningsfunktion för skogsägare (Ds 2012:29).
40
I rapporten Förslag till ett samordnat uppgiftskravsregister för företagsdata (AD 15-4324/98, PRV 2000) föreslogs att ett uppgiftskravsregister skulle skapas och att Patent- och registreringsverket skulle utses till ansvarig myndighet. Enligt rapporten skulle registret och organisationen runt detta ge förutsättningar för att på ett aktivt och strukturerat sätt arbeta med att minska uppgiftsbördan för näringslivet.
I rapporten angav man att Patent- och registreringsverket skulle få följande fem huvudfunktioner som ansvarig för ett uppgiftskravsregister:
- Tillse att allt fler uppgiftskrav kan fullgöras genom samordning mellan myndigheterna.
- Samrådspart i samband med regeländringar som rör uppgiftskrav.
- Arbeta med att definiera enhetliga termer och begrepp (härigenom gynnas såväl företag som statsförvaltning).
- Tillhandahålla information om befintliga uppgiftskrav.
- Tillhandahålla statistik om den belastning uppgiftskraven innebär för företagen.
Regeringen beslutade, utan närmare motivering, i december 2000 att det inte var aktuellt att utforma ett register i enlighet med rapportens förslag (N2001/11375/NL).
3.2. Bolagsverkets Förslag till minskat uppgiftslämnande för företag
Regeringen gav i oktober 2008 Bolagsverket i uppdrag att utarbeta ett förslag till att minska företagens uppgiftslämnande till statliga myndigheter. Uppdraget redovisades av Bolagsverket i april 2009 genom rapporten Förslag till minskat uppgiftslämnande för företag. Denna rapport ska enligt direktiven ligga till grund för förevarande utrednings arbete.
Bolagsverket föreslår i sin rapport att ett samordningsorgan snarast inrättas för att skapa vissa grundläggande förutsättningar för att målet om lättnader i näringslivets administrativa börda ska kunna uppnås genom återanvändning av uppgifter och samordning av myndigheters uppgiftskrav. Med samordningsorgan förstås i rapporten
41
en organisatorisk enhet, benämnd Uppgiftskravsinspektionen, med föreslagen uppgift att besluta om åtgärder som innebär att företagens uppgiftslämnande förenklas och begränsas bland annat genom återanvändning av redan insamlad information. Till stöd för detta arbete ska enligt Bolagsverkets förslag föras ett referensregister över näringslivets uppgiftslämnande innehållande s.k. referensinformation om myndigheternas befintliga uppgiftskrav och den information som myndigheterna därmed samlar in.
Genom inrättandet av en Uppgiftskravsinspektion etableras enligt detta resonemang en organisation och en struktur som medför att uppgiftslämnarbördan för näringslivet gentemot statliga myndigheter kan behandlas, och därmed sannolikt reduceras, på ett koordinerat, strukturerat och enhetligt sätt. En Uppgiftskravsinspektions verksamhet skulle omfatta förpliktelser som följer av lag eller förordning för företag att lämna uppgifter till myndigheter under regeringen förutsatt att uppgifterna ska lämnas i strukturerad form och med viss regelbundenhet eller efter det att en viss åtgärd har vidtagits eller viss händelse inträffat. Detta innebär att även sådant uppgiftslämnande inkluderas som är konsekvensen av en i sig frivillig handling, exempelvis ansökan om visst tillstånd eller bidrag, där det för myndighetens behandling av ärendet stadgas att vissa uppgifter ska lämnas.
Bolagsverket föreslår i sin rapport att Uppgiftskravsinspektionen skulle fullgöra följande fem funktioner: samråd, samordning, definitionsfunktion (genom ett ”referensregister”) information och statistik (se vidare nedan). De två förstnämnda funktionerna skulle utgöra Uppgiftskravsinspektionens kärnverksamhet. Bolagsverkets föreslår vidare att ansvaret för Uppgiftskravsinspektionen skulle läggas hos en befintlig myndighet. Därigenom skulle organisationen med största sannolikhet kunna byggas upp på en kortare tid. Uppgiftskravsinspektionen skulle ges en oberoende ställning med en egen beslutsfunktion även om den rent organisatoriskt skulle höra till en redan befintlig myndighet.
3.2.1. Bolagsverkets förslag om samråd
Enligt Bolagsverkets förslag skulle Uppgiftskravsinspektionen ges rollen av samrådsinstans i samband med att man inför nya uppgiftskrav som riktar sig mot näringslivet. Samrådet skulle avse utformningen av det aktuella uppgiftskravet, behovet av att informationen
42
samlas in från näringsidkarna i stället för att redan insamlade uppgifter används, tidpunkten och sättet för uppgiftsinsamlandet m.m. Samrådet skulle vara ett led i lagstiftningsprocessen.
3.2.2. Bolagsverkets förslag om samordning
Bolagsverket framhåller i sin rapport att införandet av en Uppgiftskravsinspektion skulle möjliggöra samordning av de författningsreglerade uppgiftskrav som myndigheter riktar mot företagare. Myndigheter som vill införa ett nytt uppgiftskrav, ändra eller ta bort ett befintligt uppgiftskrav, skulle vara skyldiga att anmäla detta till Uppgiftskravsinspektionen för registrering och beslut. Det skulle även utföras en kontroll av om de efterfrågade uppgifterna redan samlas in och lagras av någon annan statlig myndighet. Om detta är fallet och uppgifterna är att betrakta som ”identiska”, användbara och tillgängliga och praktiska skäl inte lägger hinder i vägen, skulle den aktuella myndigheten, efter beslut av Uppgiftskravsinspektionen, vara skyldig att använda dessa uppgifter. Först om de efterfrågade uppgifterna inte finns att hämta från någon annan myndighet skulle de få samlas in från näringsidkaren.
När det gäller informationsöverföringen mellan myndigheter förespråkar Bolagsverket i rapporten att befintliga och redan överenskomna kontaktytor och leveransrutiner etc. så långt möjligt skulle användas även för informationsöverföring. Resonemanget bygger på att dessa processer måste utgå från berörda myndigheters egen sakkunskap. Uppgiftskravsinspektionen skulle således inte styra detta i någon större omfattning utan överlåta den detaljreglering som fordras till berörda myndigheter. Inspektionens roll skulle i denna del endast bli att initiera processer genom ett beslut om samordning samt genom att se till att myndigheterna i samverkan upprättar en handlingsplan för detta informationsutbyte som kan accepteras av vederbörande myndigheter.
3.2.3. Bolagsverkets förslag om definitionsfunktionen (referensregister)
En avgörande förutsättning för att Uppgiftskravsinspektionens huvudfunktioner alls skulle kunna nyttjas är enligt Bolagsverket att de olika uppgiftskraven får en så god och enhetlig beskrivning som
43
möjligt. Preciseringen är viktig för värderingen av vad som för återanvändningen av information får anses utgöra det fundamentala rekvisitet ”samma uppgift” och sålunda bilda underlaget för bedömningen om det är möjligt att samordna två eller fler myndigheters uppgiftsinsamlande. Det s.k. referensregistret skulle endast innehålla referensinformation om uppgiftskraven och uppgifterna. Detta skulle exempelvis kunna omfatta uppgiftskravets formella beteckning och dess definition, dess författningsstöd, vilka specifika uppgifter som efterfrågas, vilken myndighet som är mottagare av uppgiften, när insamling sker och i vilket format uppgiften finns lagrad.
3.2.4. Bolagsverkets förslag om information
Den fjärde funktionen i Bolagsverkets förslag avser Uppgiftskravsinspektionens tänkta roll som extern informationsbank. Referensregistret skulle som tidigare nämnt innehålla så komplett information som möjligt över vilka författningsreglerade uppgiftskrav som finns för varje typ av företag, var dessa krav finns definierade, vilka olika händelser som utlöser uppgiftskrav samt vilken myndighet som har huvudansvaret för respektive uppgiftskrav. Genom denna registrering får staten en god kontroll över befintliga uppgiftskrav. Det skulle även bli möjligt att publikt erbjuda information om gällande uppgiftsskyldigheter. En näringsidkare som exempelvis vill ansöka om bidrag eller tillstånd kan genom registret enkelt finna information om vart denne då bör vända sig, vilken blankett eller e-tjänst som kan användas och vilken information som kommer att efterfrågas i det aktuella fallet.
3.2.5. Bolagsverkets förslag om statistik
När det gäller statistik skulle en Uppgiftskravsinspektion enligt Bolagsverket primärt ha i uppgift att kunna tillhandahålla statistik som underlag för verksamhetens samtliga funktioner. Därutöver skulle det vara möjligt att genomföra fortlöpande kontroller över vilken belastning uppgiftskraven innebär för näringslivet dvs. hur mycket tid, och därmed förenade kostnader, som företagare lägger ner på uppgiftslämnandet samt hur detta förändras över tiden. Målen med inspektionens verksamhet skulle således kunna mätas och följas upp på ett enkelt sätt.
44
3.3. Uppdrag att genomföra insatser för att möjliggöra ett framtida förenklat och minskat uppgiftslämnande
Den 20 oktober 2011 gav regeringen 13 myndigheter i uppdrag att genomföra insatser för att möjliggöra ett framtida förenklat och minskat uppgiftslämnande. Bolagsverket fick i uppdrag att koordinera och leda arbetet samt att sammanställa uppgiftskraven i ett register. Registret ska vara utformat för att möjliggöra att ett eventuellt framtida elektroniskt uppgiftslämnande kan ske mot ett gränssnitt som är gemensamt för alla statliga myndigheter. Ytterligare en myndighet har anslutit sig till arbetet. Under våren 2012 genomförde dessa myndigheter under Bolagsverkets ledning en kartläggning av näringsidkares uppgiftslämningar och sammanställde dessa i ett register. Resultatet av kartläggningen delredovisades genom en lägesrapport den 19 juni 2012. Rapporten redovisas översiktligt nedan. Ytterligare en delredovisning över myndigheternas arbete har lämnats den 1 mars 2013. Datum för slutredovisning av uppdraget satte regeringen till senast den 29 november 2013.
45
4. Förvaltningspolitik, it-politik, strategier och initiativ
4.1. Förvaltningspolitiskt reformarbete
Regeringen bedriver ett omfattande förvaltningspolitiskt reformarbete som bland annat syftar till att effektivisera förvaltningen och förenkla mötet med medborgare och företag genom elektronisk förvaltning (prop. 2009/10:175 s. 25).
I januari 2008 fastställde regeringen en handlingsplan för elektronisk förvaltning (Fi2008/491). I handlingsplanen anges som övergripande mål för e-förvaltningen att det ska vara så enkelt som möjligt för så många som möjligt att fullgöra sina skyldigheter samt att ta del av förvaltningens service. Detta övergripande mål ska uppnås med hjälp av insatser inom fyra olika områden. Ett av de insatsområden som identifieras i handlingsplanen är regelverk för myndighetsövergripande samverkan och informationshantering.
I april 2012 fastställde regeringen programmet En statsförvaltning i förnyelse (S2012.004). Programmet konkretiserar regeringens förvaltningspolitiska mål och inriktning och kommunicerar detta till statsförvaltningen. Programmet ska vara ett stöd i myndigheternas eget arbete med att utveckla sina verksamheter och organisationer. Programmet lyfter fram åtta områden där myndigheternas arbete är mest relevant för att uppnå de mål riksdagen antagit i ovan nämnda proposition (prop. 2009/10:175) för det fortsatta arbetet med att utveckla den statliga förvaltningen. Två av de områden som lyfts fram är av särskilt intresse i arbetet med att minska och förenkla företagens uppgiftslämnande.
Första området: Hitta innovativa lösningar och förstärka kvalitetsarbetet. Myndigheternas kontinuerliga arbete med att utveckla verksamheten utifrån medborgarnas och företagens behov är avgörande för att uppnå ökad kvalitet och produktivitet i statsförvaltningen. Många myndigheter arbetar systematiskt med att utveckla
46
sin verksamhet. Det är bra och är något som behöver omfatta ännu fler myndigheter. Det är samtidigt inte tillräckligt utifrån medborgarnas och det omgivande samhällets perspektiv att respektive myndighet utvecklar kvalitet bara inom ramen för den egna verksamheten. För att hitta nya sätt att organisera produktionen av offentliga tjänster behövs samverkan med andra.
Andra området: Öka myndigheternas samarbete och samordning. Statsförvaltningens åtagande är brett och skiftande. För att förvaltningen ska kunna svara upp till omvärldens krav på högre kunskapsnivåer och produktivitet krävs en långtgående specialisering och arbetsfördelning. Samtidigt ställer flera av samhällets utmaningar krav på helhetsperspektiv både i beslutsfattandet och vid kontakter med medborgare, företag och kommuner. Det kan handla om att myndigheter deltar i olika skeden av en process där deras gemensamma insatser bidrar till att uppnå målen. En förutsättning för att balansera båda dessa behov är ett väl fungerade samarbete inom den statliga förvaltningen. Genom ett effektivt informationsutbyte förbättras servicen för medborgare och företag. Redan i dag ger lagar och teknik många möjligheter för myndigheter att elektroniskt utbyta information, men myndigheterna kan utnyttja dem bättre och ytterligare möjligheter kan behöva ges. Samtidigt är det viktigt att detta sker på ett sätt så att integritetsaspekterna även fortsatt är viktiga faktorer i myndigheternas arbete.
4.2. E-förvaltningsstrategi
I december 2012 beslutades Regeringens strategi för en digitalt samverkande statsförvaltning (N2012:27), Med medborgaren i centrum. I strategin beskrivs regeringens målsättningar för arbetet med att förstärka myndigheternas förmåga att samverka digitalt i förvaltningsgemensamma it-frågor.
Fler förvaltningsgemensamma digitala tjänster ska bidra till att förenkla vardagen för privatpersoner och företag. Tjänsterna ska utformas efter användarnas behov, vara enkla och säkra att använda, samt vara lätta för medborgare att hitta. Genom att göra det lättare att hitta och använda sådan statlig information som kan vidareutnyttjas och sådana statliga tjänster som har gränssnitt som kan användas av andra system ska innovation stödjas. Publicering av offentlig information via internet och användning av sociala medier ska öka möjligheterna till insyn och delaktighet. Kvaliteten och effektiviteten
47
i statsförvaltningen ska öka genom standardiserad informationshantering, förbättrad informationssäkerhet och digitaliserade processer. En viktig utgångspunkt i all utveckling av statsförvaltningens tjänster är att effektivitet och service alltid måste vägas mot skyddet för den enskildes integritet och behov av sekretesskydd.
4.3. E-delegationen
För att stärka utvecklingen av e-förvaltningen och skapa goda förutsättningar för myndighetsövergripande samordning inrättade regeringen i mars 2009 en delegation för e-förvaltning (dir. 2009:19). Delegationen som antog namnet E-delegationen ska bland annat koordinera de statliga myndigheternas it-baserade utvecklingsprojekt och följa upp effekterna. Enligt våra utredningsdirektiv ska samråd ske med E-delegationen. Utredaren ska vidare i sitt arbete hålla sig informerad om och beakta det arbete som pågår inom E-delegationen. Detta har också gjorts löpande, bland annat genom medverkan i Edelegationens juridiska expertgrupp och i arbetet med utvecklingen av vägledningen för verksamhetsutveckling.1Utredningens sekretariat har vidare kontinuerligt varit i kontakt med Edelegationen för avstämning och informationsinhämtning.
Inom E-delegationen pågår ett antal projekt som är förvaltningsgemensamma och som kommer att ha påverkan på enskilda och offentlig sektor som exempelvis Mina meddelanden, Mina ärenden, Mina fullmakter samt E-arkiv och e-diarium. Arbetet som bedrivs inom E-delegationen kommer på lång sikt innebära att förvaltningens elektroniska informationshanteringssystem till viss del kommer att likriktas.
4.4. E-legitimationsnämnden
En av hörnstenarna för att kunna utveckla en effektiv och framgångsrik e-förvaltning är att det finns väl fungerande tjänster för elektronisk identifiering, signering och validering (e-legitimationer). Med hjälp av en e-legitimation kan en användare av elektroniska tjänster
1 E-delegationen har den 8 juli 2013 presenterat en Juridisk vägledning för verksamhetsutveckling inom e-förvaltning. Syftet med vägledningen är att beskriva centrala juridiska frågor och presentera tekniska lösningar för att kunna kombinera juridik och teknik på ett rättsenligt sätt.
48
både bevisa sin identitet och med hjälp av en elektronisk signatur bekräfta lämnade uppgifter.
E-legitimationsnämnden2inrättades den 1 januari 2011 och har till uppgift att stödja och samordna den offentliga sektorns behov av säkra metoder för elektronisk identifiering och signering i förvaltningens e-tjänster. Sedan E-legitimationsnämnden inrättades har nämnden arbetat med att utveckla en ny och samordnad infrastruktur för säker elektronisk identifiering. Syftet är att stödja den offentliga förvaltningen vid upphandlingen av eID-tjänster så att upphandlingen kan ske på ett enhetligt och effektivt sätt. För ändamålet kommer det att skapas ett samordnat system för säker elektronisk identifiering i form av en s.k. identitetsfederation, som administreras av E-legitimationsnämnden.
4.5. Informationshanteringsutredningen
Informationshanteringsutredningen har som övergripande uppdrag att se över de så kallade registerförfattningarna för myndigheternas behandling av personuppgifter och ett antal därmed sammanhängande frågor (dir. 2011:86).
Informationshanteringsutredningen har i delbetänkandet Överskottsinformation vid direktåtkomst (SOU 2012:90) tagit ställning till om så kallade överskottsinformation vid direktåtkomst – det vill säga sådana uppgifter som en myndighet via elektronisk direktåtkomst till ett annat organs elektroniskt lagrade informationssamlingar har en teknisk möjlighet att söka efter och ta del av men som myndigheten aldrig har utnyttjat sin tillgång till eller inte får utnyttja i sin verksamhet – även i fortsättningen ska vara allmän handling.
I delbetänkandet konstateras att det finns vissa principiella skäl som talar för en ändring i 2 kapitlet tryckfrihetsförordningen som skulle undanta sådan överskottsinformation från att vara allmän handling. Något förslag till grundlagsändring lämnas dock inte, främst eftersom ett undantag skulle medföra betydande avgränsningssvårigheter och ge upphov till tillämpningsproblem. Utredningen föreslår dock en smärre justering i offentlighets- och sekretesslagen (2009:400) i syfte att öka integritetsskyddet på området.
Utredningen ska slutredovisa sitt uppdrag den 1 december 2014.
2 Förordning (2010:1497) med instruktion för E-legitimationsnämnden.
49
4.6. PSI-utredningen
PSI-utredningen ska föreslå de författningsändringar som behövs för att genomföra ändringarna i Europaparlamentets och rådets direktiv 2003/98/EG om vidareutnyttjande av information från den offentliga sektorn (PSI-direktivet) i svensk rätt. Utredningstiden har förlängts och uppdraget ska redovisas senast den 28 februari 2014.
Det ursprungliga PSI-direktivet har genomförts i svensk rätt genom lagen (2010:566) om vidareutnyttjande av handlingar från den offentliga förvaltningen. Utredningens uppdrag handlar till viss del om att föreslå genomförande av de ändringar i PSI-direktivet som är på förslag, samt i övrigt se över den befintliga lagen och hur den tillämpas.
Frågor om vidareutnyttjande av myndighetsinformation ingår inte direkt i uppgiftslämnarutredningens uppdrag, men förslagen i detta betänkande har bäring på frågor om vidareutnyttjande av myndighetsinformation. Det beror på att det dels föreslås två nya register (uppgiftsdefinitionsregistret samt uppgiftskravsregistret) som i sig kan vara intressanta för vidareutnyttjande, dels föreslås nya åtkomstmetoder till det befintliga allmänna företagsregistret, vilket också kan ha betydelse i detta sammanhang.
4.7. Utvecklingsmyndigheterna
Regeringen har utsett fyra myndigheter att vara utvecklingsmyndigheter med uppdrag att samordna strategiprocesser inom sina respektive intresse- och målgruppsområden (Regeringsbeslut 2011-03-03 N2011/1368/ITP, Uppdrag att samordna och främja myndigheternas arbete med e-förvaltning.) De fyra myndigheterna (och målgrupperna) är Skatteverket (privatpersoner), Lantmäteriet (geografisk information och fastighetsinformation), Bolagsverket (företag och företagande) samt Transportstyrelsen (fordon och förare). Samtliga myndigheter har pågående projekt inom sina respektive områden (se bland annat SOU 2012:68 s. 68).
50
4.8. Verksamt.se
Bolagsverket, Skatteverket och Tillväxtverket har i samarbete utvecklat webbplatsen www.verksamt.se som riktar sig till den som driver eller vill starta företag. Information och tjänster på webbplatsen verksamt.se är samlade och utformade efter företagarnas behov i stället för utifrån myndigheternas perspektiv. Fler myndigheter deltar i arbetet med informationen på verksamt.se, bland annat Försäkringskassan, Jordbruksverket och Patent- och registreringsverket. Utöver vägledande information finns ett antal e-tjänster som ska förenkla för företagare i olika avseenden. Exempelvis kan den enskilde efter inloggning med e-legitimation på Mina sidor registrera nytt företag, ansöka om F-skatt, skapa en affärsplan, ändra företagets uppgifter hos Bolagsverket eller Skatteverket, se status på sina ärenden samt avveckla företaget. Vissa uppgifter kan även föras vidare mellan e-tjänsterna så att användaren ska slippa fylla i samma uppgifter flera gånger. Uppgifterna om företaget och status på ärendet hämtas från respektive myndighet och visas ut på Mina sidor.
Verksamt.se är också Sveriges elektroniska kontaktpunkt enligt EUs tjänstedirektiv3vilket ställer krav på att blivande och befintliga företagare dels ska kunna hitta information om tillståndskrav, dels ska kunna ansöka om tillstånd via verksamt.se. Via e-tjänsten ”Hitta tillstånd” är det möjligt att ta reda på vilka eventuella tillstånd (inkl. ansökningar och anmälningar) som behövs för en verksamhet. Tjänsten erbjuder stöd för detta genom att det är möjligt att söka i olika kategorier (bokstavsordning, branschkategorier, myndigheter och frisökning). För vissa branscher finns kompletterande stöd (branschguider) för att underlätta för en blivande företagare att identifiera vilka tillstånd och regler som kan vara aktuella för en viss typ av verksamhet. Via tjänsten ”Hitta tillstånd” är det även möjligt att ansöka om de tillstånd som faller inom ramen för tjänstedirektivet.
Tillväxtverket tillhandahåller elektroniska blanketter för vissa tillstånd på svenska och engelska eftersom det inte alltid finns etjänster eller elektroniska blanketter hos behöriga myndigheter att länka till. Det finns också krav på att myndigheter och kommuner ska kunna kommunicera elektroniskt via kontaktpunkten, t.ex. angående frågor i ett pågående ärende eller för att skicka ett beslut om tillstånd.
3 Europaparlamentets och rådets direktiv 2006/123/EG av den 12 december 2006 om tjänster på den inre marknaden.
51
Kraven på säker elektronisk kommunikation är en av anledningarna till att tjänsten Mina meddelanden utvecklas inom ramen för verksamt.se. Via den tjänsten kan exempelvis påminnelse om att lämna skattedeklaration, beslut om tillstånd eller ansökan om F-skatt som gjorts via verksamt.se skickas ut till en säker e-postadress. Tjänsten kan användas av alla myndigheter och från och med oktober 2013 kan den användas även av kommuner. Mellan verksamt.se och Mina meddelanden finns ”single sign on” (e-leg) för att förenkla för användarna och öka känslan av en sammanhållen kontaktpunkt gentemot myndigheterna.
Regeringen har utöver de krav som tjänstedirektivet ställer också uppdragit till myndigheterna bakom verksamt.se att fortsätta att utveckla information och e-tjänster kring tillstånd (N2011/1860/ENT).
53
5. Kartläggning av företags uppgiftslämnande till 14 myndigheter
Den 20 oktober 2011 gav regeringen 14 myndigheter1 i uppdrag att genomföra insatser för att möjliggöra ett framtida minskat och förenklat uppgiftslämnande.2 Under våren 2012 genomförde dessa myndigheter under ledning av Bolagsverket en kartläggning av företags uppgiftslämnande och sammanställde dessa i ett register.
En uppdaterad kartläggning över uppgiftskrav inleddes i slutet av 2012 och genomfördes under våren 2013. Uppdraget ska slutredovisas senast den 29 november 2013.3
Det skulle bära för långt att här återge resultatet av kartläggningsarbetet i sin helhet. Nedan återges kortfattat resultatet från kartläggningen av företagens uppgiftslämnande. Den intresserade läsaren är i övrigt hänvisad till delredovisningarna och slutrapporten som publicerats av Bolagsverket.4
1 Arbetsförmedlingen, Bolagsverket, Försäkringskassan, Jordbruksverket, Kronofogdemyndigheten, Livsmedelsverket, Skatteverket, Skogsstyrelsen, Statistiska centralbyrån (SCB), Tillväxtverket, Trafikanalys, Trafikverket, Transportstyrelsen och Tullverket. 2 Uppdrag att genomföra insatser för att möjliggöra ett framtida förenklat och minskat uppgiftslämnande, N2011/5884/ENT. 3 Begäran om förlängd tid för redovisning av uppdrag att genomföra insatser för att möjliggöra ett framtida förenklat och minskat uppgiftslämnande, N2012/311/ENT. 4 Uppdrag att genomföra insatser för att möjliggöra ett framtida förenklat och minskat uppgiftslämnande, N2011/5884/ENT, Kartläggning av näringsidkares uppgiftslämnande till 14 myndigheter, N2011/5884/ENT, och Uppdraget om ett förenklat och minskat uppgiftslämnande för företag, N2012/311/ENT samt Kartläggning av företags uppgiftslämnande till 14 myndigheter, N2012/311/ENT. Rapporterna finns att läsa här www.bolagsverket.se/om/oss/utvecklingsmyndighet/forenklat-uppgiftslamnande
54
5.1. Utvalda resultat från kartläggningen 2012
Sammanlagt kartlades 1 164 uppgiftskrav. Den redovisade ärendevolymen uppgick till 94 558 369 ärenden i kartläggningen 2012. Jordbruksverket hade i kartläggningen flest antal uppgiftskrav, 388 st., och Trafikanalys var den myndighet med minst antal med fem uppgiftskrav. Sett till ärendevolym stod Skatteverket för den absolut största insamlingen, nämligen 73 % av den totala volymen, eller 68 998 019 ärenden.
Den fördjupade kartläggningen visade att grundläggande uppgifter:
- samlas in ofta, nästan i alla ärenden,
- att uppgifter som är frivilliga att lämna, det vill säga inte krävs för ärendets handläggning, samlas in,
- att myndigheter hämtar dessa uppgifter från andra myndigheter och privata aktörer (företag som tillhandahåller företagsuppgifter, exempelvis UC), men samtidigt också begär in dem från företag vid uppgiftskraven,
- att Bolagsverket, Skatteverket och Statistiska centralbyrån bedömdes vara lämpliga källor för grundläggande uppgifter, samt
- att 30 av de 38 grundläggande uppgifter som kartlades borde kunna återanvändas redan i dag, och därmed skulle administrativa kostnader för företag kunna minska.
När myndigheterna svarat att de grundläggande uppgifterna behövs för ärendens handläggning, det vill säga är obligatoriska för uppgiftskravet, visar resultatet att följande nio grundläggande uppgifter är mest vanliga att samla in, sett till både ärendevolym och antal uppgiftskrav:
- Person-/organisationsnummer
- Företagsnamn
- Enskild näringsidkares namn
- Enskild näringsidkares personnummer
- Enskild näringsidkares postadress
- Postadress till företaget
55
- Telefon
- Registrerat företagsnamn
- Firmatecknare
5.2. Utvalda resultat från kartläggningen 2013
De 14 myndigheterna har i kartläggningen som genomfördes 2013 kartlagt 1 318 uppgiftskrav (Figur 1).
Figur 1 Samtliga myndigheter, 1 318 uppgiftskrav
56
Dessa uppgiftskrav omfattade 95 968 358 ärenden under 2012 (Figur 2). Skatteverket står för 76 % av alla ärenden och på andra plats kommer Försäkringskassan, som står för 7 % av alla ärenden.
Figur 2 Samtliga myndigheter, 95 968 358 ärenden.
57
Figur 3 visar regelursprunget för uppgiftskraven. 553 uppgiftskrav har nationellt regelursprung omfattande 80 809 076 ärenden. 739 uppgiftskrav har EU och annan internationell lagstiftning som ursprung omfattande 14 992 141 ärenden.
Figur 3 Regelursprung. Den vänstra bilden visar antal uppgiftskrav och den högra antal ärenden 2012.
58
Figur 4 visar fördelningen mellan kalenderstyrda uppgiftskrav, det vill säga att uppgiftslämnandet ska ske vid en viss tidpunkt, och händelsestyrda uppgiftskrav, det vill säga att uppgiftslämnandet ska ske vid en viss händelse. Flest antal uppgiftskrav, 1 072 st., är händelsestyrda och omfattar 71 759 142 ärenden. 266 uppgiftskrav omfattande 72 355 682 ärenden är kalenderstyrda och 42 uppgiftskrav omfattande 48 146 466 ärenden är både kalenderstyrda och händelsestyrda, därför blir totalen större än 95 968 358 ärenden.
Figur 4 Kalender- och händelsestyrt. Den vänstra bilden visar antal uppgiftskrav och den högra antal ärenden 2012.
59
Figur 5 visas hur de 266 kalenderstyrda uppgiftskraven fördelas över året. Av de kalenderstyrda uppgiftskraven lämnas de flesta i april, nämligen 125 stycken. I de fall myndigheterna har svarat veckovis har siffrorna fördelats fyra gånger på varje månad och om myndigheterna har svarat månadsvis har de fördelats på varje månad. Figuren visar alltså antalet inlämningstillfällen för de 266 kalenderstyrda uppgiftskraven. För 25 uppgiftskrav har myndigheterna till exempel svarat vartannat år, årsvis eller två gånger per år. Dessa återfinns under okänt i figuren.
Figur 5 Kalenderstyrt, antal uppgiftskrav per månad.
60
Figur 6 visar om det är företaget, myndigheten eller de båda som initierar uppgiftskravet första gången. Merparten av uppgiftskraven initieras av företaget, 1 020 st. omfattande 61 873 536 ärenden. I 164 uppgiftskrav omfattande 22 396 653 ärenden är det myndigheten som initierar uppgiftskravet.
Figur 6 Initierande part. Den vänstra bilden visar antal uppgiftskrav och den högra antal ärenden 2012.
På frågan om uppgiftskraven berör specifik bransch har myndigheterna svarat att 1 052 uppgiftskrav omfattande 31 886 273 ärenden år 2012 berör specifika branscher. Följande fyra branscher5 har flest uppgiftskrav enligt kartläggningen:
- Jordbruk, skogsbruk och fiske (A), 418 uppgiftskrav
- Transport och magasinering (H), 283 uppgiftskrav
- Handel (G), 180 uppgiftskrav
- Tillverkning (C), 178 uppgiftskrav.
Följande fyra branscher har flest ärenden år 2012 för sina uppgiftskrav enligt kartläggningen:
- Finans- och försäkringsverksamhet (K), 17 006 233 ärenden
- Vård och omsorg; sociala tjänster (Q), 7 570 156 ärenden
5 Branscherna beskrivs från översta nivån av SNI 2007 och bokstäverna är förkortning av dessa.
61
- Handel (G), 6 273 260 ärenden
- Jordbruk, skogsbruk och fiske (A), 2 091 130 ärenden
Figur 7 visar svar på kartläggningens fråga ”Kan uppgifter i uppgiftskravet samlas in via e-tjänst”. Det framgår bland annat att för 308 uppgiftskrav och för 92 649 418 ärenden finns e-tjänst.
Figur 7 Har myndigheterna e-tjänster? Den vänstra bilden visar antal uppgiftskrav och den högra antal ärenden 2012.
62
Figur 8 visar förutom de ärenden som inte kan fullgöras med e-tjänst även de 5 914 363 ärenden där e-tjänst finns men inte används. Det är sannolikt att Trafikverkets och Skatteverkets antal ärenden är fler än de angivna i figuren eftersom Trafikverket inte svarat på e-tjänstanvändningen för 147 114 ärenden och Skatteverket inte svarat på e-tjänstanvändningen för 8 814 963 ärenden.
Figur 8 Ärenden där företagen inte använt e-tjänst, 9 031 818 ärenden.
5.3. Potential för minskat och förenklat uppgiftslämnande m.m.
Inom ramen för kartläggningsuppdraget har konstaterats att återanvändning av uppgifter mellan myndigheter kan ske i större utsträckning än i dag för att minska och förenkla företagens uppgiftslämnande. Det finns fortfarande behov av att myndigheter gör en översyn av de uppgifter som samlas in, vad som kan återanvändas och vad som inte är nödvändigt för ärendets handläggning. Det behöver bli tydligare för uppgiftslämnaren vilka uppgifter som måste lämnas in och vilka som är frivilliga.
63
Företagen behöver ha kontakt med flera myndigheter vid vissa händelser och här finns, enligt kartlagt material, en samordningspotential. Även vid vissa tidpunkter på året ska företag lämna uppgifter till flera olika myndigheter, vilket visar att samordningspotential finns även här. Denna kunskap kan också användas i lagstiftningsprocessen för att bestämma vilket datum ett uppgiftskrav ska fullgöras.
Små företag undantas endast från mycket få uppgiftskrav. Här finns möjlighet för ytterligare förenkling. Kartläggningen kan bli en ögonöppnare som möjliggör diskussion och aktion i en fråga som bland annat EU driver i sin Small Business Act6.
I många uppgiftskrav (212 st.) saknas information om själva kravet på myndighetens webbplats, vilket behöver ses över och i möjliga fall åtgärdas för att företagen ska kunna uppfylla sina plikter.
Användningen av e-tjänster liksom för vilka uppgiftskrav det finns e-tjänster framgår av kartläggningen. Detta kan utgöra ett underlag för en översyn av varför e-tjänster inte används och varför e-tjänster inte finns för vissa uppgiftskrav.
6 Small Business Act, 2008, http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=COM:2008:0394:FIN:SV:PDF
65
6. Gällande rätt
Utredningens arbete har aktualiserat en mängd rättsliga frågor. I detta kapitel presenteras aktuella rättsområden översiktligt med några anknytande rättsfrågor. De regelverk som framförallt drar till sig uppmärksamhet i detta sammanhang är tryckfrihetsförordningens bestämmelser om vad som är allmänna handlingar, offentlighets- och sekretesslagen som innehåller regler om myndigheters handläggning vid registrering, utlämnande och övrig hantering av allmänna handlingar samt bestämmelser om tystnadsplikt och förbud mot att lämna ut allmänna handlingar, personsuppgiftslagen och de särskilda registerförfattningarna som bland annat reglerar myndigheternas behandling av personuppgifter, samt arkivlagen som innehåller bestämmelser om myndigheternas bevarande och gallring av allmänna handlingar m.m.
6.1. Tryckfrihetsförordningen
Vad som avses med allmän handling framgår av 2 kap. tryckfrihetsförordningen. Med handling förstås framställning i skrift eller bild samt upptagning som kan läsas, avlyssnas eller på annat sätt uppfattas endast med tekniskt hjälpmedel. En handling är allmän, om den förvaras hos en myndighet och är att anse som inkommen till eller upprättad hos myndigheten.
En handling anses inkommen till en myndighet, när den har anlänt till myndigheten eller kommit behörig befattningshavare tillhanda. I fråga om upptagning som kan läsas, avlyssnas eller på annat sätt uppfattas endast med tekniskt hjälpmedel anses den inkommen till en myndighet när den är tillgänglig för myndigheten med tekniskt hjälpmedel som myndigheten själv förfogar över.
En handling anses upprättad hos en myndighet, när den har expedierats. En handling som inte har expedierats anses upprättad när det
66
ärende till vilket den hänför sig har slutbehandlats hos myndigheten eller, om handlingen ej hänför sig till visst ärende, när den har justerats av myndigheten eller på annat sätt färdigställts.
För att närmare kunna avgöra om en upptagning för automatiserad behandling är tillgänglig för myndigheten behöver man göra en uppdelning mellan potentiella (elektroniska) handlingar och färdiga elektroniska handlingar. En potentiell handling, dvs. en sammanställning av uppgifter ur allmän handling som en myndighet har tekniska möjligheter att göra, är enligt 2 kap. 3 § andra stycket sista meningen tryckfrihetsförordningen förvarad hos myndigheten om denna kan göra sammanställningen tillgänglig med rutinbetonade åtgärder (prop. 1975/76:160 s. 90). En sådan sammanställning anses dock inte vara förvarad hos myndigheten i tryckfrihetsförordningens mening om sammanställningen innehåller personuppgifter och myndigheten enligt lag eller förordning saknar befogenhet att göra sammanställningen tillgänglig enligt den s.k. begränsningsregeln i 2 kap. 3 § tredje stycket tryckfrihetsförordningen.
Med personuppgifter avses med utgångspunkt i personuppgiftslagens (1998:204) definition all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet (3 § personuppgiftslagen). Om myndigheten sålunda saknar (rättslig) befogenhet att ta fram vissa upplysningar ur t.ex. en databas är dessa upplysningar inte allmänna handlingar hos myndigheten. Det övergripande syftet med begränsningsregeln är att hindra allmänheten från att kunna göra anspråk på att få ta del av information hos myndigheten som myndigheten själv, av hänsyn till enskildas personliga integritet, är förhindrad att använda sig av (den s.k. likställighetsprincipen). Begränsningsregeln gäller alltså även om sammanställningen kan tas fram med rutinbetonade åtgärder.
En färdig elektronisk handling, vilken är tillgänglig för myndigheten i uppfattbar form med tekniskt hjälpmedel som myndigheten själv utnyttjar, t.ex. en PDF-fil eller ett e-postmeddelande, anses förvarad hos myndigheten trots att det kan krävas mer än rutinbetonade åtgärder för att göra handlingen tillgänglig (prop. 2001/02:70 s. 20 f.). Färdiga elektroniska handlingar omfattas inte heller av begränsningsregeln.
67
6.1.1. Begränsningsregelns närmare innebörd
Begränsningsregeln i 2 kap. 3 § tredje stycket tryckfrihetsförordningen innebär att bestämmelser om skydd av personuppgifter i lag eller förordning får betydelse för hur omfattande begreppet allmän handling blir i praktiken. Enligt dataskyddsdirektivet1och personuppgiftslagen (1998:204) får personuppgifter bara samlas in för särskilda, uttryckligt angivna och berättigade ändamål (9 § första stycket c personuppgiftslagen). Enligt den s.k. finalitetsprincipen får en personuppgift inte behandlas för ett ändamål som är oförenligt med det ändamål för vilket uppgiften samlades in (9 § första stycket d). I förarbetena till personuppgiftslagen har dock uttalats att en myndighets utlämnande av personuppgifter med stöd av offentlighetsprincipen inte kan anses oförenligt med de ändamål för vilket uppgifterna ursprungligen samlades in (prop. 1997/98:44 s. 44).
Regler om s.k. ändamålsbegränsningar, dvs. bestämmelser i registerförfattningar om för vilka ändamål myndigheten får behandla uppgifterna, anses inte heller inskränka myndighetens skyldighet enligt offentlighetsprincipen att sammanställa personuppgifter (prop. 2007/08:126 s. 120 f. och prop. 2007/08:160 s. 66 f.). Sistnämnda ställningstagande harmonierar väl med det s.k. efterfrågeförbudet i 2 kap. 14 § tredje stycket tryckfrihetsförordningen, av vilket följer att en myndighet inte får fråga någon som begär ut en allmän handling vem den enskilde är eller vilket syfte han eller hon har med sin begäran, i större utsträckning än vad som behövs för att myndigheten ska kunna göra en sekretessprövning.
I vissa fall är dock så kallade sökbegränsningar, dvs. förbud i lag eller förordning mot att söka fram uppgifter eller göra sammanställningar med hjälp av vissa sökord, avgörande för vilka sammanställningar som utgör allmänna handlingar. Det står nämligen klart att om den myndighet som förvarar en upptagning för automatiserad behandling under inga omständigheter får göra sammanställningar av uppgifter ur upptagningen med hjälp av vissa sökord har inte heller allmänheten rätt att ta del av en sådan sammanställning. Vissa sök-
1 Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (dataskyddsdirektivet). Den 25 januari 2012 presenterade Europeiska kommissionen ett förslag till en genomgripande reform av EU:s regler om skydd för personuppgifter. Förslaget innebär bland annat att (dataskyddsdirektivet) ska ersättas av en ny allmän dataskyddsförordning. Syftet med förslaget till ny dataskyddsförordning är att ytterligare harmonisera och effektivisera skyddet av personuppgifter i syfte att förbättra den inre marknadens funktion och öka enskildas kontroll över sina personuppgifter. Förordningen är till stor del baserad på den reglering som redan gäller enligt dataskyddsdirektivet.
68
begränsningar som inte är absoluta utan tillåter sökning under särskilt angivna förutsättningar har dock ansetts sakna betydelse för frågan om sammanställningen utgör en allmän handling (se 3 kap.6–7 §§polisdatalagen [2010:361] och prop. 2009/10:85 s. 154 f., jfr prop. 2001/02:70 s. 23). Allmänna handlingar som en myndighet potentiellt får tillgång till genom åtkomst till en annan myndighets dataregister men samtidigt saknar rätt att ta fram i sin egen verksamhet, eller utgör sådana uppgifter som den mottagande myndigheten visserligen får men ännu inte har tagit fram eller kanske aldrig kommer att behöva ta fram i sin verksamhet, har kommit att benämnas som överskottsinformation. Förekomsten av överskottsinformation ger upphov till en hel mängd rättsliga och organisatoriskt-tekniska frågeställningar vid elektroniskt informationsutbyte mellan myndigheter. Denna problematik analyseras av Informationshanteringsutredningen i sitt delbetänkande Överskottsinformation vid direktåtkomst (SOU 2012:90.)
6.2. Offentlighets- och sekretesslagen
6.2.1. Allmänt om sekretess
Rätten att ta del av allmänna handlingar är inte oinskränkt. I offentlighets- och sekretesslagen (2009:400) finns bestämmelser som inskränker enskildas rätt att ta del av allmänna handlingar s.k. sekretess. Sekretessbestämmelserna i offentlighets- och sekretesslagen består i regel av tre huvudsakliga rekvisit, dvs. förutsättningar för bestämmelsens tillämplighet. Dessa tre rekvisit anger sekretessens föremål, sekretessens räckvidd och sekretessens styrka. Sekretessens föremål är den information som kan hemlighållas och anges i lagen genom ordet uppgift tillsammans med en mer eller mindre långtgående precisering av uppgiftens art, t.ex. uppgift om enskilds personliga förhållanden.
En sekretessbestämmelses räckvidd bestäms normalt genom att det i bestämmelsen preciseras att sekretessen för de angivna uppgifterna bara gäller i en viss typ av ärende, i en viss typ av verksamhet eller hos en viss myndighet. Några få sekretessbestämmelser gäller utan att räckvidden är begränsad. Uppgiften kan då hemlighållas oavsett i vilket ärende, i vilken verksamhet eller hos vilken myndighet den förekommer.
69
Sekretessens styrka bestäms i regel med hjälp av s.k. skaderekvisit. Man skiljer i detta sammanhang mellan raka och omvända skaderekvisit. Vid raka skaderekvisit är utgångspunkten att uppgifterna är offentliga och att sekretess bara gäller om det kan antas att en viss skada uppstår om uppgiften lämnas ut. Vid det omvända skaderekvisitet är utgångspunkten tvärtom, dvs. att uppgifterna omfattas av sekretess. Vid ett omvänt skaderekvisit får uppgifterna således bara lämnas ut om det står klart att uppgiften kan röjas utan att viss skada uppstår. Sekretessen enligt en bestämmelse kan även vara absolut, dvs. de uppgifter som omfattas av bestämmelsen ska hemlighållas utan någon skadeprövning om uppgifterna begärs ut.
6.2.2. Överföring av sekretess
En grundläggande princip i offentlighets- och sekretesslagen är att sekretess som huvudregel inte följer med en uppgift när den lämnas från en myndighet till en annan. Det beror bland annat på att behovet av och styrkan i en sekretess inte kan bestämmas enbart med hänsyn till sekretessintresset. Detta intresse måste i varje sammanhang vägas mot intresset av insyn i myndigheternas verksamhet. Offentlighetsintresset kan således kräva att de uppgifter som behandlas som hemliga hos en myndighet är offentliga hos en annan myndighet som har inhämtat dem hos den förstnämnda myndigheten (prop. 1979/80:2 Förslag till sekretesslag m.m., Del A s. 75 f.).
Lagstiftaren har alltså tagit ställning mot att en allmän bestämmelse om överföring av sekretess tas in i sekretessregleringen. Vissa bestämmelser om överföring av sekretess med begränsade och överblickbara tillämpningsområden har dock införts. Vid överföring av sekretess skiljer man mellan primära och sekundära sekretessbestämmelser (3 kap. 1 §). En primär sekretessbestämmelse är en bestämmelse om sekretess som en myndighet ska tillämpa på grund av att bestämmelsen a) riktar sig direkt till myndigheten eller b) omfattar en viss verksamhet eller en viss ärendetyp som hanteras hos myndigheten eller c) omfattar vissa uppgifter som finns hos myndigheten. Bestämmelserna i kategori c) är primära sekretessbestämmelser, vars räckvidd inte har begränsats och som därför gäller inom hela den offentliga sektorn. Som exempel på sådana bestämmelser kan nämnas utrikessekretessen (15 kap. 1 §) och minimiskyddsreglerna till skydd för enskildas personliga integritet i 21 kap. offentlighets- och sekretesslagen.
70
En bestämmelse om överföring av sekretess är en bestämmelse som innebär att en primär sekretessbestämmelse som är tillämplig på en uppgift hos en myndighet ska tillämpas på uppgiften även av en annan myndighet som uppgiften lämnas till. Detta gäller också för en myndighet som har elektronisk tillgång till uppgiften hos den förstnämnda myndigheten (s.k. direktåtkomst).
En sekundär sekretessbestämmelse är en bestämmelse om sekretess som ska tillämpas på grund av en bestämmelse om överföring av sekretess. En och samma sekretessbestämmelse kan således vara en primär sekretessbestämmelse hos den utlämnande myndigheten och en sekundär sekretessbestämmelse hos den mottagande myndigheten.
Resultatet av tillämpningen, dvs. förutsättningarna för bedömningen av sekretess, kan bli olika om sekretessbestämmelsen är att betrakta som primär eller sekundär hos myndigheten.
En primär sekretessbestämmelse kan normalt tillämpas på en uppgift oavsett om myndigheten har fått uppgiften från en annan myndighet eller från en enskild. En sekundär sekretessbestämmelse kan dock bara tillämpas på uppgifter som den mottagande myndigheten får från den utlämnande myndigheten. En sekundär sekretessbestämmelse kan således inte tillämpas på uppgifter som myndigheten får direkt från enskilda (se prop. 2005/06:191 Ändring i lagen om elektronisk kommunikation, s. 30 och 1997/98:9 Skydd för förföljda personer, samordningsnummer m.m., s. 38 f. samt JO 2000/01 s. 44 och 50).
Om en sekretessreglerad uppgift lämnas från en myndighet till en annan myndighet gäller sekretess för uppgiften hos den mottagande myndigheten bara om sekretess följer antingen av en primär sekretessbestämmelse som är tillämplig hos den mottagande myndigheten eller av en bestämmelse om överföring av sekretess. Är ingen av dessa förutsättningar uppfyllda blir uppgiften offentlig hos den mottagande myndigheten. Motsvarande gäller om en myndighet har direktåtkomst till sekretessreglerade uppgifter hos en annan myndighet (7 kap. 2 §). Bestämmelser om överföring av sekretess som innebär att sekretess enligt alla eller många sekretessbestämmelser överförs till vissa organ eller vissa verksamheter har placerats i 11 och 41–43 kap. offentlighets- och sekretesslagen. Bestämmelser om överföring av sekretess som innebär att sekretess enligt enstaka sekretessbestämmelser överförs till en mottagande myndighet har placerats i direkt anslutning till berörda sekretessbestämmelser, se t.ex. 22 kap. 3 § samt 31 kap. 5 och 18 §§ offent-
71
lighets- och sekretesslagen. Huvudregeln om konkurrens mellan flera tillämpliga sekretessbestämmelser finns i 7 kap. 3 § lagen.
Om flera sekretessbestämmelser är tillämpliga på en uppgift hos en myndighet och en prövning i ett enskilt fall resulterar i att uppgiften ska lämnas ut enligt en eller flera bestämmelser samtidigt som den är sekretessbelagd enligt en eller flera andra bestämmelser, ska enligt huvudregeln de senare bestämmelserna ha företräde. I ett sådant fall ska uppgiften således hemlighållas. Detta gäller oavsett om de konkurrerande bestämmelserna ska tillämpas som primära eller sekundära sekretessbestämmelser. Det finns dock undantag från denna huvudregel (se närmare om det nedan). Ett exempel på en överföringsbestämmelse är 11 kap. 1 § offentlighets- och sekretesslagen. Om en myndighet i verksamhet som avser tillsyn eller revision får en sekretessreglerad uppgift från en annan myndighet, blir sekretessbestämmelsen tillämplig på uppgiften också hos den mottagande myndigheten. Detta gäller dock inte för uppgift som ingår i beslut hos den mottagande myndigheten. I 11 kap. 4 § lagen finns en bestämmelse om överföring av sekretess som tar sikte på direktåtkomst. Av denna bestämmelse följer att om en myndighet har elektronisk tillgång till en upptagning för automatiserad behandling hos en annan myndighet och en uppgift i denna upptagning är sekretessreglerad, blir sekretessbestämmelsen tillämplig på uppgiften även hos den mottagande myndigheten. Detta gäller inte för uppgift som ingår i ett beslut hos den mottagande myndigheten.
Bestämmelsen om överföring av sekretess i 11 kap.1 och 4 §§offentlighets- och sekretesslagen ska dock enligt en särskild konkurrensregel inte tillämpas om det finns en primär sekretessbestämmelse till skydd för samma intresse som är tillämplig på uppgiften hos den mottagande myndigheten (11 kap. 8 §). I ett sådant fall är det den primära sekretessbestämmelsen som ska tillämpas och detta gäller oavsett om den primära sekretessbestämmelsen ger ett starkare eller ett svagare skydd än den sekundära sekretessbestämmelsen. Även undantag från den primära sekretessens tillämpningsområde har företräde framför sekundärsekretess (prop. 2008/09:150 s. 328).
Sekretessbestämmelserna i 21 kap offentlighets- och sekretesslagen som utgör ett minimiskydd för enskildas personliga integritet inom hela den offentliga sektorn – och som därmed är primära sekretessbestämmelser hos alla myndigheter – är undantagna från den särskilda konkurrensregelns tillämpningsområde. Vid tillämpning av 11 kap. 8 § ska tillämparen alltså bortse från de primära minimiskyddsbestämmelserna i 21 kap. lagen. Vid konkurrens mellan sist-
72
nämnda bestämmelser och överförs sekretess gäller således huvudregeln om konkurrens i 7 kap. 3 § lagen, dvs. den eller de bestämmelser enligt vilken uppgiften är sekretessbelagd i det enskilda fallet har företräde.
Informationshanteringsutredningen har i delbetänkandet Överskottsinformation vid direktåtkomst (SOU 2012:90) föreslagit en justering av konkurrensregeln i 11 kap. 8 § offentlighets- och sekretesslagen för att avvärja risken att det sekretesskydd som gäller hos värdmyndigheten försvagas eller upphör hos mottagarmyndigheten beträffande överskottsinformation vid direktåtkomst.
Informationshanteringsutredningen föreslår närmare bestämt att en mottagarmyndighets primära sekretessbestämmelser inte längre bör ha företräde framför den från värdmyndigheten överförda sekretessen avseende sådana uppgifter som en mottagarmyndighet enligt lag eller förordning inte får behandla. En konkurrenssituation mellan en primär sekretessbestämmelse hos en mottagarmyndighet och den från värdmyndigheten överförda sekretessen för en sådan uppgift bör i stället lösas i enlighet med offentlighets- och sekretesslagens huvudregel i 7 kap. 3 § offentlighets- och sekretesslagen som föreskriver att den av flera tillämpliga sekretessbestämmelser enligt vilken uppgiften är sekretessbelagd ska ha företräde, oavsett om det handlar om en primär eller överförd sekundärsekretess.
6.3. Regeringsformen och skyddet för den personliga integriteten
De grundläggande bestämmelserna till skydd för den personliga integriteten finns i regeringsformen.
I 1 kap. 2 § regeringsformen slås fast att det allmänna ska värna om den enskildes privatliv. Intentionen kommer till uttryck i stora delar av den lagstiftning som reglerar det allmännas handlande gentemot enskilda och även enskildas handlande gentemot varandra. Som exempel på sådan lagstiftning kan nämnas offentlighets- och sekretesslagen (2009:4009). Av stor betydelse är även rätten för enskilda att enligt 2 kap. tryckfrihetsförordningen ta del av allmänna handlingar. Härigenom garanteras enskilda insyn i och kontroll av den offentliga förvaltningen.
I 2 kap. 6 § regeringsformen anges att var och en, utöver vad som i övrigt gäller enligt paragrafen, gentemot det allmänna är skyddad mot betydande intrång i den personliga integriteten som sker utan
73
samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden.
6.3.1. Ett förstärkt grundlagsskydd
Bestämmelsen i 2 kap. 6 § regeringsformen är ny och har trätt i kraft den 1 januari 2011 (prop. 2009/10:80 En reformerad grundlag, bet. 2009/10:KU19, rskr 2019/10:304, bet. 2010/11:KU4, rskr. 2010/11:21). Regeringen har i nämnda proposition angett att skyddet för den personliga integriteten förstärks genom den nya bestämmelsen i 2 kap. 6 § regeringsformen.
I propositionen har regeringen vidare framhållit att grundlagsbestämmelsen bör ta sikte på att skydda information om enskildas personliga förhållanden (s. 177). Regeringen har angett att regleringen kan komma att omfatta vitt skilda slag av information som är knuten till den enskildes person, som t.ex. uppgifter om namn och andra personliga identifikationsuppgifter, adress, familjeförhållanden, hälsa och vandel. Regeringen har vidare angett att ett utvidgat integritetsskydd i regeringsformen tar sikte på sådana åtgärder som den enskilde själv inte kan få kännedom om eller påverka genom ett krav på frivilligt godkännande (s. 178). Vidare har regeringen angett att grundlagsskyddet bör omfatta övervakning och kartläggning samt att det bör vara fråga om betydande integritetsintrång (s. 180–182). Uppgifternas karaktär och omfattning, ändamålet med behandlingen av uppgifterna, omfattningen av utlämnandet av uppgifter till andra som sker utan omedelbart stöd av offentlighetsprincipen samt på vilket sätt och för vilka syften mottagaren av uppgifterna ska hantera utlämnade uppgifter är faktorer som, enligt regeringen, bör beaktas vid bedömningen av vad som kan anses utgöra ett betydande intrång i den personliga integriteten (s. 184).
Regeringen har konstaterat att vad som utgör ett betydande integritetsintrång alltid måste bedömas utifrån de samhällsvärderingar som råder vid varje givet tillfälle (s. 185). Regeringen har angett att dessa värderingar kan påverkas av en rad omständigheter, inte minst av den fortsatta tekniska utvecklingen men även av andra förhållanden i vår omvärld; i sista hand är det riksdagen som får avgöra vilka företeelser som är av så ingripande karaktär att de inte bör kunna begränsas på annat sätt än genom lag och med tillämpning av det kvalificerade förfarandet vid inskränkningar av de grundläggande fri- och rättigheterna i 2 kap. 12 § regeringsformen.
74
6.4. Personuppgiftslagen och de särskilda registerförfattningarna
6.4.1. Personuppgiftslagen
Personuppgiftslagen (1998:204) innehåller grundläggande bestämmelser om behandling av personuppgifter. Genom lagen har Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (dataskyddsdirektivet) genomförts i svensk rätt. Personuppgiftslagens syfte, enligt 1 §, är att skydda människor mot att deras personliga integritet kränks i samband med att deras personuppgifter behandlas. Personuppgiftslagen innehåller företrädesvis generella regler och det förutsattes vid dess tillkomst att behov av undantag och preciseringar för speciella områden skulle tillgodoses genom särskild lagstiftning (prop. 1997/98:44 s. 40–41).
6.4.1.1 Begreppet personuppgift
Enligt 3 § personuppgiftslagen avses med personuppgift all slags information som direkt eller indirekt kan hänföras till en enskild person som är i livet. All information som kan knytas till en levande fysisk person anses alltså vara en personuppgift, även om informationen bara avser personen i egenskap av yrkesutövare eller näringsidkare. Namn och personnummer är exempel på information som utan vidare omfattas av begreppet. Kravet att en personuppgift ska kunna hänföras till en viss bestämd person är inte högt ställt. Också sådana i sig anonyma uppgifter som gör det möjligt med s.k. bakvägsidentifikation av en fysisk person omfattas av begreppet personuppgift.
6.4.1.2 Grundläggande krav på behandling av personuppgifter
Personuppgifter får som utgångspunkt bara behandlas om de grundläggande kraven på behandling av personuppgifter som finns uppräknade i 9 § lagen följs. Det krävs bland annat att personuppgifterna behandlas lagenligt och korrekt i enlighet med god sed. Vidare får personuppgifter bara samlas in för särskilda, uttryckligt angivna och berättigade ändamål. Personuppgifterna får inte be-
75
handlas för andra ändamål som är oförenliga med det för vilka de samlats in (finalitetsprincipen).
Ett undantag från denna huvudregel (den s.k. hanteringsmodellen) finns i 5 a § (den s.k. missbruksmodellen). I detta sammanhang är det dock företrädesvis fråga om behandling av personuppgifter som åtminstone delvis strukturerats för att påtagligt underlätta sökning efter eller sammanställning av personuppgifter, varför hanteringsmodellen vanligen kommer att bli tillämplig i samband med företagens uppgiftslämnande
6.4.1.3 När behandling av personuppgifter är tillåten
I 10 § personuppgiftslagen finns en uttömmande uppräkning av i vilka fall en behandling av personuppgifter är tillåten. Personuppgifter får behandlas om den registrerade har lämnat sitt samtycke till behandlingen. Lämnar den registrerade inte sitt samtycke krävs att behandlingen är nödvändig för att fullgöra något av de i 10 § lagen uppräknande syftena, t.ex. att ett avtal med den registrerade ska kunna fullgöras eller att den personuppgiftsansvarige ska kunna fullgöra en rättslig skyldighet.
6.4.1.4 Behandling av känsliga personuppgifter m.m.
Av 13 § personuppgiftslagen framgår att det som huvudregel är förbjudet att behandla känsliga personuppgifter. Med känsliga personuppgifter avses personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiösa eller filosofiska övertygelser, medlemskap i fackförening eller personuppgifter som rör hälsa eller sexualliv. I 15–19 §§personuppgiftslagen görs vissa undantag från förbudet bland annat när den enskilde uttryckligen samtyckt till behandlingen, om behandlingen är nödvändig för att skydda vitala intressen hos den registrerade eller någon annan och den registrerade inte kan lämna sitt samtycke, inom hälso- och sjukvården samt för forsknings- och statistikändamål.
Enligt 20 § personuppgiftslagen får regeringen eller den myndighet som regeringen bestämmer meddela föreskrifter om ytterligare undantag från förbudet att behandla känsliga personuppgifter, om det behövs med hänsyn till ett viktigt allmänt intresse.
76
Enligt 8 § personuppgiftsförordningen (1998:1191) får myndigheter, utöver vad som anges i 15–19 §§personuppgiftslagen, behandla känsliga personuppgifter i löpande text om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av det. Enligt 21 § personuppgiftslagen är det förbjudet för andra än myndigheter att behandla personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden.
Uppgifter om personnummer och samordningsnummer får enligt 22 § personuppgiftslagen behandlas bara om den registrerade samtycker till det eller när det är klart motiverat med hänsyn till ändamålet med behandlingen, vikten av en säker identifiering eller något annat beaktansvärt skäl.
6.4.2. Registerförfattningar
Personuppgiftslagen innehåller generella regler om behandling av personuppgifter. Lagen är dock subsidiär i förhållande till andra lagar och förordningar. Det finns för närvarande ett stort antal s.k. registerförfattningar som reglerar vilka uppgifter som en enskild myndighet får behandla i sin personuppgiftsbehandling hos enskilda myndigheter och/eller i deras verksamheter. Exempelvis styrs Skatteverkets verksamhet i detta hänseende bland annat av lagen (2001:181) om behandling av uppgifter i Skatteverkets beskattningsverksamhet och lagen (2001:182) om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet. Om inte annat särskilt angetts gäller dessa båda författningar i stället för personuppgiftslagen.
Förekomsten av registerförfattningar innebär att författningsstrukturen är komplicerad och svåröverblickbar eftersom registerförfattningarnas innehåll och utformning varierar sinsemellan.
En stegvis översyn av registerförfattningarna genomförs för att anpassa regleringen till personuppgiftslagen. Till grund för arbetet har legat en av riksdagen uttalad ambition att myndighetsregister med ett stort antal registrerade eller ett särskilt känsligt innehåll ska regleras särskilt i lag. Regeringen har som framkommit ovan tillsatt Informationshanteringsutredningen (dir. 2011:86) som bland annat ska göra en översiktlig inventering av registerförfattningarna och närmare analysera hur dessa fungerar inom tre olika verksamhetsområden. Informationshanteringsutredningen ska även med beaktande av utvecklingen inom EU och Europarådet utarbeta en generell
77
modell för reglering av registerfrågor och, med modellen som mall, lämna konkreta förslag till registerförfattningar inom de tre verksamhetsområdena. Uppdraget ska slutredovisas senast den 1 december 2014.
6.5. Arkiv och gallring
I arkivlagen (1990:782) finns bestämmelser om myndigheternas arkiv. Lagen kompletteras av arkivförordningen (1991:446) som i betydande utsträckning bemyndigar Riksarkivet att meddela föreskrifter för statliga myndigheters arkiv.
En myndighets arkiv bildas av de allmänna handlingarna från myndighetens verksamhet och sådana handlingar som avses i 2 kap. 9 § tryckfrihetsförordningen och som myndigheten beslutar ska tas om hand för arkivering. Bestämmelsen i tryckfrihetsförordningen omfattar dels minnesanteckningar, dvs. promemorior och andra uppteckningar som har kommit till endast för ett ärendes beredning, dels s.k. mellanprodukter, dvs. utkast och koncept till beslut och skrivelser. Upptagningar för automatiserad behandling som är tillgängliga för flera myndigheter, så att de där utgör allmänna handlingar, ska dock bilda arkiv endast hos en av dessa myndigheter, i första hand den myndighet som svarar för huvuddelen av upptagningen. Samma upptagning ska alltså inte bevaras och bilda arkiv hos alla myndigheterna. Även andra lösningar kan dock vara tillåtna. Beslut om var arkivering ska ske får fattas av Riksarkivet i fråga om statliga myndigheter (prop. 1989/90:72 s. 70).
Myndigheternas arkiv ska bevaras, hållas ordnade och vårdas så att de tillgodoser rätten att ta del av allmänna handlingar, behovet av information för rättskipningen och förvaltningen och forskningens behov. Som grund för arkivvården ska myndigheterna vid registreringen av allmänna handlingar ta vederbörlig hänsyn till dess betydelse för en ändamålsenlig arkivvård, och vid framställningen av handlingar använda materiel och metoder som är lämpliga med hänsyn till behovet av arkivbeständighet.
I arkivvården ingår att myndigheten ska organisera arkivet på ett sådant sätt att rätten att ta del av allmänna handlingar underlättas och med hänsyn till detta upprätta dels en arkivbeskrivning som ger information om vilka slag av handlingar som kan finnas i myndighetens arkiv och hur arkivet är organiserat, dels en systematisk arkivförteckning. Vidare ska myndigheten avgränsa arkivet genom
78
att fastställa vilka handlingar som ska vara arkivhandlingar och verkställa föreskriven gallring i arkivet.
Med gallring avses att handlingar sorteras ut och förstörs. Uppgifter i upptagningar för automatiserad behandling som utgör allmänna handlingar anses gallrade genom att de förstörs i samband med exempelvis överföring till en annan databärare, förlust av möjliga informationssammanställningar och sökmöjligheter liksom förlust av möjligheter att fastställa informationens autenticitet. Att föreskriven gallring sker är viktigt av integritetsskäl och av ekonomiska skäl. När det gäller statliga myndigheter sker gallringen med stöd av föreskrifter eller särskilda beslut av Riksarkivet. Av Riksarkivet föreskrifter (RA-FS 1991:6) och allmänna råd om gallring av handlingar av tillfällig eller ringa betydelse2framgår att myndigheter ska gallra allmänna handlingar av tillfällig eller ringa betydelse. Gallring får dock endas ske under förutsättning att allmänhetens rätt till insyn inte åsidosätts och handlingarna bedöms sakna värde för rättsskipning förvaltning och forskning.
Den 31 januari 2011 lämnade Riksarkivet Förstudierapporten earkiv och e-diarium till E-delegationen, med förslag till hur arbetet bör bedrivas vidare. Siktet är inställt på att förenkla hanteringen av digital information inom den offentliga förvaltningen och att göra det lättare för privatpersoner och tjänstemän att samlat se och följa ärenden inom och mellan myndigheter.
6.6. Lagen om valfrihetssystem i fråga om tjänster för elektronisk identifiering
Lagen (2013:311) om valfrihetssystem i fråga om tjänster för elektronisk identifiering som trädde i kraft den 1 juli 2013 gör det möjligt för e-legitimationsnämnden att besluta om att tillämpa valfrihetssystem i fråga om tjänster för elektronisk identifiering av enskilda
Lagen innehåller bestämmelser om att den upphandlande myndigheten ska behandla leverantörer på ett likvärdigt och ickediskriminerande sätt samt iaktta principerna om öppenhet, ömsesidigt erkännande och proportionalitet när den tillämpar valfrihetssystem. När valfrihetssystem har inrättats ska ansökningar löpande begäras in genom annonsering på en nationell webbplats. Ett förfrågningsunderlag ska finnas tillgängligt på webbplatsen tillsammans med
2 Senast ändrad genom (RA-FS 1997:6).
79
annonsen. Förfrågningsunderlaget ska ange de villkor som leverantören ska uppfylla för att bli godkänd, den ekonomiska ersättningen till leverantören och den upphandlande myndighetens handläggningstid av en ansökan. Särskilda villkor för hur ett kontrakt ska fullgöras ska anges i annonsen eller förfrågningsunderlaget.
Den upphandlande myndigheten ska godkänna samtliga sökande som uppfyller kraven i annonsen och förfrågningsunderlaget och som inte har uteslutits. När godkännande har lämnats ska den upphandlande myndigheten utan dröjsmål teckna kontrakt med leverantören.
I valfrihetssystem förekommer det ingen priskonkurrens mellan leverantörerna, utan samtliga aktörer måste förhålla sig till det pris som har erbjudits för utförandet av tjänsterna Grunderna för den ekonomiska ersättningen för utförandet av eID-tjänster ska därför framgå av förfrågningsunderlaget.
81
7. Inledande överväganden
7.1. Myndigheter och förvaltningens struktur
Vår bedömning: En central utgångspunkt för utredningen, som
återspeglas i det slutliga förslaget om ett minskat och förenklat uppgiftslämnande, är det stora antalet statliga myndigheter samt att det finns betydande olikheter i hur uppgiftslämnandet från företagen till varje enskild myndighet är ordnat.
Det är inget självändamål att försöka likrikta myndigheternas olika tekniska system och rutiner. Inom ramen för ett arbete med att minska och förenkla företagens uppgiftslämnande kommer det emellertid att vara nödvändigt att göra vissa anpassningar av myndigheternas befintliga rutiner och tekniska system vad gäller ärendehandläggning m.m. för att uppnå det övergripande målet.
För att myndigheterna effektivt ska kunna bedriva ett arbete med att minska och förenkla uppgiftslämnandet för företagen krävs att detta är en uppgift som har hög prioritet i myndighetens dagliga verksamhet.
Erfarenhetsmässigt har det visat sig att en kraftfull ledning och tydlig styrning av arbetet på alla nivåer är en avgörande faktor för att insatserna ska ge resultat.
Det fanns vid 2013 års början 375 statliga myndigheter enligt Statistiska centralbyråns myndighetsregister. Av dessa var 254 statliga förvaltningsmyndigheter under regeringen. Inte alla dessa myndigheter kommer vid utförandet av sina förvaltningsuppgifter i direkt kontakt med företag. Det finns dock ett betydande antal myndigheter som företagen kontinuerligt måste ha kontakt med i diverse olika frågor. Det är därför av vikt att beakta hur myndigheterna sinsemellan är organiserade och styrs när man överväger åtgärder för att minska och förenkla företagens uppgiftslämnande. Det är
82
dock viktigt att komma ihåg att myndigheter är olika. De utför vitt skilda uppgifter och ägnas också skiftande uppmärksamhet av samhället i stort liksom politiskt. Variationen bland myndigheterna är så stor att det kan framstå som närmast meningslöst att i detta sammanhang inledningsvis kategorisera myndigheterna närmare. Av betydelse för vårt arbete är dessutom egentligen endast en kategorisering; om företagen lämnar uppgifter till myndigheten. Vi har dock funnit skäl att som en avstamp inför efterföljande resonemang peka på några aspekter som karaktäriserar myndigheter i den svenska offentliga förvaltningen.
Styrning av myndigheterna
Merparten av de statliga myndigheterna lyder under regeringen, och det är regeringen som lämnar uppdragen till dem. Regeringen är ytterst ansvarig för allt som dessa myndigheter gör, utom på det område där förvaltningens lydnadsplikt mot regeringen inte gäller, dvs. i fråga om beslut som rör myndighetsutövning mot en enskild eller mot en kommun eller som rör tillämpningen av lag (se 12 kap. 2 § regeringsformen).
Myndigheterna är fristående i förhållande till regeringen, men varken oberoende eller självständiga. Statsförvaltningen har lydnadsplikt gentemot regeringen. Trots att alla myndigheter formellt sett är likställda, ges myndigheter olika frihetsgrader av regeringen. Förvaltningen ska förverkliga regeringens politik, den har alltså en lydnadsrelation till regeringen men inte till riksdagen eller medborgarna och inte heller till ett enskilt statsråd. Det är också regeringen som lämnar uppdragen till förvaltningen. I Styrutredningen (SOU 2007:75 s. 39–40) förklarades uppdragsförhållandet på följande sätt. ”Annorlunda uttryckt kan man säga att regeringen delegerar en del av sitt ansvar till myndigheterna.” Det är således regeringen som inför riksdagen är ytterst ansvarig för allt som myndigheterna gör, förutom på det område där förvaltningens lydnadsplikt mot regeringen inte gäller.
En myndighet styrs av regeringen på en rad olika sätt. Själva verksamheten, t.ex. när det gäller skilda former av ärendehandläggning, kan vara reglerad i lag eller förordning vilket därmed avgör vad en myndighet ska göra och hur den ska utföra sitt uppdrag. En rad författningar, det ekonomiadministrativa regelverket, ställer också mera generella krav på myndigheterna.
83
Ett arbete med målet att minska och förenkla uppgiftslämnandet för företagen i förhållande till principiellt sett alla statliga myndigheter som företagen lämnar uppgifter till ställer avsevärda krav på myndigheterna. Nyttan för företagen riskerar att minska om inte alla myndigheter deltar fullt ut och prioriterar det gemensamma och myndighetsöverskridande förenklingsarbetet som krävs för att uppnå att uppgifter från företagen som regel endast ska behöva lämnas en gång och till ett ställe.
Hur stor nyttan för företagen blir är helt avhängigt hur myndigheter samarbetar med andra myndigheter och näringslivet, hur myndigheterna organiserar sitt eget arbete samt den vikt som tillmäts arbetet med att minska och förenkla företagens uppgiftslämnande. Att prioritera detta arbete med beaktande av det initiala merarbetet och de merkostnader detta kan medföra är givetvis en balansgång. Erfarenheter från den norska myndigheten Brønnøysundregistrene där bindande styrdokument tidigt togs fram i arbetet med att inrätta registret är ett bra exempel på effektiv styrning för att snabbt få positiva effekter för företagen och myndigheterna.
Liknande erfarenheter finns att även hämta i det mångåriga arbetet med att modernisera it-stödet i rättskedjan. Riksrevisionen har i rapporten It-stödet i rättskedjan (RiR 2011:25) påtatalat behovet av långsiktig planering för arbetet och behovet av bättre styrning av it-verksamheten samt en ökad samverkan mellan myndigheterna.
För närvarande finns det betydande olikheter i hur uppgiftslämnandet från företagen till myndigheterna är ordnat bland annat beträffande hur väl utbyggda och utnyttjade e-tjänster är. Som tidigare sagt är det är inget självändamål att försöka likrikta myndigheternas olika tekniska system och rutiner. Inom ramen för ett arbete med att minska och förenkla företagens uppgiftslämnande kommer det emellertid att vara nödvändigt att göra vissa anpassningar av myndigheternas befintliga förfaranden vad gäller ärendehandläggning m.m. för att uppnå det övergripande målet.
7.2. En gång och till ett ställe
Vår bedömning: Företagen ska som huvudregel bara behöva
lämna uppgifterna en gång och till ett ställe. Det innebär att det ska finnas en väg – eller en dörr – in för företagen som ska lämna uppgifter. Vårt arbete behöver som en följd härav fokusera på
84
det inledande mötet (kontaktytan, gränssnittet) mellan företag och myndighet.
Ansatsen med en väg in bör bygga på i huvudsak e-tjänster.
Vårt förslag: Etablera en servicetjänst som en samlad ingång till
myndigheternas e-tjänster som rör företag och företagande.
Myndigheterna ska vara skyldiga att ansluta sina e-tjänster (ärendetjänster) till Servicetjänsten.
Servicetjänsten ska inte vara obligatorisk för företagen att använda utan de kan vända sig direkt till respektive myndighets e-tjänst eller fullgöra uppgiftsskyldigheten på annat sätt om det är möjligt.
Även fortsättningsvis ska det alltså vara möjligt för myndigheterna att tillhandahålla andra sätt att fullgöra uppgiftskraven. Går det att fullgöra uppgiftslämnandet genom system till systemintegrationer, exempelvis att lämna uppgifter direkt från ett lönesystem till Skatteverket bör sådana lösningar kunna realiseras.
I direktiven till utredningen anges att uppgifter som regel endast ska behöva lämnas en gång och till ett ställe. Att uppgifter bara ska lämnas till ett ställe är något som inte varit framträdande i tidigare arbeten för att minska företagens uppgiftslämnande. I regeringens uppdrag till Bolagsverket som resulterade i rapporten ”Förslag till minskat uppgiftslämnande för företag” som ska ligga till grund för utredningens arbete angavs exempelvis att:
Bolagsverket ges i uppdrag att utarbeta ett förslag till minskat uppgiftslämnande för företag i syfte att minska de administrativa kostnaderna. Målet är att väsentligt minska företagens uppgiftslämnande till myndigheter. Utgångspunkten är att en och samma uppgift bara ska behöva lämnas en gång till statliga myndigheter och att myndigheterna i största möjliga mån ska hämta uppgifter från varandra.
Kravet att uppgifter från företag som regel bara ska lämnas en gång till ett ställe ställer således nya krav på de förslag som vi lämnar i förhållande till mycket av det arbete som tidigare utförts. Utredningen har därför behövt fokusera även på möten (kontaktytan, gränssnittet) mellan företag och myndighet. Det gäller närmare bestämt på hur möten kan behöva förenklas och att det finns en väg in till de statliga myndigheterna för företagen.
Av lägesrapporten Kartläggning av näringsidkares uppgiftslämnande till 14 myndigheter framgår att det finns e-tjänster för 371 av
85
de 1 164 uppgiftskrav som omfattats av undersökningen. Av de totalt 793 uppgiftskrav som inte kan samlas in genom en e-tjänst är det endast 86 som överstiger en volym om 1 000 ärenden per år. De till antalet vanligaste förekommande uppgiftskraven kan således regelmässigt fullgöras via myndigheternas e-tjänster (se även ovan).
Av Riksrevisionens granskningsrapport Regelförenkling för företagen – regeringen är fortfarande långt från målet (RIR 2012:6) framgår att en stor andel av de stora företagen använder myndigheternas e-tjänster, 88 procent. Motsvarande resultat för små företag är 60 procent. Nystartade företag tenderar att använda e-tjänster i större utsträckning än mer etablerade företag. I gruppen små företag som varit verksamma i mindre än tre år använder 69 procent e-tjänster. Orsakerna till att företag inte använder e-tjänster visade sig framför allt vara att det tar för lång tid att sätta sig in i hur man ska gå tillväga samt problem med e-legitimationen.
Det framstår dock som om det finns en stor potentialen för att förenkla för företagen genom att styra över inlämning av uppgifter från papper till e-tjänster. E-tjänster är ett område under ständig utveckling för att skapa förutsättningar och underlätta för företagen.
Nästan all framställning av information hos myndigheterna sker numera på elektronisk väg. Härtill kommer att handlingar till stor del även lagras elektroniskt. När myndigheter ska utbyta uppgifter är det därför i stor utsträckning önskvärt att uppgiftslämnandet sker med hjälp av modern informations- och kommunikationsteknik. Utökad elektronisk informationsöverföring mellan myndigheter möjliggör mer effektiva beslutsprocesser och i förlängningen fördelar för enskilda, eftersom insamlandet av korrekta och aktuella uppgifter underlättas och besked kan ges snabbare. Elektronisk informationsöverföring är också ekonomiskt effektiv i förhållande till uppgiftslämnande på annat sätt, t.ex. per telefon eller fax. Det finns dock inget gemensamt system för att mellan myndigheter enhetligt hantera information elektroniskt. Det saknas vidare överblick över myndigheternas olika e-tjänster. Varje myndighet bygger och driver i betydande utsträckning sina egna system. Myndigheterna har vidare kommit olika långt i denna utveckling.
I regeringens Uppdrag att genomföra insatser för att möjliggöra ett framtida förenklat och minskat uppgiftslämnande anges vidare att det uppgiftskravsregister som ska skapas ska vara utformat för att möjliggöra att ett eventuellt framtida elektroniskt uppgiftslämnande kan ske mot ett gränssnitt som är gemensamt för alla statliga myndigheter.
86
Mot denna bakgrund är det naturligt att ”en väg” i huvudsak bygger på någon form av e-tjänst som en samlad ingång för företagen till myndigheterna. Det blir sannolikt enklare för företagen när kontakterna kan inledas via en gemensam e-tjänst där det gränssnitt och de hanteringsmönster som företagaren först möter alltid är lika. På så sätt kan förhoppningsvis även företagens användning av e-tjänsterna på sikt komma att öka. En sådan ordning med en samlad ingång till myndigheternas e-tjänster är i dag möjlig att skapa utan att behöva göra allt för stora anpassningar av den redan etablerade e-förvaltningen.
För att den samlade ingången ska få önskad effekt och fungera som ”en väg in” är det nödvändigt att samtliga myndigheter relativt fort ansluter relevanta delar av sina e-tjänster till Servicetjänsten.
I ett inledande skede finns det dock inte skäl att föreslå att det ska vara den enda vägen. Det finns fortfarande många företag som inte använder sig av e-tjänster när de lämnar uppgifter till myndigheterna. Vi föreslår inga ändringar när de gäller de formkrav som finns i dag i respektive författning när det gäller tillvägagångssättet för fullgörandet av uppgiftskraven.
Det ska även fortsättningsvis vara möjligt för de myndigheter som så önskar att ge tillgång till sina e-tjänster så som i dag exempelvis via myndigheternas webbplatser, även om företagaren och myndigheten då går miste om den service som servicetjänsten erbjuder. När Servicetjänsten är fullt utbyggd kan det dock finnas skäl att överväga hur tillgången till myndigheternas e-tjänster ska ordnas när det gäller företagens uppgiftslämnande. Genom den service som Servicetjänsten kommer att ge till såväl myndigheter som företag kan det vara att föredra att användaren alltid går genom servicetjänsten.
Många företag, särskilt medelstora och stora fullgör sitt uppgiftslämnande med system till- systemintegrationer, exempelvis direkt från ett lönesystem till Skatteverket. Ett stort antal av uppgiftsinlämningarna till Skatteverket utförs i dag genom sådana applikationer. Uppgiftsinlämningen utförs i dessa fall direkt från företaget till den uppgiftsmottagande myndigheten. Sådana lösningar bör fortsättningsvis kunna realiseras.
Här ska nämnas att regeringen exempelvis i regleringsbrevet för budgetåret 2013 har lämnat ett särskilt uppdrag till Skatteverket att genomföra en förstudie för att undersöka möjligheten att utveckla ett system för ett effektivt uppgiftslämnande mellan företagets dator och Skatteverkets it-system. Skatteverket har även i uppdrag att genomföra en förstudie för att undersöka möjligheten att på sin
87
webbplats tillhandahålla ett enkelt redovisningssystem för att förenkla överföringen av data och elektronisk kommunikation för de minsta företagen. Skatteverket ska redovisa uppdraget senast den 1 november 2013.
7.3. Hur sker uppgiftslämnandet till myndigheterna
Vår bedömning: Företagens uppgiftslämnande till myndigheterna
sker i princip alltid genom it-baserade tjänster eller på blanketter som myndigheterna tillhandhåller. Den elektroniska kommunikationen kan ske såväl i ärendetjänster som i bastjänster där företagaren lämnar uppgifter direkt till myndigheten via maskin till maskin kommunikation.
Erfarenhetsmässigt strävar myndigheterna efter att uppgiftslämnandet ska vara fullgjort genom den första kontakten.
När i handläggningsprocessen krävs de grundläggande uppgifterna från företaget
I förvaltningslagen(1986:223) finns grundläggande bestämmelser som anger hur myndigheter ska sköta sina kontakter med varandra liksom gentemot allmänheten samt hur ärenden ska hanteras. Vissa regler i förvaltningslagen gäller all verksamhet hos myndigheten, alltså inte bara handläggning av ärenden utan även det som brukar beskrivas som faktiskt handlande. Med faktiskt handlande avses exempelvis att dirigera trafik, släcka bränder och kontrollera biljetter. I lagen anges inte närmare hur gränsen mellan ärendehandläggning och faktiskt handlande ska dras. Ledning kan dock ofta fås från de olika specialförfattningar som är i fråga. Utan att här närmare fördjupa framställningen kan det konstateras att när ett uppgiftslämnande följer av lag, förordning eller annan föreskrift är det i majoriteten av fallen fråga om ärendehandläggning hos myndigheterna. I vart fall kan vi i detta skede av utredningen inte se att vi förlorar något genom att utgå från att all uppgiftslämning sker inom ramen för det som i förvaltningslagen åsyftas med (handläggning av) ärende. Detta utesluter dock inte att det finns ett betydande inslag av service i den infrastruktur för företagens uppgiftslämnande som vi föreslår.
Handläggningen av ett ärende kan grovt delas in i tre faser:
88
- ärendets väckande,
- ärendets beredning, och
- beslut.
Ett ärende kan väckas på flera olika sätt genom en ansökan, anmälan eller annat initiativ från en enskild, s.k. privat anhängiggörande. Ärenden kan även väckas genom att en myndighet gör en ansökan hos en annan myndighet eller att myndigheten självmant tar upp en fråga (ex officio). I detta sammanhang är det dock den förstnämnda situationen som avses.
När ett företag har anhängiggjort ett ärende måste myndigheten skilja sig från ärendet genom någon form av beslut.
Med ärendets beredning avses den fas då myndigheten handlägger ärendet genom att exempelvis tillföra ärendet egna uppgifter, kommunicera dessa eller remittera ärendet. Myndigheten färdigställer ärendet så att det finns ett tillräckligt underlag för det kommande beslutet.
I flertalet uppgiftskrav strävar myndigheterna efter att direkt få in en så komplett ansökan som möjligt eftersom det underlättar den fortsatta handläggningen om myndigheten kan undvika att behöva kontakta företaget med krav på kompletteringar. Även om det för det aktuella uppgiftskravet inte finns krav på att det ska ske genom särskild blankett eller viss e-tjänst erbjuder myndigheterna nästan alltid någondera av dessa förfaranden dels som en service till den som fullgör uppgiftskravet, dels för att underlätta och snabba på den egna handläggningen.
Ett ärende kan avslutas på flera sätt. Myndigheten kan sakpröva ärendet varvid beslutet kan utmynna i bifall eller avslag (materiell prövning). Ansökan kan resultera i framställningen avvisas p.g.a. framställningen gjorts till fel myndighet eller att ärendet aktualiserats vid fel tidpunkt. Utan att förlora sin karaktär av beslut kan uttalandet som avslutar ärendet vara formlöst eller formbundet, internt eller externt, individuellt eller generellt, betungande eller gynnande, slutligt eller interimistiskt. Det kan innefatta ett avgörande i sak eller vara av processuell natur. Det kan anvisa ett direkt handlingsmönster eller fungera indirekt genom att ligga till grund för andra beslut, som anger ett konkret handlande.
89
Uppgiftslämnandets form
Förvaltningslagen anger inga närmare krav på hur ett uppgiftslämnande ska gå till. Lagen saknar t.ex. helt bestämmelser om vilka uppgifter som en ansökan ska innehålla eller på vilket sätt den får göras, muntligen skriftligen osv. Det saknas vidare uttryckliga krav på vad en ansökan ska innehålla i sak.
Ofta finns det i specialförfattningar närmare bestämmelser som anger hur ett ärende väcks eller uppgiftsskyldighet ska fullgöras men så är långt ifrån alltid fallet. Specialförfattningar kan ställa vitt skilda krav på hur uppgiftslämnandet ska gå till. Kraven varierar från att uppgiftslämnandet ska ske skriftligen till att det ska äga rum på särskild blankett som eventuellt ska undertecknas. I vissa fall ställs det även uttryckliga formkrav på att uppgiftslämnande ska ske genom e-tjänster.
När det saknas regler i specialförfattningar får dock förvaltningslagens generella reglering fyllas ut genom praxis och analogier från annan lagstiftning, främst förvaltningsprocesslagen (1971:291).
När ett uppgiftskrav fullgörs är det naturligt att kräva att näringsidkaren eller dess företrädare anger vem som lämnat uppgiften och hur myndigheten kan nå denna. Av uppgiftslämnandet behöver framgå vad framställningen gäller och/eller vad företaget vill att myndigheten ska göra med uppgiften. Om det är fråga om en ansökan bör det även framgå de omständigheter som ligger till grund för företagets begäran.
Förvaltningslagen kan mot denna bakgrund grovt sett sägas ställa som krav att dessa tre typer av uppgifter lämnas i ett ärende.
1. uppgifter för identifikation
2. kontaktuppgifter
3. ärendespecifika uppgifter.
Vad för slags konkreta uppgifter eller kombinationer av uppgifter som är att betrakta som tillräckliga uppgifter för identifikation kan naturligtvis variera. I detta sammanhang finns anledning att peka på att det finns ett antal olika uppgifter som är unika för företagen. Organisations-/personnummer är exempelvis unika och anger entydigt vilket företag som myndigheten har att göra med. Även ett registrerat firmanamn är ofta i sitt sammanhang unikt. Om företaget anger någon av dessa uppgifter är detta tillräckligt för att identifiera företaget i fråga. Därutöver kan tänkas en uppsjö av olika kombina-
90
tioner av uppgifter som eventuellt är tillräckliga för att identifiera företaget beroende på vilka uppgifter som lämnas. Kontaktuppgifter är de uppgifter som krävs för att myndigheten ska kunna kontakta företaget. Det kan vara fråga om postadress, telefonnummer, e-postadress osv.
Ärendespecifika uppgifter är uppgifter som krävs för att ett företag ska ansetts ha fullgjort en specifik uppgiftsskyldighet. Vad som är ärendespecifika uppgifter styrs inte av förvaltningslagen utan framgår mer eller mindre tydligt av respektive specialförfattning(ar) (eller praxis). Att en uppgift är ärendespecifik utesluter inte att den kan avkrävas ett företag vid flera olika uppgiftsinlämningar av en och samma myndighet eller av flera olika myndigheter.
Det faktum att myndigheterna har blanketter och e-tjänster kopplade till nästan alla uppgiftskrav medför också att ovanstående uppdelning för den enskilda uppgiftslämnaren vid ett uppgiftslämnande inte framstår som meningsfull. Lämnas uppgifter på en blankett eller i en e-tjänst antas att användaren troget fyller i alla uppgifter, även adressfält, telefonnummer och andra efterfrågade kontaktuppgifter utan att reflektera om myndigheten verkligen behöver uppgifterna för sin handläggning.
7.4. Uppgifter som ofta krävs vid ett uppgiftslämnande
Vår bedömning: Förenklingsarbetet bör inledningsvis fokusera
på identifikations- och kontaktuppgifter samt andra grundläggande uppgifter om företagen som myndigheter ofta frågar efter vid ett uppgiftslämnande. Uppgifter som ofta efterfrågas bör på ett enkelt och snabbt sätt samordnas mellan myndigheterna så att företagen inte behöver återupprepa dem.
Det allmänna företagsregistret – som samlat registerför uppgifter om företagen – bör utvecklas och användas på ett effektivare vis för att minska företagens börda vid uppgiftslämnandet.
Det allmänna företagsregistret bör knytas till den samlade ingången till myndigheternas e-tjänster (Servicetjänsten) och därifrån tillgängliggöra uppgifterna i företagsregistret om ett enskilt företag när detta lämnar uppgifter via den gemensamma portalen på webben.
91
Det finns ett stort antal uppgiftskrav som riktar sig mot företagen. Varje uppgiftskrav kan i sig avse flera olika uppgifter. Antalet potentiella uppgifter är över tid oändligt stort. Ett företags verksamhet förändras, omsättningen varierar från en månad till en annan, företaget nyanställer eller minskar personal osv.
Ett stort antal av de uppgifter som regelmässigt lämnas när ett uppgiftskrav fullgörs är genomgående desamma och dessutom av relativt enkel och, med avseende på enskildas integritetsskydd, inte särskilt känsliga. De är också relativt beständiga över tid t.ex. vad gäller identifikations- och kontaktuppgifter. Detta utesluter förstås inte att det i olika sammanhang kan finnas anledning för myndigheter att behandla såväl integritetskänsliga personuppgifter som känsliga uppgifter med avseende på ett företags affärsverksamhet.
Kartläggningsuppdraget
Den inledande kartläggningen av näringsidkares uppgiftslämnande till 14 myndigheter fokuserade särskilt på i vilken utsträckning myndigheterna efterfrågade någon av 38 uppgifterna från företagen som i kartläggningsuppdraget benämnts grundläggande uppgifter. De 38 uppgifter som kartlades var av grundläggande natur men inte bara enkla identifikations- och kontaktuppgifter utan även andra uppgifter, t.ex. förekomst av F-skattsedel, behörig firmatecknare och registrerat företagsnamn ingick i kartläggningen. Avgränsningen av uppgifter bestämdes gemensamt inom ramen för kartläggningsuppdraget. I samband med sammanställning och analys av resultatet inför Bolagsverkets delrapport fanns det indikationer på att vissa myndighetssvar inte överensstämde med den satta definitionen av de efterfrågade grundläggande uppgifterna. Viss hänsyn togs till dessa farhågor vid den analys som presenterades i delrapporten.
Av lägesrapporten framgår att de nio uppgifter som framgår nedan (av de 38 uppgifter som kartlades) är de mest vanliga uppgifter som de 14 myndigheterna samlar in, sett till både ärendemängd och antal uppgiftskrav:
- person-/organisationsnummer
- företagsnamn
- enskild näringsidkares namn
- enskild näringsidkares personnummer
92
- enskild näringsidkares postadress
- postadress till företaget
- telefon
- registrerat företagsnamn
- firmatecknare
Det är uppenbart att det finns ett relativt lätt identifierbart antal uppgifter om företagen som förhållandevis ofta efterfrågas av samtliga myndigheter som ingått i kartläggningsuppdraget. Vi har heller inte anledningen att anta att bilden skulle bli en annan om man kartlagt uppgiftslämnandet till samtliga statliga myndigheter.
De uppräknade uppgifterna och andra grundläggande uppgifter om företagen är enkla att förstå och det kan vid varje enskilt uppgiftslämnartillfälle knappast uppfattas som administrativt betungande att lämna dem. Sätts dessa uppgifter i relation till den stora mängd ärenden som de i princip alltid måste lämnas i blir dock bilden en annan. Skapas en ordning där företagen slipper att lämna dessa uppgifter vid varje uppgiftsinlämning uppstår en högst påtaglig möjlighet att minska och förenkla företagens uppgiftslämnande. Mot denna bakgrund har utredningen funnit att arbetet bör vara koncentrerat till att på ett så enkelt och snabbt sätt som möjligt säkerställa att sådana uppgifter samordnas mellan myndigheterna. Resultatet blir då att företagen inte behöver återupprepa dem.
Vidare kommer ändringar av de grundläggande adressuppgifterna att vid ett genomförande av utredningens förslag få ett snabbare genomslag ut till myndigheterna. En funktion som inte heller den ska förringas eftersom ca 200 000 företag och arbetsställen ändrar adressuppgifter och ca 100 000 företag byter telefonnummer årligen.
Var de grundläggande uppgifterna finns
De nio grundläggande uppgifter om företagen som var de mest efterfrågade vid uppgiftslämnande enligt kartläggningen finns i dag i register spridda hos flera olika myndigheter. Register som beroende på deras syfte omfattar olika delmängder av samtliga företag. Det finns ett antal register som är mer eller mindre uttömmande eftersom de omfattar alla företag eller alla företag inom en viss företagsform.
93
Vissa av de grundläggande uppgifterna är sådana att det är lätt att peka ut ett register som har företräde framför andra register ett s.k. primärt register. Av t.ex. aktiebolagslagen (2005:5005) med tillhörande aktiebolagsförordning (2005:559) framgår att aktiebolag ska anmäla till aktiebolagsregistret – som Bolagsverket ansvarar för – av vilka och hur bolagets firma tecknas. När det gäller dessa uppgifter är således aktiebolagsregistret det primära registret.
Bolagsverket har i de register som myndigheten ansvarar för uppgifter om firmatecknare för i princip alla juridiska personer som bedriver näringsverksamhet i riket. I dessa register ska vidare registreras juridiska personers säte och andra grundläggande uppgifter om företagen. Företagen är vidare skyldiga att anmäla när förändringar sker. Uppgifterna i de register som Bolagsverket för är offentliga.
Skatteverket har i sin beskattningsdatabas vidare uppgifter om alla som bedriver näringsverksamhet eller mervärdesskattepliktig verksamhet i syfte att kunna fastställa underlag för skatter och avgifter. När det gäller uppgifter om företaget är godkänt för F-skattsedel eller är registrerat för mervärdesskatt är beskattningsdatabasen den primära källan. Beskattningsdatabasen omfattas av skattesekretess som är absolut. Uppgifter om ett företag är godkänt för F-skattsedel eller registrerat för moms är dock undantagna den absoluta sekretessen.
På motsvarande sätt kan man gå igenom en stor del av de grundläggande uppgifter som ofta avkrävs företagen vid ett uppgiftslämnande och finna att informationen ofta redan finns registrerad hos någon myndighet.
Viss grundläggande information är dock sådan att den kan ändras av företagaren på eget initiativ utan att blanda in någon myndighet. En företagare kan exempelvis helt själv byta telefonnummer eller epostadress utan att behöva meddela detta till någon myndighet. Det finns då inget s.k. primärt register.
Det allmänna företagsregistret
Det har tidigare i många sammanhang övervägts vilka uppgifter om företagen som i princip alla myndigheter har intresse av. År 1975 infördes i Sverige en enhetlig identifiering av juridiska personer genom lagen (1974:174) om identitetsbeteckning för juridiska personer m.fl. I samband med arbetet att genomföra denna ordning uppmärksammades att den splittrade insamlingen och registerhållningen
94
av s.k. basuppgifter om företag och organisationer innebar ett avsevärt merarbete för såväl myndigheter som uppgiftslämnare. Mot denna bakgrund inledde på regeringens uppdrag Statskontoret – i samråd med Statistiska centralbyråns och dåvarande Riksskatteverket – ett arbete som utmynnade i Statskontorets rapport (1981:11) Basregister över företag och andra organisationer – ett principförslag (i rapporten lämnas ett förslag till hur ett basregister kan byggas upp, vad det bör innehålla, hur det ska organiseras m.m. (prop. 1981/82:118 s. 18 f.) (Gruppen bakom rapporten gick under namnet Basregisterutredningen, BASUN).
Föredragande statsråd anförde vid behandlingen av Statskontorets rapport bland annat följande (prop. 1981/82:118 s. 24).
För företagen är uppgiftslämnandet många gånger onödigt komplicerat. Allt fler samhällsfunktioner behöver tillgång till företagsuppgifter för planering, tillsyn, kontroll, service, informationsspridning m.m. Företagen måste idag underrätta en mängd myndigheter då exempelvis adress eller verksamhetsform ändras. BASUN:s förslag syftar till att en uppgift skall samlas in en gång till ett ställe. Detta skulle påtagligt förenkla företagens uppgiftslämnande. En positiv effekt för myndigheterna bör vara att kvaliteten på samhällets företagsregister ökar, genom att ett fåtal klart preciserade uppdateringsvägar ersätter de otaliga uppdateringsvägar som idag brukas.
BASUN:s förslag fann regeringens gillande och utmynnade i skapandet av det allmänna företagsregistret (tidigare känt som BASUN) som Statistiska centralbyrån fortfarande har regeringen uppdrag att föra. Registret regleras i förordningen (1984:692) om det allmänna företagsregistret.
I det allmänna företagsregistret samlas identifikations- och kontaktuppgifter samt bland annat uppgifter om näringsgren och arbetsställen.
Uppgifterna i det allmänna företagsregistret används för närvarande av Statistiska centralbyrån för att avisera andra register om ändringar av uppgifterna i registret (ändringsavisering) och för att göra urval av uppgifter ur registret (urvalsdragning) som efterfrågas. Det kan t.ex. vara fråga om att ta fram uppgifter om alla nystartade företag inom en viss bransch. Uppgifterna i registret kan dessutom utnyttjas av myndigheter och enskilda för att komplettera och kontrollera dels uppgifter i andra register dels, uppgifter i övrigt om de fysiska och juridiska personer som omfattas av registret.
Det allmänna företagsregistret uppdateras med nyregistreringar från bland annat Bolagsverket, adressändringar från Svensk Adress-
95
ändring AB (SVAAB) och uppgifter ur arbetsgivare- och mervärdesskatteregistren från Skatteverket. Alla variabler i det allmänna företagsregistret utsätts för regelbundna kontroller, men i olika omfattning. Företag med anställda kontrolleras i högre grad än företag utan anställda. En enkät skickas varje år till företag med fler än ett arbetsställe. Företaget kan då korrigera och komplettera samtliga uppgifter. Här kan nämnas att Statistiska centralbyrån har påbörjat ett arbete för att se över uppdateringsfrekvensen och öka därigenom öka registrets kvalitet.
Utlämnande av uppgifter från det allmänna företagsregistret som inte grundas på tryckfrihetsförordningen eller offentlighets- och sekretesslagen (2009:400) sker mot avgift. Utlämnande sker enligt 16 § om det allmänna företagsregistret i form av utskrift, på medium för automatisk databehandling eller genom att en eller flera terminaler eller datorer ansluts till registret. Registret är offentligt.
Det finns ett relativt begränsat antal myndigheter som använder det allmänna företagsregistret för att hämta uppgifter om företagen, exempelvis Tillväxtverket och Trafikanalys. Det går inte att finna någon entydig förklaring till registrets begränsade användning. Frågor som rör uppgifternas kvalitet och definitioner förefaller spela in. Klart är dock att registret inte har kommit att spela den roll i den statliga förvaltningen som var avsikten vid dess tillkomst.
Det norska Enhetsregistret
I Norge inrättades år 1995 Enhetsregistret med det huvudsakliga syftet att samordna grundläggande information om företag och myndigheter. Registret ligger bland annat till grund för tilldelning av organisationsnummer till företagen. Till registret har knutits sju register som närmast motsvaras av de näringslivsregister som förs av Bolagsverket och beskattningsdatabasen hos Skatteverket. Dessa register måste använda sig av de uppgifter som finns i enhetsregistret och de som ansvarar för de anknytande registren har också en skyldighet att hålla sina egna register uppdaterade i förhållande till Enhetsregistret. Vidare har norska myndigheter rätt att ta del av Enhetsregistret.
I Norge har Enhetsregistret, spelat stor roll för samordningen av grundläggande företagsuppgifter, vilket varit betydelsefullt både för samordning av uppgifter, men också för skapandet av den för det offentliga Norge gemensamma e-portalen Altinn – enklere dialog
96
med det offentlige. Altinn strävar efter att vara det offentliga Norges samlade kontaktpunkt för företag. En fördel med Altinn är att när portalen används för att fullgöra uppgiftskrav ifylls relevanta uppgifter ur enhetsregistret automatiskt så användaren slipper detta moment.
Vår bedömning
Med tanke på det allmänna företagsregistrets tillkomsthistoria och att det är det enda öppna och offentliga register som omfattar samtliga företag är det enligt utredningen naturligt att överväga att använda det som en samlad källa för myndigheterna avseende företagens grundläggande uppgifter.
Det finns dock alternativ till företagsregistret (som är ett centralt register) när man önskar att sammanställa grundläggande uppgifter om företagen.
Tekniskt kan man bygga något som kan beskrivas som en fasad mot distribuerade tjänster. I en sådan lösning ersätts företagsregistret med en fasad (tjänst) som för användande myndigheters räkning hämtar in uppgifterna från olika register – företrädesvis de s.k. primärregistren – och vidareförmedlar dessa till myndigheterna.
Det är även möjligt att bygga en s.k. tjänstekatalog. I denna lösning finns inget samlat register och inte heller någon fasad som erbjuder en samlad åtkomst. I stället utvecklas den interna tjänstekatalogen till en extern dito, i vilken myndigheterna först slår upp vilka register som ansvarar för de olika uppgifter som efterfrågas. Myndigheterna går sedan själva vidare och frågar vart och ett av källregistren, dvs. utför de steg som fasadtjänsten utför i det föregående alternativet.
De två sistnämnda lösningarna har en del fördelar över det allmänna företagsregistret. Vad som är att betrakta som grundläggande uppgifter är inte en över tid beständig mängd av uppgifter. Kontaktvägar med företagen förändras. När företagsregistret skapades var de traditionella kontaktvägarna telefon och brev förhärskande och det krävdes en författningsändring för att registret skulle få innehålla uppgifter om t.ex. e-postadress.
Vidare innebär dessa sistnämnda båda lösningar att uppgifterna alltid hämtas direkt från de s.k. primärregistren utan tidsfördröjning, vilket allmänt uppfattas som attraktivt. En önskan att hämta uppgifter från primärregistren ska dock ställas mot dagens ordning
97
som omgärdas av en del osäkerhet huruvida myndigheterna de facto vänder sig till dessa register i realtid. Det framgår inte av det material som tagits fram inom Bolagsverkets kartläggningsprojekt i vilken utsträckning myndigheterna hämtar uppgifter ur de s.k. primärregistren eller kräver att företagen visar registerutdrag när uppgiftskraven innehåller uppgifter där det finns ett primärregister. I kartläggningsprojektet identifieras exempelvis firmatecknare som en grundläggande uppgift men det framgår inte om det är uppgift om vem som tecknar firman som avses eller om det är behörig firmatecknare som ska fullgöra uppgiftskravet. En önskan att hämta uppgifter ur primärregistren kan enligt utredningen därför inte vara avgörande för val av lösning avseende de grundläggande uppgifterna.
Till bilden hör även att det för vissa uppgifter saknas ett s.k. primärregister. Används en fasad mot distribuerade tjänster eller en tjänstekatalog kan det därför på något sätt behövas utse ett eller flera register som är primärregister för dessa uppgifter. Som tidigare påpekats är det allmänna företagsregistret det enda öppna register som samlat registerför samtliga företag.
Enligt utredningens direktiv ska vi föreslå en tekniskt verifierad, effektiv lösning som möjliggör informationsutbyte mellan myndigheter med ambitionen att detta utbyte av information sker direkt i den tekniska lösningen, dvs. den tjänst som företagen lämnar sina uppgifter till och som kan skräddarsys efter de enskilda myndigheternas informationsbehov. Det allmänna företagsregistret har den fördelen att det är en väl beprövad infrastruktur som ursprungligen skapades bland annat med syftet just att en uppgift ska samlas in en gång till ett ställe väcker väsentligt färre tekniska och juridiska frågor jämfört med de ovan nämnda alternativen som båda är tekniskt och juridiskt oprövade. De båda alternativa lösningarna finns i dag såvitt vi känner till inte i drift i den omfattning som det skulle bli fråga om i vår förslagna infrastruktur. Dessa lösningar skulle vidare ställa höga krav på de deltagande registren i fråga om tillgänglighet som i sig utgör en betydande osäkerhetsfaktor.
Erfarenheter från Norge talar också för att om man använder ett och samma register för de grundläggande uppgifterna höjs kvaliteten successivt på registret. Bara det faktum att registret är i bruk generar rättelser, kompletteringar etc. Behovet av att utse ett eller flera register som primärregister för de uppgifter som företagen själva disponerar över försvinner också eftersom företagsregistret då blir en självklar källa till dessa uppgifter, dvs. ett de facto primärregister.
98
Ytterligare en fördel är att den servicetjänst som vi föreslår också skulle kunna utnyttjas så att företagen enkelt har åtkomst till uppgifterna i det allmänna företagsregistret och härigenom kan anmäla ändrade uppgifter direkt så att dessa får direkt genomslag ut till myndigheterna.
Det måste påpekas att det finns ytterligare uppgifter som vi vet att många myndigheter frågar företagen om. Ett sådant område är ekonomiska uppgifter om företagen. Att vi inledningsvis fokuserar på de uppgifter som i dag finns registerförda i det allmänna företagsregistret innebär inte att vi bortser från den potential för samordning som kan finnas för dessa uppgifter. Vi har dock valt att avgränsa arbetet för att kunna komma framåt. Därutöver är inte företagens årsredovisningar för närvarande tillgängliga i elektronisk form.
7.5. Ansvaret mellan myndigheter och uppgiftslämnaren
Vår bedömning: Aviseringen av grundläggande uppgifter sker
bara som en service till myndigheten och uppgiftslämnaren. Aviseringen av uppgifter är inte avsedd att påverka det juridiska förhållandet mellan uppgiftslämnaren och den myndighet som har författningsstödet för uppgiftskravet.
Bolagsverket anförde i sitt förslag till minskat uppgiftslämnande
för företagen att när det gäller fördelningen av ansvaret mellan myndigheterna och uppgiftslämnaren att ansvaret för att viss uppgift hämtas in från företaget även fortsättningsvis ska vara en fråga för den myndighet som har författningsstödet för den aktuella uppgiftsskyldigheten. Detta ska gälla oavsett att uppgiftsinhämtandet rent praktiskt fullgörs av en annan myndighet. I linje med ovanstående huvudregel ska de eventuella sanktionsmöjligheter som följer av författningen vid ett uteblivet uppgiftslämnande utövas av varje myndighet som innehar grundläggande författningsstöd för uppgiftsinhämtandet. Detta följer av att uppgiftssamordningen inte är avsedd att påverka det juridiska förhållandet mellan uppgiftslämnaren och den myndighet som har författningsstödet för uppgiftskravet utan endast distributionen av en viss uppgift.
Utredningen instämmer i de överväganden som redovisades av Bolagsverket i denna del. Det förhållandet att Servicetjänsten till-
99
kommer ändrar inte på detta grundläggande förhållande. Aviseringen av grundläggande uppgifter sker bara som en service till myndigheten och uppgiftslämnaren. Aviseringen av uppgifter är inte avsedd att påverka det juridiska förhållandet mellan uppgiftslämnaren och den myndighet som har författningsstödet för uppgiftskravet.
7.6. Hur ska myndigheterna använda uppgifterna ur företagsregistret?
Vårt förslag: Myndigheterna ska vara skyldiga att anpassa sina
e-tjänster så att de uppgifter som kommer att aviseras genom Servicetjänsten kan användas för att minska och förenkla företagens uppgiftslämnande.
Vår bedömning: Myndigheterna måste som ett led i arbetet med
att minska och förenkla företagens uppgiftslämnande systematiskt och regelbundet gå igenom varje uppgiftskrav och noga överväga vilka uppgifter som är nödvändiga för myndighetens handläggning och om dessa verkligen måste lämnas av företagaren.
Det övergripande syftet med utredningens arbete är att det ska leda till ett minskat och förenklat uppgiftslämnande för företagen. Att försörja myndigheterna med grundläggande uppgifter om företagen är i grunden ett sätt att förenkla för myndigheterna. Men det leder i sig inte till att uppgiftslämnandet minskar eller förenklas för företagen. En avgörande framgångsfaktor för arbetet är hur myndigheterna hanterar de grundläggande uppgifterna i samband med varje enskilt uppgiftslämnande. Företagen kommer även fortsättningsvis att fullgöra uppgiftslämnandet till varje enskild myndighet. Det är därför myndigheterna som måste vidta åtgärder för att minska och förenkla företagens uppgiftslämnande. Det är lite vunnet om myndigheterna trots att de aviserats relevanta och aktuella uppgifter om företaget ändå väljer att avkräva samma uppgifter från företaget i samband med varje enskilt uppgiftslämnande.
I Norge måste de register som är knutna till Enhetsregistret använda sig av den grundläggande information om företagen som finns i Enhetsregistret. Vidare använder sig Altinn av enhetsregistret för att förifylla grundläggande företagsuppgifter när uppgiftskrav fullgörs i e-tjänsten.
100
I vilken utsträckning förandet av myndigheternas register och det allmänna företagsregistret ska omgärdas av en skyldighet att utbyta information registren sinsemellan är inte en fråga som utredningen tar ställning till. Grundläggande information om företaget kommer i vårt förslag att levereras till aktuell myndighet när användaren utnyttjar Servicetjänsten som ingång för uppgiftslämnandet. Genom att det allmänna företagsregistret får en central roll i den föreslagna infrastrukturen borde myndigheterna i större utsträckning än i dag få incitament att samordna sina register mot detta register. Detta dels för att höja det allmänna företagsregistrets kvalitet, dels för att höja de egna registrens kvalitet för att på så sätt även nå företag som inte använder sig av e-tjänster för att fullgöra uppgiftskrav.
Det finns tusentals uppgiftskrav att för alla dessa ange ett enda sätt som de aviserade uppgifterna ska användas på för att förenkla eller minska företagens uppgiftslämnande är vare sig möjligt eller lämpligt. Varje uppgiftskrav måste bedömas utifrån uppgiftskravet som sådant och hur det är möjligt att bygga aktuell e-tjänst för att ta om hand om uppgifterna på ett bra sätt för användaren. Myndigheterna måste som ett led i kartläggningsarbetet systematiskt gå igenom varje uppgiftskrav och noga överväga vilka uppgifter som är nödvändiga för handläggningen och om dessa behöver lämnas av företagaren. Det är också nödvändigt att ta ställning till vilka uppgifter som är ärendespecifika dvs. vilka uppgifter som är unika för uppgiftskravet.
Utredningen förespråkar att myndigheterna helt enkelt slutar att fråga efter kontaktuppgifter när användaren använder sig av servicetjänsten och litar på att användaren uppdaterat dessa i servicetjänsten. Detta bedömer utredningen vara ett bra och konkret sätt att minska och förenkla uppgiftslämnandet Ett minimum är dock att de aviserade kontaktuppgifterna visas i e-tjänsten i form av förifyllda fält så som görs i prototypens simulerade myndighetstjänster, se nedan.
När det gäller de uppgifter som ovan benämns ärendespecifika kommer det enligt utredningens förslag även att vara möjligt att inledningsvis avisera sådana. Det kan t.ex. vara fråga om vilket arbetsställe som ett uppgiftslämnande avser. Om det är möjligt bör myndigheterna även när det gäller ärendespecifika uppgifter avstå från att i e-tjänsten fråga företagaren efter dem. Krävs det för den fortsatta handläggningen av ärendet eller för att rättsverkningar ska kunna inträda som är knutna till uppgiftskravet att det är företaget som lämnat uppgiften bör myndigheterna i ännu större utsträckning än i dag används sig av förifyllda fält eller rullister i sina e-
101
tjänster. Företaget får därigenom möjlighet att ta ställning till och ansvara för de uppgifter som lämnas.
7.7. Anslutna myndigheters möjlighet att behandla aviserade uppgifter
Vår bedömning:Personuppgiftslagen och/eller tillämpliga re-
gisterförfattningar gör att många myndigheter inte får behandla samtliga de uppgifter om ett företag som finns i det allmänna företagsregistret.
Den grundläggande informationen om företagen som aviseras via Servicetjänsten bör därför anpassas till mottagande myndighet.
De uppgifter som finns i det allmänna företagsregistret är offentliga. Även övriga uppgifter som vi ser i ett senare skede kan komma att betraktas som grundläggande uppgifter om företagen som exempelvis ekonomisk information ur årsredovisningar osv. är av denna karaktär.
Under utredningens gång har det framförts att vissa myndigheter inte kan behandla alla uppgifter om ett enskilt företag med tillhörande arbetsställen som finns i det allmänna företagsregistret. En del av de registerförfattningar som myndigheter har att tillämpa på redan befintliga respektive nytillkomna uppgiftssamlingar skulle lägga hinder i vägen. Vidare har framhållits att det härigenom finns ett behov av att anpassa föreslagen infrastruktur så att myndigheterna bara erhåller grundläggande information om företagen som de får behandla.
För att få en bild av hur det förhåller sig med myndigheternas möjlighet att behandla de uppgifter som finns i allmänna företagsregistret – som inledningsvis kommer att utgöra basen för det som är grundläggande företagsuppgifter – har utredningen skickat ut en enkät till 21 olika myndigheter. Enkäten skickades ut dels till de 14 myndigheterna i kartläggningsuppdraget, dels till sju myndigheter som valts för att få en med även mindre myndigheter och myndigheter verksamma inom andra samhällssektorer. Enkäten innehöll två frågor:
102
1. Vilka författningar styr myndighetens behandling av uppgifter om företagen?
2. Får ni behandla alla de uppgifter om ett enskilt företag och dess arbetsställen som finns i det allmänna företagsregistret när företaget lämna uppgifter till myndigheten?
Femton myndigheter svarade utförligt på enkäten. Av svaren framgår att åtta myndigheter får behandla samtliga uppgifter som finns i det allmänna företagsregistret.
Sju myndigheter angav följaktligen att de inte kan behandla alla de uppgifter som finns i det allmänna företagsregistret. Det går inte att skönja någon klar linje i vilka uppgifter som myndigheterna anser sig inte kunna behandla. Däremot är det tydligt att de myndigheterna som svarat på enkäten kan behandla följande uppgifter.
- organisations- eller personnummer
- firma
- fysisk persons namn
- postadress
- besöksadress
- telefonnummer
- faxnummer
- e-post
Dessa uppgifter korresponderar ganska väl mot de nio uppgifter som identifierades inom kartläggningsuppdraget som mest vanliga att samla in från företagen sett till både ärendemängd och antal uppgiftskrav.
Personuppgiftslagen och/eller tillämpliga registerförfattningar gör att många myndigheter inte får behandla samtliga de uppgifter om ett företag som finns i det allmänna företagsregistret.
Den grundläggande informationen om företagen som aviseras via Servicetjänsten bör därför anpassas till mottagande myndighet.
103
8. Allmänt om registret över uppgiftskrav och listor över uppgiftskrav
8.1. Specifikt om registret över uppgiftskrav
Arbetet med att skapa ett register över uppgiftskrav har redan påbörjats genom regeringens uppdrag till 14 myndigheter att genomföra insatser för att möjliggöra ett framtida förenklat och minskat uppgiftslämnande. Bolagsverket har lett myndigheternas kartläggning av uppgiftskraven och sammanställer resultatet. Registret ska bilda underlag för arbetet att minska och förenkla företagens uppgiftslämnande till de statliga myndigheterna. Projektet ska slutredovisas den 30 november 2013.
Det förtjänar redan inledningsvis att påpekas att registret över uppgiftskrav endast kommer att innehålla information om de olika uppgiftskrav som riktas mot företagen. Registret kommer således inte i någon del att innehålla uppgifter som är hänförliga till enskilda företag eller personer.
8.1.1. Syfte
Vår bedömning: Ett uppgiftskravsregister har en avgörande roll
att spela när det gäller att skapa förutsättningar för samordning och informationsutbyte mellan myndigheter och ge tillgång till tillförlitlig statistik över företagens uppgiftslämnande.
Därutöver utgör regisistret över uppgiftskrav en central komponent i Servicetjänsten. När myndigheterna inventerar sina uppgiftskrav kommer de att för vart och ett av kraven tvingas att ta ställning till vilka av de grundläggande uppgifter, som kommer att aviseras genom Servicetjänsten, och som är nödvändiga för handläggningen av ärendet i fråga.
104
Bolagsverket beskriver i sitt förslag till minskat uppgiftslämnande för företag det övergripande syftet med ett uppgiftskravsregister på följande sätt. Vid tillskapandet av ett samordningsorgan måste en kartläggning göras bland annat över vilka uppgiftskrav som riktas mot näringslivet, ändamålet med dessa, vilka myndigheterna är som samlar in uppgifterna, hur informationen samlas in och när över tiden insamling sker. Genom denna kartläggningsprocess skapas en så långt möjligt komplett bild över statliga myndigheters uppgiftskrav, vilket rimligtvis ger en mycket god redovisning av myndigheternas befintliga uppgiftsinsamlande. En grund för såväl myndighetsintern samordning inom respektive berörd myndighet som samordningsverksamhet mellan olika myndigheter utvecklas därmed, vilket torde vara en förutsättning för en effektiv förenklingsverksamhet.
Med nämnda kartläggning som underlag, samt den därmed förknippade registreringen av beskrivningar av uppgifter och hur de används (referensinformation), kan ett samordningsorgan enligt Bolagsverket identifiera eventuella överlappningar i nämnda uppgiftsinsamlande och arbeta för att minska den belastning på näringslivet som denna potentiella dubbelrapportering medför. Med tanke på att den befintliga graden av dubbelrapportering är oklar, och således inte enbart i sig kan motivera inrättandet av ett samordningsorgan, är det dock av vikt att poängtera de ytterligare effekter som kan uppnås genom detta arbete då det därmed också kan klarläggas vilka övriga förenklingsåtgärder exempelvis i form av ändrade inrapporteringstidpunkter, samordning av inrapporteringskanaler, införande av gemensamma standarder m.m. som i tillägg kan bidra till en god belastningsreduktion alldeles oavsett omfattningen av förekommande dubbelrapportering.
Det finns i sammanhanget all anledning att också framhålla de positiva effekter som införandet av den norska samordningsstrukturen inneburit med avseende på begränsningen av tillkommande uppgiftskrav. Den relativa belastningsminskning som detta delmoment inneburit har enligt det norska Oppgaveregisteret varit av än större betydelse än reduktionen av den befintliga dubbelrapporteringen av uppgifter.
Genom kartläggningsarbete skapas dessutom förutsättningar för en objektiv beräkningsgrund för kalkylering av vilken belastning som uppgiftsinsamlandet innebär för näringslivet.
En noggrann registrering av uppgiftskrav med förekommande termer och tillhörande definitioner m.m. medger vidare att uppgiftskraven kan jämföras och analyseras utifrån möjligheten att återanvän-
105
da faktiska uppgifter om ett företag hos flera myndigheter. Förutsättningar för en för det offentliga gemensam och kvalitetshöjande begreppsbildning skapas, vilket sannolikt kan innebära kostnadsbesparingar inte bara för näringslivet, utan också för berörda myndigheter. En lättillgänglig och omfattande informationsbank av betydelse för såväl lagstiftaren och myndigheter som näringsliv och intresseorganisationer utvinns således genom detta arbete.
Vår bedömning
Vi gör i grunden inte någon annan bedömning än den Bolagsverket redovisat i sin rapport. Uppgiftskravsregistret har en avgörande roll att spela när det gäller att skapa förutsättningar för samordning och informationsutbyte mellan myndigheter och ge tillgång till tillförlitlig statistik över företagens uppgiftslämnande.
Därutöver utgör regisistret över uppgiftskrav en central komponent i Servicetjänsten. När myndigheterna inventerar sina uppgiftskrav kommer de att för vart och ett av kraven tvingas att ta ställning till vilka av de grundläggande uppgifter, som kommer att aviseras genom Servicetjänsten, och som är nödvändiga för handläggningen av ärendet i fråga. Inledningsvis är det i vårt förslag endast fråga om uppgifterna i det allmänna företagsregistret men det finns inget som hindrar – tvärtom – att det på sikt utökas till att omfatta även annan information som ofta efterfrågas av myndigheterna.
8.1.2. Vad som ska registreras (uppgiftskrav)
Vårt förslag: Med uppgiftskrav avses författningsbaserade krav
riktade mot företag att lämna uppgifter till myndigheter under regeringen. Uppgiftskraven följer närmare av lag, förordning eller myndighetsföreskrift. Ett uppgiftskrav kan leda till att flera olika uppgifter behöver lämnas in. Uppgiftslämnande kan ske med viss regelbundenhet eller efter en viss händelse.
Bolagsverket avgränsade i sin rapport Förslag till minskat uppgifts-
lämnande för företag, uppgiftskrav till att endast avse förpliktelser enligt lag eller förordnin g1 att lämna uppgifter och endast förpliktel-
1 Avgränsningen följde direkt av regeringsuppdraget. I senare kartläggningsarbeten har även uppgiftskrav som följer av föreskrifter tagits med.
106
ser för företag som innebär att de ska lämna uppgifter till myndigheter under regeringen. Även sådant uppgiftslämnande inkluderades som är konsekvensen av en i sig frivillig handling, exempelvis ansökan om visst tillstånd eller bidrag, där det för myndighetens behandling av ärendet stadgas att vissa uppgifter ska lämnas. Det gjordes en begränsning till uppgifter som ska lämnas med viss regelbundenhet eller efter att en viss händelse inträffat som annars för med sig ett generellt uppgiftskrav. Bolagsverket undantog uppgiftslämnande till bland annat kommunala myndigheter och myndigheter under riksdagen.
Allmänt sett gäller att uppgiftslämnandet ofta ska ske i strukturerad form till följd av att myndigheten i fråga kräver visst format eller viss struktur hos uppgifterna. Någon avgränsning till uppgifter som ska lämnas i strukturerad form, i blankett etc. gjordes inte. Däremot föreslog som sagt Bolagsverket en begränsning av definitionen av uppgiftskrav till sådant uppgiftslämnande som sker med viss regelbundenhet eller efter att en viss händelse inträffat som annars för med sig ett generellt uppgiftskrav. Denna avgränsning utgick från praktiska hänsyn rörande vilka uppgifter som rimligen och lämpligen kan läggas till grund för samordning av uppgiftslämnandet.
Inom kartläggningsuppdraget har uppgiftskrav definierats på följande sätt.
Uppgiftskrav är krav på näringsidkare att lämna uppgifter till myndigheter. Uppgiftskraven följer av lag, förordning eller föreskrift. Ett uppgiftskrav kan leda till att flera olika uppgifter behöver lämnas in. Det kan ske med viss regelbundenhet eller efter en viss händelse.
Definitionen avser att träffa uppgifter som ska lämnas regelbundet, dvs. sådana som lämnas in årligen eller med andra intervall, exempelvis momsdeklarationer till Skatteverket eller statistikuppgifter till en statistikansvarig myndighet.
Med händelse avses i detta sammanhang att företaget gör eller avser att göra någonting eller är med om någonting som kräver att uppgifter lämnas till statliga myndigheter. Det kan vara fråga om att företaget importerar något och att detta kräver kontakt med någon myndighet, att företaget startar tillståndspliktig verksamhet eller ansöker om bidrag. En så vid definition av vad som avses med uppgiftskrav gör att ett mycket stort antal krav på företagen att lämna uppgifter till statliga myndigheter omfattas. Definitionen undantar i princip bara uppgifter som krävs in från företagen av myndigheterna i enskilda tillsynsärenden.
107
Vår bedömning
Redan av utredningens direktiv framgår att vårt arbete ska omfatta uppgiftslämnande som har sitt ursprung i lag, förordning eller myndighetsföreskrifter. Det innebär i sig en utvidgning jämfört med regeringens uppdrag till Bolagsverket och Bolagsverkets rapport 2009 som inte omfattade myndighetsföreskrifter. En grov uppskattning utifrån kartläggningsuppdragets lägesrapport 2012 ger vid handen att mängden uppgiftskrav ökar med mer än en tredjedel när även uppgiftskrav som följer av myndighetsföreskrifter inkluderas. Det framstår dock som naturligt att inkludera uppgiftskrav som har sitt ursprung också i myndighetsföreskrifter bland annat eftersom det kan vara förknippat med svårigheter att avgöra vilken nivå i normhierarkin en uppgiftsskyldighet har sitt reella ursprung. För företagen är det vidare i stort sett ointressant om ett uppgiftskrav följer av lag, förordning eller av föreskrift.
Det stora antalet uppgiftskrav som kommer att omfattas om man som utredningen gör väljer att anamma den definition som används inom kartläggningsuppdraget kan i sig tala för att det skulle finnas skäl att välja en något snävare innebörd. Samtidigt är målet med utredningens arbete att uppnå minskat och förenklat uppgiftslämnande för företagen generellt. Det är därför viktigt att definitionen av uppgiftskrav inte blir så snäv att för företagen betungande uppgiftslämning faller utanför.
Den här använda definitionen med sitt fokus på författningar och myndigheter som lyder under regeringen är relativt lätt att förstå och tillämpa vilket också gör den tilltalande. Slutligen har definitionen delvis redan etablerats bland de myndigheter som har deltagit i kartläggningsarbetet. Vi kan mot denna bakgrund inte finna några bärande skäl som talar mot att i det fortsatta arbetet utgå från någon annan definition av uppgiftskrav än den som används inom kartläggningsuppdraget.
8.1.3. Uppgiftskrav riktas mot företag och näringsidkare
Vårt förslag: Med företag och näringsidkare avses fysisk eller
juridisk person som bedriver näringsverksamhet i Sverige.
I begreppet innefattas även fysiska eller juridiska personer som avser att bedriva näring, vilande företag samt företag och näringsidkare som är i processen att avveckla näringsverksamheten.
108
Bolagsverket definierade aldrig begreppet företag i de författnings-
förslag som lämnades i rapporten Förslag till minskat uppgiftslämnande för företag. Bolagsverket angav dock i kommentaren till förslaget till förordning om förenkling av företagens uppgiftslämnande att med företag avsågs detsamma som i 1 kap. 2 § bokföringslagen (1999:1078). I bokföringslagens menas med företag en fysisk eller juridisk person som är bokföringsskyldig enligt lagen. Bokföringslagen definition är bred och träffar såväl enskilda näringsidkare (såvitt gäller deras näringsverksamhet) som alla handelsbolag, aktiebolag, ekonomiska föreningar och liknande företagsformer. Dödsbon omfattas till den del de bedriver näringsverksamhet. Vidare inkluderas i bokföringslagens företagsbegrepp vissa fysiska och juridiska personer vars verksamhet saknar karaktär av affärsverksamhet som stiftelser, ideella föreningar samfälligheter och registrerade trossamfund.
Inom kartläggningsuppdraget har begreppet näringsidkare och företag används synonymt. Med företagare/näringsidkare avses i uppdraget:
Fysisk eller juridisk person som bedriver näringsverksamhet i Sverige. I begreppet innefattas även fysiska eller juridiska personer som avser att bedriva näring, vilande företag samt företag/näringsidkare som är i processen att avveckla näringsverksamheten.
Vår bedömning
Begreppet företag används flitigt utan att vara entydigt definierat vid diskussioner om regelförenkling och arbetet med att minska uppgiftsbördan. Vad som avses med företag preciseras inte heller i utredningens direktiv. I dagligt tal förstås med företag en självständig ekonomisk enhet som producerar och/eller förmedlar varor eller tjänster. Men begreppet företag kan beroende på sammanhang också ges en både vidare och mer inskränkt betydelse. Också i tidigare arbeten som gjorts för att minska uppgiftslämnandet till statliga myndigheter har begreppet företagare använts i olika betydelser. Bilden kompliceras ytterligare av att begreppen näringsverksamhet/näringsidkare ibland används synonymt med företagarbegreppet. Regeringen angav t.ex. i det uppdrag att utarbeta ett förslag till minskat uppgiftslämnande som lämnades till Bolagsverket att med företag menas i sammanhanget en juridisk eller fysisk person som bedriver näringsverksamhet. Bolagsverket valde dock som framkommit ovan att
109
använda sig av bokföringslagens företagsbegrepp som inkluderar även företeelser som inte är att betrakta som näringsverksamhet.
Med näringsverksamhet avses vanligen förvärvsverksamhet som bedrivs yrkesmässigt och självständigt. Med förvärvssyfte avses att verksamheten ska ge någon form av ekonomiskt utbyte, dvs. det ska finnas ett vinstsyfte. Yrkesmässighet innebär att verksamheten ska bedrivas regelbundet, varaktigt och med en viss omfattning. Kravet på självständighet innebär att verksamheten inte får ha karaktären av en anställning. I Europeiska kommissionens rekommendation 2003/361/EG av den 6 maj 2003 om definitionen av mikroföretag samt små och medelstora företag avses med företag varje enhet, oberoende av juridisk form, som bedriver en ekonomisk verksamhet. Av artikel 1 framgår att som företag anses sådana enheter som utövar ett hantverk eller annan verksamhet enskilt eller inom familjen, personsammanslutningar eller föreningar som bedriver en regelbunden ekonomisk verksamhet. Rekommendationen följer den praxis som EU-domstolen skapat vid tolkningen av artikel 54, 101 och 102 i fördraget om Europeiska unionens funktionssätt. Den avgörande punkten är den ekonomiska verksamheten, inte den rättsliga formen.
Ytterligare ett sätt att definiera företag är att beakta 2 § förordningen (1984:692) om det allmänna företagsregistret som anger vilka typer av företag som det allmänna företagsregistret ska innehålla uppgifter om. I registret finns drygt 1,1 miljon registrerade företag. För att klassificeras som ett företag i registret måste företaget vara aktivt vilket innebär att företaget ska vara registrerat för moms, vara arbetsgivare eller inneha F-skattsedel. Dessutom måste företaget ha erhållit ett organisationsnummer eller ha inregistrerad firma. De kriterier som ligger till grund för registrering i det allmänna företagsregistret innebär att sådana aktörer som i vardagligt tal inte brukar benämnas som företag, så som bostadsrättsföreningar och oskiftade dödsbon om de bedriver näringsverksamhet omfattas av företagsregistreringen. Vidare registreras offentligt ägda företag, och kommuner i registret.
Statistiska centralbyrån gör ingen självständig prövning av om en verksamhet är att betrakta som företagande/näringsidkande. Huruvida en verksamhet ska föras in i det allmänna företagsregistret avgörs utifrån vad andra myndigheter beslutat och registerfört. Har Skatteverket tilldelat någon som avser att bedriva näringsverksamhet i form av enskild firma F-skattsedel kommer denne att även regelmässigt att föras in i företagsregistret.
110
Det finns enligt vår uppfattning inget som hindrar att begreppet företag i föreliggande arbete med att utveckla en infrastruktur för företagens uppgiftslämnande ges en mycket vidsträckt betydelse, dvs. att även företeelser som i dagligt tal inte direkt förknippas med företagande omfattas som t.ex. bostadsrättsföreningar. Den enda avgörande begränsningen är att definition inte får innebära en hämsko på våra möjligheter att uppnå ett minskat och förenklat uppgiftslämnande för majoriteten av företagen. Samtidigt är det lämpligt att definitionen av företag är tillräckligt klar och entydig så att myndigheterna är bekväma med att använda den. Vidare är det av vikt att det område som ska kartläggas är tydligt avgränsat så att de resurser som måste läggas ner på ett register över uppgiftskrav kommer den tänkta målgruppen tillgodo dvs. företagen/näringsidkarna i ordets mer vardagliga mening.
I kartläggningsuppdraget har en definition valts som knyter an till begreppet näringsverksamhet. Kartläggningsprojektets definition – även om den är mer detaljerad – hänför sig till den definition av företagare som användes av regeringen i uppdraget till Bolagsverket 2008. Kartläggningsprojektets definition har tagits fram gemensamt av de myndigheter som deltar i projektet. Definitionen är så att säga traditionell genom att den i princip anger att ett företag är en juridisk eller fysik person som bedriver näringsverksamhet.
Vi kan inte finna några bärande skäl att använda någon annan definition än den som använts i kartläggningsprojektet. Som företagare/näringsidkare betraktas därför samtliga fysiska eller juridiska personer som bedriver näringsverksamhet i Sverige. I definitionen innefattas även fysiska eller juridiska personer som avser att bedriva näring, vilande företag samt företagare/näringsidkare som är i processen att avveckla näringsverksamheten.
8.1.4. Vem ska anmäla och beskriva uppgiftskraven
Vårt förslag: Den myndighet som företag fullgör ett uppgiftskrav
gentemot ska anmäla och beskriva uppgiftskravet till den myndighet som ansvarar för registret över uppgiftskrav, dvs. Företagsdatamyndigheten.
Den myndighet som ansvarar för registret över uppgiftskrav får meddela närmare föreskrifter om vilken information som ska ges in.
111
Bolagsverket har i Förslag till minskat uppgiftslämnande för före-
tagen föreslagit att en myndighet under regeringen som vill införa uppgiftskrav, ändra sina uppgiftskrav eller utmönstra uppgiftskrav ska anmäla detta till ett samordningsorgan som verket benämner Uppgiftskravsinspektionen. Till en sådan anmälan ska enligt Bolagsverkets förslag fogas en redovisning av de uppgiftsskyldigheter, de uppgiftskrav och den övriga referensinformation som behövs. Myndigheter under regeringen ska enligt detta förslag dessutom – även om uppgiftskrav inte införs eller ändras – lämna sådan redovisning efter föreläggande av den som ansvarar för registret. I samband med etableringen av ett register ska myndigheterna vidare, innan utgången av en i övergångsbestämmelser angiven tid, under samordningsorganets ledning och i enlighet med dess instruktioner, självmant redovisa uppgiftsskyldigheter, uppgiftskrav och annan referensinformation. Samordningsorganet behöver enligt Bolagsverket begära in referensinformation från myndigheterna avseende i vart fall följande:
- uppgiftskravets formella beteckning
- uppgiftskravets definition
- tekniska format för lagringen av insamlad uppgift (möjligen)
- vem som är skyldig att lämna in uppgiften
- lagstödet för uppgiftens insamlande
- tidpunkten för uppgiftens insamlande
- metoden för uppgiftens insamlande (blankett/e-tjänst)
- bedömning av den belastning det innebär för företagaren att svara på uppgiftskravet.
Bolagsverket föreslår dessutom att samordningsorganet ska få föreskriva närmare vilken referensinformation som ska ges in till uppgiftskravsregistret vid nya eller ändrade uppgiftskrav. Samordningsorganet kan därmed säkerställa att registret inte innehåller några faktiska uppgifter om företag m.m. Registret föreslås bli ett s.k. publicitetsregister som ska hållas tillgängligt elektroniskt för var och en.
112
Skälen för vårt förslag
När ett företag fullgör ett uppgiftskrav lämnar företagaren ett antal uppgifter. Hur många uppgifter som krävs beror på uppgiftskravet. Ett enkelt uppgiftskrav att fullgöra som även är lätt att beskriva är t.ex. ansökan om nötkreaturspass hos Jordbruksverket. Pass krävs när nötkreatur flyttas eller exporteras till ett annat EU-land. Jordbruksverkets blankett för ändamålet kräver att man anger namn och adress för beställare och fakturamottagare, telefonnummer dagtid och faxnummer. Vidare ska avresedatum anges liksom djuridentitet i form av produktionsplatsnummer, individnummer och kontrollsiffra. Slutligen ska blanketten skrivas under. Det finns även den andra änden av skalan med uppgiftskrav som är betydligt mer komplex att beskriva och därmed troligen avsevärt mer krävande att fullgöra. På samma sätt som uppgiftskraven varierar i svårighetsgrad att fullgöra är det olika svårt att beskriva dem.
Det finns för närvarande över 250 statliga förvaltningsmyndigheter under regeringen. I kartläggningsuppdraget identifierades i den första delrapporten 1 164 uppgiftskrav av de 14 myndigheter som ingår i arbetet.
När kartläggningsarbetet utvidgas till att omfatta samtliga statliga myndigheter kan det antas att antalet uppgiftskrav också mångdubblas. En enskild myndighet kan inte ansvara för, kartlägga och hålla sig a-jour med en sådan stor mängd krav. Som Bolagsverket föreslog ska det också enligt utredningens förslag vara varje enskild myndighet som ansvarar för att myndighetens uppgiftskrav på företagen rapporteras och beskrivs till registret över uppgiftskrav.
Hur detaljerad denna inrapportering ska vara bör överlåtas till den myndighet som kommer att ansvara för registret (Företagsdatamyndigheten ). Det är inte otänkbart att allteftersom arbetet med att minska och förenkla företagens uppgiftslämnande fortskrider så förändras behovet av registrering. Ett visst mått av flexibilitet måste därför finnas även om kärnan av uppgifter ska vara densamma över tid. En styrande faktor för registrets innehåll är vidare registrets centrala roll i Servicetjänsten. Utan den information som samlas in i registret över uppgiftskrav är det inte möjligt att ”skräddarsy” Servicetjänsten utifrån användaren och försörja myndigheterna med grundläggande uppgifter om företagen så att de kan minska och förenkla företagens uppgiftslämnande.
När registret över uppgiftskrav etableras kommer myndigheterna inledningsvis att behöva inventera vilka uppgiftskrav som företagen
113
fullgör mot myndigheten och vilka uppgifter som myndigheterna samlar in. Hur omfattande detta arbete blir varierar mellan myndigheterna. För att registret ska vara meningsfullt och kunna tjäna sina syften är det viktigt att det i princip är komplett redan när det driftsätts. Den arbetsinsats som inledningsvis krävs av de enskilda myndigheterna ska dock inte överdrivas. Myndigheterna tillhandahåller redan i dag e-tjänster och blanketter för i stort sett samtliga uppgiftskrav. Det fordras ett kontinuerligt arbete att också hålla blanketter och e-tjänster uppdaterade allteftersom uppgiftskraven förändras. Ett arbete som inte är olikt det arbete som kommer krävas för att fullgöra myndighetens rapporteringsskyldighet till registret över uppgiftskrav.
Inom kartläggningsuppdraget har de deltagande myndigheterna under det första halvåret 2012 lyckats inventera samtliga sina uppgiftskrav och rapportera in resultatet till vad som kan betecknas som början till ett register över uppgiftskrav. Naturligtvis måste övriga myndigheter ges motsvarande tid att inventera sina uppgiftskrav innan ett komplett register är färdigt att tas i bruk. Avsikten är vidare att när det sedan sker ändringar i uppgiftskraven ska den myndighet som ansvarar för att ta emot uppgifter och behandla uppgifter från företagen meddela förändringarna till registret.
8.1.5. Beslut om samordning
Vår bedömning: Det bör inte föreskrivas några inskränkningar i
rätten att samla in uppgifter från företagen vid utebliven eller ofullständig anmälan av uppgiftskrav till registret.
Företagsdatamyndigheten bör inte få besluta om att myndigheter ska avstå från att samla in uppgifter från företag och inte heller få besluta om krav på samordning av uppgifter mellan myndigheter.
Bolagsverket har i Förslag till minskat uppgiftslämnande för före-
tagen föreslagit att en myndighet under regeringen som vill införa nya uppgiftskrav eller ändra sina uppgiftskrav inte ska få påbörja denna nya insamling av uppgifter från företag utan att samordningsorganet först beslutat i frågan om samordning av uppgiftskraven. Som skäl anger Bolagsverket att den av verket föreslagna Uppgiftskravsinspektionen också bör ges en beslutande roll. En rätt att besluta i
114
frågan torde enligt denna uppfattning behövas för att säkerställa ett fungerande förändringsarbete. Beslutet skulle bara avse källan för informationen och inte uppgiftskravet i sig. I sammanhanget skulle detta innebära att uppgiftskravet inte skulle upphöra för det fall samordningsorganet beslutar om samordning. Detta krav skulle således bestå, men i den utsträckning källan för viss information finns angiven i detsamma, ”riktas” det dock om från företagen till en myndighet som redan har tillgång till förevarande informationsenhet.
Skälen för vår bedömning
Brister i inrapportering
Ett uppgiftskrav är i detta sammanhang ett författningsreglerat krav på företag att lämna uppgifter till myndigheter under regeringen. Uppgiftskraven följer av lag, förordning eller myndighetsföreskrift. Det finns uppskattningsvis minst ett par tusen uppgiftskrav som helt eller delvis riktar sig mot företagen. Ett övergripande syfte med uppgiftskravsregistret är att på ett strukturerat sätt kartlägga och beskriva samtliga författningsbaserade uppgiftskrav som riktar sig helt eller delvis till företag samt hur de uppgifter som lämnas från företagen som en följd av uppgiftskraven behandlas av myndigheterna. Härigenom skapas inte bara förutsättningar för ett förenklat uppgiftslämnande utan även för ett minskat sådant genom att beslutande organ får underlag för regelförenkling genom ändring av de författningsbaserade uppgiftskraven.
Det är naturligtvis av vikt att inrapporteringen av nya eller förändrade uppgiftskrav till registret verkligen sköts av myndigheterna så att registret är tillförlitligt. Frågan är om vikten av att registret är rätt och komplett motiverar att det som Bolagsverket föreslagit införs ett förbud mot insamlande av information från företagen om rapporteringen av uppgiftskravet till registret har fullgjorts eller att uppgiftsskyldigheten ”riktats om”.
Registret över uppgiftskrav – även om det är viktigt för arbetet att minska och förenkla företagens uppgiftslämnande – är i grunden bara en beskrivning av en delmängd av företagens författningsreglerade skyldigheter. Den myndighet som är ansvarig för att ta emot och behandla uppgifterna från företagen disponerar inte alltid över uppgiftsskyldighetens uppkomst eller vad som krävs för att den ska anses fullgjord. Att i sådana fall knyta myndighetens möjlighet att
115
samla in uppgifter från företagen till att myndigheten anmält uppgiftskravet till registret riskerar att skapa onödig förvirring kring vad som faktiskt gäller samt även mer administration med anknytande kostnader. Det framstår som direkt olämpligt att låta den fulla tillämpningen av en lag eller annan föreskrift göras avhängig en fullständig anmälan till registret över uppgiftskrav.
Det kan även anmärkas att annat angeläget förenklingsarbete som exempelvis myndigheters skyldighet2att genomföra en konsekvensutredning innan föreskrifter eller allmänna råd beslutas helt saknar den typen av reglering som Bolagsverket föreslår. Enligt utredningen bör därför utebliven eller ofullständig anmälan till registret inte hindra att uppgiftskravet leder till insamling av uppgifter från företagen.
Värt att notera är vad utredningen tidigare anfört om myndigheternas allmänna skyldighet att minska och förenkla företagens uppgiftskrav. I sammanhanget bör även nämnas den roll Regelrådet har i att granska nya eller ändrade lagar, förordningar eller myndighetsföreskrifter i syfte att begränsa företagens administrativa kostnader.
Beslut om samordning
Frågan är om Företagsdatamyndigheten ska ha rätt att besluta att en myndighet ska upphöra med att avkräva företag uppgifter när en annan myndighet redan samlar in ”samma uppgift”. Bolagsverkets förslag även om det är generellt utformat tar i första hand sikte på uppgifter i s.k. publicitetsregister samt andra uppgifter som i andra fall kan finnas enkelt tillgängliga för en viss myndighet. Det framstår med andra ord som om avsikten har varit att samordna inhämtandet av grundläggande uppgifter från företagen.
Genom inrättandet av Servicetjänsten kommer de grundläggande uppgifterna aviseras myndigheterna. Därigenom kommer en stor del av de uppgifter som nästan alltid måste lämnas att samordnas vilket medför att detta uppgiftslämnande avlastas företagen. Det tänkta behovet för samordningmyndigheten att kunna besluta om samordning försvinner därmed.
2 Förordning (2007:1244) om konsekvensutredning vid regelgivning.
116
8.2 ”Att göra-listor”
Vår bedömning: ”Att göra-listor” som anpassas till det enskilda
företaget skulle ge företagen betydligt bättre överblick över vilka uppgiftskrav som företaget ska fullgöra. Även myndigheterna skulle dra nytta av Att göra listor om företagen i större utsträckning fullgör sina uppgiftskrav i rätt tid.
För att kunna skapa Att göra listor måste det fortsättningsvis kartläggas om myndigheterna har kunskap om vilka företag som ska fullgöra ett visst uppgiftskrav så att det går att skapa rättvisande listor för ett enskilt företag.
Servicetjänsten kommer att skapa generella uppgiftskravslistor som presenterar vilka uppgiftskrav som är aktuella för just ett visst inloggat företag med anknytande länkar till eventuella e-tjänster där kraven kan fullgöras. Listorna bygger på den information som finns i Uppgiftskravsregistret kopplat till den verksamt företaget bedriver dels så som angivet i den SNI-kod som är registrerad i det allmänna företagsregistret, dels med avseende på associationsrättslig form. Uppgiftskravslistorna kan innehålla allt från att företaget är skyldigt att deklarera till möjligheten att ansöka om stöd eller likande.
Ett sätt att förfina de generella uppgiftskravslistorna är att skapa något vi valt att kalla Att göra listor. På en sådan lista ska det bara förekomma krav som företaget ska fullgöra. Varje enskilt företag ska kunna få överblick över vilka uppgiftskrav som företaget är skyldigt att uppfylla, men som ännu inte uppfyllts exempelvis att ett aktiebolag är skyldighet att lämna in årsredovisning till Bolagsverket senast ett visst datum.
De uppgiftskrav som kvarstår på den ursprungliga uppgiftskravslistan när en särskild Att göra lista skapas är krav som visserligen är av intresse för företaget men som exempelvis aktualiseras först när företaget vill ansöka om något eller ska anmäla någon händelse till en myndighet. I prototypen har vi valt att kalla denna mer generella lista Ansök/Anmäl. Eftersom denna lista kommer att innehålla samtliga uppgiftskrav som kan aktualiseras för ett företag i en viss bransch kommer förteckningen att vara betydligt mer innehållsrik än Att göra listan.
För att kunna skapa ett meningsfulla Att göra listor måste det med rimlig säkerhet vara möjligt att dels ange vilka uppgiftskrav
117
som ett företag ska fullgöra så att det går att generera en lista dels, ta bort fullgjorda uppgiftskrav från listan.
Ett enkelt sätt att skapa Att göra listor i Servicetjänsten är att enbart utgå från uppgifter som finns i registret över uppgiftskrav. Listan över aktuella uppgiftskrav skulle då innehålla de uppgiftskrav som ska uppfyllas inom en viss tidsperiod (exempelvis de närmaste fyra veckorna). Det är genom en sådan ansats möjligt att skapa relativt kompletta Att göra listor. Nackdelen är att listorna inte kommer att utgå från det faktiska företaget utan i stället alltid tar sin utgångspunkt från ett teoretiskt företag. Vissa typer av uppgiftskrav som att ett företag blivit utvalt och ska lämna uppgifter till den officiella statistiken är inte möjligt att visa med någon exakthet.
Det är vidare inte möjligt att bara med uppgifterna från registret över uppgiftskrav ta bort de uppgiftskrav som företaget fullgjort från Att göra listan. Listan kommer därför inte att vara anpassad till det enskilda inloggade företaget. Ett sätt att lösa det kan vara att låta användaren själv släcka poster i Att göra listan.
Av kartläggningen framgår att myndigheterna är initierande part i 164 uppgiftskrav som utgör nästan en fjärdedel av antalet ärenden Det finns borde därför finnas ett stort antal uppgiftskrav där myndigheterna vet att just detta krav bör fullgöras av ett specifikt företag till ett bestämt datum. Kartläggningen belyser dock inte i hur stor del av uppgiftskraven där myndigheterna har en sådan. Om man i det fortsatta arbetet med Uppgiftskravsregistret kartlägger om myndigheterna för varje uppgiftskrav kan säga att ett visst företag har att fullgöra ett visst krav eller inte öppnar sig helt andra möjligheter att skapa Att göra listor.
Varje myndighet skulle exempelvis kunna tillhandahålla en bastjänst för att leverera en lista på aktuella, inte uppfyllda, uppgiftskrav för ett visst företag. Bastjänsten skulle endast vara tillgänglig för Företagsdatamyndigheten. När ett företag loggar in på Servicetjänsten skulle denna tjänst sända parallella förfrågningar till samtliga myndigheters bastjänster och sedan sammanställa svaren till en lista över aktuella uppgiftskrav. En Att göra lista som skapas på detta sätt är alltid aktuell och anpassad till det enskilda företaget.
De tekniska nackdelarna med detta alternativ är främst att det ställer höga krav på tillgängligheten hos samtliga myndigheter. Den fullständiga sammanställningen kan inte visas innan svar från samtliga myndigheter erhållits. Om någon myndighets tjänst vid ett visst tillfälle inte är åtkomlig blir listan över aktuella uppgiftskrav inte fullständig.
118
Det finns dock andra tekniska lösningar som inte ställer samma krav på tillgänglighet hos myndigheterna. Man kan eventuellt överväga om det inte vore enklare för visa myndigheter att vid bestämda tillfällen exempelvis dagligen lämna över de uppgifter som krävs för att skapa Att göra listor till Företagsdatamyndigheten.
En sådan lösning är visserligen mindre komplicerad att genomföra rent tekniskt men den har samtidigt den nackdelen att Att göra listan inte kan hållas helt aktuell något som är en förutsättning för att servicen i form av Att göra listan ska vara meningsfull. Företagsdatamyndigheten skulle också tvingas att hålla uppgifterna i ett eget register (inlämningsregister). Är uppdateringsintervallet för glest kan det vidare vara nödvändigt att Företagsdatamyndigheten får uppgifter om samtliga företag inte bara de företag som regelbundet använder servicetjänsten. Värdet av tjänsten för nytillkomna företag skulle minska avsevärt om företaget måste vänta en längre tid efter första inloggningen innan en relevant Att göra lista kan presenteras.
Det finns även vissa juridiska hinder att övervinna vid innan Att göra listor kan skapas. En stor del av företagens uppgiftslämnande omfattas i något led av handläggningsprocessen av sekretess. Exemplet ovan om ett företags skyldighet att lämna uppgifter till officiella statistiken visar på detta. Uppgiften att ett företag har blivit utvalt att lämna uppgifter omfattas av statistiksekretessen som är absolut. Detsamma gäller uppgiften att företaget fullgjort kravet att lämna statistikuppgifterna.
Av 10 kap. 28 § offentlighets- och sekretesslagen (2009:400) framgår dock att sekretess inte hindrar att en uppgift lämnas till en annan myndighet, om uppgiftsskyldighet följer av lag eller förordning. Det är inte nödvändigt att bestämmelsen om myndighets uppgiftsskyldighet till annan myndighet har avfattats med tanke på att uppgifterna kan vara hemliga. Däremot krävs för att bestämmelsen ska beaktas att den uppfyller vissa krav på konkretion. Den kan a) ta sikte på utlämnande av uppgifter av ett speciellt slag, b) gälla en viss myndighets rätt att få del av uppgifter i allmänhet eller c) avse en skyldighet för en viss myndighet att lämna andra myndigheter information. Det är således möjligt att i den förordning som kommer reglera Uppgiftskravsregistret och servicetjänsten föreskriva att myndigheterna ska lämna uppgifter om vilka företag som ska fullgöra ett specifikt uppgiftskrav till Företagsdatamyndigheten.
För att på ett tillräckligt konkret sätt ange vilka myndigheter och uppgiftskrav som är aktuella bör dessa anges direkt i förordningen. För närvarande saknas överblick över vilka uppgiftskrav och myn-
119
digheter som kan komma i fråga. Detta kan avgöras först efter att arbetet med att skapa ett Uppgiftskravsregister påbörjats.
Utredningen har dock svårt att bortse från att anpassade Att göra listor skulle ge företagen betydligt bättre överblick över vilka uppgiftskrav som ska fullgöras och när. Även myndigheterna skulle dra nytta av Att göra listor om företagen i större utsträckning fullgör sina uppgiftskrav i rätt tid.
121
9. Sammanfattande målbild
Utredningens övergripande uppdrag är att presentera förslag som innebär att uppgifter som lämnas från företagen till statliga myndigheter som regel endast ska behöva lämnas en gång och till ett ställe I uppdraget ingår att skapa ett system där uppgifter kan användas av flera myndigheter och leda till ett informationsutbyte mellan myndigheterna. Utifrån de överväganden som hittills presenterats kan man beskriva utredningens målbild som följer.
9.1. En samordningsorganisation och en Företagsdatamyndighet
För att uppnå det mål som satts upp i direktiven föreslår utredningen att det etableras en ny samordningsmyndighet som ska ha ett övergripande och löpande ansvar för att minska och förenkla företagens uppgiftslämnande. Arbetsnamnet på denna myndighet är Företagsdatamyndigheten. Myndigheten ska verka för att få de statliga myndigheterna att använda de uppgifter som företagen lämnat eller lämnar till de statliga myndigheterna på ett effektivare sätt. Utredningen vill i detta sammanhang framhålla vikten av att den aktuella målbilden inte låter sig realiseras på en gång utan fordrar ett långsiktigt förvaltningsarbete.
Delar av den sammanlagda infrastrukturen som Företagsdatamyndigheten ska ansvara för kan övervägas om de inte lämpligen kan utföras av andra, existerande myndigheter inom ramen för en större samordningsorganisation.
122
9.2. Ett register över uppgiftskrav
Den nya myndigheten ska ansvara för ett register över uppgiftskrav som ska innehålla referensinformation om samtliga uppgiftskrav som riktar sig mot företagen. Med referensinformation förstås här att registret inte kommer att innehålla några företagsspecifika uppgifter. Registret över uppgiftskrav är ett nödvändigt verktyg för att kunna minska och förenkla företagens uppgiftslämnande. Det är angeläget att registret blir så tillförlitligt som möjligt eftersom mycket av det fortsatta förbättringsarbetet för företagen som utredningen föreslår att Företagsdatamyndigheten ska bedriva tar sin utgångspunkt i just detta register.
9.3. En Servicetjänst
För att skapa en väg in föreslår utredningen vidare att det skapas en ny e-tjänst som erbjuder en samlad ingång för företagen. Ingången slussar företaget vidare till relevant myndighets e-tjänst där ärendet i fråga hanteras. Det blir enklare för företagen när kontakterna kan tas via samma elektroniska plats, t.ex. med användande av en elegitimation (en enda inloggning) samt gränssnitt och hanteringsmönster som företaget känner igen. För att nå målbilden om ett minskat och förenklat uppgiftslämnande för företagen föreslår utredningen att myndigheterna åtminstone på sikt ska vara skyldiga att ansluta sina e-tjänster till Servicetjänsten.
9.3.1. Uppgiftskravslistor
Ansatsen bygger vidare på att företaget efter inloggning kommer att mötas av uppgiftskravslistor som presenterar vilka uppgiftskrav som är aktuella för just det företaget med anknytande länkar till eventuella e-tjänster där kraven kan fullgöras. Listorna bygger på den information som finns i uppgiftskravsregistret kopplat till den verksamt företaget bedriver dels så som angivet i den SNI-kod som är registrerad i det allmänna företagsregistret, dels med avseende på associationsrättslig form. När systemet är fullt utbyggt bör användaren även ha möjlighet att utifrån egna önskemål anpassa vilka uppgiftskrav som ska visas. Om användaren t.ex. inte är intresserad av att se uppgiftskrav på skatteområdet – t.ex. om användaren har över-
123
låtit till en redovisningsbyrå att sköta kontakterna med Skatteverket – ska han eller hon kunna välja att inte få dessa krav visade i Servicetjänsten. När användaren fullgjort en uppgiftsskyldighet ska den kunna ”släckas ned” i uppgiftskravslistan.
Uppgiftskravslistorna innebär att det enskilda företaget inte översköljs av onödig information och direkt erbjuds fullgöra samtliga i uppgiftskravsregistret registrerade krav. Avsikten med Servicetjänsten är med andra ord att erbjuda relevant information utifrån den verksamhet som företaget bedriver. Här ska nämnas att det även ska vara möjligt att ta del av och söka i Uppgiftskravsregistret i sin helhet på Företagsdatamyndighetens webbplats utan att behöva logga in.
När Servicetjänsten är fullt utbyggd ska det även vara möjligt att visa en specificerad uppgiftskravslista – Att göra lista – som visar de uppgiftskrav som de olika myndigheterna anser att det inloggade företaget ska fullgöra. Listan skapas helt utifrån det enskilda företagets faktiska verksamhet så som de enskilda myndigheterna känner till den.
9.3.2. Användning av det allmänna företagsregistret
Utredningen har konstaterat att grundläggande uppgifter om kontaktuppgifter m.m. efterfrågas i princip vid varje uppgiftslämnande ett företag har att fullgöra. Sedan mitten av 1980-talet samlas identifikations- och kontaktuppgifter samt vissa andra uppgifter om företagen i det allmänna företagsregistret. Registret syftar till att dessa uppgifter ska samlas in en gång på ett ställe. Utredningen föreslår att uppgifterna i det allmänna företagsregistret används på ett effektivare sätt än i dag. Vi är medvetna om att detta kan göra det nödvändigt att både komplettera och kvalitetssäkra befintligt registerinnehåll, vilket vi finner motiverat med tanke på det övergripande syftet.
När företag använder Servicetjänsten för att lämna uppgifter till myndigheter kommer mottagande myndighet från det allmänna företagsregistret direkt att erhålla uppdaterade grundläggande uppgifter om företaget. Genom Servicetjänsten får företaget enkelt åtkomst till och kontroll över uppgifterna i företagsregistret. Ändringar av uppgifter som företaget själv råder över kan ske direkt i registret så att dessa får genomslag ut till myndigheterna.
124
9.4. Samordnings- och återanvändningspotential
När det gäller andra uppgifter om företagen än de grundläggande är det inte lika enkelt att identifiera uppgifter där det finns en samordnings- eller återanvändningspotential i den storskaliga form som gäller för grundläggande uppgifter. Registret över uppgiftskrav är därför en avgörande förutsättning för att både i nutid och framåt i tiden få en rättvisande bild av vilka uppgifter som krävs in av statliga myndigheter från företagen och med detta som grund kunna bedöma vilken potential som finns att minska och förenkla uppgiftslämnandet. Framöver kan det med andra ord bli aktuellt för den föreslagna samordningsmyndigheten att utöver de grundläggande uppgifterna ta sig an också branschspecifika och myndighetsspecifika uppgifter. Trots att det är en komplex miljö för informationsförsörjning som myndigheterna har att hantera går det med gemensamma ansatser att förenkla för företagen. Myndigheter kan exempelvis sinsemellan samordna uppgiftskraven på olika sätt så att företagen inte behöver ta fram samma uppgift två gånger.
Ett annat uppenbart exempel kan vara att myndigheterna utbyter information om företagen med varandra i stället för att varje gång fråga företaget som myndigheten behöver uppgifter. Det finns ett antal tänkbara modeller för återanvändning av information mellan myndigheter bland annat automatiserat beslutsfattande.1
Den nya Företagsdatamyndigheten ska vara drivande i arbetet med att minska och förenkla uppgiftslämnandet för företagen genom bland annat
- löpande kontakter med företagen
- löpande kontakter med myndigheter
- drivande av projekt som kan avse såväl administrativa som tekniska rutiner m.m.
- etablering av ett kunskapscentrum för att åstadkomma minskat och förenklat uppgiftslämnande för företagen
- proaktivt juridiskt arbete i samband med digital verksamhetsutveckling.2
1 Se vidare E-delegationens rapport Direktåtkomst och utlämnande på medium för automatiserad behandling – som har tagits fram av E-delegationens expertgrupp för juridiska frågor – en juridisk modell för on line-liknande utlämnanden. 2 E-delegationen har den 8 juli 2013 exempelvis publicerat en Juridisk vägledning för verksamhetsutveckling inom e-förvaltningen
125
9.5. Fasindelat genomförande
Vi föreslår att genomförandet delas upp i faser. Avsikten med indelningen i olika faser är att genom en stegvis utveckling hålla komplexiteten tekniskt, juridiskt och organisatoriskt i införandet på en hanterlig nivå och därmed minska riskerna förknippade med själva införandet.
En indelning där varje fas resulterar i ny funktionalitet som faktiskt görs tillgänglig för företagen gör det också möjligt för samordningsorganisationen att dra lärdom av och om lämpligt ändra inriktning och omfattning av nästföljande fas.
Det tekniska genomförandet kan delas upp i faser enligt följande. Införandet av Servicetjänsten kan inledningsvis, dvs. i fas ett hållas på en ganska enkel nivå utan någon koppling till det allmänna företagsregistret och följaktligen utan att grundläggande uppgifter överförs till anslutna e-tjänster. De uppgiftskravslistor som presenteras i detta skedde bygger inte på uppgifter om enskilda företag utan skapas efter de branscher (SNI-koder) och företagsformer som företagaren själv får ange när vid inloggning i Servicetjänsten första gången.
I fas två kan funktionaliteten i Servicetjänsten öka genom att kopplingen till det allmänna företagsregistret skapas. Servicetjänsten utvidgas då till att även visa dessa uppgifter för företagaren, och göra det möjligt att uppdatera åtminstone en delmängd av dem direkt i tjänsten. Servicetjänsten utvecklas vidare genom en påbörjan av arbetet med att tillhandahålla anslutna myndigheters e-tjänster, med grundläggande uppgifter om företaget.
I de följande faserna kan den tekniska komplexiteten ökas ytterligare genom att för det enskilda företaget anpassade Att göra listor presenteras för det inloggade företaget. Listorna bygger på att anslutna myndigheter meddelar Servicetjänsten vilka uppgiftskrav som företaget bör fullgöra.
I takt med att den tekniska komplexiteten ökar kommer även de juridiska frågeställningarna att bli mer komplicerade. Inledningsvis i fas ett uppstår inga större juridiska problem eftersom det då inte sker någon koppling till det allmänna företagsregistret aviseringar av grundläggande uppgifter kommer först i senare faser.
Det kan även övervägas om det inte är att föredra att endast ett mindre antal myndigheter inledningsvis deltar i arbetet – i kartläggningsuppdraget har 14 myndigheter deltagit – för att Företagsdatamyndigheten ska kunna etablera arbetsformer osv. gentemot en
126
snävare krets än den samlade statliga förvaltningen. Antalet myndigheter kan sedan utökas allteftersom arbetet fortskrider.
127
10. En prototyp för minskat och förenklat uppgiftslämnande
Utredningen har tagit fram en prototyp av en servicetjänst för minskat och förenklat uppgiftslämnande. Syftet med att bygga prototypen var främst att kunna:
- Testa hur olika lösningar fungerar tekniskt och juridiskt för att i ett tidigt skede i processen kunna upptäcka eventuella fallgropar
- Tydligt kunna demonstrera hur servicetjänsten kommer att se ut och fungera för såväl företag som myndigheter
- Ge en mer exakt uppskattning av kostnaden för att bygga en fullskalig servicetjänst
- Ge nödvändiga förutsättningar för utredningen att lämna ett förslag som går att omsätta i drift utan ytterligare grundläggande utvecklingsarbete.
I arbetet med att uppskatta investeringskostnaderna tog utredningen fram en lista på drygt tjugo användningsfall som ligger till grund för den funktionalitet som servicetjänsten bör ha (se bilaga 3). Drygt tio av dessa användningsfall, som bedömdes vara de mest centrala, implementerades i prototypen.
Prototypen har sedan demonstrerats för och testats av utredningens expertgrupp och även i andra sammanhang. Erfarenheter därifrån har använts i den fortsatta utredningen.
Ambitionen med prototypen har inte varit att göra en första version av servicetjänsten, utan enbart att utgöra underlag för utredningens arbete enligt ovan. När konstruktion av den riktiga servicetjänsten inleds är tanken inte att denna ska bygga vidare på prototypens källkod, utan bara den kunskap som utvunnits ur arbetet med den.
128
10.1. Inloggning
För att servicetjänsten ska kunna användas är ett första nödvändigt steg att den fysiska person som använder tjänsten identifierar sig och sin behörighet att agera för ett visst företag. Detta hanteras genom autentisering och auktorisation.
10.1.1. Autentisering
Att autentisera någon betyder att säkerställa att personen är den han eller hon säger sig vara. Den självklara metoden för att autentisera en fysisk person i dag är via e-legitimation. Såväl i prototypen som i en fullständig servicetjänst förutsätter i stort sett all funktionalitet att tjänsten har autentiserat användaren.
I prototypen gjordes inte någon riktig e-legitimationsautentisering eftersom det bedömdes öka komplexiteten och svårigheten för målgruppen att testa systemet. Riktig e-legitimationsautentisering kräver exempelvis installation av programvara på den dator som används, vilket sällan är möjligt för en enskild användare i en myndighets
129
it-miljö. Vidare måste en användare, för att testa de olika rollerna i systemet, kunna autentisera sig som flera olika fiktiva fysiska personer, vilket inte heller är möjligt för en enskild användare att göra eftersom det kräver koordination med den tredje part som står för autentiseringen. Men framförallt skulle en riktig e-legitimationsautentisering inte ge något ytterligare utredningsunderlag. Autentisering av fysiska personer med e-legitimation får anses utgöra ett redan löst problem, som i sig inte har påverkan på systemet i övrigt.
Prototypen använder därför ett enkelt namn/lösenordssystem för inloggning. Det gör det enkelt för den som ska testa systemet att logga in som någon av en handfull fiktiva personer. Dessa påhittade identiteter representerar olika tänkta roller, såsom den enskilda företagaren, revisorn med behörighet att agera för flera olika företag, eller myndighetstjänstemannen.
10.1.2. Auktorisering
Att auktorisera betyder att säkerställa att någon har rätt att agera. För det aktuella systemet handlar det om att kunna avgöra för vilket eller vilka juridiska personer (företag) som en given fysisk person har rätt att agera för. Att i en prototyp återskapa den komplexa rättsliga reglering kring firmatecknarskap, fullmakter m.m. som avgör vilken eller vilka fysiska personer som har rätt att exempelvis lämna in ett efterfrågat frågeformulär eller ansöka om en förmån ansågs inte möjligt eller lämpligt för en prototyp.
Prototypen har därför ett inbyggt, mycket enkelt system för behörighet där varje fysisk påhittad person har fullständig behörighet att inom prototypen agera för ett eller flera företag, alternativt en eller flera myndigheter. Behörighetslistan är inbyggd i prototypen.
I en fullständig servicetjänst måste auktorisering givetvis hanteras på ett mer fullständigt sätt. Man kan exempelvis hämta inspiration från hur Skatteverket och Bolagsverket har löst liknande problem inom ramen för sina e-tjänster. Om möjligt och lämpligt skulle även de listor över vilka fysiska personer som har rätt att företräda vilka organisationer kunna återvändas. Även elektroniska fullmaktssystem skulle kunna övervägas för mer finkornig hantering av auktorisering.1
1 Jämför pågående arbete på den förvaltningsgemensamma tjänsten ”Mina fullmakter”, http://www.edelegationen.se/Nationella-projekt/Forvaltningsgemensamma-tjanster/Minafullmakter/, som i dagsläget är inriktat på hantering av privatpersoners utställda fullmakter.
130
10.2. Centrala användningsfall för företagaren
Som nämnts ovan loggar användaren in i prototypen med ett namn, som representerar en fiktiv fysisk person, och ett lösenord. Har den fiktiva fysiska personen rätt att agera för flera olika företag kan användaren välja vilket av dessa som denne för tillfället vill agera för.
Efter inloggning möts man av tre primära funktioner: Uppgifter, Att göra, samt Ansökningar och anmälningar. Dessa beskrivs nedan.
10.2.1. Uppgifter
Med denna funktion (som motsvarar användningsfall AF11) kan användaren se vilka grundläggande uppgifter för företaget som finns i systemet. I prototypen är detta ett fåtal enkla uppgifter som lagras direkt i systemet. Uppgifterna motsvarar de uppgifter som lagras i det allmänna företagsregistret.2De faktiska uppgifterna är dock för
2 Se Förordning (1984:692) om det allmänna företagsregistret och SCB:s informationssidor på http://www.scb.se/Pages/List____258736.aspx
131
fiktiva företag, på samma sätt som de inloggade identiteterna är för fiktiva personer.
Utöver att uppgifterna kan granskas av företaget (eller rättare sagt de fysiska personer som kan agera för företaget) kan vissa uppgifter ändras. I arbetet med prototypen gjordes en enklare analys av uppgifterna i det allmänna företagsregistret, efter vilken vissa uppgifter, främst kontaktuppgifter, bedömdes vara ändringsbara av företaget själva. Även den eller de branscher som företaget bedriver verksamhet i kan ändras direkt av företaget.
132
Andra uppgifter kan inte direkt ändras av företagen själva. Det rör sig framförallt om sådana uppgifter som kräver ett myndighetsbeslut, exempelvis det registrerade företagsnamnet eller vilken form (aktiebolag, handelsbolag, enskild firma, mm) som verksamheten bedrivs i.
När ett företag ändrar sina uppgifter sparas de gamla uppgifterna undan (arkiveras) tillsammans med tidpunkten för ändring och vad ändringen bestod i. De äldre uppgifterna kan inte längre användas för uppgiftsinlämning, men företaget kan ta fram en logg (fortlöpande register) över alla ändringar. En administratör för systemet kan med en aktiv handling utplåna (gallra) äldre uppgifter. Detta motsvarar användningsfall AF21.
I en fullständig servicetjänst skulle flera delar av denna funktionalitet kunna förbättras. I prototypen lagras alla företagsuppgifter internt i systemet. I en färdig servicetjänst skulle tjänsten i stället vid visningstillfället hämta uppgifterna från det allmänna företagsregistret. Servicetjänsten skulle även kunna utgöra en fasad mot flera olika datakällor (se avsnitt 6.4, under ).
Om uppgifterna lagras någon annanstans än i servicetjänsten får det betydelse för processen med att ändra uppgifter. När använda-
133
ren ändrar uppgifter i ett formulär skickas dessa nya uppgifter till servicetjänsten, som sedan skickar vidare en ändringsbegäran till det allmänna företagsregistret. Validering av uppgifterna, såsom att säkerställa att ett telefonnummer bara innehåller siffror, eller att ett uppgivet postnummer faktiskt finns görs i Servicetjänstens gränssnitt. Detta hindrar inte att det allmänna företagsregistret i egenskap av datalager även gör sin egen validering.
Vissa uppgifter som inte direkt kan ändras av företaget skulle man ändå kunna tänka sig att företaget ges möjlighet att initiera genom en ändringsbegäran direkt i servicetjänsten. Ett typexempel på en sådan uppgift är registrerat företagsnamn. Dessa uppgifter skulle i gränssnittet kunna utformas som ändringsbara, men med information om att en ändring resulterar i en begäran om ändring hos registerförande myndighet, och slår igenom först när den myndigheten beslutat om ändringen.
I en färdig servicetjänst, där det allmänna företagsregistret är ett datalager, skulle en ändring av uppgifter effektueras i det registret. Arkivering och gallring blir därför en fråga för den som är registerförare för det registret. För att den ändringslogg som finns i prototypen i dag ska kunna realiseras i en färdig servicetjänst, krävs att äldre uppgifter sparas undan i det allmänna företagsregistret, och att system-till-systemintegrationen mellan tjänsten och det allmänna företagsregistret stödjer hämtning av denna information.
10.2.2. Att göra
Med denna funktion kan företaget få en översikt över vilka uppgiftskrav som olika myndigheter har aviserat företaget att det ska inkomma med. Varje inkommen avisering innehåller företagets organisationsnummer samt ett id-nummer för det uppgiftskrav som ska lämnas in.
134
Varje avisering visas som en rad i en Att göra-lista. Alla uppgiftskrav kan i dagsläget inte uppfyllas genom en e-tjänst, men för de krav där detta är möjligt finns en länk till motsvarande e-tjänst. För andra krav, där det finns allmänna informationssidor, en PDFblankett, eller annan information på webben, kan en länk gå till sådan information.
I prototypen har byggts ett separat system vars funktion är att skicka aviseringar till huvudtjänsten. Detta separata aviseringssystem motsvarar de olika verksamhetssystem hos myndigheterna som skulle behöva skicka aviseringarna i ett fullständigt utvecklat system. Huvudtjänsten tar emot dessa aviseringar utan att göra någon validering utöver att id-numret för ett uppgiftskrav faktiskt existerar i uppgiftskravsdatabasen. Det är det aviserande systemets ansvar att skicka aviseringar för rätt krav till rätt mottagare och att exempelvis ett uppgiftskrav som endast är tillämpligt för aktiebolag inte aviseras till en enskild firma.
135
Som en del av prototyparbetet har två simulerade e-tjänster skapats för de två uppgiftskraven med ID-nummer SKV17 och SJV156 (motsvarande Skatteverkets tjänst för kontrolluppgift KU25, respektive Jordbruksverkets tjänst för ansökan om stöd för miljöinvestering). När en avisering för ett visst företag och något dessa uppgiftskrav lämnats in visas den i Att göra-listan med en länk till motsvarande simulerad e-tjänst. Användaren behöver bara klicka på länken för att starta e-tjänsten.
När användaren slutför inlämnandet i någon av dessa simulerade e-tjänster skickas en avisering till huvudsystemet med innehåll att ett visst uppgiftskrav nu är uppfyllt. Uppgiftskravet tas då bort från Att göra-listan.
136
I prototypen lagras alla aviseringar internt inom systemet. I den färdiga servicetjänsten kan det övervägas om den förvaltningsgemensamma infrastrukturtjänsten ”Mina meddelanden” ska användas som aviseringskanal. Det kräver dock att servicetjänsten kan få tillgång till ett företags meddelanden genom ett för samtliga brevlådeoperatörer gemensamt API.3 Ett mer begränsat alternativ skulle vara att servicetjänsten i sig agerar som brevlådeoperatör gentemot Mina meddelanden-infrastrukturen.4
I en färdig servicetjänst ska en avisering från en myndighet till ett företag utöver organisationsnummer och uppgiftskrav-id även innehålla ett sista inlämningsdatum, när uppgifterna senast ska lämnas.
I de inledande faserna av servicetjänstens utveckling kommer andra myndigheter inte ha hunnit utveckla rutiner för att skicka aviseringar. Ett enklare sätt att få en likande funktionalitet beskrivs i 8.3.1 (”Uppgiftskravslistor”) och bygger på att information om när ett visst uppgiftskrav kalendermässigt blir aktuellt finns i uppgifts-
3 Se http://minameddelanden.se/, samt särskilt under Myndigheter och Partners / Dokument och checklistor / Teknisk översikt brevlådeoperatörer. 4 Begränsningen består i att företaget då inte kan använda någon annan brevlådeoperatör för myndighetskommunikation som inte rör avisering av uppgiftslämnande.
137
kravsdatabasen. Med denna lösning får användaren en generell Att göra-lista, och själv ta bort krav från denna lista efter att de fullgjorts.
10.2.3. Ansök / anmäl
Denna funktion påminner gränssnittsmässigt om funktionen med Att göra-listor, men de uppgiftskrav som listas är sådana som initieras av företagen själva. Det handlar typiskt om anmälningar av olika förfaranden eller ansökningar om förmåner, vilka kan bli aktuella vid olika tidpunkter. I prototypen görs en rudimentär filtrering av uppgiftskraven baserat på två parametrar: den företagsform som verksamheten bedrivs i samt den/de branscher5 som företaget verkar i. För varje krav i uppgiftskravsdatabasen finns bland annat angivet vilken eller vilka företagsformer samt branscher det är tillämpligt för.
5 Bransch beskrivs från den översta nivån av SNI 2007 vilket innebär att uppgiftskraven i prototypen sorteras på 21 branscher.
138
I prototypen leder detta till att användaren möts av ett mycket stort antal uppgiftskrav (ansökningar eller anmälningar) som skulle kunna vara aktuella för företaget. Beroende på företagsform och bransch kan det röra sig om mellan ca 300–700 uppgiftskrav. Det finns en enkel sökfunktion, vilken gör det möjligt att begränsa listan till alla krav som i sin beskrivning innehåller ett visst sökord (exempelvis ”bidrag” eller ”tillstånd”).
I en färdig servicetjänst både kan och behöver detta förbättras på flera sätt. Exempelvis kan kartläggning av uppgiftskraven göras mer detaljerat. För sådana branscher som omfattas av många företagsinitierade uppgiftskrav skulle hela SNI-kodssystemet kunna användas för att exempelvis ange att ett visst uppgiftskrav som träffar jordbruksbranschen endast är tillämpligt för köttproduktion. På så vis kan en jordbrukare som endast är spannmålsproducent slippa få upp just detta krav (se vidare författningskommentaren till 6 § i den föreslagna förordningen om företagens uppgiftslämnande). Uppgiftskraven skulle även kunna grupperas på aktuell myndighet och knyta an till en viss livscykelhändelse hos företagen, såsom bildande, anställande av personal, redovisning eller avslutande.
10.3. Simulerade e-tjänster
Som nämnts ovan skapades även två simulerade e-tjänster för att användas tillsammans med servicetjänstprototypen. Interaktionen mellan servicetjänsten och de simulerade e-tjänsterna följer i prototypen denna arbetsgång:
1. En avisering skickas (från e-tjänst eller på annat sätt) till servicetjänsten.
2. Användaren får upp ett uppgiftskrav i sin Att göra-lista med en länk till den simulerade e-tjänsten.
3. Användaren förs över till e-tjänsten. Det organisationsnummer som är auktoriserat i servicetjänsten skickas med till e-tjänsten i form av en parameter i länken.
4. E-tjänsten gör en förfrågan till servicetjänsten över SHS-systemet om att få de grundläggande uppgifterna för det medskickade organisationsnumret.6
6 För information om SHS (Spridnings- och HämtningsSystem) se http://www.forsakringskassan.se/omfk/shs/
139
5. Servicetjänsten levererar dessa uppgifter över SHS.
6. E-tjänsten använder de levererade uppgifterna för att förifylla ett formulär och därigenom minska och förenkla företagets uppgiftslämnande.
7. Användaren matar in övriga uppgifter och skickar in allt.
8. E-tjänsten tar emot uppgifterna och skickar en avisering om att uppgiftskravet nu är uppfyllt till servicetjänsten.
I den färdiga servicetjänsten kan framförallt steg 3–6 komma att ändras.
Vad gäller autentisering och auktorisering litar den simulerade etjänsten helt och hållet på att servicetjänstprototypen har utfört autentisering och auktorisering korrekt, och gör därför inte motsvarande åtgärder. Här kommer det vara upp till varje myndighet att bedöma vilken säkerhetsnivå och vilka krav på autentisering och auktorisering som man har för den aktuella e-tjänsten, men som huvudregel kommer många myndigheter att vilja göra egen autentisering.
Vad gäller hur företagsuppgifterna överförs mellan servicetjänsten och e-tjänsten får den tekniska utformningen stor betydelse för den juridiska tillåtligheten. Det är utredningens bedömning att den metod som beskrivs ovan (en form av automatisk inhämtning, ”pull”, där myndigheten självständigt begär in uppgifter) inte är den lämpligaste. Som huvudregel bör i stället en form av användarinitierad överföring, ”push” av uppgifter till e-tjänsten användas. Detta kan göras genom att länken till e-tjänsten i Att göra-listan förses med samtliga de uppgifter som behövs för e-tjänsten. Se vidare den juridiska genomgången av de olika användningsfallen i avsnitt 11.5.
140
10.4. Centrala användningsfall för myndigheter
Myndigheter kan på samma sätt som företag logga in i prototypen med användarnamn och lösenord. I prototypen har vissa användaridentiteter skapats för tänkt myndighetspersonal. Den huvudsakliga funktionen som kan användas för dessa är att administrera de uppgiftskrav som dennes myndighet har.
Utöver detta finns även funktionalitet för att gallra äldre revisioner av grundläggande uppgifter för företag.
141
10.4.1. Administrera krav
När en myndighetsanvändare är inloggad kan denne välja att få upp en lista på samtliga uppgiftskrav som myndigheten har att hantera. Information om varje uppgiftskrav kan fritt redigeras, och nya uppgiftskrav kan läggas till. För varje uppgiftskrav finns i prototypen ett tiotal egenskaper, exempelvis beskrivning, vilka grundläggande uppgifter kravet omfattar och vilka branscher det är tillämpligt för.
142
I ett färdigt system är tanken att varje deltagande myndighet ska ha rådighet över sina uppgiftskrav. Det kan dock inte uteslutas, åtminstone inte inledningsvis, att en deltagande myndighet vill ha teknisk assistans från Företagsdatamyndigheten när ett nytt uppgiftskrav läggs till eller ett befintligt modifieras. Sådan teknisk assistans kan tillhandahållas på flera sätt. Ett alternativ är att Företagsdatamyndigheten, utifrån en beskrivning av uppgiftskravet som den andra myndigheten tillhandahåller, själv matar in uppgiftskravet i databasen. Ett annat alternativ är att myndigheten matar in uppgiftskravet men att det markeras ”för granskning”, och att Företagsdatamyndigheten därefter granskar uppgiftskravet så att exempelvis beskrivning, hänvisning till lagrum och länk till e-tjänst är godtagbart. När Företagsdatamyndigheten därefter har granskat kravet kan detta läggas in i den riktiga uppgiftskravsdatabasen. Vilken eller vilka lösningar som är lämpliga får visa sig i kontakten med de olika myndigheterna. Sådana assistanslösningar förändrar dock inte att det är myndigheten som ansvarar för att innehållet i registret är korrekt (jfr 8 § i den föreslagna förordningen om företagens uppgiftslämnande).
143
10.4.2. Gallra uppgifter
Gallring (eller rensning) kan i prototypen enbart göras av en användare med systemadministratörsbehörighet. Gallringen, som i prototypen görs manuellt på ett mycket grundläggande sätt, har behandlats ovan under ”Uppgifter”.
En användare med systemadministratörsbehörighet kan även redigera samtliga myndigheters uppgiftskrav. Detta kan visa sig nödvändigt för att inledningsvis ge teknisk assistans till myndigheter.
145
11. Rättsliga överväganden
Servicetjänsten aktualiserar en mängd olika rättsliga frågor. De regelverk som framförallt drar till sig uppmärksamhet i detta sammanhang är tryckfrihetsförordningen, offentlighets- och sekretesslagen, personsuppgiftslagen och de särskilda registerförfattningarna samt arkivlagen.
I detta kapitel uppmärksammas först de delar av den vägledning för verksamhetsutveckling som utarbetats av E-delegationen som bakgrund till utredningens fortsatta analys av främst offentlighet och sekretess samt skydd av den personliga integriteten inom ramen för den föreslagna Servicetjänsten. Därefter beskrivs närmare behovet av sekretess hos Företagsdatamyndigheten, myndighetens behandling av personuppgifter samt anslutna myndigheters möjlighet att behandla aviserade uppgifter.
11.1. Juridisk vägledning för verksamhetsutveckling inom e-förvaltningen
E-delegationens juridiska expertgrupp har under 2013 utarbetat en vägledning vars syfte är att beskriva och förklara för området centrala juridiska frågor, presentera vissa typer av tekniska lösningar (s.k. itarkitekturer) för att slutligen kombinera juridik och teknik på ett rättsenligt och lämpligt sätt.1
I vägledningen definieras ett antal begrepp för it-tjänster. I första hand skiljs mellan bastjänst och e-tjänst. Skillnaden mellan dessa begrepp är att bastjänst beskriver en it-baserad tjänst i vilken olika organisationers informationssystem begär, lämnar och tar emot uppgifter (maskin till maskin), genom ett applikationsgränssnitt (API). En e-tjänst däremot är en it-baserad tjänst som har ett användargränssnitt som används i interaktion mellan maskin och människa.
1 Se Vägledning för verksamhetsutveckling som godkändes av E-delegationen den 8 juli 2013.
146
Det är främst tre modellösningar som är av intresse för utredningens föreslagna infrastruktur för företagens uppgiftslämnande. Det rör sig närmare bestämt om ärendetjänsten, presentationstjänsten samt bastjänsten. Ärendetjänsten och presentationstjänsten är båda e-tjänster dvs. tjänster som har användargränssnitt.
Nedan beskrivs först dessa tre modellösningar översiktligt för att därefter sättas i samband med olika komponenter i vårt förslag till infrastruktur för företagens uppgiftslämnande.
Ärendetjänst
En ärendetjänst är enligt vägledningen en e-tjänst där användare i ett s.k. serviceskede och i ett s.k. eget utrymme, kan:
- utforma handlingar för att ge in dem till en myndighet, och
- i vissa sådana tjänster få uppgifter eller handlingar förifyllda eller annars utlämnade av
- den som tillhandahåller utrymmet, eller
- ett annat organ, med stöd av en bastjänst (s.k. egen hämtning).
Enligt vägledningens begreppsapparat bygger it-arkitekturen för en ärendetjänst på ett juridiskt koncept som betecknas för eget utrymme (se nedan) där en användare behandlar nyttoinformation2 i ett serviceskede. Tjänsten kombineras normalt med ett anvisat mottagningsställe till vilket handlingar ges in elektroniskt.
Denna rättsliga modellösning för ärendetjänster innebär enligt vägledningen att utkast och andra handlingar som en användare utformar eller annars hanterar i sitt eget utrymme inom ramen för en digital myndighetsmiljö inte enligt 2 kap. 6 § tryckfrihetsförordningen anses inkomna till den myndighet som tillhandahåller själva ärendetjänsten. E-delegationen anger vidare i sin vägledning att handlingarna inte blir inkomna enligt 10 § förvaltningslagen (1986:223) förrän de på den enskildes initiativ har nått det elektroniska mottagningsställe som myndigheten anvisat. Dessutom präglas en ärendetjänst av att it-arkitekturen och de ändamål för vilka den används avses vara utformade i enlighet med 2 kap. 10 § tryckfrihetsförordningen på så vis att uppgifterna finns i användarens eget utrymme endast som led i
2 Nyttoinformation är enligt vägledningens begreppsapparat uppgifter som är till för enskilda användare eller befattningshavare till skillnad från drifts- och säkerhetsrelaterad information som endast är till för tekniker.
147
teknisk bearbetning eller teknisk lagring för annans – här enskilds – räkning. En teknisk möjlighet för den myndighet som tillhandahåller utrymmet, att komma åt en handling där, leder enligt E-delegationens resonemang således inte till att de handlingar som finns i det egna utrymmet blir allmänna.
Presentationstjänst
Vägledningen definierar presentationstjänst som en e-tjänst där användare kan få uppgifter eller handlingar från flera organ presenterade, efter att uppgifterna eller handlingarna har kommit in till den som tillhandahåller tjänsten, utan att det som visas blir tillgängligt för annan.
Grundläggande för en presentationstjänst är enligt vägledningen en it-arkitektur där:
- en myndighet hämtar uppgifter eller handlingar från en eller flera andra myndigheter så att materialet blir inkommet till myndigheten enligt såväl förvaltningslagen som tryckfrihetsförordningen, och
- det som sammanställs blir en upprättad allmän handling hos den myndighet som tillhandahåller presentationstjänsten.
Den rättsliga modellösningen för en presentationstjänst innebär att material som är av endast tillfällig eller ringa betydelse för myndigheten:
- visas i ett eget utrymme samtidigt som det som visas i utrymmet också finns som en inkommen eller upprättad allmän handling i myndigheten verksamhetssystem,
- gallras genast efter visning för användaren (omedelbar gallring), och
- görs tillgängligt för myndigheten med en sådan metod att endast det som begärs visat i ett enskilt fall görs tillgängligt för den visande myndigheten (tillfällig tillgänglighet).
148
Bastjänster
Vägledningen beskriver bastjänster som en it-baserad tjänst via vilken olika organisationers informationssystem begär, lämnar och tar emot uppgifter (maskin till maskin), via ett applikationsgränssnitt (API).
Grundläggande för en bastjänst är att den inte har något användargränssnitt utan fungerar maskin till maskin. Vägledningen beskriver fyra huvudsakliga användningssätt för bastjänster:
- mellan myndigheter för att utbyta uppgifter (bastjänster mellan myndigheter)
- av myndigheter, efter det att ett ärende anhängiggjorts, så att myndigheten som en service åt användaren hämtar in uppgifter eller handlingar som behövs i ärendet i stället för att begära att användaren ska ge in dem (bastjänster i ärende)
- av användare som brukar en ärendetjänst, så att användaren i ett serviceskede kan hämta uppgifter eller handlingar till sitt eget utrymme i ärendetjänsten, och ge in detta material med stöd av funktioner i ärendetjänsten (bastjänster i serviceskede)
- för att stödja processer, t.ex. elektroniskt undertecknande, i syfte att säkerställa vem som är utställare av en handling (bastjänster för äkthetshantering).
Den rättsliga modellösningen för bastjänster mellan myndigheter och bastjänster i ärende innebär att en begärande myndighets informationssystem skickar en begäran om att få ut en viss uppgift – i stället för att på förhand ges direktåtkomst till handlingar – och att den utlämnande myndigheten för varje enskilt fall beslutar om en handling ska lämnas ut eller inte. Bifalls begäran lämnas materialet ut på medium för automatiserad behandling. I E-delegationens rapport Direktåtkomst och utlämnande på medium för automatiserad behandling beskrivs närmare hur en sådan lösning kan utformas för att bli förenlig med gällande rätt.
Den rättsliga modellösningen för användning bastjänster i ett serviceskede innebär att det är användaren själv som agerar i förhållande till den utlämnande myndigheten och begär att få ut en viss uppgift och/eller handling till sitt eget utrymme. Eftersom användaren inte är en myndighet och berörda handlingar redan är allmänna hos den utlämnande myndigheten kan användaren ges åtkomst för omedelbar överföring till det egna utrymmet, utan att handlingen
149
där blir att anse som allmän handling och utan att någon ny samling av allmänna handlingar uppkommer. Denna lösning förutsätter att detta sätt för att få ut uppgifter inte hindras av någon registerförfattning.
Eget utrymme
Förekomsten av ett s.k. eget utrymme är en gemensam och viktig komponent i de tre modellösningarna som beskrivs i vägledningen. Eget utrymme förklaras närmare som ett skyddat förvar hos myndighet som denna tillhandahåller endast som led i teknisk bearbetning eller teknisk lagring för annans räkning.
När det egna utrymmet tillhandahålls endast kortvarigt (transient), benämns det i vägledningen som eget utrymme för en session.
Ett eget utrymme som har registrerats för en viss fysisk eller juridisk person, så att denne permanent (persistent) kan bevara och annars behandla uppgifter där, benämns konto.
I vägledningen anges som framkommit ovan att det egna utrymmet grundar sig på undantaget i 2 kap. 10 § första stycket tryckfrihetsförordningen som innebär att handling som förvaras hos en myndighet endast som led i teknisk bearbetning eller teknisk lagring för annans räkning inte anses som allmän handling hos den myndigheten. Tjänster och funktioner för e-förvaltning bygger därför enligt vägledningen i betydande utsträckning på tillämpning av undantaget i 2 kap. 10 § tryckfrihetsförordningen som i praktiken innebär att någon annan än den enskilda innehavaren inte får insyn i den nyttoinformation (se ovan) som finns i användarens eget utrymme.
Vägledningen framhåller att tjänster och funktioner för e-förvaltning redan i dag i betydande utsträckning bygger på en tillämpning av undantaget för endast teknisk bearbetning eller teknisk lagring för annans räkning och att det i praktiken inte är någon annan än innehavaren som får insyn i den nyttoinformation som finns i den enskildes eget utrymme.
Det bör i sammanhanget beaktas att lagmotiven till undantagsbestämmelserna i 2 kap. tryckfrihetsförordningen är skrivna med tanke på annat än it-baserade tjänster och att det inte finns någon rättspraxis som avser t.ex. ärendetjänster. Den för hela e-förvaltningen avgörande frågan om vad som innefattas i endast teknisk bearbetning eller lagring för annans räkning respektive endast befordran av meddelande är därför enligt vägledningen delvis svår att bedöma.
150
Om it-arkitekturen och de ändamål för vilka den används utformas så som E-delegationen uttrycker det felaktigt, och om uppgifterna inte är sekretesskyddade, kan konsekvensen bli att uppgifter och handlingar som enskilda ser som sina egna, utan att andra ska ha rätt att ta del av dem, blir offentliga allmänna handlingar. Vid tillämpningen av rekvisitet ”endast” som ett led i teknisk bearbetning eller teknisk lagring för annans räkning, enligt 2 kap. 10 § tryckfrihetsförordningen, bör det särskilt beaktas att det är av avgörande betydelse att en myndighet som tillhandahåller sådan service inte samtidigt använder uppgifterna för sin egen verksamhet. Utredningen har för att få en fördjupad förståelse för framväxten av eget utrymme inom e-förvaltningen låtit Setterwalls Advokatbyrå ta fram en promemoria som beskriver just ”Eget utrymme inom e-förvaltningen” (se bilaga 3).
Servicetjänsten i förhållande till E-delegationens 11.1.1
vägledning
Vår bedömning: Beskrivs de it-tjänster som utgör Servicetjänsten
med hjälp av vägledningens begreppsapparat finns inslag av såväl bastjänster, ärendetjänster och presentationstjänster i vårt förslag.
De it-tjänster som utgör Servicetjänsten kommer dock inte leda till att ärenden initieras eller att något uppgiftslämnande fullgörs utan detta sker som i dag hos respektive myndighet. I vår föreslagna infrastruktur ställs det därför något olika krav på tjänsternas uppbyggnad jämfört med de tjänster som E-delegationens vägledning i första hand tar sikte på.
De it-tjänster som utgör Servicetjänsten inkluderar inte något s.k. eget utrymme som är en förutsättning för de tjänster som beskrivs i vägledningen.
Servicetjänsten är summan av de olika it-baserade tjänster som utredningen föreslår. Härutöver föreslår utredningen som framgår av andra delar av betänkandet diverse andra åtgärder för att minska och förenkla företagens uppgiftslämnande. Ett exempel härpå är inrättandet av en särskild samordningsorganisation. I det närmast följande beskriver vi något närmare hur den föreslagna Servicetjänsten förhåller sig till E-delegationens vägledning för verksamhetsutveckling.
151
Inledningsvis när Servicetjänsten används utan att användaren loggar in dvs. användaren har bara tillgång till uppgiftskravsregistret och dess länksamling är tjänsten i det närmaste att beskriva som en enkel informationstjänst eller en allmänt tillgänglig webbsida där information görs tillgänglig för var och en. Visserligen kommer webbplatsen använda kakor/cookies3 av rent tekniska skäl för att göra Servicetjänsten mer funktionell för besökaren. Detta förtar dock inte dess beskrivning som en informationstjänst eftersom även andra myndigheters webbplatser använder sig av kakor för detta ändamål.
När cookies används ska dock besökaren enligt 6 kap. 18 § lagen (2003:389) om elektronisk kommunikation få tillgång till information om att webbplatsen innehåller kakor och ändamålet med användningen av kakor. Besökaren ska också lämna sitt samtycke till att kakor används.
När funktionaliteten i senare faser av utvecklingen ökar i Servicetjänsten genom att det blir möjligt att i tjänsten logga in för att få presenterat de grundläggande uppgifter om företaget som hämtats ur det allmänna företagsregistret och göra det möjligt att uppdatera åtminstone en delmängd av dem direkt i tjänsten rör det sig snarare om en ärendetjänst. Slutligen kommer tjänsten även att innehålla två system-till-systemgränssnitt (API). Ett API som kommunicerar med det allmänna företagsregistret, samt ett API som kommunicerar med andra myndigheters e-tjänster när ett uppgiftslämnande påbörjats genom Servicetjänsten. Dessa system-till-systemgränssnitt är att likna vid bastjänster.
Eget utrymme
Det sätt på vilket Servicetjänsten är uppbyggd skiljer sig på en avgörande punkt från många av de e-tjänster som myndigheterna har i bruk i dag. Servicetjänsten har det övergripande syftet att fungera som en hjälp för användaren att effektivisera uppgiftslämnandet till de statliga myndigheterna genom primärt en bättre överblick över uppgiftskraven samt samordning av grundläggande företagsuppgifter. De tjänster som tillsammans utgör Servicetjänsten kommer inte att leda till att ärenden initieras eller att något uppgiftslämnande fullgörs utan detta sker som i dag hos respektive myndighet. Det ställs därför något olika krav på tjänsternas uppbyggnad jämfört med de
3 En cookie kan beskrivas som en textfil som sparas på besökarens dator.
152
tjänster som E-delegationens vägledning avseende verksamhetsutveckling i första hand tar sikte på.
En sådan avgörande skillnad avser förekomsten av ett s.k. eget utrymme i tjänsterna. Som framkommit ovan beskrivs eget utrymme i vägledningen som ett skyddat förvar hos myndighet som denna tillhandahåller endast som led i teknisk bearbetning eller teknisk lagring för annans räkning och som därmed omfattas av undantaget i 2 kap. 10 § tryckfrihetsförordningen. Som påpekas i vägledning är frågan om vad som innefattas i undantaget i 2 kap. 10 § tryckfrihetsförordningen i relation till e-förvaltningen inte helt lätt att bedöma. Faktum är att utvecklingen av e-förvaltningen i praktiken har kommit att aktualisera en tolkning och tillämpning av bestämmelsen som kan beskrivas som tämligen långtgående.
I detta sammanhang finns anledning att notera att undantaget i 2 kap. 10 § tryckfrihetsförordningen från rätten att ta del av allmänna handlingar inte har tillkommit med avseende på direkt – elektronisk – kommunikation mellan enskilda och myndigheter. Detta är i sig en omständighet som vad gäller utredningens föreslagna infrastruktur föranleder en mer återhållsam tolkning av undantaget.
När det gäller frågan om vad som ska avses med teknisk bearbetning eller lagring för en myndighets räkning gavs det ett antal exempel i prop. 1975/76:160 s. 137 i samband med att 2 kap. tryckfrihetsförordningen underkastades en genomgripande översyn. Som exempel angav föredraganden:
- ADB-bearbetning, överföra handlingar från tredje man till maskinläsbart medium för myndighetens räkning
- överföring av texten i ett maskinskrivet manuskript till magnetband
- tryckning eller kopiering av ett manuskript
- tekniska procedurer som redigering av myndighetens ljudupptagningar på magnetband, överföringar av sådana upptagningar till grammofonskiva samt framkallning av fotografiskt material
- lagring som kräver särskilda tekniska anordningar, t.ex. lagring av information i skivminne eller på magnetband.
Det finns i praxis ett fåtal men illustrativa avgöranden som berör frågan om vad som ska avses med att handling förvaras endast som led i teknisk bearbetning eller teknisk lagring för annans räkning.
153
I rättsfallet RÅ 1994 ref. 64 hade Högsta förvaltningsdomstolen att ta ställning till om 2 kap. 10 § var tillämplig i ett fall där en klagande hade begärt att Riksrevisionsverket skulle lämna ut uppgifter om vilka utbetalningar som olika myndigheter hade gjort till ett visst företag. I målet framkom att en rad myndigheter hade valt att lagra sina ekonomidata i Riksrevisionsverkets datoriserade ekonomisystem. Högsta förvaltningsdomstolen fann dock att Riksrevisionsverket inte disponerade över myndigheternas redovisningsdata. I stället var det fråga om en rent teknisk hantering eller lagring av uppgifterna. De handlingar i vilka de begärda uppgifterna förekom var därför inte att anse som allmänna hos Riksrevisionsverket.
I rättsfallet RÅ 1999 ref. 18 (I) uppkom också frågan om teknisk lagring eller bearbetning för annans räkning var för handen. I avgörandet – som rörde frågan om s.k. cookiefiler utgör allmänna handlingar – konstaterade Högsta förvaltningsdomstolen att det saknades stöd för att anse att cookiefilen skulle vara förvarad hos myndigheten endast som ett led i en teknisk bearbetning eller teknisk lagring för annans räkning. Även om det kunde vara fråga om teknisk lagring i någon mening, kunde det inte sägas att denna skedde för någon annans räkning, mottagaren av cookiefilen hade bland annat möjlighet att avstå från att ta emot informationen och att radera den.
I rättsfallet HFD 2011 ref. 52 framkom att databasen i fråga var ett för polismyndigheterna gemensamt webbaserat arbetsskadesystem som administrerades av Rikspolisstyrelsen. Varje polismyndighet hade sina administratörer med behörighet för tillgång till alla lagrade data som rörde den egna myndigheten. Ingen åtkomst förekom mellan polismyndigheterna. Dock hade tre befattningshavare på Rikspolisstyrelsen rikstäckande administratörsbehörighet för att ta fram nationell statistik, lägga in behörigheter, rapportera till Arbetsmiljöverket och bistå polismyndigheterna med hjälp av teknisk natur. Högsta förvaltningsdomstolen anförde att i vart fall användningen för framställning av nationell statistik samt rapporteringen till Arbetsmiljöverket medförde att undantaget i 2 kap. 10 § första stycket tryckfrihetsförordningen för teknisk bearbetning eller lagring inte var tillämpligt.
Enligt vår bedömning visar avgörandena vikten av att det ska vara fråga om handlingar som förvaras hos myndigheten endast som led i teknisk bearbetning eller teknisk lagring för annans räkning. Undantaget i 2 kap. 10 § tryckfrihetsförordningen tar sikte på hela den tid som myndigheten förvarar en handling. Därigenom måste det enligt utredningens analys anläggas en helhetssyn vid bedömning varför
154
myndigheten förvarar handlingen. Har den myndighet som förvarar handlingen även behörighet att exempelvis framställa statistik utifrån innehållet i handlingarna går undantaget inte att tillämpa även om någon statistik ännu inte framställts.
Sker viss teknisk behandling eller lagring av en inkommen eller upprättad handling i en it-baserad tjänst finns det inte legalt utrymme för att ”isolera” ett tekniskt delmoment under den tid handlingens förvaras hos myndigheten och betrakta detta separat. Utan en helhetssyn riskerar en handling skifta från att vara allmän eller inte beroende på det tekniska sammanhang handlingen för ögonblicket figurerar i och det intresse myndigheten för stunden visar innehållet i handlingen, något som knappast kan ha varit lagstiftarens avsikt. Förvaras en handling av en myndighet inom ramen för myndighetens etjänst för att användaren av e-tjänsten ska fullgöra en uppgiftsskyldighet eller för att myndigheten ska ha möjlighet att ge användaren upplysningar eller råd är det svårt att hävda att handlingen förvaras av myndigheten endast som led i teknisk bearbetning eller teknisk lagring för annans räkning. Detta trots att myndighetens bidrag inom ramen för e-tjänsten kan vara ganska begränsat i form av service genom förifyllda uppgifter eller annan grundläggande hjälp vid ifyllandet som exempelvis kontroll att det är rätt format på organisations-/personnummer.4
Detta resonemang menar vi är giltigt oavsett om handlingen inkommit till myndigheten för att initiera ett ärende enligt förvaltningslagen eller bara är till för att guida en enskild igenom ett uppgiftslämnande (serviceskede). Den tekniska bearbetning eller lagring av handlingen är då bara en följd av den enskildes och myndighetens behov av att kommunicera sinsemellan och inte endast för att myndigheten ska utföra någon teknisk bearbetning eller lagring av handlingen för annans räkning.
I fråga om den föreslagna Servicetjänsten kan vi konstatera följande. När det gäller den grundläggande information om företaget som ska användas av Företagsdatamyndigheten hämtas denna av myndigheten från det allmänna företagsregistret när användaren loggar in på servicetjänsten. Syftet med att hämta uppgifterna är att först kunna visa dem för användaren för att sedan, när denne går vidare till en annan myndighets e-tjänst, låta den e-tjänsten ta del av de grundläggande uppgifterna. Användaren kommer själv att kunna disponera över vissa uppgifter såsom telefonnummer eller adresser. Sker änd-
4 Se Ds 2012:29 En gemensam inlämningsfunktion för skogsägare, s. 26 och 51.
155
ringar skickas dessa till det allmänna företagsregistret. Som en serviceåtgärd kommer myndigheten att göra en grundläggande kvalitetssäkring av ändringar som användaren vill göra. Redan av dessa anledningar är det inte möjligt att tillämpa undantaget i 2 kap. 10 § tryckfrihetsförordningen.
Detsamma gäller aviseringar till uppgiftskravsregistret som lämnas till Företagsdatamyndigheten från övriga myndigheter för att möjliggöra att en uppdaterad lista på uppgiftsinlämningar presenteras för användaren.
Information om hur användaren anpassat Servicetjänsten kommer när e-tjänsten är fullt utbyggd att lagras hos Företagsdatamyndigheten i en databas för att undvika att individuella anpassningar bara fungerar på en specifik dator. Databasen kommer troligen att föras kontinuerligt och för obestämd tid. Den är därför att betrakta som en sådan förteckning som förs fortlöpande (2 kap. 7 § andra stycket 1 tryckfrihetsförordningen). Detta innebär att förteckningen är att anse som upprättad i och med att den tekniskt föreligger färdig för att införa uppgifter om hur användaren anpassat visningen i Servicetjänsten.
11.2. Behov av sekretess hos Företagsdatamyndigheten
Vår bedömning: I Servicetjänsten kan det uppkomma uppgifter
om företagens affärs- eller driftförhållanden. Rätten att ta del av dessa uppgifter behöver eventuellt begränsas. Det är främst uppgifter om
- inställningar och/eller anpassningar som enskild gjort i Servicetjänstens funktion
- enskilds besök hos anslutna myndigheter
- till Servicetjänsten anslutna myndigheters meddelanden om att ett företag är skyldigt att lämna vissa uppgifter till en myndighet eller att företaget fullgjort en sådan skyldighet.
Innan den slutliga tekniska lösningen för Servicetjänsten och en första kartläggning av specifikt vilka uppgiftskrav som ska inkluderas i Att göra-listan är det svårt att ta ställning till frågan om sekretess. Vi lämnar därför inte några förslag i denna del.
156
Frågan om behovet av sekretess bör därför istället fortsatt analyseras inom ramen för det fortsatta arbetet med att genomföra våra förslag.
Behövs en ny sekretessbestämmelse?
Allmänt
En av utredningens utgångspunkter är att den offentliga förvaltningens etablerade struktur för uppgiftslämnandet i huvudsak ska behållas. Den överbyggnad som vi föreslår i form av en Servicetjänst har således det övergripande syftet att fungera som en hjälp för användaren att effektivisera uppgiftslämnandet till de statliga myndigheterna genom primärt en bättre överblick över uppgiftskraven samt samordning av grundläggande uppgifter. Avsikten med Servicetjänsten är med andra ord att på ett enkelt sätt uppnå det i utredningens direktiv uttalade målet att uppgifter som lämnas från företagen till statliga myndigheter som regel endast ska behöva lämnas en gång och till ett ställe. Servicetjänsten kommer därmed att interagera med samtliga myndigheter och deras e-tjänster. Den tekniska integrationen tjänsterna emellan kommer dock inte att vara särskilt långtgående. Servicetjänsten kommer vidare bara att användas vid den inledande myndighetskontakten. Om ett ärende behöver kompletteras i ett senare skede av handläggningen sker det utan Servicetjänstens medverkan.
En för utredningen given utgångspunkt är att användarnas myndighetskontakter inte i större utsträckning än idag bör kunna kartläggas genom den föreslagna infrastrukturen. Servicetjänsten ska dock fungera som en dörr in till den statliga förvaltningen. Om ett företag uteslutande använder Servicetjänsten som en väg in till den statliga förvaltningen för att fullgöra sina uppgiftskrav innebär en så kallad Att göra-lista att Företagsdatamyndigheten erhåller en total överblick vilka uppgiftskrav som ett företag är skyldigt att fullgöra samt information huruvida företaget fullgjort dessa
Den som idag önskar få del av motsvarande sammanställning är tvungen att kontakta varje enskild myndighet och leta i myndighetens diarium efter uppgifter om företaget och dess uppgiftslämnande.
Om företagen upplever att de på ett negativt vis kartläggs när de använder Servicetjänsten riskerar användandet att minska och de
157
positiva effekterna både för företagen och myndigheterna att gå förlorade.
Det förtjänar dock att påpekas att en stor del av den information som kommer att finnas inom ramen för Servicetjänsten är sådan att det inte är aktuellt att överväga att begränsa rätten att ta del av den. Grundläggande uppgifter om företagen kommer exempelvis inledningsvis att hämtas från det allmänna företagsregistret som är öppet för användning av såväl myndigheter som enskilda.
En stor del av företagens kontakter med myndigheter omfattas i något led av handläggningen av sekretess. Av kartläggningsuppdragets redovisning framgår dock inte hur stor del av företagens uppgiftslämnande som omfattas av sekretess. Huvudregeln om sekretess i statlig tillsynsverksamhet m.m. finns i 30 kap. 23 § offentlighets och sekretesslagen (2009:400). Av bestämmelsen framgår att – såvitt här är av intresse – sekretess gäller, i den utsträckning regeringen meddelar föreskrifter om det, i en statlig myndighets verksamhet som består i utredning, planering, prisreglering, tillståndsgivning, tillsyn eller stödverksamhet med avseende på produktion, handel, transportverksamhet eller näringslivet i övrigt för uppgift om en enskilds affärs- eller driftförhållanden, uppfinningar eller forskningsresultat, om det kan antas att den enskilde lider skada om uppgiften röjs,
I bilagan till offentlighets- och sekretessförordningen (2009:641) har regeringen angett i 137 punkter de fall när sekretess gäller hos statliga myndigheters verksamhet enligt 30 kap. 23 § offentlighets och sekretesslagen.
Det kan antas att en stor del av företagens uppgiftslämnande träffas av denna sekretessreglering. En avsevärd andel av företagens uppgiftslämnande omfattas vidare av särskilt sträng sekretessreglering. Uppgiftslämnande på skatteområdet och statistikområdet omfattas exempelvis av absolut sekretessen, dvs. den allra starkaste formen av sekretess. Uppgifter som omfattas av absolut sekretess är alltid hemliga, och får därmed inte lämnas ut oavsett om det kan orsaka skada eller men.
Företagets besök hos anslutna e-tjänster
Att ett företag fullgjort ett uppgiftskrav, lämnat in en ansökan eller varit i kontakt med en myndighet är uppgifter som i många fall inte skyddas av sekretess. Detta är betydelsefullt med tanke på att det kommer att hanteras en stor mängd uppgifter om företagens myn-
158
dighetskontakter inom ramen för Servicetjänsten. Det rör sig om uppgifter som kan ge en mer samlad bild av företagens myndighetskontakter än vad som är möjligt att ta fram idag. För att få en överblick över vilka kontakter som förevarit mellan statliga myndigheter och företag är en enskild som påpekats ovan i dagsläget hänvisad till att vända sig till varje enskild myndighet och/eller söka i myndighetens diarium. Detta kan kräva hårt arbete och vara tidsödande och slutligen ändå inte ge en fullständig överblick över uppgiftslämnandet.
Det finns t.ex. relativt många ärenden bland annat på skatte- och tullområdet – med dess absoluta sekretess enligt 27 kap 1 och 3 § offentlighets och sekretesslagen (2009:400) – där ärendena innan beslut fattats ”mörkas”5 i myndighetens diarium. Det innebär att det av diariet t.ex. inte alltid framgår inkommandedatum, diarienummer, ingivare, adressat och ärendemening om dessa uppgifter omfattas av sekretess. Här kan nämnas att det av den inledande kartläggningen framgår att Skatteverket och Tullverket står för över tre fjärdedelar av de fjorton myndigheternas totala antal mängd ärenden.
Även när de statistikansvariga myndigheterna med stöd i lagen (2001:99) om den officiella statistiken samlar in uppgifter från företag sker det under absolut sekretess enligt 24 kap, 8 §offentlighets- och sekretesslagen. Det är alltid sekretessbelagt att ett visst företag deltagit i en statistisk undersökning.
När Servicetjänsten länkar användaren vidare och förser de underliggande e-tjänsterna med grundläggande uppgifter om användaren kan Företagsdatamyndigheten komma att få en relativt tydlig bild över vilka e-tjänster med bakomliggande myndigheter som användaren besöker. Samtidigt går det här att välja tekniska lösningar som innebär att Företagsdatamyndigheten inte ser vilken myndighet som företaget besökt.
En myndighetskontakt som har inletts via Servicetjänsten leder inte alltid till att det sker ett uppgiftslämnande. Den som använt Servicetjänsten kan exempelvis ha nöjt sig med att besöka en ansluten e-tjänsts ”egna utrymme” för att skapa ett utkast till en ansökan. En ansökan som eventuellt aldrig lämnas in. Om företaget bara har rört sig i e-tjänstens ”egna utrymme” anses det inte uppkomma några allmänna handlingar. Företagsdatamyndigheten har inom ramen för servicetjänsten inte möjlighet att se om ett uppgiftslämnande faktiskt skett och ett ärende initierats.
5 Offentligt eller hemligt, SKV 148 utgåva 4, s. 66.
159
Om Företagsdatamyndigheten kan se vilka myndigheter som företaget besökt genom Servicetjänsten går det att upptäcka om ett företag ändrar sitt beteende, t.ex. genom att ett företag börjar besöka en myndighet som normalt inte är förknippad med företagets verksamhet. Något som kan signalera en kommande ändring i företagets verksamhet, vilket företaget av konkurrensskäl vill hemlighålla.
Anpassningar av servicetjänsten
De egna anpassningarna som en användare gjort avseende sin profil i Servicetjänsten är potentiellt känsliga eftersom de visar vilka myndigheter som är av intresse för ett visst företag. Detta gäller särskilt om anpassningarna avviker från de standardinställningar som följer av företagets SNI-kod eller företagsform. Ändringar i inställningarna kan även signalera förändringar i företagets verksamhet på ett tidigt skede som kan vara känsligt ur affärsmässig synpunkt.
Att göra-listor
Till Servicetjänsten anslutna myndigheter kommer att skicka meddelanden om att ett företag är skyldigt att lämna vissa uppgifter till en myndighet eller att företaget fullgjort en sådan skyldighet för att Servicetjänsten ska kunna skapa Att göra-listor. Dessa meddelanden kan beroende på hur aviseringsfunktionen utformas innebära att det skapas en i det närmaste heltäckande bild över vilka uppgiftskrav som ett företag ska fullgöra samt om företaget fullgjort dessa.
Att ett företag har eller ska lämna uppgifter till en myndighet är vanligen inte en känslig uppgift i sig och detta framgår ofta av respektive myndighets diarium. Som påpekats ovan finns det dock många ärenden där uppgiftslämnandet i sig omfattas av sekretess. En del av dessa uppgifter måste dock aviseras Servicetjänsten för att dess information ska kunna hållas uppdaterad. När det gäller bestämmelserna i 27 kap1-3 §§offentlighets- och sekretesslagen om sekretess till skydd för enskild inom verksamhet som rör skatt, tull m.m. är dessa tillämpliga bara när handlingar begärs utlämnade från en myndighet som har att bestämma skatt eller taxering eller fastställa underlag för skatt. De uppgifter som omfattas av absolut sekretess skulle därför riskera att bli offentliga hos Företagsdatamyndigheten.
160
Detsamma gäller uppgifter huruvida ett företag blivit utvalt att lämna uppgifter för den officiella statistiken. Statistiksekretessen enligt 24 kap, 8 §offentlighets- och sekretesslagen gäller bara i sådan särskild verksamhet hos en myndighet som avser framställning av statistik. Om uppgiften att ett visst företag är skyldigt att delta i en statistik undersökning finns tillgänglig hos Företagsdatamyndigheten skulle statistiksekretessen förlora sin betydelse. Detta kan i förlängningen påverka företagens benägenhet att delta i sådana undersökningar.
Det finns vidare ingen tillämplig bestämmelse om överföring sekretess när det gäller ovan nämnda exempel på uppgiftslämnande inom skatteområdet eller för den officiella statistiken.
För att det ska gå att uppnå en hög grad av funktionalitet är det som tidigare anförts nödvändigt för myndigheten att få uppgifter om alla företag inte bara dem som tidigare använt tjänsten.
Vår bedömning
Inom ramen för Servicetjänsten kommer det som sagt inte att fullgöras några uppgiftskrav vilket i stället kommer att ske hos respektive myndighet och där vara föremål för den sekretessreglering som den myndigheten har att tillämpa vid det enskilda uppgiftslämnandet. Företagsdatamyndigheten kommer med andra ord inte att ägna sig åt ärendehandläggning eller myndighetsutövning i något led.
Intresset av insyn i ett enskilt företags uppgiftslämnande genom Servicetjänsten får därför anses vara mycket begränsat. En betydande mängd av företagens uppgiftslämnande omfattas vidare i något led av handläggningen av absolut sekretess som i många fall t.o.m. innebär att uppgiften om att uppgifter har lämnats är sekretessbelagd.
En sekretessbestämmelse med ett rakt eller omvänt skaderekvisit skulle göra det teoretiskt möjligt att sortera bort uppgifter om uppgiftslämnande som omfattas av sekretess eller där ett besök hos myndighetens e-tjänst bara avser det ”egna utrymmet”. Att faktiskt göra en dylik sekretessprövning är dock knappast praktiskt görbart eftersom det kan vara fråga om ett mycket stort antal uppgifter, företag och myndigheter. Företagsdatamyndigheten kommer troligen inte att ha möjlighet att införskaffa tillräckligt underlag för en mera meningsfull sekretessprövning. Detta motiverar i sig en bestämmelse om absolut sekretess för ovanstående uppgifter hos Företagsdatamyndigheten (jfr prop. 1979/80:2 Del A sida 314).
161
En relativt stor del av företagens uppgiftslämnande är skyddat av absolut sekretess. Som beskrivits ovan är det i vissa fall t.o.m. sekretessbelagt att ett visst företag har fullgjort ett uppgiftskrav till en myndighet. Om uppgifterna i Företagsdatamyndighetens verksamhet omfattas av en sekretessbestämmelse med rakt eller omvänt skaderekvisit riskerar de strängare sekretessbestämmelser som gäller i vissa myndigheters verksamhet att förlora i styrka. Det skulle vara allvarligt om det genom de uppgifter som finns hos Företagsdatamyndigheten går att exempelvis identifiera de företag som lämnat uppgifter för den nationella statistiken till statistikansvariga myndigheter.
Om inte uppgiftskrav som omfattas av absolut sekretess, exempelvis krav inom skatte- och statistikområdet, kan hanteras i Servicetjänsten kommer denna att förlora i värde. Servicetjänstens syfte är att uppgifter som lämnas från företagen till statliga myndigheter som regel endast ska behöva lämnas en gång och till ett ställe. Syftet med tjänsten kommer således att gå förlorat om samtliga uppgiftskrav inte kan tas med i Servicetjänsten. Vi bedömer därför att det finns behov av en ny sekretessbestämmelse till skydd för företagens ekonomiska förhållanden för uppgifter i servicetjänsten.
För att kunna ta ställning till det närmare behovet och utformningen av en sådan ny sekretessbestämmelse till skydd för uppgifter om företagens ekonomiska förhållanden i Servicetjänsten krävs emellertid att tjänstens tekniska funktionalitet är slutligt beslutad så att det går att exakt beskriva vilka uppgifter som uppkommer inom själva Servicetjänsten och i vilket sammanhang.
Inom ramen för utredningen har visserligen en prototyp av Servicetjänsten tagits fram som simulerar mycket av det som Servicetjänsten ska utföra. Avsikten har dock inte varit att prototypen ska utgöra en första version av Servicetjänsten varför den inte kan ligga till grund för en slutlig bedömning av behovet av en ny sekretessbestämmelse. Den Servicetjänst som driftsätts kan nämligen komma att bygga på delvis andra tekniska lösningar.
Vidare måste det i den fortsatta kartläggningen av uppgiftskraven belysas specifikt vilka uppgiftskrav som ska finnas med på Att göralistan och hur känsliga dessa uppgifter är för företagen.
Innan detta underlag finns är det inte möjligt att ta ställning till hur en sekretessbestämmelse för servicetjänsten bör utformas. Frågan om behovet av sekretess bör därför istället fortsatt analyseras inom ramen för det fortsatta arbetet med att genomföra våra förslag.
162
11.3. Behandlar Företagsdatamyndigheten personuppgifter
Vår bedömning: Företagsdatamyndigheten kommer att behandla
personuppgifter.
Med personuppgifter avses enligt definitionen i 3 § personuppgiftslagen all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet.
Med behandling (av personuppgifter) avses enligt samma paragraf varje åtgärd eller serie av åtgärder som vidtas i fråga om personuppgifter, vare sig det sker på automatisk väg eller inte, t.ex. insamling, registrering, organisering, lagring, bearbetning eller ändring, återvinning, inhämtande, användning, utlämnande genom översändande, spridning eller annat tillhandahållande av uppgifter, sammanställning eller samkörning, blockering, utplåning eller förstöring.
För att Företagsdatamyndigheten ska kunna fullgöra sitt uppdrag och driva en fullt utbyggt Servicetjänst är det nödvändigt för myndigheten att behandla vissa personuppgifter om användaren och företaget. Det är som påpekats ovan fråga om:
- grundläggande information om företaget (inledningsvis från det allmänna företagsregistret),
- information om hur användaren anpassat profilen i Servicetjänsten,
- aviseringar till uppgiftsinlämningsregistret
- aviseringar av grundläggande uppgifter till myndigheterna.
När ett företag bedrivs i form av enskild firma kommer uppgifter om företaget regelmässigt vara att betrakta som personuppgifter eftersom innehavaren av en enskild firma är en enda fysisk person.
Mer än hälften av alla företag i Sverige bedrivs i denna form varför det är enklast att utgå från att det är fråga om personuppgiftsbehandling när uppgifter om företagen behandlas i Servicetjänsten. Vidare innebär e-legitimationens uppbyggnad att användaren loggar in i egenskap av fysisk person.
163
Avvägning mellan Företagsdatamyndighetens behov 11.3.1
av personuppgifterna och skyddet för den personliga integriteten
Vår bedömning: Företagsdatamyndighetens behandling av per-
sonuppgifter går att förena med kraven på skydd mot kränkning av den personliga integriteten.
Företagsdatamyndighetens uppdrag är att verka för att uppgifter från företagen till statliga myndigheter som regel endast ska behöva lämnas en gång och till ett ställe. För att uppnå detta föreslår utredningen skapandet av en Servicetjänst som dels ska ge företagen en överblick över vilka uppgiftskravs om finns, dels minska bördan att vid varje enskilt uppgiftslämnande behöva lämna grundläggande uppgifter. Om Företagsdatamyndigheten inte får möjlighet att behandla personuppgifter är det omöjligt för myndigheten att fullgöra sitt uppdrag att förenkla företagens uppgiftslämnande.
En särskild risk sett ur integritetsskyddssynpunkt med den infrastruktur som föreslås är att Företagsdatamyndigheten kan komma att sammanställa uppgifter om enskilda företags uppgiftslämnande till en eller flera myndigheter så att det uppstår ett omfattande och unikt material. Det kan bli svårt för den enskilde användaren att överblicka hur uppgifterna om honom eller henne kan komma att användas av Företagsdatamyndigheten och vem/vilka som får ta del av de insamlade uppgifterna. Ju större möjligheter det finns att i olika konstellationer sammanställa uppgifter om enskilda desto större risker för otillbörligt intrång i den enskildes personliga integritet medför detta.
Frågan är därför vilka sammankopplingar som kan tillåtas och hur man ska gå tillväga för att Företagsdatamyndighetens behandling av personuppgifter ska kunna ske under betryggande former. Eftersom det rör sig om en mindre myndighet och endast ett fåtal personer kommer att arbeta med Servicetjänsten, innebär behandlingen av personuppgifter jämförelsevis liten risk för spridning. Det går vidare att relativt väl avgränsa vilken typ av personuppgifter som det är aktuellt att behandla inom ramen för Servicetjänsten. I syfte att stärka den enskildes integritet bör därför ändamålen med behandlingen av dessa uppgifter hos Företagsdatamyndigheten preciseras i den författning som kommer att reglera Servicetjänsten. Görs detta går enligt vår bedömning Företagsdatamyndighetens behandling av personuppgifter
164
att förena med kraven på skydd mot kränkning av den personliga integriteten.
Personuppgiftsansvar och ändamålen 11.3.2
med personuppgiftsbehandlingen
Vårt förslag: Företagsdatamyndigheten är personuppgiftsansvarig
för den behandling av personuppgifter som myndigheten utför.
Företagsdatamyndigheten får behandla personuppgifter i den utsträckning som krävs för att föra en förteckning över enskilda användare som anslutit sig till Servicetjänsten och de individuella anpassningar av servicetjänsten som användaren gjort. Av förteckningen får vidare framgå vilka företag användaren företräder.
Företagsdatamyndigheten får vidare behandla personuppgifter i den utsträckning som krävs för att överlämna grundläggande uppgifter från Servicetjänsten till anslutna e-tjänster när användaren besöker dessa.
Företagsdatamyndigheten får även behandla personuppgifter i den utsträcknings som krävs för att kunna skapa Att göra listor.
Företagsdatamyndigheten får slutligen möjlighet att behandla personuppgifter för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning. Det förtydligas att den s.k. finalitetsprincipen ska gälla vid behandling av personuppgifter hos myndigheten.
Med personuppgiftsansvarig avses enligt 3 § personuppgiftslagen den som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandlingen av personuppgifter. En särskild bestämmelse bör införas i som klargör att Företagsdatamyndigheten är personuppgiftsansvarig.
I 9 § första stycket c) personuppgiftslagen anges att personuppgifter enbart får samlas in för särskilda, uttryckligen angivna och berättigade ändamål. De insamlade personuppgifterna får enligt 9 § första stycket d) inte behandlas för något annat ändamål som är oförenligt med det för vilket uppgifterna samlades in (finalitetsprincipen).
Det anges inte i 9 § personuppgiftslagen hur pass detaljerat ändamålen ska anges för att uppfylla lagens krav. I doktrin har angetts att ändamålen i vart fall måste ha en viss grad av precision; annars kan man knappast bedöma om personuppgifterna är adekvata eller
165
relevanta eller om för många personuppgifter behandlas (Öman och Lindholm, Personuppgiftslagen, En kommentar, 2011, s. 195).
Genom att ange tydliga ändamål kan den enskilde få en klarare uppfattning om i vilka sammanhang insamlade personuppgifter beträffande honom eller henne kan komma att användas. Det bör därför anges särskilda ändamål för när personuppgifter får behandlas i Företagdatamyndighetens verksamhet.
Det kan vara att föredra att det uttryckligen i en författning anges vilka uppgifter som får finnas inom verksamheten. Företagsdatamyndighetens verksamhet kommer dock att behöva anpassas och utvecklas över tiden. Utbudet och efterfrågan av grundläggande uppgifter som Företagsdatamyndigheten kan komma att förse myndigheterna med kommer att förändras. Vi håller dock för osannolikt att det bland de grundläggande uppgifterna kommer att finnas uppgifter som kan vara att betrakta som känsliga i strikt mening.
De ändamål som anges i det följande får enligt utredningen anses tillräckligt specifika för att uppfylla de grundläggande kraven enligt 9 § personuppgiftslagen. Det måste framöver ankomma på Företagsdatamyndigheten att bryta ned och precisera ändamålen. Typiskt sett blir detta aktuellt när myndigheten överväger förändringar i Servicetjänsten.
Det är nödvändigt för Företagsdatamyndigheten att behandla vissa uppgifter om den enskilde användaren för att kunna ge den service som eftersträvas inom Servicetjänsten. Företagsdatamyndigheten bör därför få behandla personuppgifterna i den utsträckning som krävs för att föra en förteckning över enskilda användare som anslutit sig till Servicetjänsten och de individuella anpassningar av Servicetjänsten som användaren gjort. Av förteckningen bör vidare få framgå vilka företag användaren företräder.
Ett grundläggande syfte med Servicetjänsten är att övriga myndigheter ska aviseras grundläggande och för den enskilda myndigheten relevanta uppgifter. Företagsdatamyndigheten bör därför få behandla personuppgifter i den utsträckning som krävs för att överlämna grundläggande företagsuppgifter från Servicetjänsten till anslutna e-tjänster när användaren besöker dessa.
Företagsdatamyndigheten får även behandla personuppgifter i den utsträckning som krävs för att hålla ett aktuellt uppgiftsinlämningsregister.
För att undanröja osäkerhet kring frågan om förhållandet mellan ovan beskrivna ändamålsbestämmelser, personuppgiftslagens finalitetsprincip, offentlighets- och sekretesslagen (2009:400) och andra
166
bestämmelser som föreskriver utlämnande eller tillåter att uppgifter lämnas ut utan hinder av sekretess föreslås slutligen en ändamålsbestämmelse som medger att personuppgifter – som behandlas med stöd av något eller några av de primära ändamålen – också får behandlas för sådant uppgiftsutlämnande som sker i överensstämmelse med lag eller förordning. Finalitetsprincipen är giltig även vid personuppgiftsbehandling enligt den föreslagna förordningen. En uttrycklig hänvisning till finalitetsprincipen bör införas för att undvika tolkningsproblem vid tillämpningen.
Personuppgiftslagen eller en ny lagstiftning 11.3.3
Vår bedömning: Inom ramen för Servicetjänsten uppkommer
inte sådan kartläggning och betydande integritetsintrång som är grundlagsskyddad enligt 2 kap. 6 § regeringsformen. Det finns därför inget krav i regeringsformen på att behandlingen av personuppgifterna regleras i lag utan det är tillräckligt om det sker i form av en förordning
En central fråga att överväga är om Företagsdatamyndighetens behandling av personuppgifter är av sådan omfattning och art att den närmar sig det av 2 kap. 6 § regeringsformen skyddade området och då särskilt eftersom Företagsdatamyndigheten har behov av att behandla ett stort antal personuppgifter. Vi har dock bedömt att det inte ska få ske någon behandling av känsliga personuppgifter. Vidare ska bara behandlingen få ske utifrån väl definierade ändamål. Det är inte aktuellt att göra andra sammanställningar av uppgifterna än de som krävs för att driva och förvalta servicetjänsten. Sammantaget finner vi därför inte att det är fråga om sådan kartläggning och betydande integritetsintrång som är grundlagsskyddad enligt 2 kap. 6 § regeringsformen. Det finns därför inget krav i regeringsformen på att behandlingen av personuppgifterna regleras i lag utan det är tillräckligt om det sker i form av en förordning.
När det gäller uppgifter om hur användaren anpassat profilen i Servicetjänsten, aviseringar till uppgiftsinlämningsregistret och uppgifter om vilka e-tjänster som användaren besökt finns det inte behov av något omfattande uppgiftsutbyte med andra myndigheter varför det inte bör vara möjligt med direktåtkomst för andra till dessa uppgifter hos Företagsdatamyndigheten.
167
Känsliga personuppgifter 11.3.4
Vår bedömning: Företagsdatamyndigheten har inte behov av att
behandla känsliga personuppgifter. Vid den tekniska utformningen av Servicetjänsten bör läggas stor vikt vid att myndigheten inte samlar in eller på annat sätt behandlar känsliga personuppgifter.
Med känsliga personuppgifter avses enligt 13 § personuppgiftslagen (1998:204) personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiösa eller filosofiska övertygelser, medlemskap i fackförening eller personuppgifter som rör hälsa eller sexualliv. Av 13 § personuppgiftslagen framgår att det som huvudregel är förbjudet att behandla känsliga personuppgifter. I 15–19 §§personuppgiftslagen anges i vilka fall det trots förbudet är tillåtet att behandla känsliga personuppgifter.
Det kommer inte inom servicetjänsten behandlas närmare uppgifter om exempelvis att ett visst uppgiftslämnande avser en viss bestämd person. Om ett företaget bara har en anställd eller bedrivs som enskild firma utan anställda kommer det dock i vissa situationer gå att härleda att uppgiftslämnandet avser en viss person. Det ska dock påpekas att Företagsdatamyndigheten aldrig kommer att veta om en skapad länk till ett uppgiftskrav i Servicetjänsten faktiskt leder till att uppgiftslämnande sker.
Om Företagsdatamyndigheten har möjligt att koppla användaren till att en specifik vidarelänkning till en annan myndighet för att fullgöra ett specifikt uppgiftskrav finns det en risk att Företagsdatamyndigheten kommer att behandla känsliga personuppgifter (13 § personuppgiftslagen).
En förutsättning för att det överhuvudtaget ska kunna uppkomma känsliga personuppgifter är att uppgiftskravet i sig indikerar att det är fråga om ett uppgiftslämnande som avslöjar ras eller etniskt ursprung, politiska åsikter, religiösa eller filosofiska övertygelser, medlemskap i fackförening eller rör hälsa eller sexualliv. Det är bara fråga om ett fåtal uppgiftskrav som då kvalificerar sig för att i kombination med uppgift om företaget eventuellt skapa en känslig personuppgift. Ett konkret exempel på när så kan komma att ske är att innehavare av en enskild firma använder Servicetjänsten för att besöka Försäkringskassans e-tjänst för att ansöka om graviditetspenning. Denna kombination av uppgifter kan eventuellt innebära att Företagsdatamyndigheten kommit att behandla känsliga personuppgifter. En
168
förutsättning för att det ska skett en behandling av känsliga personuppgifter är dock att Företagsdatamyndigheten på något sätt loggar att företagaren använt länken kopplat till uppgiftskravet graviditetspenning för att komma vidare från Servicetjänsten. Bara genom att servicetjänsten skapar en länk – en bland flera andra länkar till andra tänkbara uppgiftskrav – till Försäkringskassans e-tjänst kan det inte anses uppkomma några känsliga personuppgifter. När det gäller Försäkringskassans e-tjänster är dessa byggda som en samlad e-tjänst med en gemensam inloggning för flera uppgiftskrav. Uppgiftskravet graviditetspenning är vidare inte myndighetsinitierat varför det inte är föremål för aviseringar till uppgiftsinlämningsregistret.
Det finns således en liten risk att det inom Servicetjänsten ska uppkomma känsliga personuppgifter. Vi kan emellertid inte se att det skulle vara varken tekniskt eller juridiskt nödvändigt för Företagsdatamyndigheten att behöva behandla känsliga personuppgifter. Vid den tekniska utformningen av Servicetjänsten bör i stället läggas stor vikt vid att myndigheten inte samlar in eller på annat sätt behandlar personuppgifter på ett sätt som genererar känsliga personuppgifter. Det skulle t.ex. kunna vara fråga om medvetna val rörande vad som registreras i systemet när en användare i Servicetjänsten väljer att fullgöra ett uppgiftskrav hos exempelvis Försäkringskassan.
Rättelse och skadestånd 11.3.5
Vårt förslag: Bestämmelserna i personuppgiftslagen om rättelse
och skadestånd ska gälla vid behandling av personuppgifter
Reglerna i 28 § personuppgiftslagen om rättelse m.m. gäller endast uppgifter som har behandlats i strid med personuppgiftslagen. På motsvarande sätt gäller skadeståndsansvar enligt 48 § personuppgiftslagen endast för behandling av personuppgifter i strid med personuppgiftslagen. Det finns därför skäl att särskilt föreskriva att uppgifter som behandlats i strid med den föreslagna förordningen omfattas av personuppgiftslagens regler samt föreskrifter om rättelse och skadestånd som meddelats med stöd av den lagen.
169
Gallring 11.3.6
Vårt förslag: Uppgifter om enskilda användare som anslutits sig
till tjänsten ska gallras senast 5 år efter att användaren senast besökte servicetjänsten.
Sammanställningar av grundläggande uppgifter som upprättats i samband med att användaren besökt Servicetjänsten ska gallras omedelbart efter användaren besök (sessionen) hos Servicetjänsten avslutats.
Uppgifter om att ett företag är skyldigt att fullgöra ett uppgiftskrav ska gallras senast ett år efter det att uppgiftskravet skulle ha fullgjorts.
Uppgifter om att ett företag fullgjort ett uppgiftskrav som avses i tredje stycket ska gallras senast sex månader efter det att Företagsdatamyndigheten mottog uppgiften.
Grundläggande bestämmelser om bevarande och gallring av uppgifter hos myndigheter och vissa andra organ finns i arkivlagen (1990:782). Enligt 3 § och 10 § första stycket lagen får allmänna handlingar gallras, men endast under beaktande av att arkiven utgör en del av kulturarvet och att det material som återstår efter gallring ska kunna tillgodose rätten att ta del av allmänna handlingar, behovet av information för rättskipning och förvaltning samt forskningens behov. Om det finns avvikande bestämmelser om gallring av vissa allmänna handlingar i annan lag eller i förordning gäller, enligt 10 § tredje stycket, dessa bestämmelser. Enligt 14 § arkivförordningen (1991:446) får statliga myndigheter gallra allmänna handlingar endast i enlighet med föreskrifter eller beslut av Riksarkivet, om inte särskilda gallringsföreskrifter finns i lag eller förordning.
Riksarkivet har utfärdat föreskrifter och allmänna råd om gallring av handlingar av tillfällig eller ringa betydelse. Av 7 § föreskriften framgår att myndigheter ska gallra allmänna handlingar av tillfällig eller ringa betydelse. Gallring får dock endas ske under förutsättning att allmänhetens rätt till insyn inte åsidosätts och handlingarna bedöms sakna värde för rättsskipning förvaltning och forskning.
Personuppgiftslagen innehåller vissa bestämmelser om hur länge personuppgifter får bevaras. Enligt 9 § ska den personuppgiftsansvarige se till att personuppgifter inte bevaras under längre tid än vad som är nödvändigt med hänsyn till ändamålen med behandlingen. Därefter måste personuppgifterna avidentifieras eller förstöras. Per-
170
sonuppgifter kan dock bevaras för historiska, statistiska eller vetenskapliga ändamål under längre tid än vad som nu sagts. Bestämmelserna i personuppgiftslagen kompletteras ofta med särskilda bestämmelser om gallring i myndigheters särreglering för behandlingen av personuppgifter.
Från integritetssynpunkt är det viktigt att personuppgifter inte behandlas längre än nödvändigt och att det, utöver generella bestämmelser om längsta tid för bevarande, finns särskilda gallringsfrister för olika kategorier av uppgifter som behandlas automatiserat. Samtidigt får uppgifter i princip inte gallras i sådan omfattning att det äventyrar arkivens roll som en del av kulturarvet eller något av de tre huvudändamålen med arkivverksamheten. Även efter genomförd gallring måste arkiven kunna tillgodose rätten att ta del av allmänna handlingar, rättskipning samt förvaltningens och forskningens behov. Det behövs därför göras en avvägning mellan å ena sidan verksamhets- och integritetsintressena å andra sidan offentlighetsintresset.
Inom ramen för Servicetjänsten kommer det inte att ske någon ärendehandläggning eller annan myndighetsutövning. Samtidigt är det nödvändigt för att kunna ge den service som eftersträvas att det skapas en stor mängd allmänna handlingar som i sin tur kommer att innehålla personuppgifter i varierande utsträckning. När det gäller de uppgifter som används inom Servicetjänsten är behovet av att behandla dem under en längre tid typiskt sett begränsad. Handlingarnas betydelse för Företagsdatamyndighetens verksamhet är omedelbar och när användaren avslutat sitt besök hos Servicetjänsten har i princip alla de handlingar som upprättats i anledning av besöket förlorat sin betydelse. Som påtalats ovan kommer en stor del av handlingarna att innehålla personuppgifter.
Naturligtvis kan man överväga om de handlingar (individualiserade länkar till aktuella uppgiftskrav, sammanställningar av grundläggande uppgifter m.m.) som upprättas momentant när användaren loggar in på Servicetjänsten är av tillfällig eller ringa natur då de omedelbart förlorar sin betydelse när användaren loggar ut. Det är emellertid upprättandet av dessa handlingar som är kärnan i Servicetjänsten. Handlingarna är på intet sätt betydelselösa under den tid som användaren är inloggad. Handlingarna kommer vidare inte att föras över till något annat medium eller ersättas av några andra handlingar. Vi har därför funnit att det inte är möjligt att gallra dessa handlingar med stöd av Riksarkivets föreskrift.
Vi förslår i stället att det införs en särskild regel om att sammanställningar av grundläggande företagsuppgifter som upprättats i sam-
171
band med att användaren besökt Servicetjänsten ska gallras omedelbart efter användaren besök (sessionen) hos Servicetjänsten avslutats.
Uppgifter om att ett företag är skyldigt att fullgöra ett uppgiftskrav ska gallras senast ett år efter det att uppgiftskravet skulle ha fullgjorts.
Uppgifter om att ett företag fullgjort ett uppgiftskrav som avses i tredje stycket ska gallras senast sex månader efter det att Företagsdatamyndigheten mottog uppgiften
Om handlingarna skulle behövas på nytt kan det återskapas genom att de tas fram med ledning av registret över uppgiftskrav och uppgifter ur det allmänna företagsregistret. När det gäller uppgifter om att ett företag ska fullgöra eller fullgjort ett uppgiftskrav kan även dessa rekonstrueras om informationen finns sparad hos avsändande myndigheter. Observera att gallringsbestämmelsen som föreslås avser den senaste tidpunkt när uppgifterna bör gallras.
11.4. Juridisk analys av användningsfall
Utöver den ovan redovisade juridiska analysen av den föreslagna lösningen har utredningen tagit sig an ett antal s.k. enskilda användningsfall som kunnat urskiljas under utvecklingen av infrastrukturen för företagens uppgiftslämnande. Detta redovisas i en särskild bilaga i matrisform (se bilaga 6). Matrisen utgör ett inslag i den arbetsmetod som utredningen har använt sig av i syfte att integrera teknisk funktionalitet med juridiskt hållbara lösningar. Detta innebär att vissa delar av den rättsliga analysen framöver kan komma att modifieras i takt med att systemlösningar preciseras och i övrigt justeras.
Analyserade rättsområden 11.4.1
Nedan uppmärksammas juridiska frågor som de olika användningsfall som utredningen laborerat med aktualiserar inom fyra centrala rättsområden:
Personuppgiftslagen (1998:204): Omfattar användningsfallet någon
form av personuppgiftsbehandling? Om så; vilka personuppgifter, vem är personuppgiftsansvarig, vilken tillåtlighetsgrund finns, vilka särskilda säkerhetskrav finns, samt finns behov av specialreglering?
Tryckfrihetsförordningen samt offentlighets- och sekretesslagen (2009:400): Medför användningsfallet att det skapas allmänna hand-
172
lingar (inkomna handlingar, upprättade antingen s.k. färdiga eller potentiella handlingar (sammanställningar), samt löpande förteckningar)? Om så, är dessa allmänna handlingar offentliga och bör de i sådana fall vara det?
Arkivlagen (1990:782) I den mån användningsfallet genererar nya
allmänna handlingar eller övrig information, hur gallras eller rensas dessa (i ett tidigare skede) och vilket lagstöd samt gallringsbeslut behövs?
Förvaltningslagen (1986:223) Omfattar användningsfallet någon
form av ärendehandläggning som utmynnar i myndighetsbeslut eller myndighetsutövning? Om ett myndighetsbeslut tas utifrån uppgifter som inkommit i samband med användningsfallet, har nödvändig kommunicering gjorts (jfr 17 § förvaltningslagen )?
Särskilt om några användningsfall 11.4.2
Användningsfall 12 (AF12): Underhåll uppgifter (fil). Detta omfattar
uppdatering av det allmänna företagsregistret utifrån från andra källor. Detta görs idag av SCB med stöd av förordningen (1984:692) om det allmänna företagsregistret, och behandlas inte vidare här.
Användningsfall 13 och 14: Hämta grunduppgifter). Detta an-
vändningsfall inleds när företagaren börjar använda en e-tjänst som behöver tillgång till grunduppgifter och avslutas när grunduppgifterna har överförts till handläggande myndighet. Det finns tre tänkbara mekanismer för överföringen (”automatisk inhämtning”, ”inhämtning på användarens begäran”, samt ”överföring genom länkparametrar”), som resulterar i delvis olika rättsliga bedömningar. Därför behandlas detta i bilagan som tre separata användningsfall.
Användningsfall 18: Administrera batchkörningar, samt användningsfall 23: Guida slutanvändare (Företagsdatamyndighetens
”helpdesk”), aktualiserar de ovan nämnda rättsområdena endast i begränsad omfattning, och behandlas inte i bilagan.
173
12. Organisation och finansiering
12.1. Organisation
Vårt förslag: Det bör inrättas en ny myndighet (Företagsdata-
myndigheten) med den överordnade uppgiften att verka för att uppnå regeringens mål att minska och förenkla uppgiftslämnandet för företagen.
Företagsdatamyndigheten ska genom samråd och tillsyn bidra till att underlätta företagens uppgiftslämnande.
Företagsdatamyndigheten ska ansvara för Uppgiftskravsregistret och Servicetjänsten.
Till Företagsdatamyndigheten ska knytas ett råd med av regeringen utsedda representanter för såväl större som mindre myndigheter liksom näringslivet med företagens bästa i centrum.
Bolagsverket rekommenderade i sitt Förslag till minskat uppgiftslämnande för företag att det skulle inrättas ett samordningsorgan i syfte att därmed etablera en organisation och en struktur som medför att uppgiftslämnarbördan för näringslivet gentemot statliga myndigheter kan behandlas, och därmed sannolikt reduceras, på ett koordinerat, strukturerat och enhetligt sätt. Med samordningsorgan avsågs då en organisatorisk enhet med uppgift att besluta om åtgärder som innebär att företagens uppgiftslämnande förenklas och begränsas bland annat genom återanvändning av redan insamlad information. Det förslag till samordningsorgan som Bolagsverket presenterade omfattade följande fem funktioner, av vilka de två inledande får anses utgöra dess kärnverksamhet:
- Samråd
- Samordning
- Definition (referensregister)
174
- Information
- Statistik
Bolagsverket ansåg att det inte borde skapas någon ny myndighet för driften av samordningsorganet då det framför allt ur ett ekonomiskt perspektiv torde vara mer rationellt att lägga ansvaret för verksamheten hos en befintlig myndighet. Bolagsverket föreslog att samordningsorganet (Uppgiftskravsinspektionen) skulle läggas hos Bolagsverket. Därigenom skulle enligt Bolagsverket samordningsorganet med största sannolikhet kunna byggas upp på en kortare tid. Samordningsorganet borde dock ges en oberoende ställning med en egen beslutsfunktion även om det rent organisatoriskt skulle knytas till en redan befintlig myndighet. Den självständiga ställning som samordningsorganet av naturliga skäl måste ges i förhållande till de myndigheter som kräver in uppgifter från företagare, måste bland annat av trovärdighetsskäl således även gälla i relation till den myndighet som föreslogs få det formella ansvaret för uppgiftskravregistrets verksamhet.
I syfte att åstadkomma en organisationsstruktur med reell tyngd bakom den typ av åtgärder som Bolagsverket föreslog behöver ett samordningsorgan förses med vissa beslutsbefogenheter i förhållandet till övriga myndigheter, vilket man ansåg skulle regleras i en förordning. Bolagsverket betonade vikten av att regeringen på ett mycket tydligt sätt redovisar sin syn på betydelsen av inrättandet av nämnda samordningsstruktur. Behovet av förvaltningspolitisk förankring menade man även gäller det arbete som en samordning har att möjliggöra. Det handlar närmare bestämt om de förenklingar för näringslivet som kan uppnås och som måste ges prioritet framför exempelvis det merarbete eller de merkostnader för myndigheterna som införandet av en samordningsorganisation initialt kommer att medföra.
En annan grundläggande förutsättning för själva samordningsorganets arbete är att tillräckliga resurser knyts till dess verksamhet. Uppbyggnaden av ett samordningsorgan och uppgiftskravsregister kommer att vara relativt komplexa verksamheter att skapa, framför allt med avseende på etableringen av processer, rutiner och it-stöd för kartläggning av existerande uppgiftskrav. Bolagsverket framhöll att det även i samordningsorganets löpande verksamhet kommer att krävas kvalificerade bedömningar avseende såväl juridiska, processmässiga som tekniska frågeställningar.
175
Skälen för vårt förslag
Utöver de fem funktioner som beskrivs ovan – som väl fångar vad som kan förväntas av den som ansvarar också för vårt föreslagna Uppgiftskravsregister – tillkommer enligt utredningens förslag uppgiften att utforma och bygga upp Servicetjänsten. Det överordnade uppdraget för en ny myndighet är förstås att bidra till regeringens mål att underlätta för företagen.
I den förvaltningspolitiska propositionen år 2010 (prop. 2009/10:175) slog regeringen fast att myndighetsformen också i fortsättningen ska vara huvudalternativet för att bedriva statlig verksamhet. Som skäl för detta pekade regeringen bland annat på att myndighetsformen tillgodoser kraven på insyn och tydliga ansvarskedjor samt ger goda möjligheter att anpassa styrning och organisation till olika förutsättningar. Myndighetsformen bör alltid vara huvudregel när uppgifterna är styrande eller policyinriktade, dvs. när syftet är att bidra till att nå uttalade politiska mål. Andra organisationsformer ska bara användas om det finns särskilda skäl och efter noggrann prövning. Detta kan framför allt bli aktuellt när uppgiften är att operativt utföra tjänster som ingår i det allmännas ansvar.
Utredningen bedömer att den här aktuella verksamheten vad gäller företagens uppgiftslämnande faller väl inom ramen för sådant som med hänvisning till ovanstående bör bedrivas av en statlig myndighet. Det skulle i och för sig vara möjligt att låta den aktuella verksamheten utföras inom ramen för en befintlig myndighet. Eftersom arbetet bedöms kunna utföras av en relativt liten organisation finns det några generella fördelar med en dylik lösning jämfört med att bilda en egen självständig myndighet. Det rör sig främst om mindre sårbarhet, lägre administrativa kostnader och bättre förutsättningar för kompetensförsörjning. Eftersom arbetet till viss del handlar om att utveckla, förvalta och driva en teknisk infrastruktur kan det finnas väsentliga fördelar med att inordna detta i en myndighet som redan bedriver den typen av verksamhet.
Men fördelarna är knappast så stora att de är avgörande för valet av organisationsform, och utredningen bedömer att det skulle vara fullt möjligt, och t.o.m. mer lämpligt att bilda en egen myndighet för att utföra samordningsorganets arbete. Merparten av nackdelarna med en sådan lösning skulle kunna hanteras genom någon form av administrativ samverkan med en större myndighet. Inte minst gäller det stora delar av förvaltningen och den operativa driften av den tekniska infrastrukturen.
176
Ett viktigt skäl för att det bör skapas en ny egen myndighet är att denna behöver vara oberoende i förhållande till övriga myndigheter som ska samordnas. Verksamheten ska bedrivas med företagens intresse i fokus, vilket kan leda till andra lösningar än om den utformas med utgångspunkt i enskilda myndigheternas behov och intressen. Om uppgiften läggs på en befintlig myndighet som själv samlar in uppgifter från företagen är det inte självklart att den lösning som passar bäst för den egna myndigheten också uppfyller kraven och önskemålen från andra myndigheter som ska använda och ha nytta av den nya infrastrukturen. Uppgiften att minska och förenkla företagens uppgiftslämnande kommer ju i vart fall delvis att handla om att standardisera hur olika myndigheter ska samla in och utnyttja uppgifter från företagen inom ramen för dels Servicetjänsten, dels det allmänna samordningsarbetet. Det är inte självklart att alla myndigheter har samma uppfattning om hur en sådan standardisering ska gå till. Därtill är det få myndigheter som har någon egentlig erfarenhet av att leda och prioritera i arbetet med att minska och förenkla företagens uppgiftslämnande på sätt som blir nödvändigt för den föreslagna Företagsdatamyndigheten.
Den nyinrättade myndigheten behöver inledningsvis ha ett omfattande samverkan med framför allt Statistiska centralbyrån, eftersom det allmänna företagsregistret inledningsvis avses få en central roll i den föreslagna Servicetjänsten.
Till den nya myndigheten bör dessutom knytas ett råd med representanter för en handfull olika stora myndigheter från olika områden men även representanter för företagen. Sammansättningen bör anpassas till de aktuella behoven.
Utredningen vill särskilt fästa uppmärksamheten på vikten av förvaltningspolitisk förankring vad gäller en förvaltningsgemensam infrastruktur för företagens uppgiftslämnande. Den här föreslagna samordningsorganisationen ger möjlighet till det arbete som behöver utföras för att i praktiken åstadkomma förenklingar för näringslivet när det gäller företagens uppgiftslämnande. För att så ska kunna ske är det uppenbart att Företagsdatamyndigheten måste tilldelas vissa beslutsbefogenheter – särskilt när det gäller Servicetjänsten – i förhållandet till övriga myndigheter, vilket bör regleras särskilt.
177
12.2. Finansiering
Vårt förslag: Servicetjänsten ska finansieras genom avgifter från
anslutna myndigheter.
Företagsdatamyndighetens övriga verksamhet får finansieras genom omdisponeringar i statsbudgeten.
Myndigheternas kartläggningsarbete, anpassningar av sina itsystem till Servicetjänsten och övriga arbete att samordna uppgiftskraven får klaras av inom ramen myndigheternas anslag.
Bolagsverket redovisade i Förslag till minskat uppgiftslämnande för företag i huvudsak tre alternativa möjligheter till finansiering av sitt föreslag till samordningsorgan, nämligen:
- via avgifter från företagen
- via neddragningar av budget till berörda myndigheter
- via omdisponeringar i statsbudgeten.
De tre alternativen är desamma som det förslag som utformades av PRV år 2000. I den rapporten presenterades slutsatsen att finansiering via omdisponeringar i statsbudgeten var det bästa alternativet. Baserat på PRV:s rapport samt de erfarenheter som finns att tillgå från Norge rekommenderade Bolagsverket samma finansieringsalternativ; dvs. via omdisponeringar i statsbudgeten.
I Norge har de myndigheter som fråntagits ansvaret att samla in data från näringslivet fått behålla sina anslag för att på så vis kunna tillgodogöra sig de nyttor som uppstår när personalen i högre utsträckning kan ägna sig åt kärnverksamheten. De myndigheter som fått ökat ansvar för datainsamling har däremot fått ökade anslag i takt med att belastningen på myndigheten därmed ökat. Denna modell har valts i syfte att dessa myndigheter inte ska drabbas negativt inom sina respektive budgetar. Bolagsverkets slutsats är att lösningen i Norge motsvarar alternativet ”omdisponeringar i statsbudgeten”, vilket ytterligare stärker Bolagsverket i uppfattningen att detta är den finansieringsform som bör väljas.
Bolagsverket har även framfört att alternativet att finansiera ett samordningsorgan med avgifter från företagen innebär att uppgiftslämnandet förenas med en utgift för företagen. Detta skulle sända fel signaler till näringslivet vilket till och med skulle kunna motverka uppbyggandet av ett samordningsorgan. En förutsättning för att av-
178
giftsbelägga offentligrättslig verksamhet torde vidare vara att en vara eller tjänst tillhandahålls företagen. Att kräva in en uppgift kan dock inte anses synonymt med att tillhandahålla en tjänst, varför sambandet mellan tjänst och avgift blir högst otydligt. Uppgiftslämnandet kommer dessutom att påverka företagen olika, varför en avgift i relation till krav på uppgiftslämnande sannolikt kommer att variera kraftigt.
En finansieringslösning som baseras på en minskning av berörda myndigheters anslag skulle indirekt kunna leda till ett revirtänkande mellan olika myndigheter och på så vis motarbeta införandet av ett samordningsorgan. Innan ett samordningsorgan har byggts upp är det dessutom osäkert vilka myndigheter som skulle få minskade respektive ökade kostnader. Samordningen av myndigheternas uppgiftsinsamlande måste ses som en process, där samordningsbehovet först ska identifieras innan det är aktuellt att framförhandla en samordningslösning. I och med att samordningsorganet har möjlighet att anta ett helikopterperspektiv och ta initiativ till att lagstiftaren anpassar regelverken i syfte att uppnå en högre grad av uppgiftssamordning, finns det inga parametrar som i utgångsläget kan betraktas som givna. Det torde därför vara svårt att föregripa detta genom att påbörja en diskussion om hur en eventuell anslagsminskning bäst bör omfördelas redan nu
Ett undantag från ovanstående resonemang berör enligt Bolagsverket de myndigheter som i dag är helt eller delvis avgiftsfinansierade. Avgifter är vanligtvis händelseutlösta, och kan exempelvis tas ut i samband med att ett företag köper någon form av avgiftsbelagd information från en myndighet. Avgifter tas även ofta ut i samband med att ett företag söker någon form av tillstånd eller registrering.
Genom att inhämta fler färdigbearbetade uppgifter från andra myndigheter kan antalet uppgifter som inhämtas från företagen begränsas. Genom att myndighetens arbetsbörda för att samla in och sammanställa information därmed minskar, borde avgifterna teoretiskt sett kunna minska. I praktiken torde skillnaden i arbetsbelastning vara av den storleksordningen att den får en högst marginell betydelse för avgiftens storlek. Det lär också finnas avgiftsfinansierade myndigheter som får ett utökat ansvar för spridning av insamlade uppgifter till andra myndigheter och därmed förknippade merkostnader. I detta fall skulle även en viss höjning av myndighetens avgifter kunna vara motiverad.
179
Skälen för vårt förslag
Företagsdatamyndighetens verksamhet kommer att bestå i huvudsak av två delar. Myndigheten kommer ansvara för Uppgiftskravsregistret och arbete med att allmänt samordna uppgiftskrav mellan myndigheter. Vidare kommer myndighet att ansvara för Servicetjänsten.
När det gäller den förstnämnda delen av verksamheten gör vi samma bedömning som Bolagsverket. Denna bör finansieras genom omdisponering i statsbudgeten. Med den sistnämnda delen av verksamheten, driften av Servicetjänsten, förhåller det sig dock annorlunda. Den service som ges inom ramen för Servicetjänsten kommer till viss del att vara ärendeanknuten hos den eller de myndigheter som har att hantera respektive uppgiftskrav eller åtminstone gå att hänföra till viss myndighet.
Hur myndigheterna finansierar sin ärendehandläggning och övrig verksamhet varierar. En del finansieras via anslag medan andra delar finansieras genom avgifter från företagen, avgifter som i många fall har principen om full kostnadstäckning som ekonomiskt mål. Det är inte avsikten att Servicetjänsten ska rubba detta grundläggande förhållande om hur myndigheterna verksamhet finansieras.
Om också Servicetjänsten skulle vara helt anslagsfinansierad skulle de myndigheter vars ärendehandläggning är finansierad av avgifter från företagen inte uppnå full kostnadstäckning för det offentligas kostnad för ärendet. Det faller sig i stället naturligt att låta myndigheterna betala en avgift till Företagsdatamyndigheten i förhållande till hur stor myndighetens andel av det totala nyttjandet av Servicetjänsten. På så sätt fördelas den totala kostnaden för ett ärende på handläggande myndigheter som antingen får betala genom tilldelade anslag eller genom avgifter från företagen. En avgift som beroende på i vilken omfattning Servicetjänsten utnyttjas inte kommer överstiga mer än några kronor per uppgiftslämnande.
Vårt förslag innebär vidare att myndigheterna i olika utsträckning kommer att behöva kartlägga sina uppgiftskrav och bidra till att Uppgiftskravsregistrets hålls uppdaterat. De myndigheter som deltagit i kartläggningsprojektet har inte tilldelats några särskilda medel för kartläggningsarbetet av regeringen utan uppdraget har rymts inom respektive myndighets befintliga anslag. Vi har inte anledning att tro annat än att även det fortsatta arbetet med att upprätta och vidmakthålla ett Uppgiftskravsregister ska kunna rymmas inom ramen för myndigheternas befintliga anslag.
180
Myndigheterna kommer även att ha kostnader för att anpassa sina e-tjänster och it-system till Servicetjänsten. Myndigheterna bedriver i olika utsträckning ett kontinuerligt utvecklingsarbete av sina system och tjänster. Kostnaden för att anpassa systemen till Servicetjänsten får prioriteras inom ramen för detta.
Avslutningsvis kan Statistiska centralbyrån få ökade kostnader för att vidareutveckla det allmänna företagsregistret så att det kan fylla funktionen som en inledande källa till grundläggande uppgifter i Servicetjänsten. Detta bedöms inte behöva finansieras särskilt eftersom det kommer samtliga kunder till registret tillgodo. Ett sådant arbete får i stället kompenseras genom att Statistiska centralbyrån förändrar prisbilden för registrets kunder.
181
13. Konsekvenser
13.1. Konsekvensutredning
Enligt 15 a § kommittéförordningen (1998:1474) ska det i ett betänkande som innehåller nya eller ändrade regler anges förslagens kostnadsmässiga och andra konsekvenser. Konsekvenserna ska anges på ett sådant sätt att de motsvarar de krav som framgår av förordningen (2007:1244) om konsekvensutredning vid regelgivning (6– 7 §§).
I detta betänkande återfinns de delar som ska ingå i en konsekvensutredning i flera av betänkandets kapitel, inte bara detta. Nedan hänvisas till relevanta paragrafer i konsekvensutredningsförordningen:
En beskrivning av problemet och vad man vill uppnå (6 § 1.)
Problemformuleringen är till stor del given av utredningens direktiv (se bilaga 1). Kortfattat kan problembilden beskrivas som följer. Många företagare irriterar sig över att behöva lämna samma uppgifter till flera myndigheter vid upprepade tillfällen. Förenklingar i vardagen för näringsidkare i Sverige är centralt i regeringens arbete med att skapa förutsättningar för fler och växande företag. Genom att utforma mer ändamålsenliga regelverk och minska företagens kostnader blir det enklare och mer lönsamt att starta och driva företag. Trösklarna för att vara företagare sänks så att fler företag startas och växer i Sverige.
Regeringens övergripande mål med förenklingsarbetet kommer även fortsättningsvis vara att åstadkomma en märkbar positiv förändring i företagens vardag. Det finns en stor potential att förenkla för företagen genom samordning och översyn av regler och i tillämpningen av dessa. Ett sådant förenklingsarbete måste ha som utgångspunkt dagens förutsättningar för företagande och de processer före-
182
tagen måste följa för att efterleva regler (prop. 2011/12:1, utgiftsområde 24 Näringsliv, s. 59).
Alternativa lösningar eller inte reglera alls (6 § 2.)
Utredningens uppdrag i huvudsak har varit att:
- lämna förslag på hur samordning, samråd, referensregister, informationsutbyte och tillgång till statistik kan organiseras,
- lämna förslag på hur ett system för effektivt informationsutbyte mellan myndigheter faktiskt och tekniskt kan utformas,
- analysera och samordna de uppgifter som företagen lämnar in till statliga myndigheter och som kommer att omfattas av den kartläggning som fjorton myndigheter utfört.
Utöver ett antal ytterligare frågor har utredningen haft att utgå från Bolagsverket rapport Förslag till minskat uppgiftslämnande för företag (AD 62-1047/2008) från den 29 april 2009. Mot denna bakgrund har utrymmet att överväga alternativa lösningar varit mycket begränsat.
Vilka som berörs av regleringen (6 § 3.)
De som direkt berörs av regleringen är de statliga förvaltningsmyndigheterna under regeringen. Det är dessa som kommer att behöva utföra arbete med att kartlägga och registrera uppgiftskraven samt upprätthålla uppgiftskravsregistrets aktualitet. Vidare kommer myndigheterna behöva anpassa sina e-tjänster till Servicetjänsten. Därutöver förutsätts att myndigheterna med Företagsdatamyndigheten i spetsen aktivt arbetar för att minska och förenkla företagens uppgiftslämnande utifrån bl.a. den kunskapsbas som uppgiftskravsregistret ger.
Målsättningen med arbetet är en märkbar positiv förändring i företagens vardag genom att uppgifter som huvudregel bara ska behövas lämnas en gång och till ett ställe. Föreslagen reglering riktar sig dock inte till företagen även om arbetet utförs med deras bästa för ögonen.
183
Kostnadsmässiga och andra konsekvenser regleringen medför (6 § 4.)
Detta diskuteras i avsnittet samhällsekonomiska konsekvenser (se nedan).
Europeiska unionen (6 § 5.)
Förslaget genomför inte direkt någon skyldighet som följer av Sveriges anslutning till EU.
Särskilda hänsyn (6 § 6.)
Arbetet har som inriktning att minska och förenkla företagens uppgiftslämnande till de statliga myndigheterna och det är därför angeläget att det kommer i gång så fort som möjligt. Dock måste myndigheterna ges tid att inventera sina uppgiftskrav vilket är en uppgift som kräver styrning och löpande uppföljning.
När Servicetjänsten driftsätts kommer det att vara nödvändigt med särskilda informationsinsatser riktade mot företagen så att de får kännedom om och börjar bruka tjänsten.
Berörda företag (7 § 1.)
I princip berörs samtliga företag i Sverige oavsett bransch och storlek.
Tidsåtgång och administrativa kostnader (7 § 2.)
Avsikten är inte att regleringen ska medföra någon extra tidsåtgång för företagen. Förslagen har i stället syftet att minska företagens administrativa belastning.
Andra kostnader för företagen och andra förändringar i företagens verksamhet (7 § 3.)
Såvitt vi kan bedöma kommer inte regleringen att medföra några direkta kostnader eller andra negativa konsekvenser för företagen.
184
Påverkas konkurrensförhållandena för företagen (7 § 4.)
Regleringen kommer inte att påverka konkurrensen mellan företagen.
Hur regleringen i andra avseenden kan komma att påverka företagen (7 § 5.)
Det kan inte antas att regleringen på annat sätt kommer att påverka företagen.
Hänsyn till små företag vid reglernas utformning (7 § 6.)
Någon särskild hänsyn bedöms inte behöva tas till små företag vid reglerna utformning.
13.2. Kostnader för att genomföra förslagen
Vår bedömning: Företagsdatamyndighetens årliga driftskostnad
kan uppskattas till mellan 10 och 20 miljoner kronor.
Utredningen bedömer att Företagsdatamyndigheten inledningsvis behöver ha en omfattande samverkan med Statistiska centralbyrån som ansvarar för det allmänna företagsregistret så att SCB kan fylla funktionen som leverantör av grundläggande uppgifter till Företagsdatamyndigheten. Därför bör det finnas ett organiserat samråd mellan de båda myndigheterna, som bör regleras i deras instruktioner.
Utredningen gör vidare följande grova uppskattningar av behov av bemanning och andra resurser. Till Företagsdatamyndigheten bör knytas ett råd med representanter för mellan 5 och 10 myndigheter. Tillsammans utgör detta en övergripande samordningsorganisation.
Den nya Företagsdatamyndigheten behöver totalt mellan 10 och 20 årsarbetskrafter för att kunna utföra sina uppgifter.
Mellan 3 och 5 årsarbetskrafter behövs för myndighetens ledning och administration, inklusive förvaltning av uppgiftskravsregistret. Här ingår den tid som krävs för att samråda med de andra myndigheterna som ingår i samordningsorganisationen.
185
För drift av Servicetjänsten behövs 7 årsarbetskrafter. Mellan 5 och 10 årsarbetskrafter behöver användas för att arbeta med innehållet i uppgiftskravsregistret. I uppgiften ingår att leda arbetet med att bygga upp ett komplett register med uppgiftskrav. Företagsdatamyndigheten ska dessutom arbeta aktivt med att analysera innehållet i uppgiftskravsregistret med målet att minskat och förenklat företagens uppgiftslämnande.
Med utgångspunkt i utredningens översiktliga bedömningar av Företagsdatamyndighetens uppdrag kan den årliga driftskostnaden uppskattas till mellan 10 och 20 miljoner kronor.
13.3. Kostnader för IT-infrastruktur
Vår bedömning: Investeringskostnaderna för den föreslagna infra-
strukturen beräknas uppgå till mellan 31 och 39 miljoner kronor.
Den årliga driftskostnaden för den tekniska delen av infrastrukturen uppskattas uppgå till mellan 21 och 25 miljoner kronor.
Investerings- och driftskostnader är beräknade under antagande att Företagsdatamyndigheten investerar i en ny fysisk och organisatorisk driftmiljö för systemet. Om systemet i stället inhyses i en existerande driftmiljö hos annan myndighet kan både investeringskostnaden och driftskostnaden förväntas minska.
Utredningen lät inför den delredovisning som lämnades den 4 mars 2013 Capgemini utföra en förstudie om den it-infrastruktur som krävs för en Servicetjänst och ett uppgiftskravsregister.
Av förstudien1framgår att investeringskostnaderna för den föreslagna infrastrukturen beräknades uppgå till cirka 39 miljoner kronor, samt en årlig driftskostnad för den tekniska delen av infrastrukturen till cirka 25 miljoner kronor.
Investeringskostnaderna är uppdelade i investeringar i själva informationssystemen (e-tjänst och register) om 36 miljoner kronor samt övrig infrastruktur (serverhall samt infrastrukturrelaterad hård- och mjukvara) om 3,5 miljoner kronor. Informationssystemkostnaderna kan ytterligare delas upp i applikationsutveckling (27 miljoner kronor) samt hård- och mjukvara (sammanlagt 9 miljoner kronor).
1 Hur kostnaderna är uppdelade och övriga antaganden som ligger till grund för kostnadsuppskattningen i utredningen, se bilaga 4 IT-systemstruktur och IT-relaterade kostnader för gemensamt uppgiftslämnande.
186
För att dra nytta av de erfarenheter som gjordes vid framtagandet av prototypen har Ida Infront utfört en översiktlig revidering den kostnadsanalys som Capgemini utförde.
Ida Infront2 uppskattar investeringskostnaden till 31 miljoner kronor samt en årlig driftskostnad för den tekniska delen av infrastrukturen på cirka 25 miljoner kronor.
Investeringskostnaderna är i Ida Infronts rapport uppdelade i investeringar i själva informationssystemen (e-tjänst och register) om 27,5 miljoner kronor samt övrig infrastruktur (serverhall samt infrastrukturrelaterad hård- och mjukvara) om 3,5 miljoner kronor. Informationssystemkostnaderna kan ytterligare delas upp i applikationsutveckling (12 miljoner kronor) samt hård- och mjukvara (sammanlagt 15,5 miljoner kronor).
Driftskostnaderna är av Ida Infront uppdelade i informationssystem (5 miljoner kronor), integration och e-legitimation (10 miljoner kronor) och infrastruktur (5,5 miljoner kronor).
Skillnaden mellan de båda kostnadsberäkningarna kan delvis förklaras med att Ida Infront har räknat med att Företagsdatamyndigheten i större utsträckning kommer att välja att nyttja plattformar där grundfunktionalitet för systemlösningen redan finns framtagen.
Till det ovan sagda bör tilläggas att utredningen, efter samråd med E-legitimationsnämnden, erfarit att den planerade kostnadsmodellen för framtida svensk e-legitimation i betydande avseenden skiljer sig från vad som tidigare gällt. Driftskostnaderna i den del de avser autentisering av e-legitimation kan därför befaras att öka avsevärt vid den antagna nyttjandegraden. I sammanhanget bör dock nämnas att den förutsatta nyttjandegraden bygger på antagandet att vart och ett av samtliga svenska företag använder Servicetjänsten varje vecka. I praktiken kommer detta inte ske under de första verksamhetsåren.
Statistiska centralbyrån ökade kostnader för att utveckla och förvalta det allmänna företagsregistret belyses inte i detta sammanhang. De kvalitetshöjande åtgärder som det främst är fråga om kommer samtliga brukare av registret till godo och åtgärderna får enligt utredningens bedömning därför finansieras inom ramen för det allmänna företagsregistrets verksamhet.
2 Se bilaga 5 Slutrapport prototyp avsnitt 4.7.
187
13.4. Kostnader för myndigheterna
Vår bedömning: Den arbetsinsats som myndigheterna måste
lägga ned för att inledningsvis kartlägga uppgiftskraven och hålla dem aktuella är relativt stor i förhållande till efterföljande arbete med att aktivt arbeta för att minska och förenkla företagens uppgiftslämnande.
Den ökade kostnaden för informationshantering som kommer att belasta myndigheterna som ett led i att distribuera eller ta emot information från andra myndigheter har tidigare uppskattats till 2–6 miljoner årligen.
När registret över uppgiftskrav etableras kommer myndigheterna inledningsvis att behöva inventera vilka uppgiftskrav som företagen fullgör mot myndigheten och vilka uppgifter som myndigheterna samlar in. Hur omfattande detta arbete är varierar mellan myndigheterna. Den arbetsinsats som inledningsvis krävs av de enskilda myndigheterna ska dock inte beräknas alltför högt. Myndigheterna tillhandahåller redan i dag e-tjänster och blanketter för i stort sett samtliga uppgiftskrav. Det borde därför med en ganska begränsad insats gå att kartlägga uppgiftskraven.
I den inledande kartläggningen som utfördes under våren 2012 lade de fjorton myndigheter som deltog sammanlagt ner cirka 3 000 timmar på att kartlägga uppgiftskraven. Myndigheterna har därefter lagt ner ca 2 700 timmar på att på den nya kartläggningen under 2013.
Det fordras också ett kontinuerligt arbete att hålla uppgiftskravsregistret uppdaterat allteftersom uppgiftskraven tillkommer eller förändras. Hur arbetskrävande detta blir är svårt att uppskatta men det torde vara av mindre omfattning för myndigheterna än den arbetsinsats som krävs i samband med den inledande inventeringen. Detta arbete måste vidare samordnas med myndigheternas föreskriftsarbete eller arbetet med att hålla e-tjänster, blanketter och övrig information ajour med förändringar i lagstiftningen. Skillnaden i tidsåtgång mellan den inledande kartläggningen och efterföljande förvaltning är därför troligen större än som framkommit under kartläggningsuppdragets två kartläggningsomgångar.
För att uppnå målsättningen att minska och förenkla företagens uppgiftslämnande kommer det vara nödvändigt för vissa myndigheter att vidta en del ytterligare åtgärder. För det första måste myndigheterna anpassa sina e-tjänster till Servicetjänsten och för det
188
andra måste de inom ramen för övrigt förenklingsarbete arbeta aktivt med att samordna begreppsanvändningen för att kunna utbyta information sinsemellan. Det sistnämnda arbetet har Bolagsverket i sitt Förslag till minskat uppgiftslämnande för företagen uppskattat till en kostnad för myndigheterna på 12–18 miljoner kronor.
Den ökade kostnaden för informationshantering som belastar myndigheterna som ett led i att distribuera eller ta emot information från andra myndigheter uppskattas i Bolagsverkets förslag till 2–6 miljoner årligen.
Utredningen har inte tagit fram några egna uppskattningar på vad nödvändiga anpassningar kommer att kosta myndigheterna. Vi har inte heller haft möjlighet att beräkna kostnaden för att anpassa myndigheterna e-tjänster till Servicetjänsten. Kostnaden härför som delvis täcker samma område som de ovan nämnda 2–6 miljonerna kan hållas nere eftersom vi inte föreslår någon djupare systemintegrering mellan Servicetjänsten och anslutna e-tjänster.
13.5. Samhällsekonomiska konsekvenser
Vår bedömning: Det är förknippat med stora osäkerhetsfaktorer
att beräkna nyttan med förslagen. Tidigare gjorda samhällsekonomiska bedömningar talar emellertid samtliga för att inrättandet av ett uppgiftskravsregister och ett aktivt arbete med att samordna uppgiftskraven för att minska och förenkla företagens uppgiftslämnande är samhällsekonomiskt lönsamt.
Kostnaderna kommer uteslutande ligga på staten medan nyttorna uppstår hos företagen.
Bolagsverkets analys
Bolagsverket redovisade i sitt Förslag till minskat uppgiftslämnande för företagen de samhällsekonomiska aspekterna av ett samordningsorgan och de nyttor och kostnader som skulle uppstå om myndigheternas uppgiftskrav med hjälp av ett samordningsorgan kan samordnas mer effektivt och systematiskt än vad som sker i dag.
Med en samhällsekonomisk kostnad avsåg Bolagsverket värdet av den bästa alternativa användningen av en resurs. En samhällsekonomisk nytta uppstår då en vidtagen åtgärd som konsekvens får att bundna resurser frigörs, vilka kan användas på ett sätt som
189
skapar högre samhällsekonomiska värden än den nuvarande användningen av resursen. Företagens nyttor kan i detta sammanhang ses som en minskning av deras administrativa kostnader. Med administrativa kostnader avses företagens kostnader för att upprätta eller överföra information eller uppgifter som föranletts av krav i lagar, förordningar, myndigheters föreskrifter eller rekommendationer i allmänna råd. Enligt den definition som Bolagsverket utgick ifrån inkluderas även företagens kostnader för lagring av information. Eftersom krav på informationslagring endast indirekt påverkas av ökad myndighetssamordning och att indirekta effekter är både svårare att definiera och att uppskatta än direkta effekter, valde Bolagsverket att helt bortse från indirekta effekter. Konsekvensen för analysen är att företagens nyttor av ett samordningsorgan är underskattade.
Med anledning av att syftet med ett samordningsorgan är att förenkla företagens vardag, antog Bolagsverket att inga nya kostnader uppstår för företagen. Myndigheternas nyttor består i en minskad informationsinhämtning direkt från företagen då vissa uppgifter kan samordnas och återanvändas av flera myndigheter i stället för att flera myndigheter inhämtar samma eller likvärdiga uppgifter från ett och samma företag.
Ett samordningsorgan kan även dämpa behovet av nytillkomna uppgiftskrav. I en samhällsekonomisk utvärdering av genomförda eller planerade åtgärder jämförs ofta åtgärdernas förväntade (ex ante) eller faktiska (ex post) resultat med den situation som skulle råda, givet att den undersökta åtgärden inte genomförs. Det är i förhållande till detta så kallade jämförelsealternativ som det går att säga huruvida en åtgärd är samhällsekonomiskt lönsam eller inte. Bolagsverket använde två jämförelsealternativ (ex ante).
Det första jämförelsealternativet kan beskrivas som statiskt, då utgångspunkten är att den nuvarande nivån på företagens administrativa kostnader är oföränderlig. Mätt i fasta priser, kommer kostnaderna att vara desamma i framtiden som de är nu.
Det andra jämförelsealternativet är dynamiskt positivt. Bördan av uppgiftskrav förväntas växa i framtiden, men förutom att vissa befintliga uppgiftskrav kan samordnas bort, antas att ett instiftat samordningsorgan även kommer medverka till att tillväxttakten i tillkommande nya uppgiftskrav kan dämpas.
Som utgångspunkt för en bedömning av den samhällsekonomiska nyttan av ett samordningsorgan för företagen, genomförde Bolagsverket två analyser av företagens nuvarande administrativa kostnader.
190
Huvudalternativet byggde på Tillväxtverkets – tidigare Nuteks – mätningar av företagens administrativa kostnader enligt den så kallade standardkostnadsmodellen. Utifrån dessa mätningar har företagens administrativa kostnader enligt den definition som här använts kunnat uppskattas till mellan 14 och 17 miljarder kronor. Den alternativa analysen byggde på en alternativ värdering av företagens användning av sin egen tid. Standardkostnadsmodellen som ligger till grund för huvudalternativet baseras på företagens lönekostnader samt kostnader för inköpta tjänster. I Sverige har även arbetsgivaravgifter räknats in i lönekostnaderna liksom en generell overhead på 25 procent. I den alternativa bedömningen har företagens tid däremot värderats till marknadspriser baserat på ett antaget förädlingsvärde per anställd i storleksordningen 130–200 procent. Med denna marknadsbaserade värdering av företagens tid skulle företagens administrativa kostnader i stället motsvara mellan 25 och 32 miljarder kronor.
Baserat på norska erfarenheter av det så kallade Oppgaveregisteret, har samordningspotentialen för ett svenskt samordningsorgan uppskattats. Som andel av den ursprungliga administrativa belastningen vid mätperiodens början, har den årliga samordningsvinsten för företagen i Norge legat runt 0,35 procent mätt som inbesparade personår. De årliga samordningsvinsterna har varierat mycket kraftigt, men trenden för hela perioden pekar på allt större årliga samordningsvinster ju längre tid som Oppgaveregisteret har varit i drift. Omräknat för svenska förhållanden och baserat på huvudalternativets uppskattning av dagens administrativa kostnader har företagens samhällsekonomiska nytta av ett samordningsorgan bedömts uppgå till mellan 0,5 och 0,6 miljarder kronor sett ur ett tioårsperspektiv. I den alternativa analysen uppgår företagens nyttor i stället till mellan 0,8 och 1,3 miljarder kronor.
Myndigheternas nyttor har beräknats utifrån en bedömning av deras nuvarande hanteringskostnader för inkomna blanketter. Baserat på uppgifter från Bolagsverket och Statistiska centralbyrån har hanteringskostnaden uppskattats till mellan 125 och 328 kronor per blankett. Då antalet insamlade blanketter som minst uppgår till 96,6 miljoner, kan myndigheternas samlade kostnader för insamling av information från företagen uppskattas till mellan 12 och 32 miljarder kronor. På grund av att urvalet är så litet, bör denna uppgift dock behandlas med viss försiktighet. I brist på bättre data, har dessa uppgifter ändå fått tjäna som utgångspunkt i Bolagsverkets analys av myndigheternas nyttor.
191
I avsaknad av explicita data har ett godtyckligt antagande gjorts i analysen att momenten insamling och registrering motsvarar tio procent av myndigheternas sammantagna hanteringskostnader för insamlade blanketter. Övriga hanteringskostnader – lagring och spridning av uppgifter – antas finnas kvar även om vissa uppgifter framdeles kan inhämtas från annan myndighet i stället för från företagen. I fall när ett uppgiftskrav skulle kunna samordnas med andra myndigheter, skulle den eller de myndigheter som fortsättningsvis kommer återanvända av annan myndighet insamlad informationen således se en minskning av sina hanteringskostnader för visst uppgiftskrav om 10 procent.
I brist på relevant underlagsmaterial har ett lika godtyckligt antagande gjorts att samordningspotentialen för myndigheterna motsvarar tio procent av den samordningspotential som har använts i beräkningarna över företagens nyttor.
Med hänsyn till ovanstående faktorer och antaganden skulle myndigheternas nyttor av ett samordningsorgan efter tio år därmed uppgå till mellan 13 och 27 miljoner kronor.
Staten som helhet kommer även att ha kostnader för ett samordningsorgan under såväl en inledande uppbyggnadsfas som ett driftsskede. Anläggningskostnaderna bedöms här motsvara 20–30 miljoner kronor. Drift- och underhållskostnaderna uppskattas till ca 4 miljoner kronor årligen. Samordningen av uppgiftskraven bedöms kosta befintliga myndigheter 12–18 miljoner kronor under ett uppstartsskede. Till detta kommer löpande kostnader för myndigheterna, vilka under den kommande tioårsperioden bedömts till 2–6 miljoner kronor årligen.
Med anledning av att myndigheternas nyttor och kostnader är så pass små i förhållande till företagens nyttor, är deras inverkan på den sammantagna samhällsekonomiska analysen av mindre betydelse. Sett i ett tioårsperspektiv är den sammantagna nyttan därmed mellan 0,5 och 0,6 miljarder kronor enligt huvudalternativet och mellan 0,8 och 1,3 miljarder kronor enligt den alternativa analysen.
Graden av en åtgärds lönsamhet kan avgöras med hjälp av en så kallad nuvärdesberäkning. Detta innebär att värdet av samtliga nyttor och kostnader räknas om till ett nuläge med hjälp av en lämplig kalkylränta. Här har en kalkylränta om 4 procent använts, då detta är en vedertagen kalkylränta i samhällsekonomiska bedömningar.
Resultatet av huvudanalysen visar på ett nettonuvärde om 2– 2,5 miljarder kronor. För den alternativa analysen är nettonuvärdet 3,6–5,4 miljarder kronor. Nyttokostnadskvoten, det vill säga netto-
192
nuvärdet i förhållande till de totala kostnaderna, visar avkastningen per satsad krona. Enligt huvudanalysen motsvarar nyttokostnadskvoten 17–26 kronor och enligt den alternativa analysen 36–44 kronor. Baserat på de i kalkylen värderade effekterna, är upprättandet av ett samordningsorgan således samhällsekonomiskt lönsamt. Utöver de nyttor och kostnader som har kunnat värderas, tillkommer även nyttor och kostnader som inte har kunnat beräknas.
Vår bedömning
Utredningen har inte genomfört några egna beräkningar rörande de samhällsekonomiska effekterna av utredningens förslag. De beräkningar som tidigare genomförts bland annat av Bolagsverket men även av Patent och registreringsverkets i rapporten Förslag till ett samordnat uppgiftkravregister för företagsdata från år 2000 ger uttryck för att gjorda beräkningar är behäftade med stora osäkerhetsfaktorer. Nyttorna för företag och myndigheter är svåra att uppskatta vid inrättandet av ett uppgiftskravsregister vilket också gäller arbetet med att samordna uppgiftsinhämtandet från företagen. Vi har bedömt att vi inte har haft möjlighet att utan en oproportionerligt stor arbetsinsats genomföra dessa beräkningar med ett större mått av exakthet.
Bolagsverket har i sin samhällsekonomiska analys bedömt att företagens samhällsekonomiska nytta av ett samordningsorgan uppgår till mellan 0,5 och 0,6 miljarder kronor sett ur ett tioårsperspektiv. I en alternativ analys uppgår företagens nyttor i stället till mellan 0,8 och 1,3 miljarder kronor. Myndigheternas nyttor av ett samordningsorgan skulle efter tio år uppgå till mellan 13 och 27 miljoner kronor.
Dessa siffror ska ställas i relation till de tidigare beräkningarna som redovisas i PRV:s rapport som anger att ett inrättande av ett uppgiftskravsregister är samhällsekonomiskt lönsamt under tredje driftsåret. Kostnaderna ligger helt på staten, medan nyttorna nästan uteslutande uppstår hos företagen. Dessa nyttor består i huvudsak av tidsvinster för företagen. Myndigheternas insatser överstiger under de första åren de nyttor dessa får. Först på längre sikt kan ett överskott uppstå för myndigheterna.
De förslag som vi lämnar kan i förstone uppfattas att avvika från av Bolagsverket lämnat Förslag till minskat uppgiftslämnande för företagen genom att vi föreslår att en Servicetjänst inrättas. Service-
193
tjänsten är dock bara ett sätt att utnyttja information i uppgiftskravsregsitret i syfte att på ett enkelt och snabbt sätt samordna grundläggande uppgifter om företagen samt visa aktuella uppgiftskrav för företagen. Genom inrättandet av Servicetjänsten torde samordningen av grundläggande uppgifter genomföras snabbare och nå fler myndigheter än i tidigare förslag på området. Visserligen är Servicetjänsten ett tillkommande moment i företagets myndighetskontakt men under förutsättning att myndigheterna använder de grundläggande uppgifterna till att förenkla uppgiftslämnandet på det sätt som diskuterar i avsnitt 9.3.2 torde effekten ändå innebära en minskning och förenkling av företagens uppgiftslämnande.
Det är förknippat med stora osäkerhetsfaktorer att beräkna nyttan med våra förslag. Tidigare gjorda samhällsekonomiska bedömningar av inrättandet av ett uppgiftskravsregister och ett aktivt arbete med att samordna uppgiftskraven för att minska och förenkla för företagen talar dock för att utredningens förslag är samhällsekonomiskt lönsamma. Kostnaderna för förslaget kommer uteslutande ligga på staten medan nyttorna uppstår hos företagen.
195
14. Författningskommentar
Förslaget till förordning ( 2013:000 ) om företagens uppgiftslämnande
Härigenom föreskrivs följande.
Inledande bestämmelser
1 § Denna förordning gäller för myndigheter under regeringen.
2 § Denna förordning syftar till att minska och förenkla företagens uppgiftslämnande till myndigheterna.
Bestämmelsen anger förordningens övergripande syfte som är att minska och förenkla företagens uppgiftslämnande till myndigheter. Förordningen skapar två ”verktyg” för att åstadkomma detta.
För det första skapas ett register över uppgiftskrav som kommer att ge en sammanhållen överblick över vilka uppgiftskrav som faktiskt gäller hos samtliga statliga myndigheter. Uppgiftskravsregistret är en förutsättning för att kunna bygga en väl fungerande Servicetjänst. Ett ändamålsenligt uppbyggt register har genom den överblick det ger potential att användas på flera olika sätt i arbetet med att minska och förenkla företagens uppgiftslämnande. Registret kan därmed komma att spela en viktig roll inte bara när det gäller att tydliggöra och harmonisera nuvarande och kommande uppgiftskrav utan även i övrigt regelförenklingsarbete.
För det andra inrättas en elektronisk servicetjänst som bland annat kommer att ge användaren en överblick över de uppgiftskrav som träffar det eller de företag som användaren företräder. Tjänsten kommer att förenkla företagens uppgiftslämnande bland annat genom att den kommer att serva myndigheternas e-tjänster med grundläggande uppgifter utan att användaren återkommande behöver ange dessa.
196
Förordningens innehåll
3 § I denna förordning finns bestämmelser om
1. ett register över uppgiftskrav (5–8 §§),
2. arbetet med samordning av uppgiftskrav m.m. (9–11 §§),
3. en elektronisk servicetjänst för företagens uppgiftslämnande (12–16 §§), och
4. behandling av personuppgifter inom ramen för servicetjänsten (17–21 §§)
Bestämmelsen innehåller en beskrivning av förordningens fortsatta innehåll.
Definitioner
4 § I denna förordning avses med
företag: fysisk eller juridisk person som bedriver eller avser att be-
driva näringsverksamhet i Sverige,
uppgiftskrav: en skyldighet enligt lag eller annan föreskrift för företag
att lämna uppgifter till en myndighet med viss regelbundenhet, efter att en viss händelse inträffat eller vid en ansökan eller liknande,
grundläggande uppgifter: uppgifter om ett företag som regelmässigt
eller ofta efterfrågas av myndigheterna när ett uppgiftskrav ska fullgöras och som kan hanteras inom ramen för servicetjänsten.
Det är nödvändigt att i förordningen definiera ett antal begrepp i arbetet med att minska och förenkla företagens uppgiftslämnande. I det följande kommenteras definitionerna.
Med företag avses en fysisk eller juridisk person som bedriver eller avser att bedriva näringsverksamhet i Sverige. Med näringsverksamhet avses förvärvsverksamhet som bedrivs yrkesmässigt och självständigt. Begreppet företag ska ges en mycket vidsträckt betydelse. Det avgörande är att definitionen inte får innebära en begränsning för möjligheten att uppnå ett minskat och förenklat uppgiftslämnande för majoriteten av företagen.
Uppgiftskrav är en förpliktelse enligt lag eller annan föreskrift för
företag att lämna uppgifter till en myndighet med viss regelbundenhet, efter att en viss händelse inträffat eller vid en ansökan eller liknande. Definitionen avser att träffa uppgifter som ska lämnas regelbundet, dvs. sådana som lämnas in årligen eller med andra intervall, exempelvis momsdeklarationer till Skatteverket eller statistikuppgifter till en statistikansvarig myndighet. Med händelse avses att företaget gör eller avser att göra någonting eller är med om någonting som
197
kräver att uppgifter lämnas till statliga myndigheter. Det kan vara fråga om att företaget importerar något och att detta kräver kontakt med någon myndighet, att företaget startar tillståndspliktig verksamhet eller ansöker om bidrag. Definitionen undantar i princip bara uppgifter som krävs in från företagen av myndigheterna i tillsynsärenden.
Någon avgränsning till att uppgiftskravet ska kunna fullgöras i strukturerad form, i blankett etc. görs inte här. På så sätt får den föreslagna Företagsdatamyndigheten in underlag till registret så det går att ge upplysningar även om uppgiftskrav som inte anpassats för att ske i strukturerad form.
Med grundläggande uppgifter avses uppgifter om ett företag som regelmässigt eller ofta efterfrågas av myndigheterna när ett uppgiftskrav fullgörs. Det är i första hand fråga om kontaktuppgifter men kan även vara fråga om andra uppgifter som många olika myndigheter ofta vill ha uppgift om när ett uppgiftskrav fullgörs. En i bestämmelsen outtalad förutsättning för att det ska vara en grundläggande uppgift är att uppgiften finns elektroniskt tillgänglig så att den kan användas av servicetjänsten.
Register över uppgiftskrav
5 § Det ska finnas ett register över gällande uppgiftskrav (Uppgiftskravsregistret). Registret ska föras av Företagsdatamyndigheten.
Bestämmelsen anger att det ska finnas ett register över uppgiftskrav som Företagsdatamyndigheten ansvarar för. Registret kan betecknas uppgiftskravsregister.
Registret ska bara innehålla uppgifter om uppgiftskrav. Det får inte innehålla uppgifter som enskilda företag lämnat i anledning av uppgiftskraven. Närmare bestämmelser om registrets innehåll finns i 6 §.
Uppgiftskravsregistrets innehåll
6 § Uppgiftskravsregistret ska för varje uppgiftskrav innehålla uppgifter om
1. författningsstöd
2. vilka verksamheter som avses
3. grundläggande uppgifter som företaget lämnar när uppgiftskravet ska fullgöras
198
4. andra uppgifter än grundläggande uppgifter som företaget lämnar när uppgiftskravet ska fullgöras
5. de olika tillvägagångssätt som företagen kan använda för att fullgöra uppgiftskravet
6. uppskattad belastning för företagen att fullgöra uppgiftskravet. Företagsdatamyndigheten får meddela närmare föreskrifter om vilken information som ska ingå i registret.
Bestämmelsen anger vad som ska framgå av registret över uppgiftskraven. Uppgiftskravsregistret har som påtalats tidigare huvudsakligen två funktioner. Registret utgör dels en förutsättning för att Servicetjänsten ska kunna realiseras, dels en kunskapsbas som krävs för att metodiskt kunna arbeta med att minska och förenkla företagens uppgiftslämnande.
För varje uppgiftskrav ska det anges vilket författningsstöd kravet vilar på.
För att Servicetjänsten ska kunna sortera ut relevanta uppgiftskrav till användaren måste dessa på något sätt kunna extraheras ur den totala mängden registrerade uppgiftskrav vilket är det huvudsakliga syftet med att information om vilka verksamheter som avses ska finnas i uppgiftskravregistret. Detta kan ske genom att myndigheterna ska ange vilka näringslivsaktiviteter som träffas av uppgiftskravet. Ett exempel är att Servicetjänsten inte ska vissa uppgiftskrav som bara är hänförliga till köttproduktion när användaren är registrerad som spannmålsproducent. På samma sätt ska även registreras om uppgiftskravet bara gäller visa företagsformer osv.
Myndigheterna ska ange för varje uppgiftskrav vilka av de grundläggande uppgifter som kan aviseras genom servicetjänsten när uppgiftskravet fullgörs. Inledningsvis är det fråga om uppgifter som i dag finns i det allmänna företagsregistret. I ett senare skede kan det inte uteslutas att fler uppgifter än dessa kommer att utgöra grundläggande uppgifter. Huruvida ytterligare uppgifter kommer att betraktas som grundläggande är dels beroende på hur stor myndigheternas efterfrågan av uppgifterna i fråga är, dels om de uppgifter som efterfrågas från företagen är möjliga att förmedla genom Servicetjänsten vilket bland annat förutsätter att de finns lagrade elektroniskt och inte är skyddade av sekretess. Därutöver ska myndigheterna ange vilka andra uppgifter som krävs för att uppgiftskravet ska anses fullgjort. Det är fråga om att beskriva de mer ärendespecifika uppgifter som krävs vid ett uppgiftslämnande.
De olika tillvägagångssätt som företagen kan använda för att fullgöra uppgiftskravet avser vilka möjligheter eller krav det finns på
199
att uppgiftslämnandet ska ske i strukturerad form, på blankett genom e-tjänst osv.
För att kunna följa upp arbetet med att minska och förenkla företagens uppgiftslämnande behöver Företagsdatamyndigheten kunna mäta hur företagens börda förändras över tid. Myndigheterna ska därför ange uppskattad belastning för företagen att fullgöra uppgiftskravet. Detta kan eventuellt göras i form av en konsekvensutredning och med hjälp av Tillväxtverkets framtagna verktyg Regelräknaren.
Det är inte möjligt att uttömmande ange vilken information som ska ingå i registret. Företagsdatamyndigheten ges därför möjlighet att meddela närmare föreskrifter om vilken ytterligare information om uppgiftskraven som ska ingå i registret.
Tillgång till uppgiftskravsregistret
7 § Registret över uppgiftskrav ska hållas tillgängligt elektroniskt för var och en samt kunna vidareutnyttjas.
Uppgiftskravsregistret föreslås bli ett publikt register som ska hållas tillgänglig för var och en. Registret kan även ge andra möjlighet att skapa tjänster som minskar och förenklar företagens uppgiftslämnande.
Anmälan och redovisning av uppgiftskrav
8 § När ett uppgiftskrav införs, ändras eller upphör att gälla ska den myndighet till vilken företagen ska lämna uppgifter anmäla förändringen till Företagsdatamyndigheten och även ändra i registret över uppgiftskrav.
När informationen som avses i 6 § ändras ska den myndighet till vilken företagen ska lämna uppgifter anmäla förändringen till Företagsdatamyndigheten och ändra i registret över uppgiftskrav.
Avsikten är inte att Företagsdatamyndigheten ska ha översikt över alla uppgiftskrav och de förändringar som sker i dem. Det är därför den myndighet som företagen fullgör kravet mot som ska ansvara för att de uppgifter som finna i registret är kompletta och korrekta. När myndigheten ändrar i registret ska detta anmälas till Företagsdatamyndigheten.
200
Samordning av uppgiftskrav, m.m.
En skyldighet att förenkla uppgiftskrav
9 § Myndigheter ska utforma sina uppgiftskrav och administrativa rutiner kring uppgiftskraven så att företagens uppgiftslämnande minskas och förenklas.
Bestämmelsen innebär en erinran till myndigheterna att minska och förenkla företagens uppgiftslämnande. Det kan t.ex. ske genom att myndigheten bara frågar efter de kontaktuppgifter som normalt används i den fortsatta handläggningen av uppgiftskravet. Vidare ska myndigheterna överväga om de olika uppgifter som krävs för att fullgöra ett krav redan finns hos andra myndigheter och om uppgifterna i stället kan hämtas därifrån. Om företagen lämnar uppgifterna till flera myndigheter bör det dock i första hand övervägas om uppgifterna inte ska distribueras via servicetjänsten. Först om uppgifterna är sådana att de inte lämpar sig för servicetjänsten bör myndigheterna bygga lösningar sinsemellan för att utbyta information. Olika sätt att minska och förenkla företagens uppgiftslämnande diskuteras i avsnitt 9.3.
Uppmaning att samverka
10 § Om Företagsdatamyndigheten finner att företag lämnar samma eller likande uppgift till flera myndigheter får Företagsdatamyndigheten uppmana myndigheterna att samverka för att underlätta eller begränsa företagens uppgiftslämnande.
De myndigheterna till vilken uppmaningen riktas ska redovisa vilka åtgärder som vidtagits i anledning av uppmaningen för att underlätta eller begränsa företagens uppgiftslämnande. Har inga åtgärder vidtagits ska skälen för detta anges.
Om företagen lämnar samma eller likande uppgift till flera myndigheter och myndigheterna inte vidtar några gemensamma åtgärder för att underlätta eller begränsa företagens uppgiftslämnande får Företagsdatamyndigheten uppmana myndigheterna att samverka. Företagsdatamyndigheten har ingen möjlighet att tvinga myndigheterna att vidta några specifika åtgärder. De myndigheter till vilken uppmaningen riktas ska dock redovisa vilka åtgärder som vidtagits i anledning av uppmaningen. Har inga åtgärder vidtagits ska skälen för detta anges. På så sätt kan Företagsdatamyndigheten få kännedom om vilka faktiska och upplevda hinder som finns i arbetet med att
201
minska och förenkla företagens uppgiftslämnande och vidta åtgärder för att undanröja hindren.
Servicetjänst
11 § Det ska finnas en säker servicetjänst för företagens uppgiftslämnande.
Servicetjänsten ska tillhandahållas av Företagsdatamyndigheten. Till servicetjänsten ska myndigheters e-tjänster där företagen kan fullgöra ett eller flera uppgiftskrav anslutas.
Av bestämmelsen framgår att det ska finnas en säker Servicetjänst för företagens uppgiftslämnande som Företagsdatamyndigheten ska tillhandahålla. Till Servicetjänsten ska anslutas de av myndigheternas e-tjänster där företagen kan fullgöra sina uppgiftskrav. Med e-tjänster avses it-baserade tjänster som har ett gränssnitt för interaktion mellan maskin och människa. Genom denna avgränsning undantas s.k. bastjänster som arbetar maskin till maskin. Vidare ska företagaren kunna fullgöra ett uppgiftskrav via tjänsten. Ett uppgiftskrav är fullgjort när företagarens uppgiftslämnande har initierat ett ärende hos den myndighet till vilket uppgiftskravet ska fullgöras.
Inom ramen för servicetjänsten kommer personuppgifter och uppgifter om företagen behandlas vilka kan vara känsliga, exempelvis uppgifter om att ett företag fullgjort (eller inte fullgjort) ett specifikt uppgiftskrav. Det är därför av vikt att Servicetjänsten är säker. Företagsdatamyndigheten ska således vidta tillräckliga tekniska och organisatoriska åtgärder för att säkerställa att de uppgifter som hanteras inom tjänsten skyddas så att en lämplig säkerhetsnivå upprätthålls.
Närmare bestämmelser om hur anslutningen mellan Servicetjänsten och de andra anslutna e-tjänsterna tekniskt ska ordnas ankommer det på Företagsdatamyndigheten att meddela föreskrifter om.
12 § Servicetjänsten ska visa de uppgiftskrav som företaget ska eller kan fullgöra samt visa företagets grundläggande uppgifter.
Av bestämmelsen framgår hur servicetjänsten är avsedd att fungera. Detta berörs och beskrivs mer utförligt i avsnitt 9.3.
202
13 § Servicetjänsten ska överlämna företagets grundläggande uppgifter till anslutna e-tjänster när dessa besöks via servicetjänsten.
Servicetjänsten kommer att överlämna användarens grundläggande uppgifter till den e-tjänst användaren besöker via Servicetjänsten. Det är bara de grundläggande uppgifterna som myndigheten angett krävs för det specifika uppgiftskrav i uppgiftskravregistret som Servicetjänsten kommer att överlämna. Detta för att mottagande myndighet inte ska få uppgifter om företaget som myndigheten inte får behandla. (se avsnitt 7.7)
Mottagande myndighet är i sin tur skyldig att använda de uppgifter som överlämnats för att minska och förenkla användarens uppgiftslämnande. Hur detta ska ske är delvis beroende på överväganden som det är lämpligast om den mottagande myndigheten gör utifrån de krav som främst rättsligt ställs på uppgiftslämnandet. Det minsta som kan begäras av myndigheterna är att uppgifterna används för att förifylla fält i den e-tjänst som besöks. (se avsnitt 7.6)
14 § De myndigheter som anges i bilagan ska när de har kännedom om att ett företag (eller en grupp av företag) är skyldiga att fullgöra ett uppgiftskrav som anges i bilagan meddela Företagsdatamyndigheten vilket företag och uppgiftskrav som avses samt när kravet ska fullgöras.
Myndigheterna ska meddela Företagsdatamyndigheten när ett företag fullgjort ett uppgiftskrav som avses i första stycket.
För att servicetjänsten ska kunna skapa rättvisande Att göra listor måste Företagsdatamyndigheten få veta vilka företag som är skyldiga att fullgöra ett visst uppgiftskrav. Det går att till viss del skapa denna information med hjälp av registret över uppgiftskrav. En sådan lösning kommer dock endast att beskriva ett ”typiskt” företag och inte det faktiska företagets skyldigheter. För att kunna skapa Att göra listor utifrån ett faktiskt företags skyldigheter att fullgöra uppgiftskrav måste Företagsdatamyndigheten få information om det enskilda företagets skyldighet att fullgöra ett uppgiftskrav. Många gånger kan skyldigheten att fullgöra ett uppgiftskrav vara föremål för sekretess.
I bestämmelsen införs därför en skyldighet för de myndigheter som anges i bilagan att när de har kännedom om att ett företag ska fullgöra en bestämd uppgiftsskyldighet detta ska meddelas Företagsdatamyndigheten. Företagsdatamyndigheten ska också meddelas när ett företag fullgjort en sådan uppgiftsskyldighet.
203
I den kartläggning som hittills är gjord tas inte frågan upp om myndigheterna har möjlighet att ta fram uppgifter om i vilken utsträckning ett eller flera företag är skyldiga att fullgöra ett uppgiftskrav. Vår bedömning är dock att det finns en stor servicepotential i att skapa Att göra listor utifrån det specifika företagets situation Vi lämnar därför ett förslag på hur bestämmelsen med tillhörande bilaga kan utformas för att på ett tillräckligt tydligt sätt reglera vilka uppgifter som ska lämnas till Företagsdatamyndigheten för att användas i Servicetjänsten. Avsikten är att regeln ska vara sekretessbrytande enligt 10 kap. 28 § offentlighets- och sekretesslagen (2009:400).
15 § Företagsdatamyndigheten får meddela föreskrifter för inrättande och förvaltning av servicetjänsten.
Bestämmelsen bemyndigar Företagsdatamyndigheten att meddela de föreskrifter som behövs för inrättande och förvaltning av servicetjänsten. Det kan t.ex. vara fråga om hur myndigheternas ska gå tillväga för att ansluta e-tjänster till servicetjänsten, föreskrifter om tekniska standarder osv.
Behandling av personuppgifter inom servicetjänsten m.m.
16 §Personuppgiftslagen (1998:204) gäller vid behandling av personuppgifter inom ramen för servicetjänsten om inte annat följer av denna förordning
Som framgår av lydelsen i paragrafen gäller personuppgiftslagen för behandling av personuppgifter inom ramen för den servicetjänst som Företagsdatamyndigheten tillhandahåller i den utsträckning inte avvikande bestämmelser finns i den föreslagna förordningen.
17 § Företagsdatamyndigheten är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför inom ramen för servicetjänsten.
Företagsdatamyndigheten är personuppgiftsansvarig för den behandling som utförs av myndigheten. Med personuppgiftsansvaret följer en rad skyldigheter enligt såväl personuppgiftslagen som denna förordning.
204
18 § Företagsdatamyndigheten får behandla personuppgifter i den utsträckning som krävs för att föra en förteckning över enskilda personer som besökt servicetjänsten och de individuella anpassningar av servicetjänsten som denna gjort. Av förteckningen får vidare framgå vilka företag den enskilda personen företräder.
Företagsdatamyndigheten får behandla personuppgifter i den utsträckning som krävs för att överlämna grundläggande uppgifter från servicetjänsten till ansluten e-tjänst.
Företagsdatamyndigheten får behandla personuppgifter i den utsträckning som krävs för att visa den enskilde de uppgiftskrav som avses i 14 §.
I bestämmelsen anges Företagsdatamyndighetens primära ändamål för behandling av personuppgifter. De primära ändamålen återspeglar de behov av olika behandlingar som förekommer inom den Servicetjänst som Företagsdatamyndigheten driver. Regleringen av de primära ändamålen ger tillsammans med regleringen i 19 § en ram för vilka behandlingar av personuppgifter som är tillåtna. Att Företagsdatamyndigheten inte får behandla fler personuppgifter än vad som är nödvändigt med hänsyn till ändamålen framgår av personuppgiftslagen.
19 § Personuppgifter som behandlats för de ändamål som anges i 18 § får också behandlas för att fullgöra uppgiftsutlämnande som sker i överensstämmelse med lag eller förordning. I övrigt gäller 9 § första stycket d och andra stycket personuppgiftslagen (1998:204).
I bestämmelsen anges de sekundära ändamålen med behandlingen av personuppgifter. Dessa återspeglar det huvudsakliga utlämnandet av personuppgifter som behandlas med stöd av de primära ändamålen från Företagsdatamyndigheten. Syftet med förevarande paragraf är att klargöra att behandling av personuppgifter kan ske inom Företagsdatamyndighetens verksamhet för andra ändamål än de som uttryckligen anges i 19 § under förutsättning att det föreligger en uppgiftsskyldighet för Företagsdatamyndigheten enligt lag eller förordning. Exempelvis avses utlämnanden till riksdagen och regeringen. Bestämmelsen möjliggör även utlämnande av uppgift som Företagsdatamyndigheten förfogar över till annan myndighet. Givetvis gäller de grundläggande kraven i 9 § personuppgiftslagen, däribland finalitetsprincipen, i fråga om all behandling av personuppgifter inom Företagsdatamyndighetens verksamhet. Utlämnande kan naturligtvis också komma att ske enligt 2 kap. tryckfrihetsförordningen.
205
20 § Bestämmelserna i personuppgiftslagen (1998:204) om rättelse och skadestånd gäller för behandling av personuppgifter enligt denna förordning.
Personuppgiftslagens bestämmelser om rättelse och skadestånd ska gälla vid behandling av personuppgifter. Vad gäller rättelse innebär bestämmelsen att den personuppgiftsansvarige dvs. Företagsdatamyndigheten i enlighet med 28 § personuppgiftslagen, blir skyldig att på begäran av den registrerade snarast rätta, blockera eller utplåna sådana personuppgifter som inte har behandlats i enlighet med den aktuella lagen eller föreskrifter som har meddelats med stöd av lagen. Företagsdatamyndigheten ska då också underrätta tredje man till vilken uppgifterna har lämnats ut om den vidtagna åtgärden, om den registrerade begär det eller om mera betydande skada eller olägenhet för den registrerade skulle kunna undvikas genom en underrättelse. Företagsdatamyndigheten behöver dock inte lämna någon sådan underrättelse, om detta visar sig vara omöjligt eller skulle innebära en oproportionerligt stor arbetsinsats. Beträffande skadestånd innebär bestämmelsen att Företagsdatamyndigheten, i enlighet med 48 § personuppgiftslagen, ska ersätta den registrerade för skada och kränkning av den personliga integriteten som en behandling av personuppgifter i strid med den aktuella lagen har orsakat.
Gallring
21 § Uppgifter om enskilda personer som besökt servicetjänsten ska gallras senast fem år efter att denna senast besökte servicetjänsten.
Sammanställningar av grundläggande uppgifter som upprättats när den enskilde besöker servicetjänsten ska gallras omedelbart efter besöket.
Uppgifter om att ett företag är skyldigt att fullgöra ett uppgiftskrav ska gallras senast ett år efter det att uppgiftskravet skulle ha fullgjorts.
Uppgifter om att ett företag fullgjort ett uppgiftskrav som avses i tredje stycket ska gallras senast sex månader efter det att Företagsdatamyndigheten mottog uppgiften.
Bestämmelsen anger de särskilda bestämmelser som tar över arkivlagens (1990:782) bestämmelser om bevarande och gallring. Bestämmelsen gäller för uppgifter som behandlas inom ramen för Servicetjänsten. Observera att de gallringsbestämmelser som föreslås avser den senaste tidpunkt när uppgifterna måste gallras.
206
Om uppgifter som avses i andra stycket behövs på nytt kan dessa rekonstrueras genom att de tas fram från det allmänna företagsregistret och registret över uppgiftskrav.
Uppgifterna i tredje och fjärde stycket kan också de rekonstrueras om informationen finns sparad hos avsändande myndigheter. De korta gallringsfristerna är i första hand motiverade av att uppgifterna i sin sammanställda form kan vara av känslig natur och att de snabbt förlorar sin betydelse för Servicetjänsten funktion.
Ikraftträdande- och övergångsbestämmelser
Denna förordning träder i kraft den 1 januari 2015
Bilaga (exempel)
Myndighet Anmälan om att företaget ska eller har lämnat uppgifter enligt
Statistiska centralbyrån 7–9 och 12–13 §§ lagen (2001:99) om den officiella statistiken Skatteverket 10 kap. Skattebetalningslagen
Vi lämnar ett förslag med ett exempel på hur bilagan kan utformas för att på ett tillräckligt tydligt sätt reglera vilka uppgiftskrav som ska anmälas till Företagsdatamyndigheten för att skapa Att göra listor i Servicetjänsten. Avsikten är att 14 § i förordningen tillsammans med bilagan ska vara sekretessbrytande enligt 10 kap. 28 § offentlighets- och sekretesslagen (2009:400).
I det fortsatta kartläggningsarbetet får en del vara att ta fram ett underlag för att bedöma vilka uppgiftskrav som kan vara aktuella att ange i bilagan.
Kommittédirektiv 2012:35
207
Ett minskat och förenklat uppgiftslämnande för företagen
Beslut vid regeringssammanträde den 26 april 2012
Sammanfattning
En utredare ska presentera förslag som innebär att uppgifter som lämnas från företagen till statliga myndigheter som regel endast ska behöva lämnas en gång och till ett ställe. De uppgifter som avses är sådana där själva uppgiftslämnandet har sin grund i lag, förordning eller myndighetsföreskrifter. I uppdraget ingår att redovisa bl.a. de rättsliga och tekniska förutsättningarna för att skapa ett system där uppgifter kan användas av flera myndigheter och leda till ett informationsutbyte mellan myndigheterna. Bolagsverkets rapport Minskat uppgiftslämnande (AD 62-1047/2008) om hur företagens uppgiftslämnande till statliga myndigheter skulle kunna minska ska ligga till grund för arbetet.
Utredarens uppgift är att
- lämna förslag på hur samordning, samråd, referensregister, informationsutbyte och tillgång till statistik kan organiseras,
- lämna förslag på hur ett system för effektivt informationsutbyte mellan myndigheter faktiskt och tekniskt kan utformas,
- analysera och samordna de uppgifter som företagen lämnar in till statliga myndigheter och som kommer att omfattas av den kartläggning som tretton myndigheter utför enligt ett uppdrag som regeringen lämnade den 20 oktober 2011 (N2011/5884/ENT),
208
- analysera de sekretessfrågor som uppkommer i samband med de av utredaren lämnade förslagen och föreslå de författningsändringar som bedöms nödvändiga,
- analysera de integritetsfrågor som uppstår vid behandling av personuppgifter och föreslå de författningsändringar som bedöms nödvändiga,
- redovisa vilka samordningsvinster för myndigheter som samordningsfunktionens verksamhet kan ge,
- redovisa minskningen av de administrativa kostnaderna för företagen och budgetkonsekvenser för myndigheterna, samt
- ta fram indikatorer för att mäta företagens och myndigheternas minskade kostnader och nyttan med förslaget samt indikatorer för att mäta om företagens irritation över att lämna uppgifter minskar.
Ett delbetänkande med ett utkast till förslag som innebär att uppgifter som lämnas från företagen till statliga myndigheter som regel endast ska behöva lämnas en gång och till ett ställe och hur samordningen av detta kan organiseras m.m. samt förslag till finansiering av detta ska lämnas senast den 1 mars 2013. Ett slutligt förslag enligt direktiven ska lämnas till Regeringskansliet (Näringsdepartementet) senast den 29 november 2013.
Bakgrund
Ett förenklat och minskat uppgiftslämnande aviserades i budgetpropositionen för 2012 (prop. 2011/12:1, utgiftsområde 24 Näringsliv, s. 59). I propositionen anges det att regeringen avser att tillsätta en kommitté som ska arbeta med att genomföra förslag för att förenkla företagens uppgiftslämnande till myndigheter. Målsättningen om ett rapporteringstillfälle ligger i linje med regeringens övergripande mål i arbetet med att förenkla för företagen och att åstadkomma en märkbar positiv förändring i företagens vardag. Regeringen gav den 25 september 2008 Bolagsverket i uppdrag att utarbeta ett förslag för att minska företagens uppgiftslämnande till statliga myndigheter (N2007/8915/MK).
Redovisningen skulle innehålla
209
- en kartläggning av företagens uppgiftslämnande till statliga myndigheter,
- en kartläggning och erfarenhetsinhämtning av hur uppgiftslämnande sker i andra länder såsom Norge, Estland och Danmark,
- förslag till hur företagens uppgiftslämnande kan minska och hur myndigheternas hantering av uppgifter kan samordnas och effektiviseras,
- en analys av de sekretessfrågor som förslagen väcker, och
- en analys av de för- och nackdelar som förslagen medför, särskilt kostnader och nytta.
I uppdraget ingick även att redovisa de förutsättningar som krävdes bl.a. rättsligt, tekniskt, administrativt och organisatoriskt för att genomföra förslagen. Bolagsverket skulle också föreslå de författningsförändringar som krävdes.
Bolagsverket redovisade sitt uppdrag till regeringen den 5 maj 2009 i rapporten Minskat uppgiftslämnande (AD 62-1047/2008). Bolagsverkets förslag gav upphov till frågor som behövde beredas ytterligare. Det gällde bl.a. sekretessbestämmelser, beslutanderätt för det föreslagna samordningsorganet och omfattningen av uppgiftslämnandet. Vidare var det svårt att överblicka de fullständiga konsekvenserna av förslaget.
Arbetet med att skapa ett system för hur företagens uppgiftslämnande ska kunna minska och förenklas har pågått under en längre tid. Utgångspunkten för arbetet har förändrats i takt med att ny teknik utvecklats. En större medvetenhet finns nu om behovet av ”smarta” tekniska lösningar i kontakterna med myndigheter.
För att stärka utvecklingen av e-förvaltningen och skapa goda förutsättningar för myndighetsövergripande samordning inrättade regeringen i mars 2009 en delegation för e-förvaltning – E-delegationen (dir. 2009:19). E-delegationen ska bl.a. koordinera de statliga myndigheternas it-baserade utvecklingsprojekt och följa upp deras effekter. Delegationen består av ledamöter från myndigheter och Sveriges Kommuner och Landsting samt representanter från Regeringskansliet. Ett sekretariat biträder delegationen. En arbetsgrupp, ett it-standardiseringsråd, en expertgrupp för rättsliga frågor, en expertgrupp för internationell e-förvaltning och en referensgrupp har knutits till delegationen. I E-delegationen pågår arbete med en e-förvaltning som bl.a. ska bidra till att minska företagens admini-
210
strativa kostnader och även i övrigt åstadkomma en märkbar förbättring i företagens vardag.
De uppgiftskrav som statliga myndigheter riktar mot näringslivet kan vara av skilda slag. Det kan vara fråga om uppgifter av finansiell natur liksom uppgifter som rör s.k. grunddata, dvs. adressuppgifter, företagets rättsliga status, organisationsnummer m.m. En god överblick över de informationskrav som riktar sig till företag finns i Tillväxtverkets databas MALIN1, där ca 4 600 informationskrav som riktar sig till företag är samlade.
Utvecklingen över tid har påverkat förutsättningarna för att skapa ett system för företagens uppgiftslämnande på det sätt som föreslås i Bolagsverkets rapport.
Uppdraget
Organisation för samordning m.m.
För att företagens uppgiftslämnande till statliga myndigheter ska vara enkelt och kostnadseffektivt behövs en samordning och en struktur kring företagens uppgiftslämnande och myndigheternas uppgiftsinhämtning. Vidare bedöms det finnas ett behov av att kunna följa företagens uppgiftslämnande över tid när det gäller exempelvis vilken belastning uppgiftskraven innebär för företagen och hur de fördelar sig över tid. Regeringen gav den 20 oktober 2011 tretton statliga myndigheter i uppdrag att inom sitt respektive verksamhetsområde genomföra en kartläggning av näringsidkares uppgiftslämnande till statliga myndigheter som följer av lag, förordning eller myndighetsföreskrifter och att sammanställa dessa i ett register (N2011/5884/ENT). Bolagsverket koordinerar arbetet. Registret kommer att vara ett s.k. metadataregister, dvs. inte innehålla uppgifter hänförliga till en enskild näringsverksamhet eller näringsidkare. De metadatauppgifter som bildar det s.k. referensregistret kommer fortlöpande att behöva uppdateras. Uppdraget ska slutredovisas till Regeringskansliet (Näringsdepartementet) senast den 20 juni 2012.
Utredaren ska lämna förslag på hur myndigheternas arbete kring företagens uppgiftslämnande ska kunna samordnas. Utredaren ska särskilt beakta hur
1 I databasen MALIN finns företagens uppgiftsskyldighet dokumenterad avseende lagstöd och informationskrav riktade mot näringslivet, se www.enklareregler.se.
211
- denna samordning kan organiseras för att möjliggöra en samordning i samband med tillkomsten av nya uppgiftskrav eller borttagande av uppgiftskrav som riktar sig till företag,
- en god och enhetlig beskrivning av uppgiftskraven i referensregistret ska kunna vidmakthållas,
- möjligheterna till samråd mellan myndigheter säkerställs, och
- behovet av information till myndigheter och externa intressenter som exempelvis företagarorganisationer samt statistik kan tillgodoses.
Utredaren ska vidare
- föreslå nödvändiga författningsändringar,
- utreda kostnaden för samordningen, initialt och löpande, och
- föreslå en finansiering.
Analys och samordning av uppgiftskraven
Det framgår av E-delegationens betänkande Strategi för myndigheternas arbete med e-förvaltning (SOU 2009:86) att det inte finns någon samordnad eller gemensam hantering av språkliga lösningar eller informationsstruktur hos myndigheter. Myndigheter använder därför olika termer för samma företeelse och informationen är strukturerad på olika sätt. Denna olikhet anser E-delegationen vara ett av de större generella problemen vid utveckling av gemensamma lösningar med oberoende parter.
Kartläggningen enligt regeringens uppdrag från den 20 oktober 2011 utgår från de informationskrav som finns i Tillväxtverkets databas MALIN. Kartläggningen kommer dels att på en övergripande nivå omfatta företags totala uppgiftslämnande, dels vara en djupare kartläggning avseende s.k. grundläggande uppgifter. Med detta menas exempelvis adressuppgifter och företags organisationsnummer.
Med utgångspunkt i den kartläggning som görs av de myndigheter som omfattades av regeringens uppdrag och företagens behov och begreppsvärld ska utredaren
212
- lämna förslag på i vilken utsträckning dessa uppgifter kan eller behöver samordnas samt beskriva vilka för- och nackdelar en samordning kan innebära för företagen och för myndigheterna, och
- lämna förslag på hur man säkerställer att uppgifterna når rätt mottagare (myndighet).
Utredaren ska inte lämna förslag till författningsändringar i denna del.
Teknisk lösning för ett effektivt uppgiftsutbyte m.m.
Frågan om ett effektivt utbyte av uppgifter mellan myndigheter ger upphov till tekniska och juridiska problemställningar. Sättet på vilket uppgiften återanvänds, exempelvis hämtas in från en myndighet av en annan myndighet, innebär att olika sekretessbestämmelser är tillämpliga. Valet av teknisk lösning för överföring av information genererar i sig olika frågeställningar bl.a. i fråga om sekretess och personuppgiftsbehandling. Det behövs därför en helhetssyn för att skapa en fungerande lösning när det gäller möjligheten för myndigheter att återanvända eller dela uppgifter mellan sig (jfr direktiven till Informationshanteringsutredningen, dir. 2011:86). Valet av teknisk lösning (plattform) dit företagen lämnar sina uppgifter är också viktigt. Regeringen återkommer till frågorna om personuppgiftsskydd och sekretess i det följande.
Utredaren ska
- föreslå en tekniskt verifierad, effektiv lösning som möjliggör informationsutbyte mellan myndigheter med ambitionen att detta utbyte av information sker direkt i den tekniska lösningen, dvs. den tjänst som företagen lämnar sina uppgifter till och som kan skräddarsys efter de enskilda myndigheternas informationsbehov,
- föreslå en teknisk lösning som beaktar skyddet av den enskildes integritet,
- beakta de riktlinjer för säkert informationsutbyte ”Vägledning för automatiserad samverkan”2 som E-delegationen gett ut,
2 www.edelegationen.se/sida/vagledning-for-automatiserad-samverkan
213
- beakta vikten av att den förvaltningsgemensamma e-utvecklingen hålls samman,
- föreslå de författningsändringar som bedöms nödvändiga,
- utreda kostnaden för införande och förvaltning av föreslagen teknisk lösning, och
- föreslå en finansiering.
Sekretess, integritetsfrågor
Personuppgiftsbehandling Det är av vikt att myndigheterna på ett rättssäkert och effektivt sätt kan fullgöra sina uppgifter samtidigt som enskildas personliga integritet skyddas. Det går inte att utesluta att det system för uppgiftslämnande som föreslås kan komma att innehålla uppgifter hänförliga till fysiska personer. Grundläggande bestämmelser om skydd för den personliga integriteten finns i regeringsformen, förkortad RF. Av 1 kap. 2 § RF framgår att det allmänna ska värna om den enskildes privatliv. Av 2 kap. 6 § RF framgår vidare att var och en är skyddad gentemot det allmänna mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär kartläggning eller övervakning av den enskildes personliga förhållanden. Denna rättighet är dock inte absolut utan kan begränsas i lag enligt de förutsättningar som närmare anges i 2 kap. 21 § RF.
Enligt artikel 8 i den europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna (Europakonventionen) har var och en rätt till respekt för sitt privat- och familjeliv, sitt hem och sin korrespondens. En offentlig myndighet får inte inskränka dessa rättigheter annat än med stöd av lag. Vidare gäller att en sådan inskränkning endast får ske om det i ett demokratiskt samhälle är nödvändigt med hänsyn till statens säkerhet, den allmänna säkerheten, landets ekonomiska välstånd eller till förebyggande av oordning eller brott eller till skydd för hälsa eller moral eller andra personers fri- och rättigheter. Europakonventionen gäller sedan den 1 januari 1995 som svensk lag. Av regeringsformen följer även att en lag eller annan föreskrift inte får meddelas i strid med Sveriges åtaganden enligt konventionen (2 kap. 19 § RF).
En bestämmelse om respekt för privatlivet och familjelivet finns även i artikel 7 i EU:s stadga om de grundläggande rättigheterna,
214
som har samma rättsliga status som fördragen. Av artikel 8 i stadgan följer vidare bl.a. att var och en har rätt till skydd för de personuppgifter som rör honom eller henne. Stadgan riktar sig till medlemsstater endast när de tillämpar unionsrätten (artikel 51.1). I den mån en rättighet i stadgan motsvaras av rättigheter som skyddas av Europakonventionen ska de ges samma innebörd och räckvidd som konventionen, men unionsrätten kan även tillförsäkra ett mer långtgående skydd än konventionen (artikel 52.3).
Grundläggande bestämmelser om behandling av personuppgifter finns i personuppgiftslagen (1998:204), förkortad PUL. Genom lagen genomfördes Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (dataskyddsdirektivet). PUL innehåller generella regler som, med vissa undantag, ska tillämpas i hela samhället av både myndigheter och enskilda. Den är dock subsidiär i förhållande till annan lag eller förordning. Behov av undantag och preciseringar på olika områden kan därmed tillgodoses genom särreglering i s.k. registerförfattningar. En sådan särreglering får dock inte stå i strid med dataskyddsdirektivet. Syftet med de särskilda registerförfattningarna är att anpassa regleringen till de särskilda behov som myndigheterna har i sina respektive verksamheter samt att göra avvägningar mellan behovet av effektivitet i berörd verksamhet och behovet av skydd för den enskildes integritet. Möjligheten att i en registerförfattning föreskriva särskilda bestämmelser för en viss typ av verksamhet har utnyttjats flitigt i den nationella lagstiftningen och det finns därför i dag ett stort antal registerförfattningar som reglerar hanteringen av personuppgifter inom olika områden.
Utredaren ska, efter en avvägning mellan behovet av ett effektivt informationsutbyte och skyddet för den personliga integriteten, bl.a.
- klargöra vilka regler som bör gälla och om det finns behov av särskilda regler för behandling av personuppgifter med anledning av inrättandet av ett tekniskt system för elektronisk överföring av information till myndigheter, och
- föreslå de författningsändringar som bedöms nödvändiga.
Det är viktigt att de förslag utredaren lägger fram beaktar respekten för den personliga integriteten så som den skyddas av Sveriges internationella åtaganden om de mänskliga rättigheterna och svensk lag.
215
I detta sammanhang ska särskilt frågan om skyddad identitet uppmärksammas.
På uppdrag av regeringen har den s.k. Integritetsskyddskommittén, i betänkandena Skyddet för den personliga integriteten – kartläggning och analys (SOU 2007:22) och Skyddet för den personliga integriteten – Bedömningar och förslag (SOU 2008:3) gjort en kartläggning och analys av skyddet för den personliga integriteten. Kommitténs utredning är mycket omfattande och kan, dock med beaktande av att den är från 2007, användas som grund för en bedömning av de integritetsfrågor som uppstår i samband med ett ökat informationsutbyte mellan myndigheter och tredje part. Även den redovisning av bakgrund och gällande rätt som finns i E-offentlighetskommitténs slutbetänkande Allmänna handlingar i elektronisk form – offentlighet och integritet (SOU 2010:4) kan vara till hjälp i arbetet.
Offentlighet och sekretess Offentlighets- och sekretesslagen (2009:400), förkortad OSL, innehåller sekretessbestämmelser som bl.a. syftar till att i det allmännas verksamhet skydda känsliga uppgifter om enskilda. Sekretessen hos en myndighet gäller i regel i förhållande även till andra myndigheter om inte annat anges i offentlighets- och sekretesslagen eller i en annan lag eller förordning som offentlighets- och sekretesslagen hänvisar till (8 kap. 1 § OSL). Sekretessen till skydd för enskild gäller inte – annat än i vissa undantagsfall – i förhållande till den enskilde själv och den enskilde kan samtycka till att sekretessbelagda uppgifter lämnas från en myndighet till en annan (10 kap. 1 § och 12 kap. 1 § OSL). I vissa situationer är det möjligt för en myndighet att lämna ut sekretessbelagda uppgifter till en annan myndighet trots att den enskilde inte samtyckt till detta. I sådana fall sker utlämnandet med stöd av en sekretessbrytande bestämmelse. Sekretessbrytande bestämmelser, som utformas efter en intresseavvägning mellan myndigheternas eller enskildas behov av att ta del av uppgifter och de intressen de aktuella sekretessbestämmelserna avser att skydda, finns bl.a. i 10 kap. OSL. Ett utökat samarbete mellan myndigheter när det gäller tillgång till uppgifter från företag väcker frågor om skydd för enskildas personliga integritet. Samma tekniska utveckling som kan underlätta för den enskilde att ha kontakt med myndigheter kan också leda till att uppgifter som kan knytas till enskilda blir tillgängliga för andra personer, och i andra sammanhang, än vad som var syftet när uppgifterna lämnades första gången.
216
Mot denna bakgrund ska utredaren
- analysera och redovisa de sekretessfrågor som förslagen väcker samt överväga i vad mån samtycke ska krävas för att, inom ramen för ett förenklat uppgiftslämnande, lämna sekretessbelagda uppgifter mellan myndigheter eller om detta ska göras med stöd av sekretessbrytande bestämmelser,
- analysera om dagens regler om sekretess är tillräckliga för att skydda enskilda intressen vid ett ökat utbyte och ökad återanvändning av uppgifter myndigheter emellan, och
- lämna förslag på de författningsändringar som föranleds av dessa analyser och som krävs för att genomföra förslagen i övrigt.
I uppdraget ingår inte att föreslå ändringar i grundlag.
Uppgifter som samlas in för framställning av statistik
Uppgifter som samlas in för statistikändamål bör endast användas för framställning av statistik och inte i annat syfte. I annat fall finns risk för att statistikens kvalitet kan skadas, då viljan att lämna uppgifter och att lämna korrekta uppgifter kan minska. En statistik av god kvalitet behövs bl.a. som beslutsunderlag och för debatt och forskning. Om det finns behov av att använda uppgifterna för andra ändamål, i syfte att förenkla för företagen, måste konsekvenserna övervägas. Utredaren bör noga överväga för- och nackdelar i detta avseende.
Indikatorer
För att kunna mäta och följa upp verksamheter behövs mått som belyser kvaliteten och resultat inom olika områden av verksamheten. Ett verktyg för uppföljningar är användningen av indikatorer. Utredaren ska utarbeta kvantitativa och kvalitativa indikatorer för uppföljning av effekten av ett metadataregister. Därvid ska särskilt möjligheten att avläsa om en märkbar positiv förändring i företagens vardag skett genom minskad irritation när det gäller uppgiftslämnande till statliga myndigheter utredas.
217
Övrigt
Utredaren ska i sitt arbete hålla sig informerad om och beakta det arbete som pågår exempelvis inom ”verksamt.se”3och inom E-delegationen, se bl.a. tilläggsdirektiv till E-delegationen (dir. 2010:32). Utredaren ska samråda med Informationshanteringsutredningen (dir. 2011:86). Övriga för utredningen relevanta utredningar ska beaktas.
Den kunskap och erfarenhet som finns att tillgå i samband med upprättandet och förvaltningen av Oppgaveregistret 1997, som administreras av det norska centralregistret Brönnöysundsregistret, ska tas till vara i utredningens arbete. Även de erfarenheter som finns avseende informationshanteringen och ett utökat elektroniskt informationsutbyte inom rättsväsendets informationsförsörjning (RIFrådet) bör tas till vara.
Konsekvensutredningar
Utredningen ska beskriva konsekvenserna för myndigheter, utöver vad som föreskrivs om konsekvensutredningar i kommittéförordningen (1998:1474) och förordningen (2007:1244) om konsekvensutredning vid regelgivning. Förslagen ska kostnadsberäknas.
Om förslagen påverkar kostnaderna för staten ska en beräkning av dessa kostnader redovisas. Om förslagen medför en kostnadsökning för stat, landsting eller kommuner ska utredaren föreslå en finansiering.
Uppdragets genomförande
Vid genomförandet av uppdraget ska utredaren samråda med Tillväxtverket, Bolagsverket, Skatteverket, Statens jordbruksverk, Ekonomistyrningsverket, Statskontoret, Skogsstyrelsen, Statistiska centralbyrån och övriga berörda myndigheter liksom E-delegationen, samt på lämpligt sätt med andra aktörer som t.ex. näringslivet och Sveriges Kommuner och Landsting.
Ett delbetänkande med ett utkast till förslag som innebär att uppgifter som lämnas från företagen till statliga myndigheter som regel endast ska behöva lämnas en gång och till ett ställe och hur
3 Verksamt.se är en webbplats (företagarsajt) där myndigheterna Bolagsverket, Skatteverket och Tillväxtverket samlat information, verktyg och e-tjänster som en företagare kan ha nytta av.
218
samordningen av detta kan organiseras m.m. samt förslag till finansiering av detta ska lämnas senast den 1 mars 2013. Ett slutligt förslag enligt direktiven ska lämnas till Regeringskansliet (Näringsdepartementet) senast den 29 november 2013.
(Näringsdepartementet)
Kommittédirektiv 2013:51
219
Tilläggsdirektiv till Uppgiftslämnarutredningen (N 2012:01)
Beslut vid regeringssammanträde den 8 maj 2013
Sammanfattning
För att kunna föreslå en tekniskt verifierad lösning är det nödvändigt att ta fram en prototyp av den tekniska lösning som utredningen förespråkar i sitt delbetänkande (dnr N2013/1260/ENT). Prototypen ska illustrera hur och när informationen överförs mellan olika aktörer i systemet och hur denna information ska uttryckas för att vara återanvändbar.
Uppgiftslämnarutredningen ska ta fram en prototyp av ett uppgiftslämnarregister. Tilläggsuppdraget ska redovisas senast den 29 november 2013.
Uppdraget
Regeringen beslutade den 26 april 2012 (dir. 2012:35) att tillkalla en särskild utredare med uppgift att presentera förslag som innebär att uppgifter som lämnas från företagen till statliga myndigheter som regel endast ska behöva lämnas en gång och till ett ställe. En viktig del i utredningens uppdrag var att föreslå en tekniskt verifierad, effektiv lösning som möjliggör informationsutbyte mellan myndigheter med ambitionen att detta utbyte av information sker direkt i den tekniska lösningen.
Det är nödvändigt att ta fram en prototyp av den tekniska lösning som utredningen förespråkar i sitt delbetänkande (dnr N2013/1260/ENT) för att kunna föreslå en tekniskt verifierad lös-
220
ning. Prototypen ska illustrera hur och när informationen överförs mellan olika aktörer i systemet och hur denna information ska uttryckas för att vara återanvändbar.
Byggandet av en prototyp fyller ett antal funktioner genom att:
- testa hur olika lösningar fungerar tekniskt och juridiskt för att tidigt upptäcka svagheter i föreslagen modell,
- tydligt visa och demonstrera hur systemet kommer att fungera för att få återkoppling och feedback från vissa företag och myndigheter,
- ge en mer exakt uppskattning av kostnaderna för att bygga ett fullskaligt system.
Den viktigaste funktionen bedöms dock vara att prototypen ger utredningen de nödvändiga förutsättningarna för att lämna ett slutbetänkande den 29 november 2013 som går att omsätta i drift utan ytterligare grundläggande utvecklings- och utredningsarbete.
Utredningen ska ta fram en prototyp av ett uppgiftslämnarregister.
Redovisning av uppdraget
Tilläggsuppdraget ska redovisas senast den 29 november 2013.
(Näringsdepartementet)
PROMEMORIA
Till
Cecilia Magnusson Sjöberg
Från
Per Furberg och Kenneth Nilsson
Datum
2013-10-31
Saken
Egna utrymmen inom e-förvaltningen
1. En anpassning till gällande rätt
1.1. Den pappersbaserade hanteringen
När en medborgare eller ett företag har kontakt med den offentliga förvaltningen i traditionellfysisk miljö används normalt pappershandlingar som överförs via Posten eller lämnas in fysiskt i myndighetens lokaler. Gränssnittet mot medborgare och företag har alltså – med undantag för muntliga förhandlingar och telefonsamtal – traditionellt bestått i att olika pappersbaserade handlingar utväxlas, t.ex. för att initiera ett ärende, förelägga den som anhängiggjort ärendet att komplettera och expediera det beslut som fattats. I den miljön framstår det som tydligt hur förvaltningen avgränsas från samhället i övrigt, hur olika förvaltningsmyndigheter avgränsas från varandra och hur en medborgares åtgärder kan skiljas från en myndighets.
Detta bygger delvis på den avgränsning och individualisering som en pappersbaserad hantering av handlingar ger med dess vedertagna anknytning till olika fysiska personer och platser. Visserligen kan en handling finnas i en lokal som innehavaren har hyrt eller på annat sätt disponerar utan att äga fastigheten men den omständigheten att lokalen upplåtits och att byggnaden ägs av annan medför inte att de handlingar som finns i lokalen anses vara upplåtarens. Detta synsätt gäller även när det är den myndighet som senare avses motta en handling som har upplåtit den lokal där handlingen upprättas.
1.2. Den digitala miljön
När medborgare och företag digitaliserar sina rutiner och kopplar upp sig via nät för att kommunicera med myndigheter skapas emellertid en miljö som, från ett traditionellt fysiskt betraktelsesätt, lätt kan uppfattas som en integrerad del av förvaltningens it-miljö. Detta gäller i vart fall när tjänster och funktioner har utformas så att det är svårt att se gränserna. Denna risk för sammanblandning mildras inte av att myndigheter i många fall delar på, delar med sig av eller tillhandahåller funktioner åt annan i digital miljö; se t.ex. projektet Verksamt, Statens servicecenter och tjänster som övervägs för att myndigheter ska ta i bruk uppgifter från andra myndighet för förvaltningsgemensam nytta.
Myndigheterna har emellertid infört användargränssnitt, föreskrifter och avtal för berörda aktörer som syftar till att tydliggöra gränserna i elektronisk miljö mellan en myndighets
- eget verksamhetssystem, där behandlingar sker för myndighetens egen räkning,
1
och
- produktion och leverans av funktioner och tjänster till följd av att myndigheten tillhandahåller elektroniska tjänster o.l.
1 Med verksamhetssystem menas här en it-miljö där en organisation och dess befattningshavare handlägger ärenden eller annars hanterar nyttoinformation för organisationens räkning. Nyttoinformation står här för uppgifter som är till för enskilda eller befattningshavare till skillnad från drift- och säkerhetsrelaterad information som endast är till för tekniker; jfr E-delegationens juridiska vägledning den 8 juli 2013 för verksamhetsutveckling inom e-förvaltningen (version 1.0).
o inom sitt eget verksamhetsområde, till sina egna sökande, respektive o åt andra myndigheter för att de ska kunna tillhandahålla sådana funktioner åt sina sökande (s.k. utkontraktering eller outsourcing).
1.3. Ärendetjänster, egna utrymmen, konton och brevlådor
De s.k. ärendetjänster som myndigheter tillhandahåller i elektronisk miljö brukas av enskilda (användare) för att bl.a. utforma utkast till handlingar och – när de är färdiga – ge in dem elektroniskt till de myndigheter som tillhandahåller berörda ärendetjänster.
Användaren kan också
i vissa ärendetjänster få en uppgift eller en handling utlämnad till sig av myndighet så att användaren delvis endast behöver granska att det som därefter ges in är riktigt; jfr en förtryckt deklarationsblankett. När användaren är klar behöver han eller hon endast skriva under elektroniskt – eller legitimera sig för uppgiftslämnande – samt klicka på ”skicka” för att överföring ska ske till myndighetens funktion – ett s.k. anvisat elektroniskt mottagningsställe – för att motta och ankomstregistrera sådana handlingar.
3
För att det ska bli praktiskt möjligt för användaren att upprätta utkast och vidta andra åtgärder i digital miljö, utan att materialet i det skedet anses inkommet till myndigheten eller att något ärende annars anses anhängiggjort, behöver myndigheten tillhandahålla ett ”utrymme” eller en ”plats” som är endast användarens, där denne kan vidta åtgärder utifrån den självklara förutsättningen att det är fråga om preliminärt material eller annars om uppgifter eller handlingar som inte får röjas för annan; jfr om ett utkast till en ännu inte undertecknad och färdigställd årsredovisning för ett börsbolag, som tas fram i Bolagsverkets ärendetjänst för årsredovisning, skulle bli allmän och offentlig handling redan innan den har getts in.
Bland myndigheter som tillhandahåller ärendetjänster har det till och med utvecklats en särskild terminologi för att närmare beskriva de virtuella ”förvar” eller elektroniska ”platser” som myndigheter tillhandahåller åt sina användare. I grundutförande betecknas sådant virtuellt förvar användarens ”eget utrymme”; dvs. ett förvar som myndigheten tillhandahåller åt användaren endast som led i teknisk bearbetning eller teknisk lagring för användarens räkning.
Ett sådant
utrymme kan finnas endast en kort stund under en viss session, som vanligtvis avslutas med att en där upprättad handling ges in eller att det som behandlats där tas bort så att användaren får börja om på nytt vid ett senare tillfälle. I många fall kan uppgifterna emellertid mellanlagras så att användaren kan spara och senare hämta upp dem för att fortsätta sitt arbete med dem. Det
2 Med ärendetjänst menas, enligt den i föregående not nämnda vägledningen, en e-tjänst där användare i ett serviceskede och i ett eget utrymme, kan (1) utforma handlingar för att ge in dem, och (2) i vissa sådana tjänster få uppgifter eller handlingar förifyllda eller annars utlämnade av (i) den som tillhandahåller utrymmet, eller (ii) ett annat organ, med stöd av en bastjänst (egen hämtning). 3 Jfr Förvaltningslagsutredningens betänkande (SOU 2010:29) En ny förvaltningslag, 18 §, s. 40. 4 I E-delegationens juridiska vägledning för verksamhetsutveckling inom e-förvaltningen har eget utrymme definierats som skyddat förvar hos myndighet som den, enligt 2 kap. 10 § första stycket tryckfrihetsförordningen (TF), tillhandahåller endast som led i teknisk bearbetning eller teknisk lagring för annans räkning; jfr hur detta uttryck använts redan i en artikel av Gustaf Johnssén, Rättssäkerheten och teknologin i omvandling i Nordisk årsbok i Rättsinformatik för år 2003, s.147-159.
4
egna utrymmet betecknas då ”konto”.
5
Till detta kommer en särskild typ av konto för säker
elektronisk post, kallad ”e-brevlåda”; dvs. ett konto där säker elektronisk post kan levereras.
Det egna utrymmet har alltså – ibland utvecklat till ett konto eller en e-brevlåda – blivit ett inom den offentliga förvaltningen allmänt vedertaget juridiskt koncept
6
som bygger på den
förutsättningen att myndigheten endast ska agera som underleverantör av en teknisk och administrativ funktion åt användaren, som denne brukar under förutsättning att myndigheten inte får bereda sig tillgång till användarens eget utrymme och att de uppgifter och handlingar som finns där inte röjs för någon obehörig; jfr en servicebyrås roll vid outsourcing.
Denna utveckling har inledningsvis vuxit fram för att skilja handlingar som är inkomna enligt 10 § förvaltningslagen från användarens eget arbetsmaterial. Utvecklingen har emellertid fortgått så att ett eget utrymme numera också tar sin utgångspunkt i det undantag från handlingsoffentligheten där det föreskrivs handling som förvaras hos en myndighet endast som led i teknisk bearbetning eller teknisk lagring för annans räkning inte anses som allmän handling hos den myndigheten; 2 kap. 10 § tryckfrihetsförordningen (TF).
Den praktiska hanteringen utifrån detta undantag brukar numera, i enlighet med definitioner i E-delegationens vägledning, beskrivas så att it-arkitekturen har utformats för att användarens uppgifter ska behandlas i
1) ett serviceskede, dvs. ett förlopp där service ges av en myndighet enligt 4 § förvaltningslagen,
ärendehandläggning inte äger rum hos myndigheten, endast den enskilde ges insyn och handling inte har kommit in till myndigheten enligt 10 § förvaltningslagen, och 2) ett virtuellt eget utrymme som är användarens, dvs. ett skyddat förvar hos myndighet som
den, enligt 2 kap. 10 § första stycket TF, tillhandahåller endast som led i teknisk bearbetning eller teknisk lagring för annans räkning.
It-arkitekturen för ett sådant eget utrymme avses utesluta åtkomst för myndighetens befattningshavare till utrymmet, med undantag för sådan åtkomst som är nödvändig för att åtgärda fel eller skydda mot angrepp. När it-arkitekturen för en ärendetjänst utformats så att användare permanent ska kunna mellanlagra uppgifter eller handlingar i ett eget utrymme, för att senare i ett serviceskede kunna hämta upp och färdigställa materialet, har det förklarats att användaren ska ges möjlighet att registrera ett konto där uppgifter och handlingar kan bevaras och annars behandlas endast som led i teknisk bearbetning eller teknisk lagring för användarens egen räkning.
De myndigheter som tillhandahåller sådana ärendetjänster har gjort bedömningen att
u
ppg
if-
ter
och handlingar (nyttoinformation) som en enskild behandlar i det egna utrymmet inte är
5Konto definieras i E-delegationens juridiska vägledning för verksamhetsutveckling inom e-förvaltningen som eget utrymme som har registrerats för en viss fysisk eller juridisk person, så att denne permanent (persistent) kan bevara och i övrigt behandla uppgifter där (termen persistent används av teknikansvariga). 6Juridiskt koncept definieras i E-delegationens juridiska vägledning för verksamhetsutveckling inom e-förvaltningen som en juridisk tankekonstruktion, som tar sin utgångspunkt i gällande rätt, för att tillämpas på en viss elektronisk företeelse, t.ex. ett eget utrymme eller ett elektroniskt mottagningsställe.
- inkomna till myndighet enligt förvaltningslagen, eller
- allmänna handlingar hos myndighet.
Vidare har
beträffande
personuppgiftsansvaret noterats att d
en som tillhandahåller ett eget
utrymme åt en användare blir personuppgiftsansvarig för den drift- och säkerhetsrelaterade informa-
tion som avser användarens eget utrymme och i övrigt för att de personuppgifter som behand-
las i utrymmet är omgärdade av adekvata säkerhetsåtgärder, men att tillhandahållaren inte blir personuppgiftsansvarig för den nyttoinformation som den enskilde behandlar i sitt utrymme och inte heller för sådan drift- eller säkerhetsrelaterad information eller sådana skyddsåtgärder som endast användaren av utrymmet får ta del av eller annars förfoga över. Denna bedömning anses gälla även när utrymmet är utformat som ett konto eller en e-brevlåda.
1.4. Ska gällande rätt tillämpas eller ska en helt ny reglering införas?
Ett sätt att återskapa tydliga gränser i digital miljö skulle kunna vara att se e-förvaltningen som något helt nytt som följer sina egna förutsättningar och därmed måste regleras på ett nytt sätt. En sådan särskild reglering för elektronisk miljö, parallell med den författningsreglering som gäller för ett traditionellt pappersbaserat förfarande, skulle följa sin egen logik och sannolikt helt förändra utvecklingen av både organisationer och informationssystem. Tydliga gränser kan emellertid också återskapas genom att på ett fungerande sätt inordna e-förvaltningen under dagens system, strukturer och ansvarsgränser genom att utforma denna miljö så att den i allt väsentligt kan förenas med gällande rätt och de synsätt i övrigt som författningsregleringen bygger på.
Eftersom en helt ny rättslig reglering inte kan genomföras utan ett omfattande och tidskrävande lagstiftningsarbete skulle en sådan lösning hindra införandet av e-tjänster under överskådlig tid. Myndigheterna har därför istället valt att anpassa de nya tjänsterna och tillhörande tekniska och administrativa säkerhetsåtgärder till vedertagna synsätt och gränsdragningar i gällande rätt; bl.a. till digitala motsvarigheter till hus, rum, förvar och brevlådor.
Denna anpassning har alltså till betydande del byggt på analogier med motsvarande företeelser i fysisk miljö för att det ska bli möjligt att ta tillvara de synsätt som gällande rätt bygger på.
2. Myndigheternas utvecklingsarbete och juridiska bedömningar
Arbetet för rättslig och teknisk samordning vid myndigheternas utveckling av e-tjänster tog fart på 2000-talet genom att några svenska myndigheter
7
inom ramen för ett projekt som bör-
jade som ett regeringsuppdrag – det s.k. SAMSET-projektet – utarbetade gemensamma lösningar för e-legitimationer och anknytande frågor om service och ärendehandläggning i digital miljö. Syftet var att bygga en nationell infrastruktur som på bred front skulle kunna stödja etjänster på ett juridiskt korrekt sätt. Resultaten från SAMSET-projektets arbete dokumenterades i ett antal vägledningar som övervägdes och beslutades av Nämnden för elektronisk för-
6
valtning (E-nämnden). Dessa vägledningar kom att bli tongivande för hela myndighetsområdet och de används alltjämt; se e-nämndens vägledningar för
̶ myndigheternas användning av e-legitimationer och elektroniska underskrifter (e-nämn-
den 04:02),
̶ användargränssnitt som uppfyller legala krav (e-nämnden 04:03),
9
̶ hantering av inkommande elektroniska handlingar (e-nämnden 05:02),
10
̶ myndighetsföreskrifter vid införande av e-tjänster (e-nämnden 05:03),
11
̶ information som enligt lag ska lämnas på webbplatser (e-nämnden 05:03).
12
Viktiga frågor i detta sammanhang var
- när en handling som ges in med stöd av en myndighets e-tjänst ska anses inkommen enligt förvaltningslagen, och
- hur den kommunikation och de behandlingar som sker i en myndighets e-tjänst i en fas innan de färdiga handlingarna ges in ska betraktas från juridiska utgångspunkter.
När en enskild använder en myndighets e-tjänst sänds uppgifter tekniskt från ingivarens dator till myndighetens system. I samma skede sänds uppgifter tekniskt från myndighetens system till ingivarens dator, redan för att användaren ska kunna se en webbsida på sin skärm och interagera för att t.ex. upprätta ett utkast till en inlaga. En fråga som övervägdes var om redan dessa informationsmängder skulle bli att anse som inkomna till myndigheten respektive expedierade från myndigheten så att regler om diarieföring, handlingsoffentlighet och arkivering m.m. skulle anses tillämpliga redan i den fasen.
Av intresse i denna del är E-nämndens vägledning för inkommande elektroniska handlingar. Enligt den skulle punkten för inkommande i digital miljö inte anses inträda förrän en handling har nått den funktion för automatiserad behandling som myndigheten har anvisat som mottagningsställe – i vägledningen kallad mottagningsfunktion. Att en enskild mellanlagrar ett utkast i
8 Där behandlas rutiner och säkerhetskrav på myndighetsområdet för att utfärda e-legitimationer och för att använda och förlita sig på sådana legitimationer. I vägledningen har dessutom den terminologi som används i samband med hanteringen av e-legitimation och e-tjänster presenterats och kompletterats med en förenklad beskrivning för vanliga användare. E-nämndens vägledning har visserligen inte någon tvingande verkan, såsom lag eller annan författning, men eftersom många av reglerna tagits in i den upphandling av e-legitimationer som gjorts tilllämpas de i praktiken på bred front bland statliga myndigheter. 9 Denna vägledning är utformad som ett komplement till den grundläggande vägledningen och syftar till att samordna myndigheternas användargränssnitt så att medborgaren känner igen sig i olika e-tjänster och till att tydliggöra juridiskt relevanta punkter i processen så att de elektroniska tjänsterna stämmer överens med de juridiska kraven. 10 Vägledningen klarlägger grundläggande juridiska och administrativa frågor kring rättsliga krav på utformningen av e-tjänster. Bland annat behandlas när en handling ska anses ha kommit in till en myndighet, var gränsen mellan service och ärendehandläggning går och vilken information som bör finnas tillgänglig för en myndighet som ska kontrollera om elektroniska handlingar är äkta. 11 Vägledningen kan ge stöd när förslag och remissynpunkter lämnas rörande reglering i lag eller förordning för att införa e-tjänster, när myndighetsföreskrifter tas fram för en e-tjänst och när föreskrifter för e-tjänster skall tilllämpas. 12 Myndigheter är enligt lag skyldiga att lämna juridisk information på sina webbplatser. Av denna vägledning framgår när och hur en myndighet är skyldig att presentera sådan information.
myndighetens informationssystem leder enligt denna vägledning inte till att utkastet anses inkommet i förvaltningsrättslig mening – det har inte ännu nått ”mottagningsfunktionen”.
Så
länge arbetet med att upprätta inlagor pågår kan användaren enligt vägledningen sägas befinna sig i ett serviceläge, vilket beskrevs så att den som använder en e-tjänst får hjälp och stöd på ett sätt som liknar den hjälp som en handläggare ger vid ett personligt besök hos myndigheten.
I vägledningen konstaterades således att en elektronisk handling inte anses inkommen förrän den ” anländer till myndigheten” – så som det uttrycks i 10 § förvaltningslagen. Detta skulle enligt vägledningen förstås så att handlingen i digital miljö har kommit in när den har nått mot-
tagningsfunktionen. I en kommentar till vägledningen anfördes vidare att denna tolkning bör
gälla oavsett om en försändelse når en myndighet via en e-tjänst, e-post eller någon annan elektronisk ”kanal” där försändelsen kan tas emot. I praktiken bör därmed, i de allra flesta fall, den punkt där en elektronisk handling anses ha anlänt till en myndighet kunna knytas till den tekniska registrering som sker i den mottagningsfunktion som utgör myndighetens ”brevlåda” för att ta emot sådana meddelanden.
I anknytning till SAMSET-projektet publicerades också en artikel i Svensk Juristtidning, Inkommande handlingar – en IT-anpassad tolkning (SvJT 2005, s. 273 ff.). Där noterades att uttalanden i lagmotiv och doktrin rörande inkommande elektroniska handlingar delvis var motsägelsefulla och att utvecklingen på IT-området inte hade beaktats fullt ut. I artikeln påpekades också att vissa av de resonemang som förts i den juridiska doktrinen saknade förankring i informationssystemens och kommunikationsvägarnas sätt att fungera samt kunde ge utrymme för myndigheter att förfoga över inkommandepunkten.
14
De lösningar som riskerade att resul-
tera i dels ett begränsat hänsynstagande till den elektroniska miljöns särskilda förutsättningar, dels ett bristande skydd för enskildas rättssäkerhet redovisades som alternativ utifrån
1. en tillgänglighetsprincip; en upptagning anses enligt 2 kap. 6 § jämförd med 3 § TF in-
kommen till myndighet när annan har gjort den tillgänglig för myndigheten med tekniskt hjälpmedel som myndigheten själv utnyttjar för överföring i sådan form att den kan läsas, avlyssnas eller på annat sätt uppfattas,
2. en utskriftsprincip; i viss doktrin
15
hade uttalats att en någorlunda säker ståndpunkt synes
vara att ett elektroniskt meddelande kommer in först när en behörig företrädare för myndigheten tar hand om det, t.ex. genom att … göra en utskrift, eller
13 En jämförbar situation i fysisk miljö skulle enligt kommentarer i vägledningen kunna vara att en enskild som besöker en myndighet och inte hinner färdigställa sina inlagor och får löfte att lämna kvar sina papper till nästa dag, när den enskilde återkommer och fortsätter sitt arbete. Den omständigheten att en individ förvarar en väska med handlingarna i myndighetens lokaler medför inte att handlingarna anses inkomna i förvaltningsrättslig mening. Först senare vidtar användaren åtgärder för att ge in handlingarna och först då kommer de in i förvaltningsrättslig mening. 14 För ingivarna är det emellertid ett självklart rättssäkerhetskrav att myndigheterna inte i enskilda fall ska kunna förfoga över inkommandepunkten genom att t.ex. vänta med att läsa eller skriva ut en elektronisk inlaga och såväl ingivare som myndigheter behöver veta i vilka delar befordran sker på avsändarens respektive mottagarens risk. 15 Hellners och Malmqvist, Förvaltningslagen med kommentarer, 2003, s. 122.
8
3. en läs- eller omhändertagandeprincip; beträffande e-post hade hävdats att det inte räcker att
en handling finns tillgänglig för myndighet i dess hårddisk utan att den också borde ha gjorts tillgänglig för en behörig tjänsteman på datorns bildskärm för att anses inkommen; se Förvaltningsprocesslagen m.m. En kommentar, 4 u., s. 396).
Samtidigt redovisades en förvaringsprincip utifrån ett förslag till nya bestämmelser om inkommande handlingar som lagts fram av IT-utredningen i betänkandet Elektronisk dokumenthantering (SOU 1996:40). Utredningsförslaget byggde på att den elektroniska handlingen, för att anses inkommen, skulle ha anlänt till myndighetens elektroniska ”brevlåda”, vilken i förslaget kallades myndighetens ”elektroniska adress”.
Enligt artikeln Inkommande handlingar – en IT-anpassad tolkning kunde en utskrifts- eller en läs- eller omhändertagandeprincip inte ge tillräckligt skydd för den enskilde, medan en tillgänglighetsprincip, så som den elektroniska miljön utvecklats, skulle leda till en alltför vid förvaltningsrättslig inkommanderegel; allt som fanns tillgängligt på Internet riskerade att anses som inkommet till myndighet. En förvaringsprincip kunde däremot, enligt artikeln och IT-utredningens bedömning, ge en avgränsning som mottagande myndighet inte kunde förfoga över och som inte kunde leda till att en handling blev att anse inkommen redan när ett utkast skapats eller vid annan mellanlagring av uppgifter i samband med hjälp och stöd som myndigheter ger i digital miljö.
Att digitala data kommuniceras – på annat sätt än via en mottagningsfunktion – i vad som i artikeln kallades en servicefas skulle alltså inte anses leda till inkommande i förvaltningslagens mening; handlingen skulle anses inkommen först när den nått myndighetens mottagningsfunktion. Detta synsätt tillämpas också i fysisk miljö. En handling som en person tar med sig till en myndighet eller upprättar där och visar upp för en handläggare för att få råd om hur den ska fyllas i, men därefter tar med sig från myndighetens lokaler, anses inte inkommen i förvaltningslagens mening redan till följd av att den funnits i myndighetens lokaler. En e-tjänst behöver användas på motsvarande sätt vilket förutsätter att elektronisk kommunikation till (och från) en e-tjänst kan äga rum utan att någon handling anses inkommen.
Oklara eller otidsenliga bedömningar kunde enligt artikeln bli kännbara för användare som ska ta tillvara sin rätt och för myndigheter som ska bygga sina webbplatser och e-tjänster så att de blir förenliga med regler om service, inkommande och handläggning av mål och ärenden.
I praktiken har det beskrivna synsättet genomförts på bred front inom e-förvaltningen. Det har därigenom ansetts möjligt att tolka och tillämpa gällande rätt, i harmoni med digital infrastrukturs funktionssätt, samtidigt som skyddet för den enskilde har kunnat upprätthållas så att en myndighet inte kan påverka inkommandepunkten, t.ex. genom att senarelägga utskrift eller läsning av en handling som nått ett mottagningsställe hos en myndighet. En viktig komponent har också varit att säkerställa skyddet för den enskilde genom att kvittens sänds så att en ingivare genast får veta om en åtgärd för att ge in en handling elektroniskt har lyckats.
E-delegationen har enligt sina direktiv (dir. 2009:19 s. 10) fått i uppdrag att inventera och vid behov utveckla E-nämndens vägledningar och rapporter inom det aktuella området.
Till följd
härav har E-delegationen, dels i en rapport om Direktåtkomst och utlämnande på medium för automatiserad behandling hänvisat till vad som beskrivits som ett serviceläge (jfr den vid not 10 nämnda vägledningen av E-nämnden för hantering av inkommande elektroniska handlingar), dels i den nämnda juridiska vägledningen för verksamhetsutveckling inom e-förvaltningen, beskrivit sin syn på vad som tidigare kallats ett serviceläge eller en servicefas.
Inom ramen för E-delegationens juridiska vägledning för verksamhetsutveckling inom e-förvaltningen har det förtydligandet gjorts att ett förlopp äger rum där service ges åt användaren – det s.k. serviceskedet – samt att detta förlopp tilldrar sig inom en skyddad elektronisk plats – det s.k.
egna utrymmet, där användaren ska kunna t.ex. upprätta utkast till handlingar eller annars för
egen del behandla uppgifter utan insyn av annan. Vid arbetet med vägledningen för verksamhetsutveckling framkom att sådana utrymmen numera är bärande komponenter inom i stort sett varje tjänst som en myndighet tillhandahåller åt enskilda i digital miljö.
E-delegationen har som framgått definierat
- serviceskede som förlopp där (1) service ges av myndighet enligt 4 § förvaltningslagen,
(2) ärendehandläggning inte äger rum hos myndigheten, (3) endast den enskilde ges insyn och (3) handling inte har kommit in till myndigheten enligt 10 § förvaltningslagen, och
- ”eget utrymme” som skyddat förvar hos myndighet som den, enligt 2 kap. 10 § första stycket tryckfrihetsförordningen, tillhandahåller endast som led i teknisk bearbetning eller teknisk lagring för annans räkning.
De bedömningar som myndigheter gett uttryck för i anknytning till e-tjänster och utvecklingen av vägledningar har visat att frågan om inkommande enligt förvaltningslagen numera torde uppfattas som löst genom den redovisade tolkningen av gällande rätt utifrån en förvaringsprincip; dvs. att en handling anses inkommen när den har nått myndighetens elektroniska mottagningsställe.
3. Lagstiftningsarbetet rörande inkommande enligt förvaltningslagen
Bedömningen att en handling som ges in elektronisk anses inkommen utifrån en förvaringsprincip, dvs. när den har nått myndighetens elektroniska mottagningsställe, har också kommit till uttryck i lagstiftningsarbetet. Undantag följer visserligen av särreglering för något specialområde som tillkommit innan myndigheterna börjat koppla upp sig mot Internet, t.ex. för tullen (se bl.a. prop. 1989/90:40 s. 28). Departementschefen fann där att tryckfrihetsförordningens regler om inkommande borde utgöra en förebild. Under riksdagsbehandlingen betonade
10
konstitutionsutskottet dock att det inte var givet att denna lösning kunde användas på andra områden (bet. 1989/90:SkU19, bil. 1 s. 31).
När samma fråga kort därefter aktualiserades på skatteområdet, där ett förslag lagts fram om en inkommanderegel som baserats på en förvaringsprincip, fann regeringen inte skäl att införa någon särreglering utan hänvisade till IT-utredningens förslag till särskild reglering i förvaltningslagen om när en elektronisk handling ska anses inkommen (prop. 1996/97:100, del 1 s. 462 f.). Regeringen uttalade därvid bl.a. följande:
Ett elektroniskt dokument har kommit in till myndigheten på sätt som sägs i förvaltningslagen när det kommit in till Riksskatteverket. Enligt regeringens bedömning kan mot bakgrund härav någon särreglering motsvarande den som finns i tullagen inte anses motiverad. Föreliggande och planerade rutiner för mottagningsfunktionen, bl.a. beträffande loggning av hela filer och kvittenser, gör att det i praktiken inte torde bli svårt att avgöra om och när ett dokument skall anses inkommet. Det är i datorbaserade förfaranden möjligt att tidsbestämma olika operationer i ett system. I enlighet med vad som gäller enligt förvaltningslagen bör sändandet av en upptagning ske på avsändarens risk. Ett elektroniskt meddelande som översänts till mottagningsfunktionen i en fil som är behäftad med ett sådant tekniskt fel att meddelandet inte kan tas emot kan inte anses ha kommit in. Genom ett system med kvittenser av mottagna dokument får avsändaren automatiskt kunskap om att en överföring misslyckats.
En förvaringsprincip har alltså ansetts gälla redan inom ramen för en tillämpning av 10 § FL i gällande lydelse. I senare lagstiftningsärenden har visserligen särreglering införts utifrån bedömningen att 10 § FL vid mera komplexa förhållanden ”ger mycket lite ledning” (prop. 2003/04:40 s. 40 f.) Denna särreglering har emellertid byggt på en förvaringsprincip, efter att problemet uppmärksammats att allt som nås genom en internetuppkoppling kan bli att anse som inkommet vid tillämpningen av en tillgänglighetsprincip. Regeringen uttalade i det sammanhanget att det, vid den kommunikation mellan användare och myndighet som en självbetjäningstjänst innebär, måste anses naturligt att en handling eller uppgift anses inkommen när den enligt registreringen anlänt till en viss bestämd server och att denna server lämpligen kunde betecknas anvisat mottagningsställe.
17
Förvaltningslagsutredningen har i sitt betänkande föreslagit den hjälpregeln för inkommande att en handling som sänts till ett anvisat elektroniskt mottagningsställe ska anses ha kommit in när den har tagits emot där (SOU 2010:29 s. 393). Förslaget framstår närmast som en kodifiering av vad som redan anses följa av 10 § FL.
Myndigheternas tolkning av 10 § FL utifrån en förvaringsprincip – inte en tillgänglighetsprincip, en utskriftsprincip eller en läs- eller omhändertagandeprincip – framstår därmed som förenlig med gällande rätt.
4. Endast led i teknisk bearbetning eller teknisk lagring för annan
Därmed återstår frågan om undantaget enligt 2 kap. 10 § första stycket TF från vad som utgör allmän handling blir tillämpligt när en myndighet tillhandahåller ett eget utrymme åt en användare av en e-tjänst. Där föreskrivs att en handling som förvaras hos en myndighet endast som led i teknisk bearbetning eller teknisk lagring för annans räkning inte anses som allmän handling hos den myndigheten. I det följande kallas denna regel för ”outsourcingundantaget”.
Frågan om hur 2 kap. TF bör tolkas med avseende på en användares eget utrymme aktualiserades redan inom SAMSET-projektet och i E-nämndens vägledning för hantering av inkommande elektroniska handlingar (e-nämnden 05:02; se ovan vid not 10). I den vägledningen förklarades visserligen att frågor om inkommande enligt tryckfrihetsförordningen eller andra frågor om allmänna handlingar inte omfattades av vägledningen, men samtidigt rekommenderades myndigheterna att inte utforma sina system så att upptagningar i ett serviceskede, innan de nått myndighetens mottagningsfunktion, blir tillgängliga med tekniskt hjälpmedel som myndigheten själv utnyttjar för överföring i sådan form att de kan läsas, avlyssnas eller på annat sätt uppfattas (se vägledningen avsnitt 6.2.5).
I vägledningen för hantering av inkommande elektroniska handlingar förklarades dessutom att en sådan teknisk begränsning var en förutsättning för att kunna upprätthålla en god offentlighetsstruktur på området. En handling anses nämligen förvarad hos myndighet, endast om upptagningen är tillgänglig för myndigheten med tekniskt hjälpmedel som myndigheten själv utnyttjar för överföring i sådan form att den kan läsas, avlyssnas eller på annat sätt uppfattas. I vägledningen antogs alltså att de egna utrymmena skulle utformas så att den myndighet som tillhandahöll ett utrymme, var tekniskt förhindrad att komma åt uppgifter i utrymmet, i läsbar eller annars uppfattbar form.
I praktiken har det emellertid visat sig att i vart fall någon på teknikavdelningen hos en myndighet som tillhandahåller egna utrymmen åt användare behöver kunna ges åtkomst när det blir nödvändigt för att rätta fel eller att vidta åtgärder som krävs från informationssäkerhetssynpunkt. Till detta kommer att regeringen i ett lagstiftningsärende förklarat att det räcker att det finns en person hos mottagande myndighet, t.ex. på teknikavdelningen, som har tekniska möjligheter att överföra uppgifter, som den mottagande myndigheten har teknisk tillgång till, i sådan form att de kan läsas, avlyssnas eller på annat sätt uppfattas, för att sammanställningar
18 Ett annat undantag från vad som enligt 2 kap. TF utgör allmän handling och som tagits i bruk inom de infrastrukturer som snabbt växer fram för e-förvaltningen är det som i 11 § föreskrivs för brev, telegram eller annan sådan handling som har inlämnats till eller upprättats hos myndighet endast för befordran av meddelande. Detta undantag gäller emellertid för den rena befordringen av meddelanden som en myndighet kan utföra inom ramen för t.ex. Mina meddelanden och den elektroniska förmedlingsfunktion vid en gemensam kontaktpunkt som Tillväxtverket tillhandahåller enligt 7 § förordningen (2009:1078) om tjänster på den inre marknaden. Skyddet mot insyn i de meddelanden som redan har delats ut i användarens e-brevlåda avses ges genom bestämmelsen i 2 kap. 10 § TF; dvs. genom undantaget för endast teknisk bearbetning eller teknisk lagring för annans räkning.
12
av sådana uppgifter ska utgöra allmänna handlingar hos den mottagande myndigheten (prop. 2007/08:160 s. 71).
Det är alltså i princip tillräckligt att det finns en person hos en myndighet, som kan göra sammanställningar tillgängliga av uppgifter i egna utrymmen som myndigheten tillhandahåller, för att sammanställningarna ska anses vara allmänna handlingar. Denna fråga har uppmärksammats även av E-delegationen, i den nämnda i vägledningen för verksamhetsutveckling, redan genom den hänvisning till 2 kap. 10 § TF som ges i vägledningens definition av eget utrymme. Ett eget utrymme beskrivs dessutom i vägledningen som ett skyddat förvar hos myndighet, som den tillhandahåller ”endast som led i teknisk bearbetning eller teknisk lagring för annans räkning” – dvs. med en formulering direkt hämtad från outsourcingundantaget.
19
I vägled-
ningen har också noterats (se avsnitt 2.3) att uppgifter normalt blir tekniskt tillgängliga för en myndighet som tillhandahåller egna utrymmen åt användare. I denna del anförs bl.a. följande.
Tjänster och funktioner för e-förvaltning bygger i övrigt till betydande del på en tillämpning av undantaget för endast teknisk bearbetning eller teknisk lagring för annans räkning och att det i praktiken inte är någon annan än innehavaren som får insyn i den nyttoinformation som finns i användarens eget utrymme. Lagmotiven till undantagsbestämmelserna är emellertid skrivna med tanke på annat än itbaserade tjänster och det finns inte någon rättspraxis som avser t.ex. ärendetjänster. Den för hela e-förvaltningen avgörande frågan om vad som innefattas i endast teknisk bearbetning eller lagring respektive endast befordran av meddelande är därför delvis svår att bedöma. Om it-arkitekturen och de ändamål för vilka den används utformas felaktigt, och om uppgifterna inte är sekretessbelagda, finns det alltså en risk för att uppgifter och handlingar som användare ser som sina egna, utan att andra ska ha rätt att ta del av dem, blir allmänna och offentliga handlingar. En myndighet som tillhandahåller en funktion som bygger på något av dessa undantag bör vidta särskilda åtgärder för att säkerställa att handlingarna inte finns tillgängliga vid myndigheten för annat ändamål än vad som anges i berörd undantagsbestämmelse; dvs. att de används endast för teknisk bearbetning eller teknisk lagring för annans räkning eller brukas endast för befordran av meddelande.
Av vägledningen framgår alltså att särskilda åtgärder bör vidtas för att säkerställa att handlingar inte finns tillgängliga vid myndigheten för annat än teknisk bearbetning eller teknisk lagring för annans räkning. Vilka dessa åtgärder skulle vara eller på vilket sätt hänsyn skulle behöva tas till rekvisitet ”endast” för att outsourcingundantaget ska bli tillämpligt framgår emellertid inte. I vägledningen sägs också följande:
Denna rättsliga modellösning för ärendetjänster innebär att utkast och andra handlingar som en användare upprättar eller annars hanterar i sitt eget utrymme inte anses inkomna till den myndighet som tillhandahåller ärendetjänsten. Handlingarna blir enligt 10 § FL inte inkomna förrän de har nått myndighetens elektroniska mottagningsställe och it-arkitekturen och de
19 I den nämnda rapporten om Direktåtkomst och utlämnande på medium för automatiserad behandling har Edelegationen presenterat en juridisk modell för on-lineliknande utlämnanden som enligt delegationens bedömning inte för med sig det ”överskott av allmänna handlingar” hos mottagande myndighet som direktåtkomst anses leda till. I rapporten är det alltså fråga om en bedömning av om en handling anses vara tillgänglig i den mening som avses i 2 kap. 3 eller 6 § TF, inte en bedömning av undantaget enligt 2 kap. 10 § första stycket TF.
ändamål för vilka den används är utformade i enlighet med 2 kap. 10 § TF så att uppgifter finns i användarens eget utrymme, endast som led i teknisk bearbetning eller teknisk lagring för användarens räkning. En teknisk möjlighet för den myndighet som tillhandahåller utrymmet, att komma åt en handling där, ska därmed inte leda till att handlingar i det egna utrymmet blir allmänna.
Frågan är om E-delegationens tolkning vinner stöd av lagmotiv, rättspraxis eller annars av omständigheter som begränsar den rättsliga risken vid användning av egna utrymmen i e-tjänster.
4.2.1. För annans räkning
Det är knappast kontroversiellt att en myndighet som tillhandahåller ett eget utrymme åt en användare anses förvara de handlingar som finns i utrymmet som led i teknisk bearbetning eller
teknisk lagring för annans räkning. Av 2 kap. 10 § första stycket TF följer emellertid att outsour-
cingundantaget blir tillämpligt bara om den tekniska bearbetningen och den tekniska lagringen sker ”endast” för annans räkning.
Frågan är hur denna avgränsning ska förstås när en myndighet tillhandahåller ett eget utrymme för handlingar som myndighetens vanliga befattningshavare inte får ta del av eller annars använda och som skyddas även mot insyn från teknikansvariga o.l. genom särskilda regler, som innebär att det kan bli att bedöma som dataintrång om någon hos myndigheten bereder sig tillgång till en uppgift där, för annat ändamål än att rätta till ett tekniskt fel eller vidta en åtgärd som krävs av informationssäkerhetsskäl. Den myndighet som tillhandahåller ett sådant utrymme kan i praktiken inte veta vilka uppgifter som behandlas där. Detta är som framgått en närmast självklar förutsättning för enskilda för att de ska använda sig av en sådan funktion.
4.2.2. En rättslig begränsning?
En tanke skulle här kunna vara att föreskriva en rättslig begränsning enligt 2 kap. 3 § tredje stycket TF så att handlingar i ett eget utrymme inte blir att anse som förvarade hos myndigheten. En sådan begränsning gäller emellertid endast för sammanställning av uppgifter ur en upptagning för automatiserad behandling, inte för s.k. färdiga elektroniska handlingar, t.ex. utkast till inlagor.
Egna utrymmen tillhandahålls dock normalt för färdiga elektroniska handlingar, inte sammanställningar. En rättslig begränsning gäller dessutom endast om sammanställningen innehåller per-
sonuppgifter, inte för t.ex. en skrift med endast uppgifter om juridiska personer. Ofta tillhanda-
hålls emellertid egna utrymmen för juridiska personer. Därmed återstår en tillämpning av 2 kap. 10 § första stycket TF eller en sekretessreglering.
4.2.3. Endast teknisk bearbetning eller lagring för annan av handling
För att outsourcingundantaget ska bli tillämpligt är det som framgått avgörande vad som kan anses utgöra ”endast” teknisk bearbetning eller lagring för annans räkning. Begränsas bedömningen till de ändamål för vilka handlingar behandlas i det egna utrymmet sker förvaringen endast
14
som led i teknisk bearbetning eller lagring för innehavaren av utrymmet. Det är först när en handling har lämnat det egna utrymmet (i praktiken kommit till myndighetens mottagningsställe för sådana inkommande handlingar – eftersom överföringarna dit sker sekundsnabbt) som lagring och bearbetning sker för annat ändamål – nämligen för myndighetens ärendehandläggning.
Detta kan jämföras med att en myndighet t.ex. hyr ut en lokal i samma hus som myndighetens lokaler. Att myndighetens vaktmästare kan bereda sig tillgång till lokalen med en huvudnyckel, t.ex. om det skulle uppstå ett vattenläckage i huset, medför inte att handlingar som upprättas i lokalen ses som allmänna handlingar hos myndigheten. Denna åtkomstmöjlighet utgör endast en del av hyresförhållandet. När tryckfrihetsförordningen anpassades för digital miljö fanns inte en tanke på att utvecklingen kunde leda till att myndigheter skulle behöva tillhandahålla virtuella utrymmen för att enskilda ska kunna producera utkast inför ingivning till myndighet.
Det kan också hävdas att det redan av ordalydelsen i 2 kap. 10 § första stycket TF följer att en handling som aldrig blir ingiven men finns i ett eget utrymme förvaras där endast som led i teknisk bearbetning eller teknisk lagring för annans räkning. Bestämmelsen gäller nämligen för
”handling” som förvaras hos myndighet. Olika förstadier och utkast till t.ex. en inlaga utarbetas
stegvis och huvuddelen av dem ges aldrig in till myndigheten i förvaltningslagens mening. Myndigheten får inte heller bereda sig tillgång till de utkast eller den information i övrigt som finns i en användares eget utrymme. Myndigheten ska endast handha den tekniska plattformen och den drift- och säkerhetsrelaterade information som krävs för att tillhandahålla tjänsten.
4.2.4. Särskilt om inkommande
Det kan därmed övervägas om det är förenligt med ordalydelsen i 2 kap. 6 § första stycket andra meningen TF att hävda att de olika förstadier och utkast som stegvis utarbetas i egna utrymmen, men som aldrig ges in till myndighetens elektroniska mottagningsställe, kan anses vara inkomna i tryckfrihetsförordningens mening. En förutsättning för att en elektronisk handling ska anses inkommen enligt 2 kap. 6 § första stycket andra meningen TF är att annan har gjort den tillgänglig för myndigheten – på sätt som anges i 3 § andra stycket.
De bärande tankar som ligger bakom utformningen av regleringen i Tryckfrihetsförordningen av när en elektronisk handling ska anses inkommen tar också utgångspunkt i en grundläggande princip om att allmänhetens tillgång till handlingar ska motsvara den information som myndigheterna själva förfogar över. Även om ett sådant förfoganderekvisit inte kommer till direkt uttryck i lagtexten, kan det ändå sägas att myndighetens tillgång till informationen för sitt eget bruk har varit en bärande tanke bakom lagtextens utformning (prop. 1975:160 s. 86 f.).
Hela utformningen och ändamålet med det egna utrymmet bygger på att det är någon annan än myndigheten som ska göra upptagningen tillgänglig i läsbar eller annars uppfattbar form för myndigheten. Myndigheten ska ta del av upptagningen först när den har nått myndighetens elektroniska mottagningsställe. Förvaringen i det egna utrymmet avses ske endast som led i teknisk bearbetning eller teknisk lagring för innehavarens räkning. Är detta synsätt riktigt får detsamma anses gälla enligt 6 § första stycket andra meningen för handling som ska ges in, till
dess den har sänts till angivet mottagningsställe. Först då gör ”annan” – dvs. ingivaren – en handling tillgänglig för myndigheten genom att välja att ge in den till myndigheten. Det kan framhållas att den kopia av handlingen som eventuellt behålls i användarens eget utrymme fortfarande måste anses vara en icke allmän handling precis som de kopior av till myndigheter ingivna handlingar som enskilda annars sparar för sin egen skull t.ex. på papper.
De funktioner för egna utrymmen som myndigheter tillhandahåller syftar till en fungerande eförvaltning. Anses ”annan” ha gjort de handlingar, som finns endast i egna utrymmen, tillgängliga för myndighet på sätt som anges i 2 kap. 3 § andra stycket och 6 § första stycket TF, återstår outsourcingundantaget enligt 2 kap. 10 § första stycket TF.
4.2.5. Närmare om ”endast” för annans räkning
Frågan blir då under vilka förutsättningar förvaring i ett eget utrymme kan anses ske endast för annan än myndighetens räkning. Skulle förvaring av handling kunna anses ske för myndighetens räkning trots att myndigheten inte får ha åtkomst till det egna utrymmet och att handlingen inte har avsänts därifrån – t.ex. till ett elektroniskt mottagningsställe?
Eftersom utgångspunkten enligt 2 kap. 10 § första stycket TF är ”handling” som förvaras får utgångspunkten för bedömningen sannolikt anses vara huruvida den enskilda handlingen förvaras på det sätt som anges i bestämmelsen – nämligen endast som led i teknisk bearbetning eller teknisk lagring för annans räkning – och dessa rekvisit synes vara uppfyllda så länge en handling som hanteras i utrymmet inte har sänts iväg därifrån. Ett annat synsätt – att se hela det egna utrymmet eller hela myndighetens verksamhet i ett sammanhang och att hävda att undantaget inte kan tillämpas för att det finns ett bakomliggande intresse hos myndigheten att hanteringen i utrymmet ska vara till nytta för myndighetens egen verksamhet – torde få till konsekvens att den omfattande utkontraktering som myndigheter idag ägnar sig åt skulle leda till allmänna handlingar eftersom det från ett slags helhetsperspektiv finns kopplingar till myndighetens egen verksamhet.
Departementschefen anförde att offentlighetsprincipen inte kräver att allmänheten ska ha tillgång till en upptagning hos myndighet som endast tar teknisk befattning med den. Han föreslog därför ett undantag från offentlighet hos myndighet som endast har en teknisk uppgift i sammanhanget och att detta undantag skulle gälla även om myndigheten som ett led i den tekniska bearbetningen för annans räkning hade lov att överföra upptagningen i läsbar form. Undantaget föreslogs dessutom gälla även om den tekniska bearbetningen utfördes för en enskilds räkning. Information som kan hämtas från sådana upptagningar kunde enligt departementschefen inte rimligen sägas ingå i de allmänna organens informationstillgångar. Av författningskommentaren framgick dessutom att förslaget till 10 § hade motiverats av att en myndighet som förvarar en upptagning, endast för teknisk bearbetning eller lagring, inte torde förfoga över upptagningen på sätt som enligt Offentlighets- och sekretesslagstiftningskommitténs (OSK) förslag varit en förutsättning för att en upptagning skulle bli allmän handling (prop. 1975/76:160 s. 87 och s. 171 och SOU 1975:22).
16
Återgivna uttalanden passar väl in även på de tekniska uppgifter som numera utförs av myndigheter som tillhandahåller egna utrymmen åt enskilda.
Därmed återstår vad som kan utgöra sådan i teknisk bearbetning eller teknisk lagring för vilken bestämmelsen i 10 § ska gälla. I specialmotiveringen till 10 § hänvisades beträffande innebörden i teknisk bearbetning till vad som anförts i specialmotiveringen till 6 §. Där gjorda uttalanden var starkt präglade av 1970-talets teknikanvändning genom att där endast nämns datacentral som överför handling till maskinläsbart medium, maskinskrivet manuskript som sänds till datacentral för överföring av texten till magnetband, manuskript som överlämnas för tryckning eller kopiering samt sådana åtgärder som redigering av ljudupptagningar på magnetband, överföringar av sådana upptagningar till grammofonskiva och framkallning av fotografiskt material. Beträffande vad som avsågs med teknisk lagring hänvisade departementschefen endast till sådana former av lagring som kräver särskilda tekniska anordningar, t.ex. lagring av information i skivminne eller på magnetband (prop. 1975/76:160 s. 87, 137 och 171).
De beskrivningar som gavs i denna del är av helt annan karaktär än, inte bara vad som tekniskt utförs av myndigheter som tillhandahåller egna utrymmen, utan även av helt annan karaktär än det stöd som myndigheter idag ger i form av outsourcing eller liknande, under åberopande av undantaget i 2 kap. 10 § första stycket TF. Att bestämmelsen i 10 § första stycket numera tilllämpas på helt andra former av teknisk bearbetning och teknisk lagring än dem som beskrivits i lagmotiven har också kommit till uttryck i rättspraxis där ekonomi- och redovisningssystem som tillhandahålls av myndighet åt andra myndigheter setts som led i teknisk bearbetning eller teknisk lagring för annans räkning och inte som allmän handling hos den myndighet som tillhandahållit dessa funktioner (RÅ 1994 ref. 64). Ett webbaserat arbetsskadesystem, som prövats från offentlighetssynpunkt av Högsta förvaltningsdomstolen, ansågs visserligen inte vara omfattat av undantaget i 2 kap. 10 § första stycket TF, men de skäl som angavs var att bearbetning och lagring ägde rum även för myndighetens egen räkning genom att myndigheten utarbetade statistik och arbetsmiljörapporter med stöd av det tekniskt bearbetade och lagrade materialet (HFD 2011 ref. 52). Därmed är vi inne på den fråga som är relevant för bedömningen av sådana egna utrymmen som myndigheter tillhandahåller i anknytning till e-tjänster.
Högsta förvaltningsdomstolen undvek att, för de fall där behandlingar skedde endast för annans räkning, bedöma det nämnda webbaserade arbetsskadesystemet, genom att i domskälen ange att i vart fall den beskrivna användningen (statistikframställning och arbetsmiljörapportering) inte var hänförlig till sådan teknisk bearbetning eller teknisk lagring som avses i 2 kap. 10 § TF. Att det ska vara fråga om teknisk bearbetning eller lagring för annans räkning har också ansetts utesluta att 2 kap. 10 § första stycket TF skulle vara tillämplig på arkivmyndigheters material (prop. 1979/80:2 s 272). Bakom detta torde ligga att arkivmyndigheten tar hand om och arkiverar materialet för egen räkning.
Frågan om vad som är utmärkande för verksamhet som beskrivs som endast teknisk bearbetning
eller lagring aktualiseras också vid tillämpningen av offentlighets- och sekretesslagen (2009:400;
OSL). Enligt 40 kap. 5 § OSL gäller sekretess i verksamhet för enbart teknisk bearbetning eller lag-
densamma som beskrivs i 2 kap 6 § tredje stycket och 10 § TF. Detta skydd för uppgifter som är föremål för teknisk bearbetning eller lagring har tillkommit mot bakgrund av att offentlighetsprincipen inte ansetts kräva att allmänheten ska ha tillgång till en upptagning hos myndighet som endast tar teknisk befattning med den. Här avses alltså ”endast” teknisk bearbetning eller lagring av handlingen. I motiven till den tidigare i sekretesslagen gällande motsvarigheten till 40 kap 5 § OSL har anförts att det inte vore godtagbart att sekretess skulle saknas inom en datacentral med ställning av myndighet för uppgifter som bearbetas eller lagras för enskild kunds räkning (prop. 1979/80:2 s 272).
Den prövning som ska göras vid en framställning hos en myndighet, om att få material som finns i ett eget utrymme utlämnat med stöd av 2 kap. TF, tar inte sikte på själva utrymmet utan på den handling som begärs utlämnad. Frågan är om handlingen förvaras endast som led i sådan teknisk lagring eller teknisk bearbetning som avses i 10 §. Lagmotiv och praxis är kortfattade. Av de uttalanden som departementschefen gjorde vid bestämmelsens tillkomst framgår emellertid att en myndighets rätt att förfoga över handlingen setts som avgörande och att en teknisk möjlighet för myndigheten att göra handlingen tillgänglig i läs- eller annars uppfattbar form inte ska utgöra hinder mot undantagets tillämpning.
Av rättspraxis framgår vidare att handling ansetts vara allmän hos myndighet som inte bara utfört teknisk bearbetning och teknisk lagring för annans räkning utan samtidigt för egen del förfogat över handlingarna för statistikframställning och arbetsmiljörapportering. Motsatsen har i praxis ansetts gälla för en myndighet som tillhandahållit ekonomi- och redovisningssystem som en avgiftsbelagd servicetjänst utan att förfoga över materialet. Vid denna bedömning fördes inget resonemang om huruvida en avsikt kunde finnas att senare ge in någon av handlingarna till myndigheten och om detta skulle ha kunnat påverka utgången. Den avgörande skillnaden har således att göra med myndighetens rätt för att förfoga över handlingen som en del av sina informationstillgångar. I det sammanhanget är det naturligt att om grunden för att handlingen förvaras hos myndigheten är ett uppdrag från en enskild som är begränsat till förvaring, handlingen inte kan anses ingå i myndighetens egen information. Är däremot grunden för förvaringen hos myndigheten delvis också en självständig rätt för myndigheten att använda informationen blir situationen en annan. Det som utmärker enbart teknisk förvaring kan sägas vara myndighetens osjälvständiga befattning med handlingen till följd av uppdrag.
En myndighet som tillhandahåller eget utrymme åt användare får på motsvarande sätt inte för egen del förfoga över en handling som förvaras där. En särskilt strikt reglering brukar dessutom införas för att helt utesluta åtkomst i läs- eller annars uppfattbar form, för den myndighets befattningshavare som tillhandahåller det egna utrymmet, med undantag för nödvändiga åtgärder för att rätta tekniska fel och åtgärda säkerhetsbrister. Utgångspunkten för en prövning av om en handling som begärs utlämnad omfattas av outsourcingundantaget torde dessutom vara handlingens status vid tiden för begäran om utlämnande; dvs. om den myndighet där den förvaras får förfoga över handlingen vid den tidpunkten. Vi har inte funnit stöd för att
18
outsourcingundantaget istället skulle bedömas utifrån någon slags prognos om t.ex. ett visst utkast i ett eget utrymme sedermera kan komma att ges in eller inte.
Vid sådana förhållanden får en handling som myndighet förvarar åt en användare i dennes eget utrymme hos myndigheten anses vara omfattad av outsourcingundantaget. När användaren är färdig med en handling och har sänt den till myndigheten blir den handling som kommit in till myndigheten dock förvarad hos myndigheten så att myndigheten får förfoga över informationen i den för egen del. Handlingen blir därmed allmän.
Det förekommer också att handlingar sänds, av en annan myndighet än den som tillhandahåller det egna utrymmet eller av en annan enskild, till en användares eget utrymme. Även i ett sådant fall förvaras det som hamnat i användarens eget utrymme
20
endast som led i teknisk be-
arbetning eller teknisk lagring för innehavarens räkning eftersom den myndighet som tillhandahåller utrymmet inte får förfoga över de handlingar som finns där. Detsamma torde gälla när en myndighet lämnar ut uppgifter till en användares ett eget utrymme för att underlätta arbetet med att upprätta en inlaga. De uppgifter som lämnas ut kommer att ingå i en handling som myndigheten expedierar till användaren vilket innebär att uppgifterna, sådana de skickades till användaren, kommer att ingå i en allmän handling. Uppgifterna utgör således allmän handling i myndighetens eget verksamhetssystem, där myndigheten förfogar över uppgifterna. Den som begär ut en handling med stöd av 2 kap. TF har inte rätt att kräva att handlingen ska vara hämtat från någon viss digital lagringsplats. Det exemplar som tas emot av användaren är dock i enlighet med vad som framgått ovan inte allmänt i sig eftersom myndigheten lagrar det som finns i det egna utrymmet endast för den enskildes räkning. Användarens eget utrymme är i den situationen med andra ord inte en del av myndighetens informationstillgångar utan av den enskildes. Detta är syftet med att inneha en e-brevlåda hos en myndighet nämligen att meddelanden till den enskilde kan adresseras dit.
Skulle myndigheten ha gallrat den handling som efterfrågas i sitt verksamhetssystem kunde det emellertid vara så att ett exemplar av handlingen finns kvar i en användares eget utrymme hos myndigheten och att det skulle finnas någon på myndighetens teknikavdelning som med rutinbetonade åtgärder kan komma åt handlingen. Om ett sådant tekniskt verktyg skulle finnas – trots en reglering som förbjuder åtkomst – föreligger sannolikt inte annat än i undantagsfall en sådan rättslig begränsning som avses i 2 kap. 3 § tredje stycket TF (jfr avsnitt 4.2.2). Myndigheten har emellertid, på samma sätt som redovisats ovan, inte heller i denna situation någon rätt att förfoga över de handlingar som finns i en användares eget utrymme och informationen kan så som uttalats i lagmotiven inte rimligen sägas ingå i de allmänna organens informationstillgångar. Det avgörande torde vara den osjälvständiga befattning med handlingarna som den myndighet som tillhandahåller utrymmet har i förhållande till sin uppdragsgivare.
5. Sekretess för eget utrymme
Det finns trots den redovisade bedömningen kvar en viss rättslig osäkerhet kring hur egna utrymmen kan komma att bedömas vid en rättslig prövning av en begäran om att få ut en handling.
21
Denna osäkerhet är inte enkel att förena med den centrala roll användares egna utrym-
men har kommit att spela inom e-förvaltningen. Det finns därför skäl att överväga om det – i avvaktan på en framtida översyn av 2 kap. TF – skulle vara möjligt att införa regler om sekretess för uppgifter i eget utrymme.
En sådan reglering kan också behövas för det fall att en befattningshavare i något undantagsfall skulle få reda på en uppgift som finns i ett eget utrymme, t.ex. i samband med rättelse av ett fel i systemet eller en åtgärd som varit nödvändig av informationssäkerhetsskäl. Förbud behövs här mot att röja uppgiften, vare sig detta sker muntligen, genom utlämnande av handling eller på något annat sätt. Det finns således – oberoende av hur 2 kap. 10 § TF ska tolkas – behov av en regel om tystnadsplikt för befattningshavare hos myndighet som tillhandahåller egna utrymmen.
5.2.1. Det skydd som svarar mot 2 kap. 10 § TF räcker inte
I 40 kap. 5 § OSL föreskrivs visserligen om tystnadsplikt i verksamhet för enbart teknisk bearbetning eller teknisk lagring för någon annans räkning (jfr 2 kap. 10 § TF). Under förutsättning att sådan verksamhet anses föreligga är emellertid skyddet begränsat till personuppgifter som avses i personuppgiftslagen samt till uppgift om en enskilds personliga eller ekonomiska förhållanden. Det bör framhållas att sekretessen enligt denna bestämmelse är absolut och att meddelarfrihet inte gäller. Inom det område som träffas av sekretessen gäller alltså ett starkt skydd mot insyn.
Bestämmelsen gäller emellertid bara personuppgifter såsom det begreppet definieras i personuppgiftslagen. Således erbjuder bestämmelsen ingen sekretessreglering överhuvudtaget för uppgifter som rör juridiska personer. Bestämmelsen hade sin motsvarighet i 9 kap. 7 § sekretesslagen (1980:100). Även där gällde regleringen, efter ändringar i samband med personuppgiftslagens införande, endast för personuppgifter. Dessförinnan omfattade sekretessen emellertid personre-
gister enligt datalagen och ett sådant register kunde enligt datalagen innehålla också uppgifter
om juridiska personer. Enligt 1 § datalagen menades med personregister ”register, förteckning eller andra anteckningar som föres med hjälp av automatisk databehandling och som innehål-
21 Se Informationshanteringsutredningens delbetänkande (SOU 2012:90) Överskottsinformation vid direktåtkomst, s. 37. Många hade förväntat sig att Informationshanteringsutredningen skulle lägga fram sådana förslag till författningsändringar att det inte längre skulle finnas någon risk för en tolkning som medför att handlingar i en användares eget utrymme anses vara allmänna. Några förslag till ändringar i tryckfrihetsförordningen har dock inte lagts fram. Istället har en analys gjorts av de komplikationer som regleringen för med sig, en analys som i praktiken ytterligare accentuerat de gränsdragningssvårigheter som dagens författningstekniska konstruktioner i 2 kap. TF har kommit att föra med sig för e-förvaltningen.
20
ler personuppgift som kan hänföras till den som avses med uppgiften”. Det kan konstateras att denna definition träffade alla former av strukturerade behandlingar som innehöll uppgifter om enskilda personer. Eftersom även bolag omfattas av definitionen ”enskild” i sekretesslagen medgav bestämmelsen i sin ursprungliga lydelse ett skydd som omfattade även uppgifter om juridiska personer – så snart uppgifterna förekom i ett register tillsammans med personuppgifter. Den inskränkning i tystnadsplikten som synes ha blivit följden av vad som i lagmotiven beskrevs som endast en redaktionell ändring synes inte ha uppmärksammats. Med nuvarande lydelse kommer bestämmelsen, till följd av hänvisningen till personuppgiftslagen, endast att omfatta personuppgifter som sådana. Detta gäller i och för sig oavsett om de förekommer i register eller utanför ett register. I sakligt hänseende kommer dock per definition rena uppgifter om juridiska personer att hamna utanför det sekretessreglerade området.
När sekretesslagen infördes 1980 utfördes så gott som samtliga behandlingar hos myndigheter med hjälp av ADB i form av register. Dessa register innehålla vissa på förhand definierade faktauppgifter om enskilda. Som exempel kan nämnas ersättningsnivåer, inkomster, adress och fattade beslut. Någon digital behandling av uppgifter i löpande text förekom knappast. Det var istället så att domar, beslut o.l. skrevs på skrivmaskin och att meddelanden expedierades i brevform med vanlig post. Den som ville kontakta myndigheten skriftligen fick skriva brev. Vid muntlig kommunikation förde tjänstemannen tjänsteanteckningar i någon pappersjournal eller direkt på en aktkappa. Inom förvaltningsmyndigheter förekom vanligen att enklare beslut sattes upp i form av s.k. tergalresolution, dvs. att beslut tecknas på den handling som innehåller ansökan.
Efter det att sekretesslagen infördes har utvecklingen gått snabbt. Idag sker så gått som all behandling av uppgifter om enskilda i digital miljö. Myndigheterna kommunicerar också vanligtvis elektroniskt med enskilda. Information finns ofta på myndigheternas webbplatser och nära nog alla myndigheter erbjuder ärendetjänster. Myndigheter använder numera dessutom i betydande omfattning digitaliserad akthantering där beslut, skrivelser och andra handlingar samlas digitalt. Detta gäller även för tjänsteanteckningar. Det säger sig själv att behovet av integritetsskydd i denna miljö inte kan begränsas till den information som råkar befinna sig i vad som kan kallas ett register.
När sekretesslagen infördes uttalades det i förarbetena (prop. 1979/80:2 s 272) följande apropå sekretess för registerbehandlingar:
”Också i fråga om andra
myndigheter än datainspektionen finns behov av sekretessbestämmelser i
samband med personregistrering med hjälp av ADB. Någon regel som generellt skulle föreskriva sekretess för personuppgifter i dataregister kan dock naturligen inte införas. En sådan bestämmelse skulle ju på viktiga områden försätta offentlighetsprincipen ur spel.
I 13 § första stycket datalagen föreskrivs att registeransvarig eller annan som har tagit befattning
med personregister inte obehörigen får yppa vad han till följd härav har fått veta om enskilds personliga förhållanden. Regeln är i och för sig tillämplig också på myndighet. Den har därvid dock den begränsningen att tystnadsplikten inte kan anses sträcka sig längre än de inskränkningar som gäller i fråga om rätten att skriftligen lämna ut uppgift ur registret. Detta innebär med andra ord att tystnadsplikten inte gäller registeruppgift som ingår i en offentlig ADB-upptagning.
Det finns skäl att på ett begränsat område införa en sekretessbestämmelse i den nya sekretessla-
godtagbart att sekretess skulle saknas inom en datacentral med ställning av myndighet, för personuppgifter i sådant personregister som bearbetas eller lagras för enskild kunds räkning. För bearbetning och förvaring av myndighets ADB-register är behovet av särskild sekretess inte lika framträdande, eftersom ofta en för det berörda förvaltningsområdet gällande sekretessbestämmelse skulle bli tillämplig. Tillräcklig anledning att skilja mellan bearbetning m.m. för enskilds och för myndighets räkning synes dock inte föreligga. Det kan inte heller vara ändamålsenligt att personal som har rent tekniska uppgifter skall behöva tillämpa olika sekretessbestämmelser för skilda delar av sitt arbetsmaterial.
Med hänvisning till det anförda har i promemorian föreslagits att sekretess skall gälla i myndig-
hets verksamhet som endast avser teknisk bearbetning eller teknisk lagring för annans räkning, för uppgift om enskilds personliga eller ekonomiska förhållanden. Sekretessen har föreslagits bli absolut, d.v.s. något skaderekvisit ställs inte upp som villkor för sekretessen. Förslaget har inte mött några invändningar under remissbehandlingen. Bestämmelsen i förevarande paragraf överensstämmer med promemorieförslaget.”
Det kan konstateras att ett behov av integritetsskydd för tekniska behandlingar och bearbetningar ansågs finnas oavsett om detta rörde personuppgifter eller en blandning av personuppgifter och uppgifter om juridiska personer. Ett bärande skäl bakom denna sekretess har uppenbarligen varit att den personal som biträder vid bearbetningen eller lagringen inte ska behöva tillämpa de skiftande sekretessregler som kan gälla hos de olika myndigheter där uppgifterna hör hemma. Att sekretessen inte omfattade annat än personregister beror naturligen på att några andra digitala behandlingar inte förekom då. Det förtjänar vidare att framhållas att lagstiftaren, i samband med antagande av 1980 års sekretesslag, har valt att införa bestämmelsen i dåvarande 9 kap 7 § efter en analys av behovet av skydd för personuppgiftsbehandling med
ADB. Det är mot den bakgrunden som citerade uttalanden i förarbeten om att det inte var ak-
tuellt att generellt sekretessbelägga personuppgifter i dataregister bör förstås. Den avvägning mellan behovet av sekretesskydd och offentlighetsintresset som låg bakom bestämmelsen framstår med andra ord inte längre som heltäckande med beaktande av den it-användning som är vanlig idag. Som bestämmelsen är utformad ger den inte längre ett adekvat skydd i samband med teknisk bearbetning och lagring för annans räkning, i vart fall inte när myndigheter tillhandahåller egna utrymmen för att enskilda ska kunna använda ärendetjänster.
5.2.2. Andra regler om sekretess räcker inte heller
Även andra bestämmelser i offentlighets- och sekretesslagen kan bli tillämpliga på uppgifter i ett eget utrymme men ofta finns begränsningar till uppgifter i t.ex. vissa ärenden eller i viss verksamhet. Det är osäkert om denna sekretessreglering kan anses tillämplig redan innan något sådant ärende har anhängiggjorts eller myndighetens egen verksamhet av angiven art inletts. Här finns inte utrymme för en närmare sådan analys.
Det finns också regler om sekretess för uppgifter som hanteras inom ramen för ett uppdrag som bygger på förutsättningen att uppgifterna inte röjs.
I 29 kap. OSL ges regler om sekretess för allmän samfärdsel, för
- postförsändelse (1 §), hos bl.a. myndighet som bedriver postverksamhet för uppgift om en särskild postförsändelse,
- elektroniskt meddelande (2 §), hos en myndighet som tillhandahåller ett elektroniskt kommunikationsnät eller en elektronisk kommunikationstjänst för uppgift om innehållet i
22
ett elektroniskt meddelande eller annan uppgift som angår ett särskilt elektroniskt meddelande, och
- annan samfärdsel (3 §), hos myndighet som handhar allmän samfärdsel för sådan uppgift om en enskilds förbindelse med samfärdselverksamheten.
Sekretessen för postförsändelser gäller dock endast för traditionell papperspost och skyddet för elektroniska meddelanden gäller endast hos en myndighet som tillhandahåller ett elektroniskt kommunikationsnät eller en elektronisk kommunikationstjänst. En myndighet som tillhandahåller ett eget utrymme tillhandahåller emellertid inte därigenom en sådan elektronisk kommunikationstjänst som omfattas av sekretessregleringen för elektroniskt meddelande.
I detta sammanhang bör också nämnas att sekretess enligt 40 kap. 2 § OSL gäller i notarius publicus verksamhet som följer av lag eller annan författning för uppgift som det
kan antas att
den rättssökande har förutsatt ska bli behandlad förtroligt och att sekretess enligt 40 kap. 4 § OSL gäl-
ler för personal i en myndighets telefonväxel för uppgift som har inhämtats vid tjänstgöringen och som avser telefonsamtal till eller från någon annan person hos myndigheten.
Avsikten är i dessa fall att säkerställa att material som avsändare och mottagare utgått från ska behandlas förtroligt inte blir allmänna och offentliga handlingar; uppdrag har lämnats och tjänster använts under förutsättning att uppgifter och handlingar inte röjs.
Det specifika för den form av eget utrymme hos en myndighet som diskuteras här är att den enskilde väljer att lämna ett uppdrag till en myndighet att för den enskildes räkning lagra och bearbeta information elektroniskt. Det är alltså fråga om ett uppdrag som lika gärna hade kunnat lämnas till ett företag utanför myndighetsområdet. Informationen är vidare av privat natur eftersom den enskilde förvarar den i det egna utrymmet enbart för sin egen räkning och inte för användning av någon myndighet. Det förhållandet att sådana egna utrymmen också kan förenkla myndigheternas arbete förändrar inte syftet med det egna utrymmet. Syftet är endast att bereda den enskilde en egen elektronisk plats att förvara viss information på och där information också kan tas emot och lämnas vidare. Skulle den information som den enskilde förvarar i sitt eget utrymme anses bli offentlig, skulle sannolikt de flesta välja att inte anlita denna typ av tjänst.
5.2.3. Uppdragssekretess
I 31 kap 12 § OSL föreskrivs om sekretess i samband med uppdragsverksamhet som myndigheter kan bedriva för enskildas räkning. Enligt bestämmelsen gäller sekretess för uppgift som avser provning, bestämning av egenskaper eller myckenhet, värdering, vetenskaplig, teknisk, ekonomisk eller statistisk undersökning eller annat sådant uppdrag som myndigheten utför för en
enskilds räkning om det kan antas att uppdraget har lämnats under förutsättning att uppgiften inte röjs. Sek-
retessen är absolut och meddelarfrihet gäller inte (31 kap 26 § OSL).
Att en myndighet utför uppdraget och att det lämnats under förutsättning att uppgifterna inte röjs stämmer väl överens med de utgångspunkter utifrån vilka en användare har uppgifter i sitt eget utrymme. Frågan är emellertid hur begränsningen till myndigheternas s.k. uppdragsverksam-
het ska förstås. Typiska myndigheter som kan tillämpa bestämmelsen har ansetts vara universi-
tet och högskolor, SCB, Konsumentverket eller Boverket.
Det kan dock konstateras att alla myndigheter som tillhandahåller egna utrymmen åt användare behandlar uppgifterna inom ramen för ett uppdrag.
Frågan blir emellertid om ett sådant uppdrag att utföra teknisk lagring av information kan jäm-
ställas med undersökning av vetenskaplig, teknisk eller statistisk karaktär och således med lagtex-
tens ord anses utgöra ”…annat sådant uppdrag”. Någon direkt vägledning i dessa frågor ges inte i motiven till OSL eller sekretesslagen (1980:100) från vilken bestämmelsen (då i 8 kap. 9 §) överförts utan någon saklig ändring.
Högsta Förvaltningsdomstolen har övervägt begreppet uppdrag i HFD 2011 not. 28 och konstaterat att det i begreppet måste ligga att det är fråga om en uppgift som kräver vissa arbetsinsat-
ser av inte alltför obetydligt slag. Domstolen uttalade vidare att resultatet skulle redovisas i en
rapport eller liknande. Eftersom det är fråga om ett notismål kan knappast alltför långtgående slutsatser dras av avgörandet. Det avgörande torde här vara, inte själva formatet för redovisning av uppdraget utan snarare omfattningen av redovisningen och av uppdraget. Detta eftersom domstolen från tillämpningsområdet ville utesluta fall där det bara är fråga om att svara på en enstaka faktafråga eller att ge upplysning om innehållet i en rättsregel.
I förarbetena till sekretesslagen (prop. 1979/80:2 s 238) angavs att de situationer som paragrafen avsåg att omfatta var sådana där sekretessen var närmast av förtroendekaraktär, där det i situationen ligger att enskilda knappast skulle anlita myndigheten, om de inte kunde vara säkra på att få samma skydd som hos ett privat företag. I denna del är överensstämmelsen sannolikt fullständig med användarens förväntningar på skyddet för uppgifter i ett eget utrymme.
Det angivna syftet med lagen och Högsta Förvaltningsdomstolens ovan nämnda avgörande talar för att man vid tolkning av denna bestämmelse som avgörande bör se snarare omfattningen och den förtroendefulla karaktären av de uppgifter en enskild låter en myndighet sköta än att det måste vara fråga om vissa analyser och undersökningar som ska rapporteras. Det kan mot den bakgrunden inte uteslutas att bestämmelsen skulle kunna bli tillämplig även på uppgifter som behandlas inom ramen för varaktiga egna utrymmen. Det kan knappast heller vara någon direkt förutsättning för tillämpning av bestämmelsen att varje enskild uppgift har lämnats till myndigheten av den enskilde. I den äldre motsvarigheten till bestämmelsen (i 27 § 1937 års sekretesslag) fanns en formulering som gjorde att bestämmelsen omfattade även ” införskaffande eller meddelande av upplysningar till enskildas tjänst”. Någon saklig ändring har inte avsetts vare sig i sekretesslagen eller OSL. Istället har detta uttryck tagits bort och ersatts av uttrycket ”annat sådant uppdrag” (prop. 1979/80:2 s 237 f., Ds Ju 1977:11 s 507 f. och SOU 1975:22 s 216 ff.).
Någon säker slutsats kan dock inte dras förrän frågan har prövats i domstol.
24
5.2.4. Något om innehavarens syfte med e-brevlådan och internationella åtaganden
Enskilda har uppgifter i sina egna utrymmen i förlitan på att ingen annan kommer åt dem. Innehållet i det egna utrymmet tillhör alltså primärt innehavarens egen kontrollsfär, dvs. det utrymme som denne med rimliga krav kan uppfatta som privat och vilket bör skyddas mot obehörig insyn. Frågan är om inte detta utrymme, trots att det tekniskt förvaras hos en myndighet, just på grund av att det inrättats för att vara ett privat eget utrymme tillhör det privat- eller familjeliv, hem, och den korrespondens som åtnjuter skydd enligt lagen (1994:1219) om den europeiska konventionen angående skydd för de mänskliga rättigheterna och de grundläggande friheterna; se art. 8, som inte kan inskränkas annat än genom lag och då inte i vidare mån än vad som i ett demokratiskt samhälle är nödvändigt med hänsyn till de särskilda intressen som anges i artikeln. Konventionen gäller som lag i Sverige och lag eller annan föreskrift får, som framgår av 2 kap 19 § regeringsformen, inte meddelas i strid med konventionen. Eftersom offentlighetsprincipen är grundlagsfäst har dock sekretess inte ansetts kunna grundas direkt på konventionen (se RÅ 2006 ref 87). Samtidigt har det förutsatts att konventionens innehåll kan påverka tolkningen av svensk lag genom s.k. fördragskonform tolkning (prop. 1993/94:117 s. 37, jfr NJA 1998 s. 838).
Även om det är avsett att sekretessregler i allmänhet ska tolkas restriktivt finns det mot denna bakgrund anledning att beakta de möjligheter som kan finnas att tolka enskilda sekretessbestämmelser så att svensk rätt bringas stå i överensstämmelse med konventionen.
En förutsättning för att myndigheter ska kunna tillhandahålla egna utrymmen åt enskilda är att innehavaren av utrymmet kan lita på att handlingar där förvaras på ett säkert sätt och omfattas av tystnadsplikt och förbud mot att lämna ut dem, om det skulle visa sig att de är allmänna. Det finns därför behov av en sekretessreglering av uppgifter i eget utrymme.
Det kan visserligen inte uteslutas att uppgifter i det egna utrymmet redan är sekretessreglerade enligt t.ex. 40 kap. 5 § eller 31 kap 12 § OSL. Rättsläget är emellertid osäkert. En möjlighet skulle kunna vara att anpassa 31 kap 12 § OSL. Den närmare utformningen av en sådan författningsändring kräver ytterligare överväganden. I förtydligande syfte presenteras här dock hur en sådan ändring skulle kunna se ut.
31 kap.
12 §
Nuvarande lydelse Föreslagen lydelse
Sekretess gäller för uppgift som avser provning, bestämning av egenskaper eller myckenhet, värdering, vetenskaplig, teknisk, ekonomisk eller statistisk undersökning eller annat sådant uppdrag som myndigheten utför för en enskilds räkning, om det måste antas att uppdraget har lämnats under förutsättning att uppgiften inte röjs.
Sekretess gäller för
1. uppgift som avser provning, bestämning av
egenskaper eller myckenhet, värdering, vetenskaplig, teknisk, ekonomisk eller statistisk undersökning, som myndigheten utför för en enskilds räkning eller annat sådant uppdrag, och
förvarar eller annars behandlar för en enskilds räkning i myndighetens datasystem,
om det måste antas att uppdraget har lämnats under förutsättning att uppgiften inte röjs.
Sekretessen gäller inte om intresset av allmän kännedom om förhållande som rör människors hälsa har sådan vikt att uppgiften bör lämnas ut. Sekretessen gäller dock för uppgift från uppdragsverksamhet inom universitet och högskolor.
För uppgift i en allmän handling gäller sekretessen i högst tjugo år. Hos universitet och högskolor gäller sekretessen dock i högst tio år. Hos Patent- och registreringsverket gäller sekretessen i högst femtio år.
6. Slutord
Sedan länge kända och inarbetade former för att bedriva förvaltningsverksamhet blir visserligen ersatta med helt eller delvis automatiserade förfaranden när myndigheter byter ut traditionella metoder för att kommunicera mot e-tjänster o.l. Att författningsregleringen och begreppsbildningen i en sådan miljö delvis framstår som mångtydig, vag och svår att tillämpa får emellertid inte hindra arbetet med att utveckla nya tekniska och administrativa lösningar som efterfrågas i samhället. Arbetet behöver istället samordnas och utvecklas proaktivt, med metoder och synsätt som är enkla att förstå och som kan bidra till regelförenkling, minskad byråkrati och lägre kostnader. Myndigheterna behöver samtidigt möta rättsliga hinder eller begränsningar på ett enhetligt och vedertaget sätt. – Beaktas inte dessa förutsättningar från början kan färdiga systemlösningar visa sig svåra och dyra, ibland till och med omöjliga, att göra rättsenliga.
Det är från dessa utgångspunkter som denna promemoria har tagits fram. Tanken med användarens eget utrymme är att innehavaren ska kunna använda detta utrymme exklusivt. Den myndighet som administrerar utrymmet tekniskt ska inte få ha åtkomst till innehållet. Skulle innehållet i sådana utrymmen anses som ingående i en eller flera allmänna handlingar som är offentliga skulle meningen med den nya infrastrukturen förfelas.
När det finns en kvarstående osäkerhet om 2 kap. 10 § TF kan tillämpas på det sätt myndigheterna har förutsatt behöver det övervägas om någon bestämmelse om sekretess kan tillämpas och – om så inte är fallet – vilka författningsändringar som kan behövas för att förbjuda utlämnande av sådana handlingar. Oavsett hur denna bedömning utfaller kan en bestämmelse om sekretess behöva införas för att säkerställa en tystnadsplikt för dem som hanterar de tekniska system där egna förvar finns.
IT-systemstruktur och IT-relaterade kostnader för gemensamt uppgiftslämnande
Regeringskansliet
Sammanfattning
Gemensam uppgiftslämning syftar till att förenkla svenska företags uppgiftslämnande till myndigheterna genom att så långt som möjligt säkerställa att uppgifter bara behöver lämnas en gång, att inlämnade uppgifter återanvänds mellan myndigheterna och att myndigheternas uppgiftskrav så långt som möjligt har samordnats.
För att hantera det gemensamma uppgiftslämnandet har regeringen tillsatt Uppgiftslämnarutredningen (N2012:01) under ledning av Cecilia Magnusson Sjöberg vilken bland annat har till uppgift att redovisa de rättsliga och tekniska förutsättningarna för att skapa ett system där uppgifter kan användas av flera myndigheter och leda till ett informationsutbyte mellan myndigheterna.
Denna förstudie undersöker som en del av detta arbete den IT-struktur som skulle krävas för att införa ett samarbetsorgan för att samordna arbetet med definitioner, uppgiftskrav och förenklingar för företagen att fullgöra påbjudna uppgiftskrav, samt kostnaderna för detta.
Införandet syftar ytterst till att stärka det svenska näringslivet och är således inte en del av den digitala agendan men behöver inte desto mindre förhålla sig till den, inte minst genom att ta E-delegationens vägledningar i beaktande.
Samordningsorganet har även ansvar för samordning och samråd m.m. mellan uppgiftsanvändande myndigheter och behöver verktyg för att kunna hantera detta.
Under förstudien har de resurser som krävs för att bygga upp som hanterar de uppställda kraven definierats och kostnadsberäknats i syfte att ge en tydlig indikation om den totala storleken på kostnaderna, snarare än en detaljerad redovisning av de ingående komponenterna. Detta för att skapa utrymme för det fortsatta arbetet med att detaljspecificera den tekniska lösningen.
Den lösning som tagits fram och kostnadsberäknats har baserats dels på ett antal övergripande krav som specificerats under arbetets gång, dels på ett antal antaganden av varierande osäkerhetsgrad som gjorts i syfte att få fram en beräkningsgrund.
De särskilt kostnadsdrivande faktorer som framkommit är: säkerhetslösningen, både vad gäller inloggning med e-legitimation och behörigheter för användare, integrationen med de olika myndigheterna och mängden transaktioner som behöver hanteras. Inom hanteringen av säkerhetslösningar pågår för närvarande ett antal omfattande initiativ och utredningar, varför möjligheten att kostnadsberäkna dessa lösningar för närvarande är behäftad med en hel del svårigheter. Dessutom saknas i dagsläget ett statligt avropsavtal för e-legitimation i avvaktan av resultatet av pågående utredningar. Kostnaden för utbyte av information mellan myndigheterna, inte minst via Spridnings och hämtningssystemet (SHS), behöver även den utredas och förhandlas ytterligare så snart mer detaljerade krav och förutsättningar specificerats i samverkan med de olika myndigheterna.
Beträffande drift av IT-systemstrukturen så bör denna utredas separat av den organisation som tillsätts för att hantera detta. De beräkningar som gjorts i denna rapport visar kostnaden för drift i egen regi, vilket kan antas vara ett övre tak för hur stor kostnaden kan tänkas bli.
Kostnader för informationssystem och infrastruktur för en lösning hanterar de uppställda kraven finns sammanställd och beskriven i sina delar i slutet av denna rapport.
Syfte
Denna förstudie har som uppgift att ta fram ett kostnadsförslag för den IT-infrastruktur som ett Samordningsorgan (SO) med ansvar för driva e-tjänster för gemensam uppgiftsinlämning behöver.
Samordningsorganet har även ansvar för samordning och samråd m.m. mellan uppgiftsanvändande myndigheter och behöver verktyg för att kunna hantera detta.
Metod
Som underlag för kostnadsuppskattningarna för en har en sammanställning av kända krav genomförts.
- Kravbeskrivningar
- Användningsfall
- Önskade prestanda och kvalitetskrav
Utifrån dessa krav har härletts en IT-infrastruktur som förmodas kunna uppfylla kända krav.
Den framställa redogörelsen är avsedd att utgöra en tydlig fingervisning om de totala kostnaderna för IT-delarna av etablerandet av ett samordningsorgan, med särskilt fokus på de mer kostnadsdrivande faktorerna. Den exakta konfigurationen och kostnadsfördelningen samt en projektplan för införande kommer att behöva definieras i detalj inför ett införande, då kraven är mer precist kända.
Ytterligare ett syfte med dokumentationen är att den ska kunna ligga till grund för det fortsatta arbetet och över tiden uppdateras och kompletteras till en fullständig systembeskrivning.
Ordlista
Begrepp Förklaring
Samordningsorganet (SO)
Den nya organisation som har till uppgift att hantera det samordnade uppgiftslämnandet
Uppgiftsdefinition Ingående definition av ett enskilt begrepp t.ex ”Organisationsnummer”
Uppgiftskrav Sammanställning av uppgifter som ett företag enligt författning är skyldig att rapportera till en myndighet, t.ex Skattedeklaration
Samordnade uppgifter Sammanställning av grunduppgifter om ett företag. Exempelvis namn och adress, men inte uppgifter rörande pågående ärenden.
Inlämningar Hantering av aviseringar för uppgiftskrav för enskilda företag
Intressenter och deras mål
Företag
- Enklare uppgiftslämnande i syfte att
- Få lägre kostnader
- Uppnå högre effektivitet i form av mindre tidkrävande krångel (och mindre irritation)
- Måluppfyllnad mäts genom:
- Indikatorer för kostnader och irritation o Jmf med MALIN-databasens kostnadsberäkningar
Samordningsorganisationen (SO)
- Hög tillgänglighet
- Hög tillförlitlighet
- Måluppfyllnad mäts genom:
- Samordningsvinster
- Budgetkonsekvenser
Myndigheter
- Samordningsvinster för att uppnå:
- Lägre kostnader
- Högre kvalitet i ärendehanteringen o Bättre kvalitet på data o Materiellt korrekt hantering av ärenden
- Måluppfyllnad mäts genom:
- Främst budgetkonsekvenser
Näringsdepartementet (i förlängningen Regeringen)
- Enklare uppgiftslämnande i syfte att
- Underlätta för företagen
- Förbättra villkor och konkurrenskraft för svenskt näringsliv
- Måluppfyllnad mäts genom:
- Övriga intressenters aggregerade mål
Kravinventering
Krav 1: Företag ska bara behöva lämna en uppgift en gång
Källa: Direktivet
Kommentar: Regeringens långsiktiga mål är att detta ska vara huvudregeln 2020
Krav 2: Det ska finnas en teknisk lösning där myndigheter kan hämta företagsuppgifter
Källa: Direktivet
Antagande: Det behövs en knutpunkt för datasamverkan, och utredningens tolkning är att data behöver lagras gemensamt.
Krav 3: Det ska finnas en teknisk lösning där myndigheter kan dela företagsuppgifter mellan sig
Källa: Direktivet
Krav 4: Data skall vara av med tillräcklig kvalité för att på så sätt kunna användas av de olika myndigheterna i sin verksamhet.
Källa: Direktivet
Data behöver inte minst vara: o Heltäckande (samtliga näringsidkare) o Uppdaterat o Korrekt o Uttryckt på ett standardiserat sätt
Ex. vis postnummer som XXX XX
Krav 5: Datalagringen skall kunna hålla historik för att på så sätt kunna användas av de berörda myndigheterna i sin verksamhet.
Källa: Kan sägas följa av vissa uppgiftskrav
Krav 6: Myndigheter ska hämta/återanvända uppgifter från det gemensamma lagringsstället istället för att begära in dem från företagen (där så är möjligt)
Källa: Direktivet. Följer av ett ”minskat uppgiftslämnande” i direktivet
Krav 7 : Varje uppgift i den tekniska lösningen skall vara tillräckligt väl definierad och
dokumenterad för att kunna återanvändas
Källa: Direktivet, där det framgår att utredningen med utgångspunkt i Bolagsverkets kartläggning ska föreslå i vilken utsträckning uppgifter behöver samordnas.
Processen som hanterar detta måste ha adekvata verktyg
SO måste ha befogenhet att hantera och avgöra detta.
Krav 8: Det ska vara möjligt för myndigheterna att ta del av och samråda kring definitioner och uppgiftskrav.
och myndigheternas arbete kring uppgiftskrav ska samordnas.
Vi tar nu inte ställning till hur uppgifter och uppgiftskrav ska uttryckas.
E-delegationen bedriver ett arbete om semantisk interoperabilitet som ännu inte är klart
Krav 9: Det ska finnas en teknisk lösning där varje företag kan se aktuella uppgiftskrav för dem
Källa: Direktivet, inte direkt uttryckt, men följer i någon mån av kravet att förenkla uppgiftslämnandet.
Krav 10: Företag ska kunna ta del av och rätta de uppgifter som finns lagrade om dem via den centrala åtkomstpunkten.
Källa: Följer av förvaltningsrättsliga principer. Behövs också för att företagen ska känna sig bekväma med att använda lösningen. Fyller också syftet att förenkla för företagen.
Företag får endast uppdatera uppgifter som de är behöriga att uppdatera
Krav 11: Uppgiftskrav ska vara väl kartlagda och samlade
Källa: Direktivet, där det framgår att utredningen ska använda sig av Bolagsverkets kartläggning av begrepp som lämpar sig att återanvända. Följer också av direktivets krav på samråd och samordning.
”Utredningen ska beakta hur en god och enhetlig beskrivning av uppgiftskraven ska kunna vidmakthållas”.
Leder till att uppgiftskraven bör hållas i ett register
Krav 12: Samordningsorganisationens hantering av uppgifter måste följa gällande regelverk gällande offentlighet, sekretess, arkivering och gallring, ärendehandläggning och behandlig av personuppgifter.
Främst en juridisk fråga
Vi antar i nuläget att detta krav inte driver några behov av tekniska funktioner. Detta kommer dock att utredas vidare under etapp två.
Krav 13: Samordningsorganisationens framtagna tekniska lösningar bör följa gemensamma standarder för e-myndigheter som tas fram genom e-delegationens försorg
Källa: Direktivet
- Beakta de riktlinjer för säkert informationsutbyte ”Vägledning för automatiserad samverkan” som E-delegationen gett ut
- Beakta vikten av att en förvaltningsgemensamma utvecklingen hålls samman
I nuläget svårt att härleda att detta ställer krav på nya funktioner
Viss definition av meddelandehantering finns
Krav 14: Samordningsorganisationen skall föra register över uppgiftskrav som följer av lagar, förordningar och föreskrifter
Källa: Direktivet
Krav 15: Samordningsorganisationens framtagna tekniska lösningar skall kunna hantera två typer av uppgiftskrav, återkommande förutsägbar inrapportering och oregelbunden som är en konsekvens av en frivillig handling.
Källa: Härleds från uppdraget att förenkla för företagen
Krav 16: Samordningsorganisationens framtagna tekniska lösningar behöver kunna ha funktionalitet och prestanda som innebär
Möjlighet att hantera den stora mängd transaktioner som verksamheten genererar
100 000 000 inlämningstillfällen med motsvarande aviseringar
Möjlighet att hantera upp till 2000 samtidigt inloggade användare
Se vidare nedan
Källa: Direktivet ”Lösningen skall vara tekniskt verifierad och effektiv”
Antaganden: Servicefönster goda möjligheter utanför kontorstid
Under kontorstid höga krav på tillgänglighet. Verksamhetskritiskt vid driftstopp som överstiger en arbetsdag.
Hantering av felmeddelanden för myndigheter som nyttjar systemet.
Kan innebära ett möjligt behov av att kunna hantera transaktionell uppdatering av företagsuppgifter
Standarder för överförandet av information behövs
Prestandakraven skärps över tiden för varje fas
Prestandakraven är särskilt kritiska vid vissa tider på året
Krav 17: Samordningsorganets tekniska miljö skall vara uppdelad i olika miljöer för utveckling, test och produktion.
Källa: Vägledning för automatiserad samverkan
Det ska finnas en testversion av varje tjänst som är externt tillgänglig.
Krav 18: Säkerhetslösningar för att förhindra obehörig tillgång till data skall finnas
Inloggning
E-legitimation
SSO
Källa: Vägledning för automatiserad samverkan
E-legitimation skall användas
Elektronisk signering
Filöverföringar
Oklart vad som faktiskt krävs
I dagsläget har exempelvis SCB en FTP-server utan särskilda säkra kanaler
Intrångskontroll
Krav 19: Funktionalitet för att sammanställa samordnade grunduppgifter för företag från ett antal utpekade källsystem
Krav 20: Funktionalitet för att registrera behov av nya uppgiftsdefinitioner och uppgiftskrav via myndighetsportalen
Krav 21: Funktionalitet för att ta fram statistik över systemets användning
Behovet nämns i direktivet men behöver utredas vidare
Kopplat till utredningens uppdrag att ta fram indikatorer för att beskriva nyttan med förslaget.
Tillgång till Rapportverktyg och lösning bör finnas
Krav 22: Informationsutbytet bör kunna skräddarsys efter informationsbehovet.
Källa: Direktivet
Leverans av data ska kunna ske utifrån de definierade uppgiftskraven
Bidrar till att säkerställa att den som nyttjar informationen endast får tillgång till den information som är relevant för uppgiftskravet
Övriga antaganden
Grundläggande administrativa IT-system ligger inte inom ramen för de kostnadsberäkningar som görs för Samordningsorganets IT-system.
Ekonomisystem ligger inte inom ramen för IT-kostnader, utan löper på myndighetens andra kostnader
System för diarieföring ligger heller inte inom ramen för IT-kostnader
Dokumenthantering behöver i nuläget inte något särskilt verktygsstöd
Införande – Nuläge
Det finns idag ingen central tjänst för företagens uppgiftslämning
Utgångspunkten för arbetet är att samordningsorganet och dess tekniska miljö kommer att byggas upp från grunden
Samordningsorganisationen planeras bygga på redan existerande myndighetsstrukturer och ärendehanteringen är tänkt att hanteras av de tjänster som respektive myndighet tillhandahåller via hänvisningar till dessa.
Införande – Önskat framtida läge
En gemensam infrastruktur för att förenkla företagens uppgiftslämnande i form av en modern och välutvecklad teknisk plattform som säkerställer högt ställda krav på säkerhet, tillgänglighet och rättsäkerhet är införd.
Ett samordningsorgan med ansvar för förvaltning av infrastruktur och information samt för samordning och samråd m.m. mellan uppgiftsanvändande myndigheter är upprättat.
En etablerad samordningsorganisation är införd.
Myndighetsgemensamma informationsbegrepp och definitioner är väl definierade och etablerade.
Aktörer
- Företag
o Firmatecknare, anställd eller ombud för ett företag
- Handläggare hos SO
- Handläggare hos myndighet
- System hos myndighet
- Helpdesk på SO
- Klocka
o Schemalagda körningar i systemet
- Valideringsserver
o Extern server för validering av e-legitimation
- PSI-intressenter
o Tar fram kommersiella lösningar utifrån av SO publicerade data.
Systemanvändningsfall
AF01 Logga in med e-legitimation
- Användningsfallet utförs då ett företag eller myndighet loggar in i systemet. Säkerhet hanteras för flera typer av roller o Enskild företagare o Anställd hos företag o Ombud för företag o Handläggare hos myndighet
AF02 Logga in internt
- Användningsfallet utförs när administrativ personal hos SO loggar in i systemet o Handläggare SO eller o Helpdesk
AF03 Autentisera pgm-pgm kommunikation
- Användningsfallet utförs när ett system hos en myndighet autentiseras i systemet
AF04 Anmäl uppgiftsdefinition
- Användningsfallet utförs när handläggare hos en myndighet registrerar en ny uppgiftsdefinition i systemet
AF05 Hantera uppgiftsdefinition
- Användningsfallet utförs när administrativ personal hos SO registrerar eller uppdaterar en uppgiftsdefinition i systemet
AF06 Anmäl uppgiftskrav
- Användningsfallet utförs när handläggare hos en myndighet registrerar ett nytt uppgiftskrav i systemet
AF07 Hantera uppgiftskrav
- Användningsfallet utförs när administrativ personal hos SO registrerar eller uppdaterar ett uppgiftskrav i systemet
AF08 Fullgör aktuellt uppgiftskrav
- Användningsfallet utförs när ett företag fullgör ett myndighetsinitierat uppgiftskrav via etjänsten ”Aktuella uppgiftskrav”
AF09 Ansök och anmäl
- Användningsfallet utförs när ett företag fullgör ett företagsinitierat uppgiftskrav via etjänsten ”Ansök och anmäl”
AF10 Ladda grunduppgifter
- Användningsfallet utförs när SO laddar registret för samordnade uppgifter med företagsinformation från utvalda myndigheter
AF11 Underhåll grunduppgifter (e-tjänst)
- Användningsfallet utförs när ett företag uppdaterar sina uppgifter i registret ”samordnade uppgifter” via e-tjänsten ”Underhåll grunduppgifter”
AF12 Underhåll grunduppgifter (fil)
- Användningsfallet utförs när ett företags uppgifter uppdateras i registret ”samordnade uppgifter” via filgränssnittet
AF13 Hämta grunduppgifter (e-tjänst)
- Användningsfallet utförs när en myndighet hämtar ett företags uppgifter online via tjänsten ”Hämta grunduppgifter”
AF14 Hämta grunduppgifter (fil)
- Användningsfallet utförs när en myndighet hämtar ett företags uppgifter online via filgränssnittet
AF15 Avisera aktuella uppgiftskrav
- Användningsfallet utförs när en myndighet aviserar ett företags uppgiftskrav via tjänsten ”Avisera aktuella uppgiftskrav”
AF16 Avisera fullgjorda uppgiftskrav
- Användningsfallet utförs när en myndighet aviserar att ett företag fullgjort ett uppgiftskrav via tjänsten ”Avisera fullgjorda uppgiftskrav”
AF17 Administrera användare
- Användningsfallet utförs när SO handläggare registrerar eller uppdaterar användare och deras behörigheter i systemet. Behovet och utformningen av denna funktion kommer att vara en del av utredningen av auktoriseringen av användare.
AF18 Administrera batchkörningar
- Användningsfallet utförs när en administratör på SO schemalägger och hanterar batchkörningar i systemet.
AF19 Ta fram statistik
- Användningsfallet utförs när en administratör på SO tar ut statistik ur systemet.
AF20 Ta del av grunduppgifter
- Användningsfallet utförs när en PSI-intressent tar del av publicerade företagsuppgifter i systemet.
AF21 Gallra samordnade uppgifter
- Användningsfallet utförs när en administratör på SO gallrar lagrade uppgifter ur registren.
AF22 Producera grunduppgifter (fil)
- Användningsfallet utförs när systemet producerar en fil innehållande företagsuppgifter för vidare leverans till slutanvändare.
AF23 Guida slutanvändaren
Figur 1 Grafisk illustration av systemanvändningsfallen.
Logisk Översiktsvy
Figur 2 Logisk översiktsvy
Den logiska översiktsvyn har sammanställts utifrån rav och användningsfall och är tänkt att ge en överblick över ett tänkt informationssystems ingående delar och hur de förhåller sig till varandra.
Fasindelning
Den tänkta fasindelningen av införandet finns utförligt beskriven i dokumentet ” En infrastruktur för företagens uppgiftslämnande (utkast till kapitel 3 i delbetänkandet)”.
Fas 1
- Grundplattform
- Inloggning och E-legitimationshantering
- Integrationsmetodik
- Portal
- Grundläggande e-tjänster
Fas 2
- Hantering av företagsuppgifter
- Utlämnande av uppgifter
- Integrationen mot registerförande myndigheter
- Utökad funktionalitet
Fas 3
- Hantering av aviseringar
Fas 4
- Fortsatt förvaltning och utveckling.
Logisk Översiktsvy - Fas 1
Figur 3 Logisk översiktsvy för fas 1
Fas 1
De delar som hanteras i fas 1 är:
- Grundplattform
- Inloggning och E-legitimationshantering
- Integrationsmetodik
- Portal
- Grundläggande e-tjänster
Komponenter - Fas 1
Figur 4 Komponentvy för fas 1
Komponentvyn beskriver mer renodlat vilka komponenter som är tänkta att tas fram och implementeras under denna fas.
Logisk Översiktsvy - Fas 2
Figur 5 Logisk översiktsvy fas 2
Fas 2
- Hantering av företagsuppgifter
- Utlämnande av uppgifter
- Integrationen mot registerförande myndigheter
- Utökad funktionalitet
Komponenter – Fas 2
Figur 6 Komponentvy fas 2
Figuren illustrerar komponentvyn efter genomförandet av fas 2.
Logisk översiktsvy – Fas 3
Figur 7 Logisk översiktsvy fas 3
Fas 3
- Hantering av aviseringar
Komponenter - Fas 3
Figur 8 Komponentvy fas 3
Figuren illustrerar komponentvyn efter genomförandet av fas 3.
Kvalitet på tjänster
Sammanställningen nedan visar de antaganden som gjorts beträffande kvalitet inom ett antal områden hos informationssystemet.
Begrepp Förklaring
Användbarhet Skall följa WCAG och 24-timmarswebbens riktlinjer
Tillgänglighet 98%
Prestanda Se bilaga
Uppetid 24 timmar per dygn, 7 dagar per vecka
Säkerhet Uppdatering kräver inloggning. I övrigt enligt RK:s säkerhetspolicies
Planerat underhåll 8 timmar per månad
Servicedesk 07.00 – 19.00
Prestanda
Sammanställningen nedan visar de antaganden som gjorts beträffande prestandabehov inom ett antal områden hos informationssystemet.
Begrepp Förklaring
Antal transaktioner Inloggningar (e-legitimation): 1 per företag och vecka
Samordnade uppgifter: 5 per sekund
Aviseringar: 5 per sekund
Svarstid Normal svarstid inom 1 sekund
Lagring Lagring och gallring ska kunna hanteras enligt svensk lagstiftning
Arkivering Som ovan
Historik Historikhantering för företagsuppgifter
Samtidiga användare Ur antagandet om antal inloggningar härleds ett behov av 2000 samtidiga inloggade
Informationsmodell - Informationsområden
Figur 9 Informationsområden
Ovanstående figur visar de informationsområden som informationssystemet har att hantera. Även om antalet inlämningstillfällen och aviseringar kan komma att uppgå till ett antal hundra miljoner bedöms datavolymerna genomgående inte bli väldigt stora.
Det som bedöms ställa krav på datalagringskapaciteten är antalet utsökningar och uppdateringar som potentiellt kan komma att ställa höga krav på systemresurser. Det finns av denna orsak anledning att se över möjligheten att hantera en så stor andel som möjligt av transaktionerna via ett batchgränssnitt, så länge som det kan ske utan att man behöver göra avkall på systemets önskade funktionalitet.
Processer per huvudintressent
Samordningsorganet (SO)
Processer av initial karaktär:
Inventering av uppgiftskrav och Inventering av uppgiftsdefinitioner.
- Bägge utifrån bolagsverkets kartläggning
Fortlöpande processer:
Underhåll av uppgiftskrav
- Kan initiera uppgiftsdefinitionsprocessen
Underhåll av uppgiftsdefinitioner
Specificering av dataimport
- Kontrakt på olika nivåer
Dataimport (ETL)
- Kommunikation
- Laddning och transformering av data
- Transaktionsbaserat
Nyckeltal
- Definiera och leverera nyckeltal
Företag
Registrera/Uppdatera företagsuppgifter
Kontrollera företagsuppgifter
Översikt över uppgiftskrav
Fullgörande av uppgiftskrav
Myndigheter
Hämta uppgifter
- Uppgiftskrav
- Uppgiftsdefinitioner
- Företagsuppgifter
Avisera uppgiftskrav
Avisera fullgjort uppgiftskrav
PSI-intressenter
Gränssnitt för åtkomst till informationen
Programvarutillverkare
- Främst program för företagsadministration
Gränssnitt för leverans av företagsuppgifter
Näringsdepartementet
Kostnadsberäkningar
Nedanstående sammanställningar beskriver antagandet att drift av IT-infrastrukturen sker helt i egen regi i egna lokaler. Ett mer troligt scenario är att den fysiska infrastrukturen inhyses i någon existerande serverhall hos någon svensk myndighet med vilken man då kan dela kostnaderna för driften. Ett annat och allt vanligare alternativ är att köpa upp kapaciteten hos en extern leverantör som en tjänst i form av ett SLA där bl.a tillgänglighet och prestanda definierats. Bägge dessa alternativ har potential att kunna sänka kostnaden för driften av infrastrukturen med mellan 30-50%.
Kostnadsberäkningarna har delats upp i ett antal delområden
Informationssystem
- Applikationsutvecklingskostnader, drift och underhåll
Hårdvara
- Serverpark för informationssystemet
- Övrig hårdvara
Mjukvara
- För informationssystemet, Webbserver, applikationsserver, databas, middleware mm
- För övrig infrastruktur, nätverk mm
Utrymme
- Serverhall
Personal
- Ledning, drift, underhåll, användarstöd
Sammanställning Investeringar
Område Kostnad
Applikationsutveckling 27 MSEK
Hårdvara - System 3 MSEK
Mjukvara - System 6 MSEK
Summa Informationssystem 36 MSEK
Serverhall 2,0 MSEK
Hårdvara - Infrastruktur 0,5 MSEK
Mjukvara – Infrastruktur 1,0 MSEK
Summa övrig infrastruktur 3,5 MSEK
Sammanställning Drift
Område Kostnad
Informationssystem - underhåll 2 MSEK
1 IT-chef, 1 systemansvarig 2 MSEK
Hårdvara - support 0,05 MSEK
Mjukvara - licenser 1 MSEK
Summa Informationssystem 5 MSEK
E-legitimation – licens 10 MSEK
Integration (SHS) 4 MSEK
Summa Integration och e-legitimation 14 MSEK
Personal (5 IT-drift) 5 MSEK
Serverhall 0,5 MSEK
Summa Infrastruktur 5,5 MSEK
Kostnadsberäkningar – Systemutveckling
Kostnadsberäkningarna för systemutvecklingen är enligt uppdrag gjorda på en övergripande nivå.
För att kunna göra mer noggranna kostnadsberäkningar behövs detaljerade projekt- och genomförandeplaner vilka förutsätter ingående kunskaper om utvald teknisk plattform, teknisk lösning, integrationsmetoder, utvecklingsmetod, säkerhetslösning och mycket annat som i dagsläget endast delvis är känt.
Grundat på tillgänglig information har de olika delprojekt som identifierats delats upp i tre olika typer utifrån antagen ungefärlig tidsåtgång
Typ A – ett mindre projekt motsvarande 2 personer under 6 veckor
Typ B – ett lite större motsvarande 2 personer under 12 veckor
Typ C – ett större projekt motsvarande 4 personer under 6 månader
Indelningen är främst baserad på en analys av förväntad komplexitet utifrån mängden krav, behov av integration och tidsåtgång för test.
Utvecklingen av de olika ingående komponenterna behöver täcka ett antal kostnadsposter som:
- Projektledning
- Kravbeskrivningar
- Lösningsspecifikation
- Utveckling (inklusive integration
och viss hjälpfunktionalitet)
- Test (internt samt av slutanvändare)
- Juridisk-/säkerhetsgranskning
- Dokumentation & processbeskrivning
- Produktionsförberedelser
- Produktionssättning
Vissa kostnader, som utvecklingstid, är specifika för den enskilda komponenten, medan andra behöver fördelas ut.
Då samverkansorganet kommer att utgöra en central del inom myndigheternas informationsförsörjning kan integration, test och produktionssättning förväntas ta mycket tid och resurser i anspråk, inte minst pga behovet av samverkan med de olika myndigheterna och det behov av kalendertid som detta driver.
De komponenter som innefattats i kostnadsberäkningarna är:
- Säkerhetslösning
- E-tjänster
- Grundfunktioner
- Hantera uppgiftsdefinitioner
- Hantera uppgiftskrav
- Aktuella uppgiftskrav
- Ansök och anmäl
- Underhåll grunduppgifter
- Hämta grunduppgifter
- Avisera fullgjorda uppgiftskrav
- Avisera aktuella uppgiftskrav
- Anmäl uppgiftskrav
- Anmäl uppgiftsdefinition
- Gallra grunduppgifter
- Behörighetsadministration
- Övriga tjänster
- Ladda grunduppgifter
- Statistik
- Batchmotor
- Infomodellering och Database
Säkerhet - Auktorisering
Om en auktoriseringstjänst behöver utvecklas från grunden så innebär detta ett större projekt av minst typ C, eftersom komplexiteten i kraven och behovet av tester kommer att bli betydande.
Om en existerande auktoriseringslösning från någon myndighet kan återanvändas, kan detta komma att avsevärt sänka utvecklingskostnaden.
E-tjänster
De flesta e-tjänster har bedömts vara av typ B, vilket i genomsnitt bedöms ge en rimlig kostnadsuppskattning
- Grundfunktioner
- Hantera uppgiftsdefinitioner
- Hantera uppgiftskrav
- Aktuella uppgiftskrav fas1
- Aktuella uppgiftskrav fas2
- Ansök och anmäl
- Underhåll grunduppgifter
- Behörighetsadministration
- Avisera aktuella uppgiftskrav
- Avisera fullgjorda uppgiftskrav
- Anmäl uppgiftskrav
- Anmäl uppgiftsdefinition
”Hämta grunduppgifter” – onlinegränssnittet där myndigheterna hämtar samordnade uppgifter för företagen bedöms vara mer krävande då samverkan med de olika myndigheterna kan komma att kräva uppsättning av olika gränssnitt, omfattande testning, och tidskrävande samordning.
Av dessa orsaker är tidsåtgången svårbedömd, men har uppskattats vara av typ C. Beroende på vilka lösningar som väljs kan tidsåtgången komma att variera kraftigt, varför en erfaren och tydlig projektledning kommer att vara av största vikt, liksom tillsättandet av projektsponsorer.
Övriga tjänster
Statistik och Batch för PSI handlar om att förbereda miljöer för dessa funktioner, och bedöms i nuläget inte vara så resurskrävande utan av typ A.
Extrahering av filer (Batchmotor), M2M uppdatering av kund via fil samt databasdesign har bedömts vara av typ B.
Laddning av grunduppgifter handlar om att sammanställa företagsuppgifter från åtminstone tre olika myndigheter och bedöms vara en så central och grannlaga uppgift att den är av typ C.
Kostnadsberäkningar – Infrastruktur
Den fysiska IT-infrastrukturen för systemlösningen är i enlighet med kraven uppdelad i tre separata miljöer för drift, test och utveckling
Driftmiljön kommer att behöva kunna hantera ett stort antal inloggade användare och ett stort antal transaktioner och behöver därför konfigureras med klustrade servrar med höga prestanda. Den föreslagna lösningen kan också dynamiskt konfigureras så att testmiljön helt eller delvis kan bidra till att hantera belastningstoppar.
Då tester av funktionalitet och prestanda kommer att vara centralt under utvecklingen är den föreslagna testmiljön uppsatt som en identisk kopia av driftmiljön.
Miljön för utveckling behöver ha en tekniskt likartad konfigurering, men inte vara uppsatt för att kunna hantera tillnärmelsevis lika stora datavolymer.
Kostnadsberäkningarna är gjorda utifrån kommersiella ”high-end”- produkter (IBM WebSphere och Oracle). Alternativet att använda ”open-source”-produkter skulle potentiellt kunna förändra kostnadsbilden något och kan därför med fördel utvärderas inför ett slutligt teknikval.
Figur 10 Fysisk infrastruktur
Driftmiljö:
- Hårdvara: 1 400 000 SEK
- 2 x Server Webb, Server Applikation, Server Databas, Server Meddelandehantering
- Mjukvara 2 800 000 SEK
- Backupprogram, Klustring, Databas, Middleware, Applikationsserver, OS, Övervakning mm
Testmiljö:
- Hårdvara: 1 400 000 SEK
- 2 x Server Webb, Server Applikation, Server Databas, Server Meddelandehantering
- Mjukvara 2 500 000 SEK
- Backupprogram , Klustring, Databas, Middleware, Applikationsserver, OS, Övervakning mm
Utvecklingsmiljö:
- Hårdvara: 200 000 SEK
- Server Webb, Server Applikation, Server Databas, Server Meddelandehantering
- Mjukvara 500 000 SEK
- Backupprogram, Databas, Middleware, Applikationsserver, OS, Övervakning mm
Övrig infrastruktur
En systemlösning behöver även en omgivande IT-infrastruktur för att kunna fungera. Denna infrastruktur innefattar ett antal komponenter som
- kyld serverhall med skalskydd, nätverk, brandskydd, avbrottsfri kraftförsörjning och viss specialutrustning
- Omgivande system som nätverk, backupsystem, fillagring med mera och servrar för dessa.
För en organisation som SO vore med stor säkerhet den lämpligaste lösningen att dela åtminstone serverhall och delar av den omgivande infrastrukturen med någon organisation som redan har en befintlig miljö för detta. En annan lösning vore
En grov kalkyl för en datorhall ger en:
- Investering i datorhall (förutom hårdvara) ca 2 MKR
- Årlig drift ca 500 tkr
En grov kalkyl för de omgivande systemen ger en:
- Investering i hårdvara 10 servrar á 50 000 kr = ca 500 tkr
- Investering i mjukvara ca 1 MKR
Säkerhetslösning – Autentisering (e-legitimation)
Autentisering innebär att en identitet som en användare uppgivit kontrolleras och verifieras
Autentisering av användare görs lämpligen med hjälp av e-legitimation. Även om detta är en etablerad och vedertagen metod så är den för närvarande under utredning och utveckling. Detta innebär bl.a att ramavtal för upphandling för närvarande saknas, vilket i sin tur försvårar en kostnadsberäkning.
En stor del av kostnaderna kan potentiellt komma att bestå av den transaktionskostnad som en leverantör tar ut för verifiering av e-legitimationer vid inloggning. Denna kostnad är svårberäknad, dels pga avsaknaden av ramavtal, dels pga att relevanta jämförelsetal är svåra att hitta. I exemplet nedan antas att den sätts till 15 öre/transaktion Övriga antaganden som gjorts är att:
- Grundkostnaden för tjänsten blir jämförbar med tidigare ramavtal 2 MKR
- Ett företag loggar in i systemet en gång per vecka
- Transaktionskostnad per år: 52 000 000 inloggningar * 0,15 SEK = 7 800 000
Det finns anledning att anta att förhandlingsläget vid en upphandling av e-legitimationer leder till att kostnaderna för hanteringen av e-legitimationer kan hållas på en rimlig nivå, men några garantier finns givetvis inte.
Användandet av e-legitimation innebär att SO:s tjänster tekniskt kan integrera sin inloggning med myndigheternas, vilket i många fall också kommer att vara önskvärt. Detta leder till att en stor del av myndigheternas kostnader för verifieringen av e-legitimationer potentiellt kommer att vältras över på SO, något som kan komma att innebära totalt lägre kostnader för samhället, men som man behöver vara medveten om då kostnaden för SO kan förefalla hög.
Säkerhetslösning – Auktorisering (Behörigheter)
Auktorisering innebär att en användare bereds tillgång till den information som vederbörande är behörig att hantera
Utredning och implementation av säkerhetslösning för systemet kan förväntas bli relativt tidskrävande, då det finns anledning att anta att auktoriseringsdelen är komplex och innehåller ett antal ännu okända problem vilka exempelvis kan följa av att:
- En person kan ha behörighet att hantera och därmed välja bland ett antal företag
- Ett företag kan hanteras av ett antal olika personer, vilka sinsemellan har rätt att hantera olika funktioner
- Vidarekopplingen till myndigheternas e-tjänster behöver hanteras
- med flera frågeställningar som lär framkomma under det fortsatta arbetet
Utveckling och utredning av en säkerhetslösning har uppskattats till 4 personers arbete under 6 månader (Typ C), vilket exempelvis innefattar.
- Utredning av olika alternativ
- Design och utveckling av behörighetslösning
- Utveckling av underhållsrutiner och gränssnitt för behörighetshantering
Spridnings och hämtningssystemet – SHS
Spridnings och hämtningssystemet (SHS) är ett koncept för säkert och pålitligt utbyte av information mellan offentliga organisationer.
I vilken omfattning SHS kommer att användas av SO framöver är osäkert vid tidpunkten för denna utredning. Andra tekniker för kommunikation och meddelandehantering finns och fortsätter att utvecklas.
Oavsett vilken teknik för meddelandehantering som kommer att användas i framtiden så kommer samarbetsorganisationen kunna behöva använda SHS under ett antal år framöver.
Kostnadsberäkningarna för SHS blir osäkra, beroende på att antalet transaktioner som verkligen kommer att hanteras via systemet är relativt okänt. I exemplet nedan antas att en relativt stor andel meddelanden genomförs via SHS.
Transaktionskostnaden per meddelande behöver förhandlas fram med leverantören. I exemplet nedan antas att den sätts till 10 öre/transaktion
Kostnaden beräknas (avrundat) till 4 000 000 SEK / år
- Grundinvestering: 100 000 SEK
- Grundkostnad per år: 100 000 SEK
- Transaktionskostnad per år: 40 000 000 meddelanden * 0,10 SEK = 4 000 000 SEK
Utredningar inför genomförande
Några utredningsbehov som framkommit under förstudien:
- Behörigheter
- E-legitimationer, teknisk lösning och kostnader
- Prismodell för e-legitimation – lösningen kan bli mycket kostnadsdrivande
- Gränssnitt mot myndigheter
- Vilka gränssnitt ska stödjas?
- Prismodell för SHS
- Hänsyn behöver här tas till att kalendertiden kan bli mycket omfattande
- Informationssäkerhet
- Bl.a säkerhetsklassificering av informationen
- Datakvalitetshantering
- Behovet av datakvalitetsansvarig då informationsförsörjningen kommer att vara en central verksamhet för SO.
- Informationsförsörjningen av PSI-intressenternas behov
- Hur ska den tekniskt hanteras?
About Capgemini
With more than 120,000 people in 40 countries, Capgemini is one of the world's foremost providers of consulting, technology and outsourcing services. The Group reported 2011 global revenues of EUR 9.7 billion.
Together with its clients, Capgemini creates and delivers business and technology solutions that fit their needs and drive the results they want.
A deeply multicultural organization, Capgemini has developed its own way of working, the Collaborative Business Experience™, and draws on Rightshore
®
, its worldwide delivery model.
www.capgemini.com
The information contained in this presentation is proprietary. Rightshore® is a trademark belonging to Capgemini. © 2013 Capgemini. All rights reserved.
Dokumenttitel
Slutrapport Prototyp
Dokumentnamn
Bil5Slutrapport_prototyp_uppgiftslämnar utredningen_v3
Skapades
30 september 2013
Dokumentansvarig Dokumentförfattare
Ben Hammarsten
Version
3
Ref. nr. Sparades
30 september 2013
Uppgiftslämnarutredningen
Slutrapport Prototyp
1 Inledning
Ida Infront AB har fått uppdraget från Uppgiftslämnarutredningen att utveckla och sköta driften av en prototyp som ska simulera uppgiftsinlämning till myndigheter på ett realistiskt sätt. Denna slutrapport innehåller en beskrivning av den prototyp som har utvecklats i uppdraget.
I uppdraget ingår även att utifrån de erfarenheter som vunnits i arbetet med att ta fram prototypen, översiktligt revidera den kostnadsanalys som redovisats i bilagan ”ITsystemstruktur och IT-relaterade kostnader för gemensamt uppgiftslämnande” till Uppgiftslämnarnämndens delredovisning (Dnr. 2013/4). Slutrapport innehåller därför en revidering på det arbete som har gjorts i ett tidigare skede av utredningen. Revideringen har haft sitt fokus på de delar som handlar om applikationsutveckling med tillhörande mjukvara.
Bilaga 1, Systemanvändningsfall fullskaligt system kontra prototyp
Delredovisningen Det PM som lämnades av Uppgiftslämnarutredningen den 4 mars 2013 (Dnr. 2013/4)
PSI Public Sector Information (information från den offentliga sektorn)
SO Samordningsmyndigheten,
SHS Spridnings- och Hämtningssystem (SHS) är ett koncept för säkert och pålitligt utbyte av information
SAML Security Assertion Markup Language, en XML-baserad öppen standard för att utbyta autentisering och auktoriserings information.
2 Prototypen
Den prototyp som Ida Infront har tagit fram i uppdraget innehåller en delmängd av de funktioner som behövs för att bygga upp ett komplett uppgiftslämnarsystem som e-tjänst. Fokus har varit på att ta fram de vitala grundläggande funktioner som behövs i ett system av denna typ.
Prototypens syfte är att vara ett verktyg för utvärdering av en uppgiftslämnartjänst. Uppdraget och kravställningen till prototypen har gjorts av Uppgiftslämnarutredningen i den upphandling som föregicks projektet.
Prototypen är utvecklad på iipax-plattfromen. Genom att använda sig av en plattform kunde man på ett snabbt och säkert sätt bygga upp den funktionalitet som behövdes för att realisera prototypen, inom de snäva tidsramarna och med god kvalitet.
Fördelar med denna ansats var:
- En Enterprise-arkitektur som säkerställer framtida vidareutveckling från prototyp till produktionssystem utan dyrbar omstart
- Baserat på öppen standardteknik Java Enterprise Edition, JEE
- Baserat på den inom offentlig sektor väl etablerade och beprövade iipax-plattformen
- iipax-plattformen är ett ramverk med en mängd färdig funktionalitet för utveckling av just denna typ av tillämpningar – Fast ”prototyping” av e-tjänster med formulär, online-uppslagningar, elegitimationsstöd för både identifiering och underskrift – Konfigurerbara hierarkiska register med färdiga arbetsytor för registervård – Inbyggt stöd för SHS-kommunikation med andra myndigheter men också många andra protokoll, både synkrona och asynkrona – Händelsestyrd arkitektur. Förändringar i flöden eller objekt kan trigga automatiska aktiviteter, t.ex. aviseringar av olika slag – Tidstyrda varningar och larm för t.ex. påminnelser – Statistikmodul
- Stödjer ”out of the box” alla relevanta lagar och regler som myndigheter lyder under, sekretess, diarieföring, spårbarhet etc.
För att kunna implementera prototypen inom de snäva tidsramar som förfrågan anger och för framtida driftsmiljö krävs en bra plattform. iipax är en produkt med funktionalitet speciellt utvecklat för svensk offentlig sektor.
Prototypen implementerar de användningsfall som beskrivs i uppdraget och som också finns sammaställt i Bilaga 1. Dessa är uppdelade i SKA-krav och BÖR-krav. I den föreslagna lösningen tar vi höjd för att lösa alla efterfrågade användningsfall, dvs både SKA- och BÖRkrav.
Bilden nedan visar en översikt av de olika användningsfallen och hur de förhåller sig till varandra och hur de har realiserats i lösningen.
Admin för tjänst
Enskild företagare
Ombud företag
E-tjänst / VS myndighet
Admin för tjänst
Ansök och
Anmäl
Handläggare
Myndighet
Underhåll
grunduppgifter
Aktuella uppgiftskrav
Anmäl/hantera
uppgiftskrav
Prototyp uppgiftslämnar-
tjänst
Handläggare SO
Uppgiftsregister
E-tjänst / VS myndighet
AF 10, Ladda Grunduppgift
Gallra register
AF08
AF09
AF16, Avise
ring om uppd
aterad
uppgift
AF11
Orgnummer Företagsnamn Adress …. ,,,,
…….. ……. …….
Ny uppg Ny uppg
AF01,
Inloggning via
pinkod
Anställd hos företag
Orgnummer Företagsnamn Adress …. ….
1212124566 Företag AB Gatan 2
…...
Ny uppg
Orgnummer Företagsnamn Adress …. ,,,,
…... ……. ……. …...
Ny uppg
Uppgift
Nytt/uppdatera uppgiftskrav
Bransch
Företagsform
AF06 AF07
Orgnummer Företagsnamn Adress
1212124566 Företag AB Gatan 2
AF13
, Avis
era v
ia
intern
et (S
HS)
AF21, gallra
AF15
, Avis
ering o
m ny
uppgif t
Figur 1 Översikt användningsfall och deras relationer
Genom att prototypen har utvecklats med iipax som plattform finns en stor del av den efterfrågade funktionaliteten redan på plats och den specifika lösningen kunde huvudsakligen realiseras genom konfiguration och endas ett mindre utvecklingsarbete krävdes.
Figur 2 Övergripande arkitekturbild
Prototypen har tre olika delar
1 Portalen - iipax receiver
Portalen och dess webbsidor, som till största delen är dynamiskt genererade, utvecklas med iipax receiver. Integrerad i iipax receiver finns verktyget Digiforms. Digiforms är ett ritverktyg för huvudsakligen dynamiska webbsidor som in- och utmatningsformulär av olika slag. Data i sidorna kopplas till en xml-struktur. Alla definitioner av formulär och webbsidor lagras i xml i ett formulärförråd.
Digiforms innehåller även en serverdel som sköter formatering av xml-definitioner till html eller pdf och som tar emot inmatad data.
Genom att grundformaten alltid är neutral xml så kan sedan andra format genereras vid behov där html och pdf stödjs som standard. Inmatad data levereras i xml.
2 Enterprise Service Bus – iipax communication
Portalen kommunicerar med registerlagret via en ESB som implementeras i produkten iipax communication. Denna används också för aviseringarna till och från andra myndigheter. iipax communication är förberett för att kommunicera via ett antal kommunikationsprotokoll, i prototypen har SHS-protokollet använts för både intern och extern kommunikation.
3 Register - iipax communication
En central del i iipax plattformen är register och registerhantering. I prototypen har registerfunktioner använts för att konfigurera uppgiftsdefinitioner, uppgiftskrav och företagsuppgifter. Ett rollregister för koppling mellan person och personens roll har också konfigurerats. Exempelvis person x -> ombud för företag y och z, person a -> handläggare på myndighet b.
I prototypen har även ett register använts för uppgiftsregistret. I en fullskalig miljö kan detta register komma att läggas i en egen dedikerad databas p.g.a. den storlek som detta register kan anta. Detta för att höja prestanda och korta ned svarstider i den fullskaliga miljön.
2.3.1. Objektmodell
Uppgiftsdefinitioner, uppgiftskrav och samordnade uppgifter
Hjärtat i lösningen är objektmodellen för uppgiftsdefinitioner och uppgiftskrav. Dessa har konfigurerats enligt nedanstående struktur.
Figur 3 Sammanställning av register
Personer och roller
Ett register kopplar en användare med de företag eller de myndigheter som personerna företräder, samt vilken deras roll är i respektive organisation.
De roller som en uppslagning från rollregistret returnerar är styrande för vilken behörighet användaren kommer att få i systemet, i slutändan vilka e-tjänster man får åtkomst till.
Till prototypen har man ett begränsat antal personer och ett begränsa antal företag har lagts in.
Figur 4 Rollregister via administrationsverktyg
I idealfallet kan roller fås från den nya e-legitimationens attributtjänst. I så fall ersätts det här registret med en uppslagning i attributtjänsten. Detta användes dock inte i prototypen.
Register för uppgiftsdefinitioner, uppgiftskrav och företag
Ytterligare separata register har införts för att bygga upp systemet enligt objektmodellen. Uppgiftsdefinitioner, Uppgiftskrav och Företag läggs in som separata register där objekten läggs in med olika attribut konfigurerade.
Figur 5 Företagsregistret via administrationsverktyget
Inlämningsregistret
I inlämningsregistret finns alla aviseringar på krav som ska uppfyllas. I prototypen har även inlämningsregistret lagts upp som ett separat register. Med tanke på den stora volymen, kommer uppgiftsregistret förmodligen inte modelleras objektorienterat i ett fullskaligt system. Dels för att det förmodligen inte finns behov av att titta i registret eftersom det innehåller endast ett fåtal uppgifter per post (objekt). Dessutom blir prestandakraven på detta register omfattande eftersom den innehåller stora mängder data.
2.3.2. Webbramverk
Utformning av navigering och grundläggande sidlayout, görs för hela lösningen i ett ramverk. Ramverket implementeras som komponeter och mallar som sedan har används för hela prototypen, så att den får en enhetlig arkitektur och att den av användarna upplevs som konsekvent och logisk. Ramverket tar även hand om inloggning och identifiering av användare.
Figur 6 Exempel på webbsida i prototypen
2.3.3. Statiska sidor
I prototypen finns ett antal sidor som inte varierar beroende på inloggning eller roll. Det är t.ex. startsidan, FAQ-sidor och kontaktinformation. I protypen är till största delen vara platshållare för att visa hur de kommer att fungera i slutgiltig lösning.
2.3.4. Beskrivning av lösning
Samtliga grafiska gränssnitt i lösningen har skapats med hjälp av Digiforms Designer, som är ett WYSIWYG-verktyg (What You See Is What You Get) som bygger på öppna standarder (XLS:FO, XML mfl.). I designverktyget skapades layout och kopplingen till XML-data på ett mycket effektivt sätt. Verktyget stöder en komponentbaserad modell, vilket reducerar både utvecklingskostnader och förvaltningskostnader. Alla formulär versionshanteras, och in- och utcheckning gör att flera utvecklare kan bidra till samma lösning. Formulär kan förhandsvisas innan de uppdateras i servern. Servern renderar effektivt formlären till neutral HTML för att stödja alla typer av webbläsare och ger stöd för mobila enheter. Formulären kan även generera PDF-filer för t.ex. kvittenser eller summeringar av information.
Verktyget lämpar sig bra för iterativ utveckling och genom användning av CSS (stylesheets). För den grafiska designen kan prototypen enkelt tillgodogöra sig olika layout/formspråk.
Inbyggt i verktygen finns även språkstöd om lösningen i framtiden ska kunna hantera andra språk och minoritetsspråk
Följande webbsidor har realiseras med hjälp av verktyget Digiforms Designer.
- Krav AF08, Fullgör aktuellt uppgiftskrav
- Krav AF11, Underhåll grunduppgifter
- Krav AF06, Anmäl uppgiftskrav
- KravAF07, Hantera uppgiftskrav
- Krav AF09, Ansök och anmäl
- Krav AF16, Avisera fullgjorda uppgiftskrav
- Myndighetens e-tjänst (körs på annan server)
Färdiga sidor och formulär laddas upp till servern som betjänar anropande klienter.
2.3.5. Användningsfall
Prototypen har tagits fram genom att utgå ifrån användningsfall som kravställning på funktionaliteten. Användningsfallen har specificerats i uppgiftslämnarutredningens delredovisning (Dnr. 2013/4). Dessa krav tillsammans med beskrivna begränsningar och förtydliganden i uppdragsbeskrivningen, har legat till grund för att ta fram prototypen. Systemanvändningsfallen tillsammans med förtydliganden finns sammanställda i Bilaga 1
.
Krav AF01, Logga in med e-legitimation
iipax har stöd för e-legitimationer enligt eId2008 och kommer att ha stöd för den nya infrastrukturen enligt e-legitimationsnämnden. Däremot valde projektgruppen att inte införa detta i prototypen eftersom det i testhänseende är mer komplicerat än en lösning som bygger på namn och pinkod (lösenord). För att underlätta åtkomst under förvaltnings- och testperioden beslöts i samråd med uppdragsgivaren att inte utföra en e-legitimationslösning i prototypen.
Tekniskt sett så fångas oinloggade åtkomstförsök av ett servletfilter som styr om till en inloggningssida.
Efter inloggning skapas en session för den aktuella användaren. Sessionen kommer att kopplas till rollregistret för att rätt behörighet ska kunna appliceras.
Krav AF10, Ladda grunduppgifter
iipax har gränssnitt för import/export av registerdata från filer i xml-format. Andra format som det nämnda tab-separerade formatet från SCB, hanteras genom en plugin som ett försteg som konverterar till xml.
Krav AF13, Hämta grunduppgifter
Överföringen sker i och med att en företagare klickar på en länk. I uppgiftskravsregistret ligger en länk till myndigheten finns. SHS används för både push och pull. I prototypen kör vi idag synkron SHS.
Krav AF15, Avisera aktuella uppgiftskrav
Överföringen av uppgifter från myndigheten till prototypen då ett nytt uppgiftskrav tillkommer.
Kravet realiseras med asynkron SHS-kommunikation från myndigheten till prototypen. Samma SHS-noder som beskrivs för AF13 kommer att användas. Uppgiftskravet lagras som en xml-struktur i en fil som placeras på en given plats och sedan skickas med SHS till prototypen.
Krav AF21, Gallra samordnade uppgifter
Enkelt gränssnitt för gallring i registren för Samordnade uppgifter. Användaren kan göra en utsökning av objekt äldre än ett angivet datum plus eventuella ytterligare sökkriterier. Det är sedan möjligt att gallra de objekt som ingår i urvalet.
2.4. Frågeställningar som har diskuterats under arbetet
2.4.1. Lagring av uppgifter centralt eller lokalt
Som beskrivet i uppgiftslämnarutredningens delredovisning (Dnr. 2013/4), finns det flera förhållningssätt till hur uppgifter ska hanteras. Ett sätt är att i systemet på SO (den centrala tjänsten) har registrerade uppgifter samlade i en central databas.
Alternativt så kan man tänka sig att var och en av myndigheterna får ansvar för att samla ihop en delmängd av de gemensamma uppgifterna. De myndigheter ska då ansvara för dessa uppgifter för hela myndighetssfären. I det senare fallet får den centrala tjänsten en förmedlande roll. Uppgifterna ligger då distribuerade ute på myndigheterna.
2.4.2. Hur ska uppgifter ”följa med användaren”
När en användare (företagsanvändare) i det centrala uppgiftslämnarsystemet ska fullgöra ett uppgiftskrav kommer tjänsten att vidarebefordra användaren till en e-tjänst på en myndighet för att lämna in uppgiften. I det fallet vill användaren få med sig sina uppgifter från den centrala tjänsten. Detta kan göras på ett antal olika sätt.
- Är det frågan om ett mindre antal uppgifter kan de lämnas över vid anropet av etjänsten på myndigheten. Detta kan göras som parametrar i url-en (adressen) till tjänsten. Detta är ett enkelt sätt att överföra data och det ställer inte heller krav på att e-tjänsten på myndigheten ska ha Single Sign On (SSO).
- När e-tjänsten ute på myndigheten, får ett anrop från den centrala tjänsten med en
SAML biljett inkluderad får e-tjänsten reda på vem som vill lämna in uppgifter. Etjänsten kan därefter hämta användaren och företagets uppgifter från den centrala tjänsten. Uppgifterna hämtas först efter att användaren har givit sitt medgivande eller att han/hon själv hämtar uppgifterna via en knapp på e-tjänsten på myndigheten.
- När e-tjänsten ute på myndigheten får ett anrop från den centrala tjänsten med en
SAML biljett inkluderad, får e-tjänsten på myndigheten reda på vem som vill lämna in uppgifter. E-tjänsten kan därefter hämta användarens och företagets uppgifter från den centrala tjänsten automatiskt. Detta kräver dock att det är juridiskt möjligt att göra en automatisk uppgiftshämtning från den centrala tjänsten.
2.4.3. Hantering av inloggning
Vilken teknik ska användas vid inloggning? I delredovisningen föreslås att e-legitimationer från federationen Svensk e-legitimation används när den infrastrukturen finns framme. För att kunna implementera dessa på ett kostnadseffektivt sätt behövs det köpas in produkter och tjänster för detta. Ska en lösning med SAML ticket användas behövs det i systemet finnas tillsammans med en validerings-tjänst/server, funktioner som Service Provider (SP) och Identity Provider (IdP).
Figur 7: Principskiss Inloggning med e-legitimation
2.4.4. Hur hanteras ett register för företagsföreträdare
Det behöver upprättas ett register för de personer som ska ha tillgång till tjänsten från företagens sida. Frågan är om detta register ska vara knutet uppgiftslämnartjänsten eller om detta är ett register som hanteras av annan myndighet (t ex Bolagsverket).
2.5. Projektgenomförande
2.5.1. Projektplan och utfall
Projektet följde stort sett den projektplanen som var framtagen initialt. Följande aktiviteter har genomförts i kronologisk ordning.
Upphandlingen klar: 2013-06-05
Officiell projektstart: 2013-06-20
Utveckling klar: 2013-08-23
Tester och rättningar klara 2013-09-15
Slutleverans 2013-09-23
Det som återstår i projektet är en förvaltningsperiod som startar den 16:e september och som avslutas den 31:e mars 2014.
Projektgruppen har bestått i av som mest 6 personer i form av projektledare, verksamhetsarkitekt, IT-arkitekt, systemutvecklare och testare.
2.5.2. Timredovisning
Från projektstart till och med projektavslut har drygt 1000 timmar har gjorts i projektet. Projektet var estimerat till 1000 timmar i avropssvaret till Uppgiftslämnarutredningen vilket gör att projektet i stort sett har följt den estimerade tiden. Det som återstår är förvaltning av prototypen fram till den 31:e mars 2014.
3 Fullskaligt system
För att bygga upp ett fullskaligt system för uppgiftslämning måste alla krav som finns beskrivna i delredovisningen uppfyllas. Systemet måste uppfylla de funktionella krav, prestandakrav och säkerhetskrav som ställs. Dessutom måste systemet vara felsäkert och uppfylla de driftkrav som ställts.
Vilka funktioner behövs för att komplettera prototypen så att den uppfyller alla de krav som ställs på ett fullskaligt system? Vi har i denna slutrapport utgått ifrån de systemanvändningsfall som finns framtagna i delredovisningen (Dnr. 2013/4) för att uppskatta vad som ska utvecklas för att få fram de tillägg på systemet som måste finnas för att prototypen ska kunna växlas upp till ett fullskaligt system. Genom att titta på användningsfallen vart och ett kan man få ut en tidsuppskattning på arbetet som krävs för att implementera användningsfallet.
De funktionella kraven som här tas fram är de som ingår i fas 1, fas 2 och fas 3 som beskrivet i Delredovisningen.
AF01 Logga in med e-legitimation
Användningsfall
Användningsfallet utförs då ett företag eller myndighet loggar in i systemet. Säkerhet hanteras för flera typer av roller, Enskild företagare, Anställd hos företag, Ombud för företag, Handläggare hos myndighet.
Komplettering för fullskaligt system
Förenklingar har gjorts i prototypen för detta krav. Lösningen ska hantera e-legitimationer och SAML-biljetter för att autentisering och inloggning ska kunna ske på ett tillfredställande sätt. Under 2014 kommer svensk e-legitimation att finnas på plats vilket självklart måste stödjas av det fullskaliga systemet.
AF06 Anmäl uppgiftskrav
Användningsfall
Användningsfallet utförs när handläggare hos en myndighet registrerar ett nytt uppgiftskrav i systemet.
Komplettering för fullskaligt system
Med vissa mindre modifieringar kan denna lösning tas med i ett fullskaligt system.
AF07 Hantera uppgiftskrav
Användningsfall
Användningsfallet utförs när administrativ personal hos SO registrerar eller uppdaterar ett uppgiftskrav i systemet.
Komplettering för fullskaligt system
Med vissa modifieringar kan denna lösning tas med i ett fullskaligt system.
AF08 Fullgör aktuellt uppgiftskrav
Användningsfall
Användningsfallet utförs när ett företag fullgör ett myndighetsinitierat uppgiftskrav via etjänsten ”Aktuella uppgiftskrav”.
Komplettering för fullskaligt system
Hanteras med SHS i prototypen för att överföra data mellan SO och myndighet. Lösningen kan användas i ett fullskaligt system, här är det dock lite oklart hur detta ska gå till. Ska uppgifterna överföras i samband med överflytten av e-tjänsten eller ska myndigheten hämta uppgifter efter att användaren har kommit in i e-tjänsten.
AF09 Ansök och anmäl
Användningsfall
Användningsfallet utförs när ett företag fullgör ett företagsinitierat uppgiftskrav via etjänsten ”Ansök och anmäl”
Komplettering för fullskaligt system
Hanteras med SHS i prototypen. Lösningen kan användas i ett fullskaligt system där det är fråga om integration mot myndighetens verksamhetssystem.
AF10 Ladda grunduppgifter
Användningsfall
Användningsfallet utförs när SO laddar registret för samordnade uppgifter med företagsinformation från utvalda myndigheter.
Komplettering för fullskaligt system
Nuvarande lösning kan användas, men migreringsarbete kräver alltid mycket arbetet ofta beroende på dålig datakvalité.
AF11 Underhåll grunduppgifter (e-tjänst)
Användningsfall
Användningsfallet utförs när ett företag uppdaterar sina uppgifter i registret ”samordnade uppgifter” via e-tjänsten ”Underhåll grunduppgifter”.
Komplettering för fullskaligt system
Med vissa mindre modifieringar kan denna lösning tas med i ett fullskaligt system.
AF13 Hämta grunduppgifter (e-tjänst)
Användningsfall
Användningsfallet utförs när en myndighet hämtar ett företags uppgifter online via tjänsten ”Hämta grunduppgifter”
Komplettering för fullskaligt system
Utförs med SHS idag, med modifiering kan denna lösning tas med i ett fullskaligt system.
AF15 Avisera aktuella uppgiftskrav
Användningsfall
Användningsfallet utförs när en myndighet aviserar ett företags uppgiftskrav via tjänsten ”Avisera aktuella uppgiftskrav”
Komplettering för fullskaligt system
Utförs med SHS idag, med modifiering kan denna lösning tas med i ett fullskaligt system.
AF16 Avisera fullgjorda uppgiftskrav
Användningsfall
Användningsfallet utförs när en myndighet aviserar att ett företag fullgjort ett uppgiftskrav via tjänsten ”Avisera fullgjorda uppgiftskrav”.’
Komplettering för fullskaligt system
Utförs med SHS idag, med modifiering kan denna lösning tas med i ett fullskaligt system.
AF21 Gallra samordnade uppgifter
Användningsfall
Användningsfallet utförs när en administratör på SO gallrar lagrade uppgifter ur registren.
Komplettering för fullskaligt system
Mer funktionalitet krävs i en fullskalig modell. Det ska bland annat gå att gallra flera företag i batch.
AF02 Logga in internt
Användningsfall
Användningsfallet utförs när administrativ personal hos SO loggar in i systemet Handläggare SO eller Helpdesk.
Nytt för fullskaligt system
Kan göras med e-legitimation eller via lösenord. Lösenord är redan implementerat i prototypen men med fel säkerhetsnivå. Bland annat är lösenordet av administratören och är okrypterat.
AF03 Autentisera pgm-pgm kommunikation
Användningsfall
Användningsfallet utförs när ett system hos en myndighet autentiseras i systemet
Nytt för fullskaligt system
Organisationscertifikat används i nuvarande prototyplösning, SHS är förberett för det.
AF04 Anmäl uppgiftsdefinition
Användningsfall
Användningsfallet utförs när handläggare hos en myndighet registrerar en ny uppgiftsdefinition i systemet
Nytt för fullskaligt system
Ny arbetsyta måste tas fram med tillhörande funktionalitet.
AF05 Hantera uppgiftsdefinition
Användningsfall
Användningsfallet utförs när administrativ personal hos SO registrerar eller uppdaterar en uppgiftsdefinition i systemet.
Nytt för fullskaligt system
Möjlighet att lista uppgiftsdefinitoner och att göra förändringar på dessa.
AF12 Underhåll grunduppgifter (fil)
Användningsfall
Användningsfallet utförs när ett företags uppgifter uppdateras i registret ”samordnade uppgifter” via filgränssnittet
Nytt för fullskaligt system
Funktioner för filinlämning och hantering av uppgifter på fil. iipax hanterar själva filinlämningen. Pluginer för att hantera uppgifterna måste tas fram.
AF14 Hämta grunduppgifter (fil)
Användningsfall
Användningsfallet utförs när en myndighet hämtar ett företags uppgifter online via filgränssnittet
Nytt för fullskaligt system
Funktioner för filinhämtning och hantering av uppgifter på fil. iipax har funktioner för att hämta filer. Pluginer för att hantera uppgifterna måste tas fram.
AF17 Administrera användare
Användningsfall
Användningsfallet utförs när SO-handläggare registrerar eller uppdaterar användare och deras behörigheter i systemet. Behovet och utformningen av denna funktion kommer att vara en del av utredningen av auktoriseringen av användare.
Nytt för fullskaligt system
Lite oklart hur detta ska göras. Alla företag måste registreras och till dessa en eller flera användare på respektive företag. Ett befintligt register ska kunna användas. Denna typ av register finns på Bolagsverket och Skatteverket men de är då framtagna för dessa myndigheters behov.
AF18 Administrera batchkörningar
Användningsfall
Användningsfallet utförs när en administratör på SO schemalägger och hanterar batchkörningar i systemet.
Nytt för fullskaligt system
iipax innehåller funktioner för att schemalägga arbeten. En arbetsyta måste tas fram för att konfigurera schemaläggningen.
AF19 Ta fram statistik
Användningsfall
Användningsfallet utförs när en administratör på SO tar ut statistik ur systemet.
Nytt för fullskaligt system
iipax analys finns som tilläggsprodukt. I produkten finns det möjlighet att skräddarsy rapporter som tar fram statistik på önskade uppgifter.
AF20 Ta del av grunduppgifter
Användningsfall
Användningsfallet utförs när en PSI-intressent tar del av publicerade företagsuppgifter i systemet.
Nytt för fullskaligt system
Gränssnitt måste tas fram plus pluginer som hämtar data ur systemet.
AF22 Producera grunduppgifter (fil)
Användningsfall
Användningsfallet utförs när systemet producerar en fil innehållande företagsuppgifter för vidare leverans till slutanvändare.
Nytt för fullskaligt system
Ny funktion för export av information till fil ska tas fram.
AF23 Guida slutanvändaren
Användningsfall
Användningsfallet utförs när helpdesk på SO via ett gränssnitt mot systemet kan hjälpa en användare genom att guida dem genom ett problem.
Nytt för fullskaligt system
Ny arbetsysta måste tas fram för att kunna få uppgifter om ett visst företag och vilka uppgifter som ska lämnas in. Användaren (Service desk) på SO ska kunna gå in som en företagare och kontrollera status på företagarens sida.
Ett fullskaligt system behöver vara uppbyggt på ett helt annat sätt än den prototyp som har tagits fram. Ida Infront föreslår därför att den blivande Samordningsmyndigheten bygger infrastrukturen på ett sådant sätt att de kan hantera den trafikvolym som det har uppskatts i delredovisingen. Här är några exempel på åtgärder som bör vidtagas för att kunna uppfylla kraven:
- Inför en Klusterlösning för iipax communication för att öka prestanda och införa ett redundant system
- Använder sig av ett databaskluster för att öka prestanda och införa ett redundant system
- Ansluter minst 10 st webbservrar för att hantera alla inkommande inloggningar
- Bygger inlämningsregistret direkt i databasen och inte håller den som ett objekt i ett register.
4 Kostnadsberäkningar
Detta är en revision på de kostnadsberäkningar som har tagits fram i delredovisningen för utredningen. Vi har här fokuserat på systemutveckling och licenser för produkter som används för att ta fram lösningen. Övriga uppgifter bygger på de uppgifter som togs fram i delredovisningen.
Ida Infront har med utgångspunkt på systemavändningsfallen tagit fram en tidsuppskattning på vad det skulle innebära att bygga ett system som uppfyller alla systemanvändningsfallen. I uppskattningen har tagits hänsyn till de övriga kraven vad det gäller prestanda och driftsäkerhet.
Ida Infront uppskattar att systemutvecklingskostnaderna uppgår till 12 MSEK. Det förutsätter att de produkter som specificeras kapitel 4.2 finns att tillgå för att bygga systemet på. Uppskattningen innefattar alla de delar som ingår i ett systemutvecklingsprojekt såsom projektledning, systemdesign, utveckling, tester, dokumentation, leveransarbete, installation och utbildning.
Utöver detta tillkommer arbete med att integrera systemet med andra myndigheter. Det gäller då koordinering, men även arbetet med att integrera miljöerna (test och produktion) och att testa integrationen. Arbetet med den myndighetsövergripande integration har ofta en benägenhet att vara ett omfattande arbete med många parter inblandade (verksamhetspersoner, IT-projektledare, systemadministratörer, brandväggsexperter etc).
I den lösningen som föreslås i delredovisningen ingår inga produkter för att bygga applikationen (e-tjänsten). Man utgår ifrån att alla funktionalitet ska byggas ifrån grunden. Det gör att kostnadsuppskattningen för mjukvara i delredovisningen hamnar lägre än i denna revidering (slutrapporten). I den här föreslagna lösningen ingår följande produkter:
Digiforms Digiforms designer iipax receiver iipax communication DMZ proxy iipax communication iipax communication cluster iipax communication analyser
Licenskostnaden för dessa produkter ligger på 6 MSEK och med en årlig underhållskostnad på 1,3 MSEK.
Till detta kommer databasserver och applikationsserver. Detta hade dock Delredovisningen tagit hänsyn till i sin uppskattning.
Vad det gäller e-legitimationslösningen vill vi inte göra några förändringar från de siffror som togs fram i delredovisningen. I arbetet med prototypen har det inte framkommit några uppgifter som tyder på att den tidigare uträkningen inte stämmer.
Inloggning via e-legitimation kräver produkter eller program som kan hantera funktionerna Service Provider och Identity Provider. Dessutom måste valideringen av certifikaten göras. Valideringen görs enklast via en molntjänst.
Möjlighet finns dock att på särskild förfrågan från Utredningen, göra en ny prisuppskattning med priser från de leverantörer som Ida Infront använder sig av.
Att implementera lösningen för auktorisering ingår inte i systemutvecklingen. Det finns dock ett behov av att utreda hur lösningen så kostnadseffektivt som möjligt kan sättas upp och implementeras i lösningen. Det finns även behov att utredas hur det register som behövs ska utformas.
I kostnadskalkylen i delredovisningen togs SHS upp om en transaktionsbaserad kostnad. I detta lösningsförslag har vi använt oss av produkten iipax communcation. iipax communication innehåller de SHS funktioner som krävs för det fullskaliga systemet. Det innebär att det inte tillkommer någon kostnad av betydelse i denna post. Kostnaden för licens och underhåll har redan tagits i beräkningen för infrastruktur.
Den enda utgift här är ett servercertifikat för att identifiera Samordningsmyndigheten i SHS- nätverket. Priset för ett servercertifikat ligger på runt 3000 SEK.
De utredningar som förslås är relevanta. Genom att använda den i detta dokument föreslagna lösningen kan man svara på ett par frågor som här tas upp. Bland annat är prismodellen för SHS känd och vilka gränssnitt man stödjer i den föreslagan lösningen.
För att åskådligöra kostnadsberäkningarna har vi gjort en sammaställning på dessa, på samma sätt som gjordes i delredovisningen (Bilagan till delredovisning sidan 26-27).
Sammanställning Investeringar
Område
Kostnad enl delredovisning MSEK
Reviderad kostnad MSEK
Applikationsutveckling 27 12 Hårdvara – System 3 3,5 Mjukvara – System 6 12
Summa Informationssystem 36
27,5
Serverhall 2 2 Hårdvara Infrastruktur 0,5 0,5 Mjukvara Infrastruktur 1 1
Summa övrig infrastruktur 3,5
3,5
Totalt investeringar 39,5 31
Sammanställning årlig drift
Område
Kostnad enl delredovisning
Reviderad kostnad
Informationssystem underhåll 2 1 1 IT‐chef och 1 systemansvarig 2 2 Hårdvara support 0,05 0,05 Mjukvara licenser 1 2,3
Summa Informationssystem 5,05
5,35
E‐legitimation – licens 10 10 Integration (SHS) 4 0
Summa Integration och e‐ legitimation 14 10
Personal (5 IT‐drift) 5 5 Serverhall 0,5 0,5
Summa Infrastruktur 5,5 5,5
Totalt årlig drift 24,55 20,85
Vår uppskattning är att kostnaden för applikationsutveckling kan avsevärt reduceras genom att använda sig av en plattform, där grundfunktionalitet för systemlösningen redan finns framtagen. Visserligen kommer det till kostnader för licenser och en årlig kostnad för underhåll på produkterna. Men om man räknar på hela lösningen kommer den totala kostnaden att vara lägre både för investeringen och för den årliga driften.
I och med att arbetet med applikationsutvecklingen inte blir så omfattande i det fall man använder sig av standardprodukter, kan posten Informationssystem underhåll revideras ned. I det reviderade förslaget är den kodmassan som behöver underhållas mindre, vilket ger en lägre underhållskostnad på den egenutvecklade koden. Detta beroende på att underhållet är proportionellt med den kodmassa som ska underhållas.
I den reviderade kostnadsanalysen uppskattar vi att det behövs fler webbservrar än det som redovisas i den kostnadsuppskattning som togs fram i delredovisningen. För att kunna hantera 2000 samtidiga inloggade användare behövs ca 10 st webbservrar i produktionsmiljön. För att få med dessa kostnader har posten Investering Hårdvara System höjts med 0,5 MSEK.
Juridisk analys av användningsfall
Användningsfall PuL TF/OSL ArkivL FL
AF01: Användaren loggar in i servicetjänsten, autentiserad som fysisk person med hjälp av e-legitimation.
E-legitimationer är alltid personliga. Att autentisera torde vara personuppgiftsbehandling där den autentiserande parten är personuppgiftsansvarig och behandlingen är tillåten med stöd av samtycke eller 10 § e-f PuL. I den mån loggning av autentiseringar sker av Företagsdatamyndigheten ska de inte behandlas (förvaras) längre än nödvändigt, vilket i praktiken lär bli under mycket kort tid.
Om loggning av autentiseringar sker hos Företagsdatamyndigheten bör de som alla loggar betraktas som diarier (jfr RÅ 1999 ref. 18 II), därmed allmän handling (register som förs fortlöpande). Detta är inte en unik frågeställning för utredningen, samma fråga gäller alla myndigheter som autentiserar e-legitimationer och loggar detta.
Om en autentiseringslogg förs måste den kunna gallras. Jämför med personuppgiftslagstiftningens krav på att personuppgifter inte ska behandlas (förvaras) när de inte längre behövs
Att autentisera en e-legitimation bör inte vara ett myndighetsbeslut. Inte heller detta är en unik frågeställning för utredningen
AF02: Myndighetsanställd, antingen på Företagsdatamyndigheten eller på insamlande myndigheter, loggar in internt i servicetjänsten, i syfte att administrera uppgiftskraven.
Autentisering kan här ske på annat sätt än med e-legitimation, men om inloggningsuppgifterna är anknutna till en fysisk person är det fråga om personuppgiftsbehandling. Det är dock tänkbart att endast rollbaserade inloggningsuppgifter används, och i sådana fall sker ingen personuppgiftsbehandling i detta steg. Autentiserande part (rimligen Företagsdatamyndigheten) är personuppgiftsansvarig, och tillåtligheten följer av samtycke/anställningsavtal eller 10 § b eller e.
Vad gäller loggning gäller samma som för AF01. Om autentisering sker på annat sätt än med e-legitimation är sannolikheten större att loggen är att betrakta som förvarad hos Företagsdatamyndigheten. Om logg förs (vilket inte är nödvändigt) uppstår en allmän handling. Det saknas skäl att införa sekretessbestämmelser för uppgifter i denna.
Samma som för AF01: Om logg förs måste den kunna gallras.
Användningsfallet handlar om att låta anställda tjänstemän komma åt interna system i syfte att utföra sitt arbete. Det måste betraktas som faktiskt handlande, inte beslutsfattande.
AF03: Autentisera system-till-system-kommunikation mellan Företagsdatamyndigheten och insamlande myndighet.
Omfattar inte någon personuppgiftsbehandling.
Beslutet att autentisera bör tas av ansvariga på två myndigheter. Själva beslutet kan vara formlöst (mycket talar dock för att det bör fästas i någon form av handling), men medför i vart fall förändringar i systemkonfiguration hos Företagsdatamyndigheten, exempelvis i form av tillagda godkända certifikat eller IP-nummer. I den mån besluten är upprättade blir de också allmänna handlingar och bör kunna vara offentliga, åtminstone så länge de inte innehåller någon form av delad hemlighet som lösenord, API-nyckel eller symmetrisk kryptonyckel.
Dessa beslut bildar en historik över Företagsdatamyndighetens systemkonfiguration, och bör inte gallras.
Även om det är fråga om beslut talar mycket för att det inte ska ses som (ett överklagbart) förvaltningsbeslut. Det är framförallt inte fråga om ett beslut som riktar sig mot, eller ens har effekt för, någon enskild (jfr. 2004 ref. 8).
AF04: Myndighet anmäler uppgiftsdefinition, samt AF05: Hantera uppgiftsdefinition
Omfattar inte någon personuppgiftsbehandling. Uppgiftsdefinitionerna är generella och kan aldrig innehålla personuppgifter.
Databasen över uppgiftsdefinitioner är allmän handling (löpande förteckning). Databasen bör ingå i beskrivningen som myndigheten har att sätta samman enligt OSL 4:2.
Varje förändring av en uppgiftsdefinition leder till en form av gallring, även om det inte är fråga om utplånande av uppgifter, jfr 2 kap. 1 § RA-FS 2009:1. Rimligen bör databasen versionshanteras så att man kan återskapa dess innehåll vid varje given tidpunkt.
Bör kunna tolkas som ett förvaltningsbeslut att införa/ändra en uppgiftsdefinition då det är ägnat att påverka andras beteende. Det är i första hand Företagsdatamyndigheten som bestämmer över uppgiftsdefinitionsdatabasen, men anslutna myndigheter kan föreslå definitioner. I den mån uppgiftsdefinitioner tydligt följer av lagstiftning har förstås samtliga myndigheter att följa dessa.
Användningsfall PuL TF/OSL ArkivL FL
AF06: Myndighet anmäler uppgiftskrav, samt AF07: Ändra uppgiftskrav
Omfattar inte någon personuppgiftsbehandling, se ovan om AF04/05.
Databasen över uppgiftskrav är allmän handling, se ovan om AF04/05.
Varje förändring av en uppgiftsdefinition leder till gallring, se ovan om AF04/05.
Innehållet i varje uppgiftskrav ansvarar insamlande myndighet för (jfr den föreslagna förordningen 8 §), och Företagsdatamyndigheten har inte samma bestämmande kontroll som för uppgiftsdefinitioner. Beslut om att införa eller ändra ett uppgiftskrav i databasen tas av den insamlande myndigheten, dock att det görs i Företagsdatamyndightens system, där själva databasen lagras (och versionshanteras). I den mån det är fråga om förvaltningsbeslut bör det vara den insamlande myndigheten som fattar dessa.
AF08: Fullgör aktuellt uppgiftskrav. Detta användningsfall inleds när företagaren får upp Att göralistan, och avslutas när ett uppgiftskrav plockas bort från listan. Det omfattar dock inte själva överföringen av företagsuppgifter (se AF13) eller avisering av aktuella respektive fullgjorda krav (se AF15/16). Fallet kan delas upp i skapande av Att göra-lista, länkning till insamlande myndighet, samt skapande av ny Att göra-lista.
Den största mängden personuppgiftsbehandling som sker i samband med detta användningsfall sker i AF13 och AF15/16, och behandlas där. Utöver detta är sammanställningen av Att göra-listan en personuppgiftsbehandling för just enskilda firmor. I och med att behandlingen endast sker på uttrycklig begäran från den enskilde företagaren (eller dennes ombud) föreligger samtycke som tillåtlighetsgrund. Autentisering via e-legitimation samt kommunikation över HTTPS torde motsvara relevanta säkerhetskrav.
De listor som skapas i stunden är visserligen upprättade allmänna handlingar, men gallras så fort de visats (omedelbar gallring).
Gallring av Att-göra-listorna: i och med att dessa skapas momentant och inte lagras, behöver gallringsbeslut finnas. Men detsamma torde gälla alla myndighetswebbtjänster med egen sökfunktion eller annan funktionalitet som dynamiskt konstruerar innehållet på en webbsida för just den aktuella användaren. Kan bedömas vara tillfälliga sammanställningar med ringa betydelse för myndighetens verksamhet och kan gallras med stöd av RA-FS 1996:7.
Att konstruera Att göra-listorna bör ses som en serviceåtgärd, inte myndighetsbeslut.
AF09: Ansök och anmäl. Detta användningsfall inleds när företagaren får upp listan på uppgiftskrav av typen ansökningar och anmälningar som är filtrerad efter företagets uppgivna bransch och företagsform, och avslutas omedelbart därefter. Det innefattar inte överföring av företagsuppgifter (se AF13).
Sammanställningen av listan är personuppgiftsbehandling enbart för enskilda firmor, och tillåtlighetsgrund samt säkerhetskrav är samma som i AF08.
Se AF08.
Se AF08. Bör ses som en serviceåtgärd, inte myndighetsbeslut.
AF10: Ladda grunduppgifter, samt AF12: Underhåll grunduppgifter. Detta användningsfall är knutet till det idag existerande allmänna företagsregistret (BASUN).
Samma personuppgiftsbehandling som sker idag med stöd av förordningen (1984:692) om det allmänna företagsregistret, för vilket SCB är personuppgiftsansvarig. Företagsdatanämnden måste ha rätt att behandla samma uppgifter.
Ingen (stor) förändring jämfört med dagsläget: Innehållet i registret är som huvudregel publikt. Innehåll ur registret lämnas idag inte ut elektroniskt via API (endast exporterat i bulk), men detta krävas för att AF13 ska fungera. Sådan direktåtkomst kan ske med stöd av 16 § 2 st förordning om det allmänna företagsregistret.
Inget kring detta användningsfall medför gallring. Jämför dock AF21 om gallring av inaktuella uppgifter)
Det är fråga om faktiskt handlande, inget myndighetsbeslut. Företagsdatamyndighetens tillgång till det allmänna företagsregistret är att betrakta som direktåtkomst.
AF11: Företag underhåller (del av) sina grunduppgifter
Att ändra uppgifter om ett företag kan i många fall utgöra personuppgiftsbehandling – särskilt när fråga om enskild firma. Den personuppgiftsansvariga är registerförande myndighet, inte företaget självt – det är den registerförande myndigheten som bestämmer över säkerhet, mål och medel.
De nya uppgifterna ingår i det totala registret som är publikt. De äldre uppgifterna arkiveras, antingen i samma register eller överförs till något annat system för bevaring
Aktuella uppgifter gallras inte. Äldre inaktuella uppgifter bör gallras med stöd i särskild gallringsbestämmelse.
Det bör inte betraktas som myndighetsbeslut att en användare ändrar i de uppgifter företaget själv disponerar över. Ändringar bör kunna hanteras på likartat sätt som registerförande myndighet (SCB) idag hanterar begäran om ändring av uppgifter.
Användningsfall PuL TF/OSL ArkivL FL
AF13/14 – ”Automatisk inhämtning”: Handläggande myndighets e-tjänst begär in grundläggande uppgifter från Företagsdatamyndigheten genom systemets API. Överföringen sker någon gång efter att e-tjänstprocessen har startat, åtminstone efter att användaren har autentiserats hos handläggande myndighet.
Det är inte alla utlämnanden som omfattar personuppgifter, men i den mån det är fråga om personuppgifter (enskilda firmor, uppgifter som styrelseordförande, m.m.) är Företagsdatamyndighetens utlämnande till handläggande myndighet en form av personuppgiftsbehandling som Företagsdatamyndigheten ansvarar för. Tillåtlighetsgrund: Antingen samtycke (måste ges på förhand, kan inte vara för all framtid utan måste kunna återkallas, och är inte alltid tillämpligt, t.ex.. kan personuppgifterna röra annan person än den fysiska person som använder e-tjänsten), Osäkert om 10 § e PuL tillämplig eller specialreglering i den föreslagna företagsdataförordningen. Lämpliga säkerhetsåtgärder (jfr 33 § PuL) torde kräva kryptering och ömsesidig autentisering mellan handläggande myndighet och Företagsdatamyndigheten. (Att ta emot och använda uppgifterna är i motsvarande mån personuppgiftsbehandling för handläggande myndighet)
För Företagsdatamyndighetens del: Begäran från handläggande myndighet (som i princip endast innehåller ett organisationsnummer och en lista på vilka uppgifter som begärs) är en inkommen handling och blir allmän vid det tillfället. Svaret blir en upprättad (expedierad) allmän handling. (För den handläggande myndigheten blir det likadant, fast omvänt).
Behovet att bevara inkomna begäranden och expedierade svar under längre tid kan inte vara allt för stort, och risken vad gäller integritetsintrång i samband med uppbyggnaden av ett stort datalager över vilken myndighet som begärt vad om vem när är stor. Själva handlingarna bör gallras så snart som möjligt (dvs. direkt efter att överföringen är slutförd) – jfr 9 § PuL. Mer relevant kan vara att föra en logg över när och till vilka myndigheter uppgifter skickats. Dessa kan dock anonymiseras.
Denna mekanism – när handläggande myndighet självständigt begär in uppgifter – ligger närmast att betraktas som att handläggande myndighet har direktåtkomst till informationen. Företagsdatamyndigheten bör därför behandla varje begäran som ett enskilt förvaltningsärende som kan resultera i både bifall och avslag. Om Företagsdatamyndigheten dessutom har reellt underlag att fatta beslut på (diarienummer på ärende från handläggande myndighet, listor över vilka uppgiftskrav som behöver vilka uppgiftsdefinitioner, etc.) kan det bli fråga om en egentligt (om än automatiserad) och inte fiktiv prövning.
AF13/14 – ”Inhämtning på användarens begäran”: Handläggande myndighets e-tjänst begär in grundläggande uppgifter från Företagsdatamyndigheten genom systemets API. Överföringen initieras av användaren genom en funktion i e-tjänsten (typfallet: en knapp märkt ”Hämta mina grundläggande uppgifter”, varefter formulärsfält fylls i automatiskt), men användaren kan välja att inte använda sig av funktionen och istället själv mata in uppgifterna.
Se ovan ang. om det är fråga om personuppgiftsbehandling. Att hämtning sker på användarens begäran medför inte nödvändigtvis att det blir fråga om att den registrerade lämnat sitt samtycke (10 § PuL) – det kan ju vara fråga om personuppgifter om någon annan än den som använder e-tjänsten. Se ovan ang. tillåtlighetsgrund och säkerhetskrav. Eftersom uppgiftsöverföringen ska ske på användarens begäran vore det önskvärt om Företagsdatamyndigheten på något sätt kunde verifiera att det faktiskt är användaren, inte myndigheten, som begärt uppgifterna [oklart hur detta kan åstadkommas inom ramen för befintlig e-leg-standard]
För Företagsdatamyndighetens del, samma som ovan. Det spelar ingen roll att begäran initierats av en enskild person istället för handläggande myndighet. För den handläggande myndigheten kan begäran om uppgifter eventuellt betraktas som handling som upprättats hos myndighet endast för befordran av meddelande (TF 2:11) – men det är upp till handläggande myndighet att ta ställning till.
Samma som ovan.
Här har handläggande myndighet inte den faktiska eller tekniska möjligheten att komma åt uppgifter (med mindre än att de genom ett oegentligt beteende påstår att de begär in uppgifter på användarens vägnar). Det bör därför inte kunna vara fråga om direktåtkomst för den handläggande myndigheten. Det är således inte lika angeläget att Företagsdatamyndigheten behandlar inkommande begäran som ett förvaltningsärende. Däremot bör Företagsdatamyndigheten om möjligt verifiera att begäran härstammar från företaget, inte handläggande myndighet.
AF13/14 ”Överföring genom länkparametrar”: Överföringen sker när användaren i Företagsdatamyndighetens tjänst klickar på länken till e-tjänsten hos handläggande myndighet. I det enklaste utförandet anges de grundläggande uppgifterna i själva länken: http://etjänst.se/?orgnr=123456-7890&branch=M&foretagsform=AB&... Företagsdatamyndighetens tjänst vet genom uppgiftskravsregistret vilka enskilda uppgifter som ska skickas med till varje enskild tjänst.
För Företagsdatamyndighetens del sker behandlingen när länken konstrueras och visas för användaren. Efter den tidpunkten kan Företagsdatamyndigheten inte längre styra över behandlingen, utan det är användaren som initierar överföringen till handläggande myndighet genom att klicka på länken. Gränssnittet måste kanske utformas så att det tydligt framgår att det är detta som sker. Säkerhetskrav torde medföra att länken bör vara HTTPS.
Eftersom det är användaren som faktiskt överför informationen är det tveksamt om det uppstår någon allmän handling hos Företagsdatamyndigheten utöver den webbsida där länken ingår. Frågan om personaliserade, dynamiskt konstruerade webbsidor ska betraktas som allmänna handlingar bör vara generell för stora delar av e-förvaltningen och bedöms inte särskilt här.
Om den webbsida där länken med parametrar ingår är att betrakta som allmän handling bör den gallras (eller rent tekniskt: aldrig lagras) så fort den sänts till användarens webbläsare.
Här har handläggande myndighet överhuvudtaget inte tillgång till de grundläggande uppgifterna hos Företagsdatamyndigheten; de blir bara tillgängliga som en del av det anrop som användaren gör till den handläggande myndighetens e-tjänst. Företagsdatamyndighetens handlande när länken med parametrar skapas bör ses som en serviceåtgärd, inte ärendehandläggning.
Användningsfall PuL TF/OSL ArkivL FL
AF15/16: Avisera aktuella resp. fullgjorda uppgiftskrav
Företagsdatamyndigheten personuppgiftsbehandlar, åtminstone i fallet enskild firma, när de tar emot och lagrar aviseringen att myndighet X vill ha information enligt krav Y från företag Z. Särskild reglering kan krävas för enskilda firmor i och med att personnummer då är den nyckel som används för avisering, jfr 22 § PUL. Insamlande (aviseringssändande) myndighet måste personuppgiftsbehandla för att sända ut aviseringen, men inte mer än vad som krävs för att idag skicka en blankett.
Aviseringen sparas hos Företagsdatamyndigheten, blir allmän handling, men bör inte bli offentlig då den, framförallt i sammanställningar, kan vara känslig och innehålla nyskapad information. Utöver detta kan vissa aviseringar omgärdas av statistik- eller skattesekretess och får inte skickas till Företagsdatamyndigheten såvida inte sekretess gäller för uppgifterna. Detta kräver ändring i OSL. Absolut sekretess kräver även diarieföring eller registrering i särskild ordning för aviseringar.
En avisering kan inte gallras förrän den är fullgjord. Efter fullgörande (se AF16) bör den kunna gallras, antingen direkt eller efter den tid som krävs för att kunna ha tillräcklig kontroll. En fråga som uppstår här är om det ska föras logg över inlämnade uppgifter (hos Företagsdatamyndigheten eller handläggande myndighet) för att möjliggöra rättelse/komplettering av nyinlämnade krav sett i förhållande till en minimal profil?
Avisering från insamlande myndighet likväl mottagandet hos Företagsdatamyndigheten är ett uttryck för myndighetsservice, inte myndighetsutövande. Inga myndighetsbeslut.
AF17: Administrera användare (jfr AF02) Personuppgiftsbehandling av myndigheters anställda (både Företagsdatamyndighetens egna samt anslutna myndigheter). Tillåtlighetsgrund följer av samtycke/anställningsavtal eller 10 § b eller e PuL.
Användarlistan är formellt allmän handling. Eventuella lösenord och kanske behörigheter bör kunna sekretessklassas under befintliga regler.
Alla ändringar i användarlistan bör kunna gallras direkt
Faktiskt handlande, inga myndighetsbeslut
AF19 Ta fram statistik Huruvida detta innebär personuppgiftsbehandling beror på vilken statistik som ska tas fram, varför det inte i detta sammanhang är möjligt att ange.
Sammanställningar av statistik blir allmänna upprättade handlingar.
Dessa sammanställningar kan gallras efter allmänna regler, men som huvudregel bör de bevaras så långt som möjligt.
Statistiksammanställningar är faktiskt handlande, inte myndighetsbeslut.
AF20: Ta del av grunduppgifter (samordnade uppgifter). Utöver de redovisade centrala rättsområdena får även lagen (2010:566) om vidareutnyttjande av handlingar från den offentliga förvaltningen betydelse för formerna för utlämning, specifikt avgifter (7 §) och övriga villkor (8 – 10 §§). Även AF22: Producera grunduppgifter till slutanvändare, hanteras under detta.
Utlämning kan omfatta stora mängder personuppgifter. Antingen måste utlämningen avgränsas, eller så måste tillåtligheten regleras i förordningen (obs att om e-offentlighetskommitténs förslag blir verklighet kan elektronisk utlämning eventuellt ske med stöd av enbart TF, jfr PUL 8 §)
Utlämnande av allmänna handlingar. Vid nekande att lämna ut uppgifter eller (framförallt) uppgiftssammanställningar kan begäras ett beslut om detta.
AF21 Gallra samordnade uppgifter Gallringen av personuppgifter är i sig behandling enligt PuL.
Gallringen skapar inga nya allmänna handlingar